Foto: Fotolia/Kurhan
Mobile Endgeräte wie iPhone und iPad stellen ein potenzielles Sicherheitsrisiko im Unternehmen dar, das man nur schwer in den Griff bekommt. So werden die Devices im Business-Umfeld längst nicht mehr „nur“ zum Abruf von E-Mails oder zum Verfassen von Notizen verwendet. Wegen der gestiegenen Rechenleistung und anderer Features nutzen sie Mitarbeiter verstärkt, um unterwegs die Verbindung zum Unternehmen aufrecht zu halten und ihre Aufgaben auch extern besser zu erledigen. Die Geräte werden immer stärker in die Geschäftsprozesse integriert und greifen über Anwendungen auch auf Daten innerhalb der Firewall zu.
Angesichts dieser starken Einbindung ist der potenzielle Schaden groß, wenn ein Firmen-Smartphone oder -Tablet in fremde Hände gerät oder Mitarbeiter allzu fahrlässig mit ihren Geräten umgehen, etwa Apps aus unsicheren Quellen laden. Unabhängig davon müssen Unternehmen allein schon aus Compliance-Gründen für den Ernstfall Vorsorge treffen. Hinzu kommt, dass insbesondere die verstärkt genutzten Plattformen Android und iOS - anders als früher Blackberry OS oder Windows Mobile - nicht primär für den Business-Einsatz konzipiert oder gehärtet sind. Im Vordergrund steht vielmehr die viel gerühmte Usability, also eine möglichst intuitive Nutzung. Die Möglichkeit, die Integrität und Sicherheit der darauf befindlichen Daten zu gewährleisten, ist dagegen deutlich niedriger gewichtet – auch wenn sich hier im Vergleich zu früher schon Einiges getan hat.
Entsprechend viele Firmen suchen daher aktuell nach Möglichkeiten, diesem immanenten Problem Herr zu werden. So ist es kein Wunder, dass das Thema Mobile Device Management (MDM) derzeit ein richtiges Revival feiert. Hersteller aus verschiedensten Bereichen, vornehmlich IT-Security oder IT-Service-Management, stürzen sich darauf und Lösungen dafür schießen in der jüngsten Zeit geradezu wie Pilze aus dem Boden. So kann man wohl nach vorsichtigen Schätzungen von rund 150 Verwaltungsprodukten für mobile Endgeräte ausgehen. Hinzu kommen noch etliche Lösungen, die das Thema MDM indirekt, etwa durch die Regelung des Zugriffs auf Netzwerkressourcen, adressieren.
Für den kompletten Lebenszyklus
Streng genommen deckt eine klassische MDM-Lösung allerdings den kompletten Lebenszyklus der Smartphones und Tablets ab. Zu den Grundfunktionen gehört im Rahmen des Asset-Managements zunächst das Erfassen und Anlegen eines neuen Geräts im MDM-System – das idealerweise mit bestehenden Verzeichnisses wie dem Active Directory und anderen Unternehmensressourcen verbunden ist. Über eine zentrale Konsole wird das Device auch mit den aufgestellten Richtlinien (Policies) verknüpft und im Anschluss mit der darauf basierenden Grundkonfiguration, Zertifikaten und Ähnlichem beschickt. Im laufenden Betrieb sorgt dann ein MDM-Client auf dem Device für Sicherheit und die Einhaltung der Regeln: Bei Verstößen (etwa abgelaufenes Passwort, Jailbreak/Root, fehlende Updates oder Installation unerlaubter Anwendungen) wird der Zugriff auf geschäftskritische Ressourcen blockiert, als letzte Konsequenz beziehungsweise bei Verlust oder Diebstahl kann das Smartphone oder Tablet aber auch remote gesperrt oder dessen Inhalte gelöscht werden (Remote Lock & Wipe).
Das Repertoire ähnelt damit im Prinzip dem von IT-Service-Management-Lösungen. Da der physische Zugriff auf die mobilen Rechenzwerge erschwert ist, gehören neben der klassischen Geräteverwaltung jedoch auch Lokalisierung, Sperren und Löschen über die Luftschnittstelle zum Pflichtprogramm. Außerdem müssen anstelle einer relativ homogenen PC-Landschaft in der Regel Geräte mit verschiedenen Betriebssystemen beziehungsweise Versionen davon sowie von unterschiedlichen Herstellern verwaltet werden.
Bis vor rund zwei Jahren stand bei der Wahl einer Mobile-Device-Management-Lösung daher noch auf die Frage im Mittelpunkt, welche der vielen mobilen Plattformen ein System unterstützt und in welchem Umfang. Da die verschiedenen Plattform- und Gerätehersteller die erforderlichen Schnittstellen für die Verwaltung frei zur Verfügung stellen, hat sich das Problem zumindest auf dem Papier weitgehend entschärft. In der Realität gibt es aber trotz gleicher Features oft deutliche Unterschiede bei der Umsetzung – nur ein Beispiel dafür, weshalb Interessenten beim Auswahlprozess nicht auf eine Teststellung verzichten sollten.
Auch wenn sich der Großteil der Unternehmensanfragen aktuell auf Verwaltungsmöglichkeiten für das mobile Apple-System bezieht, ist die Möglichkeit, mehrere Plattformen zu unterstützen nach wie vor relevant. So interessieren sich Anwender verstärkt auch für Android und auch das Potenzial, mit Windows 8 und Windows Phone 8 auch Tablets und Smartphones in ihre Microsoft-Umgebung einbinden zu können. Soll gar die Nutzung privater Geräte unterstützt werden, kommt man um das Thema ohnehin nicht herum.
Generell sorgen Bring your own Device (ByoD) und die verschiedenen Spielarten davon dafür, dass es der Branche nicht langweilig wird. So wird etwa versucht, dem Anwender mit Hilfe von Self-Service-Portalen die Registrierung, Einrichtung und teilweise auch den Support seiner Geräte zu übertragen. In eine ähnliche Richtung gehen die sogenannten Corporate App-Stores. Hier stellt die IT-Abteilung den Mitarbeitern empfohlene oder zumindest geduldete Anwendungen passend für ihr Gerät zum Download zur Verfügung anstelle diese mühsam remote aufzuspielen.
Von MDM zu MAM und EMM
Da die absolute Kontrolle über private Endgeräte – einschließlich des Löschens von Inhalten - nur schwer realisierbar und rechtlich umstritten ist, verlagert sich die Verwaltung – Stichwort Enterprise Mobility Management (EMM) - zunehmend von den Devices auf die dort befindlichen Apps und Inhalte. Nicht unbedingt neu, aber effektiv und dank ByoD brandaktuell sind dabei Container- oder Sandboxing-Lösungen, bei denen geschäftskritische Inhalte und Anwendungen in einem abgeschotteten Bereich vorgehalten werden. Daneben kommen Mobile-Application-Management-Lösungen (MAM) zunehmend in Mode. Hier kann der IT-Administrator durch Parameter festlegen, wie eine solche „speziell eingepackte“ Anwendung verwendet werden muss. So kann er etwa beim Starten der App eine Eingabe-Bildschirm zur Passworteingabe vorschalten, bei der Nutzung die Screenshot- oder Copy&Paste-Funktion sperren oder einen spezifischen VPN-Tunnel errichten lassen. Da die Sicherheit auf Applikationsebene liegt, spielt es gar keine Rolle, ob das Gerät verwaltet werden kann oder gar bereits kompromittiert ist.