Foto: Citrix
Laut einer Befragung von 300 CIOs europäischer Unternehmen, welche die Marktforschungsgesellschaft Vanson Bourne im Auftrag der IT-Firma Riverbed durchführte, arbeitet rund ein Drittel der Beschäftigten (32 Prozent) zumindest teilweise von unterwegs aus. Die Markforschungsgesellschaft IDC geht davon aus, dass im Jahr 2013 rund 130 Millionen der insgesamt rund 213 Millionen Beschäftigen in Westeuropa zur Kategorie der "Mobile Worker" zählen - also mehr als 60 Prozent.
Dies führt dazu, dass sich der Bestand an IT-Endgeräten in Unternehmen und Behörden ändert. Zu den traditionellen Desktop-Systemen kommen mobile Geräte hinzu, etwa Smartphones, Notebooks und künftig auch Tablet-Rechner wie das iPad. Dies führt dazu, dass die IT-Abteilung mehr Systeme pro Mitarbeiter und eine größere Zahl unterschiedlicher Gerätetypen unterstützen muss.
Foto: Forrester
Damit nicht genug: Gut 51 Prozent aller Unternehmen erlauben ihren Mitarbeitern, eigene Mobilgeräte wie Notebooks und Smartphones für berufliche Zwecke zu nutzen, und das ohne jede Beschränkung, etwa auf Modelle bestimmter Hersteller. Das ergab eine Untersuchung der Beratungsfirma Aberdeen Research, die Unternehmen in Amerika und Europa befragte. Weitere 25 Prozent erlauben den Einsatz privater mobiler Geräte unter Auflagen. Das heißt für IT-Abteilungen, dass sie Lösungen benötigen, mit denen sich alle mobilen Geräte verwalten lassen, die im Unternehmen im Einsatz sind.
Unübersichtlicher Markt an Anbietern und Produkten
Das Angebot an Lösungen für die Verwaltung mobiler Geräte, Stichwort "Mobile Device Management" (MDM), ist reichhaltig, um nicht zu sagen unübersichtlich. Gartner zählt rund 25 Firmen zum engeren Kreis der MDM-Anbieter. Weitere 25 Unternehmen haben Produkte im Portfolio, die zumindest teilweise ein Mobile Device Management erlauben, die Gartner jedoch nicht zu den klassischen Anbietern von MDM-Software zählt. Dazu gehören unter anderem BMC, CA, HP, IBM, Microsoft und Juniper Networks, mit Ausnahme von Juniper führende Anbieter von Systemmanagement-Software.
Foto: Forrester
Welche Betriebssysteme eine MDM-Software unterstützen muss, hängt davon ab, welche Vorgaben das Unternehmen macht. Am einfachsten ist es, wenn Anwender nur ein System einsetzen dürfen, etwa "Blackberry"-Smartphones. Der Vorteil dieses rigiden Ansatzes, speziell beim Blackberry: Es handelt sich um eine erprobte und sichere Mobillösung, auch wenn es in jüngster Zeit Probleme mit der Verfügbarkeit der Services gab. RIM bietet mit dem Blackberry Enterprise Server eine Management-Plattform an, die de facto kaum Wünsche offen lässt. Das Problem: Blackberry-Smartphone sind in Unternehmen auf dem Rückzug. Dort kommen verstärkt Android-Geräte und iPhones zum Zuge, künftig vermutlich auch Windows Phones.
Smartphones und Tablets oft nur unzureichend geschützt
Wie wichtig das Management mobiler Geräte unter dem Aspekt Sicherheit ist, belegt die Studie "Netz- und Informationssicherheit in Unternehmen 2011" des Verbundprojekts "Sichere E-Geschäftsprozesse in KMU und Handwerk" des Bundeswirtschaftsministeriums und des Netzwerks Elektronischer Geschäftsverkehr (NEG) (PDF). So gaben 6,1 Prozent der befragten Firmen an, dass mindestens in einem Fall im vergangenen Jahr ein Smartphone, Tablet-Rechner oder Notebook mit Unternehmensinformationen an Bord abhanden kam.
Dennoch verzichten 19,2 Prozent der Unternehmen darauf, solche Systeme durch Passwörter oder PINs zu schützen. Rund 49 Prozent verschlüsseln Daten auf den Geräten, zumindest die wichtigsten Informationen; an die 38 Prozent verzichten jedoch auf diese Schutzmaßnahme. Speziell Smartphones haben die IT-Abteilungen von kleinen und mittelständischen Firmen nicht "auf dem Radar": Nur 9,9 Prozent sind mit einer Personal Firewall ausgerüstet; bei Notebook sind es immerhin 50 Prozent der Geräte. WLAN-Verkehr wird nur bei rund 20 Prozent der Mobiltelefone verschlüsselt, bei Notebooks bei 55 Prozent.
Solche Defizite lassen sich mithilfe eines zentralen Mobilsystem-Managements beheben. Damit kann die IT-Abteilung für alle Smartphones und Tablet-Rechner ein einheitliches Sicherheitskonzept umsetzen. So lässt sich in den Konfigurationseinstellungen festlegen, dass Daten auf den Endgeräten und bei der Übermittlung über unsichere Netze wie Mobilfunk und Wirelesss LANs automatisch verschlüsselt werden.
Anbieter und Produkte
Foto: Mobile Iron
MDM-Lösungen führender Anbieter sind "Afaria" von Sybase, "Good Mobile Control" von Good Technology, "Enterprise Mobility Management" von McAfee, "Maas360" von Fiberlink Communications und "Symantec Mobile Management" von Symantec. Eine Besonderheit von Goods Ansatz: Auf dem Mobilgerät werden getrennte verschlüsselte Bereiche ("Container") für private und Firmendaten eingerichtet. Auch Airwatch, auf dessen Plattform auch das MDM-Angebot der deutschen Firma Matrix42 beruht, Tangoe und Zenprise zählen laut Gartner und IDC zu den Unternehmen, die derzeit im Bereich MDM eine führende Rolle spielen.
Foto: Good Technology
Airwatch unterstützt nicht nur die Verwaltung von Smartphones und Tablet-Rechnern, sondern auch von Windows-Notebooks. Zenprise legt vor allem auf ausgefeilte Sicherheitsfunktionen Wert. So lassen sich Endgeräte, die nicht den Sicherheitsrichtlinien entsprechen, in Quarantäne stecken. Besonderheiten sind zudem spezielle URL- und Web-Content-Filterfunktionen, die den Angriff auf Mobilgeräte mittels präparierter Web-Seiten verhindern.
Foto: Sybase
Vor allem für Großunternehmen kommt "Enterprise Mobility Management" (EMM) von Boxtone in Betracht. Die Lösung unterstützt alle gängigen Mobilbetriebssysteme und lässt sich mit den Systemmanagement-Plattformen von BMC, CA, HP und IBM koppeln. Das Unternehmen bietet ergänzend dazu eine Cloud-gestützte Version an, die als Software-as-a-Service (SaaS) bereitgestellt und via Web-Konsole bedient wird. Dieses Modell, sprich SaaS, wird künftig an Bedeutung gewinnen. HP hat denn auch mit "Cloud Services Enablement for Device Management as a Service" ein Produkt lanciert, das auf Service Provider zielt. Es versetzt Anbieter von IT-Dienstleistungen in die Lage, mobile Endgeräte von Kunden im Rahmen eines Software-as-a-Service-Angebots zu verwalten.
Management mobiler Geräte auslagern
Anwender, die sich nicht selbst um die Verwaltung von Smartphones, Tablets und Co. Kümmern wollen, können die Aufgabe an einen Dienstleister delegieren. Solche Managed Services bieten unter anderem Fujitsu ("Managed Smartphone"), T-Systems und Mobilfunk-Service-Provider wie T-Mobile und Vodafone an.
Aber auch Unternehmen wie der TÜV Rheinland (in Kooperation mit Mobile Iron) sind in das Geschäft mit Managed Services für Mobilgeräte eingestiegen. Vodafone hat beispielsweise zusammen mit der Technologieberatungsfirma Seven Principles im August 2011 das Mobile Device Management bei der Deutschen Bahn AG übernommen. Beide Unternehmen verwalten dort an die 10.000 mobile Systeme.
T-Systems wiederum arbeitet mit der niederländischen Firma VeliQ und SAP-Sybase zusammen. Im Auftrag von Kunden übernimmt T-Systems die Ausarbeitung einer "Mobilitätsstrategie" und deren Umsetzung, bis hin zur Verwaltung aller mobilen Geräte. Derzeit arbeitet der Systemintegrator unter dem Stichwort "Seamless Collaboration" an einer Middleware, die alle Arten von Endgeräten und Applikationen koppelt und eine zentrale Verwaltung der Endsysteme erlaubt. Dieser Ansatz dürfte allerdings eher für Großunternehmen in Frage kommen, die viele unterschiedlich (mobile) Endgeräte einsetzen und eine komplexe Collaboration-Plattform betreiben.
Falltüren bei MDM-Lösungen
Unternehmen, die eine MDM-Software oder ein entsprechendes SaaS-Angebot implementieren, sollten berücksichtigen, dass trotz der vollmundigen Aussagen der Anbieter deren Produkte nicht alle Betriebssystemplattformen gleichermaßen gut unterstützen. Einige Anbieter räumen das offen ein, etwa Equinux: Deren Lösung "Tarmac" unterstützt "nur" Apple-Systeme. Bei anderen Anbietern ist dies für den Anwender nicht so deutlich erkennbar.
Foto: Samsung
Vor allem der Support für Android ist bei vielen MDM-Plattformen noch unausgegoren. Dies hängt jedoch damit zusammen, dass Android den Geräteherstellern erlaubt, die Software - in Maßen - zu modifizieren. Die Android-Version auf einem Smartphone von Samsung ist beispielsweise nicht mit der auf einem HTC-Gerät identisch. Erst ab 2012 dürften die Hersteller von MDM-Lösungen dieses Problem im Griff haben.
Zudem sollten Anwender die Reporting-Funktionen von MDM-Produkten genau unter die Lupe nehmen. Etliche weisen in diesem Punkt Defizite auf, etwa allzu simple und wenig aussagekräftige Templates oder fehlende Schnittstellen zu Business-Intelligence-Produkten anderer Hersteller.
Konsolidierung des Marktes
Es ist davon auszugehen, dass in den kommenden Monaten die Zahl der Anbieter von MDM-Lösungen kleiner wird, Stichwort Konsolidierung des Marktes. Einige Beispiele: Ubitexx wurde vom Blackberry-Produzenten Research In Motion übernommen, Sybase ist mittlerweile ein Unternehmensbereich von SAP, Good Technology hat das Startup-Unternehmen Cloudsync gekauft und Google hat sich durch die Übernahme von Motorolas Mobiltelefonsparte auch im Bereich Mobile Device Management verstärkt.
Es gibt jedoch auch Fälle, in denen diese Strategie nicht aufging. So stiegen sowohl HP als auch Nokia wieder aus dem MDM-Markt aus, in den sie sich durch die Übernahme von Intellisync (Nokia) und Bitfone (HP) eingekauft hatten. Dennoch ist davon auszugehen, dass Anbieter von System-Management-Softwarepakete wie IBM, BMC, CA und Symantec ihre Produktpalette im Bereich MDM durch Zukäufe ergänzen. Symantec exerzierte dies bereits im Fall von Altiris vor.
Trend: Zugriff auf Virtual Desktops
Foto: Citrix
Das Management von mobilen Endgeräten wie Smartphones und Tablet-Systemen wird in den kommenden Jahren deutlich komplexer werden. Ein Grund ist, dass neue Geräteformen wie Tablet-Rechner an Bedeutung gewinnen - mit einer Vielzahl unterschiedlicher Betriebssysteme: Android, iOS, Blackberry Tablet OS, Windows 8, Meego und vielleicht sogar WebOS, falls HP seinen Entschluss revidieren sollte, die Arbeiten an diesem vielversprechenden Betriebssystem einzustellen. Hinzu kommt, dass Konzepte wie der Zugriff auf virtualisierte Desktops oder Cloud-Services vom Mobilgerät aus das Konfigurieren und Verwalten solcher IT-Umgebungen komplizierter machen.
Organisationen wie das Enterprise Mobility Forum (EMF) raten Unternehmen und Behörden daher, sich vom bloßen Mobile Device Management zu lösen und eine Strategie für ein "Mobile Lifecycle Management" (MLM) zu erarbeiten. Kernpunkte bleiben zwar nach wie vor mobile Geräte. Allerdings sollten Unternehmen laut EMF auch andere Bereiche berücksichtigen, etwa das Bereitstellen und Managen von Anwendungen (Mobile Application Management) und das Überarbeiten interner Prozesse, die noch nicht auf eine mobile Arbeitswelt ausgerichtet sind.
Checkliste: Zentrale Funktionen von Mobile Device Management
Welche Funktionen eine Lösung für das MDM bieten sollte, hängt von den spezifischen Anforderungen des Anwenders ab. Dennoch gibt es eine Reihe von Features, die jedes Produkt bieten sollte. Die Checkliste basiert auf Informationen von Matrix42:
Automatisches Setup:
-
Einfache Aktivierung der Konfigurationsroutine, etwa mittels SMS, E-Mail oder URL
-
Automatische Registrierung aller Systeme, egal, ob sich diese im Besitz des Unternehmens oder der Mitarbeiter befinden ("Bring Your Own Device" = BYOD)
-
Nutzer-Authentifizierung über Basis- und Directory-Services
-
Einheitliche Fernkonfiguration von Policies, Einstellungen, Zertifikaten und Remote-Zugang über die Luftschnittstelle (Over the Air, OTA)
-
Bereitstellung eines zentrales Katalogs autorisierter Unternehmens-Apps
Sicherheitsfunktionen:
-
Sicherer Zugang zu Daten und Accounts
-
Verschlüsselung und Passcode-Richtlinien (Datenschutz)
-
Fernsperren und -löschen von Geräten
-
Möglichkeit, Geräte-Audits durchzuführen (Prüfung, ob Vorgaben bezüglich Konfiguration, Apps etc. eingehalten werden)
-
Automatisches Sperren des Zugriffs von gehackten Systemen ("Jail-Break") auf das Unternehmensnetz
-
Zugang zum Unternehmensnetz nur über gesicherte Verbindungen (Virtuelle Private Netze, VPN)
Überwachung von Systemen:
-
Status der Endgeräte und des Netzwerks lässt sich überwachen
-
Die Möglichkeit besteht, Volumen und Art des Daten- und Sprachverkehrs zu erfassen (Kostenkontrolle). Warnung bei Überschreiten von Grenzwerten, etwa von Datenvolumina
-
Erstellen von Netzwerkstatistiken und Reports, inklusive automatischer Verteilung an die zuständigen IT-Mitarbeiter
-
Detaillierte Event-Logs: Protokollierung von Systemzugriffen und Anwenderaktivitäten
-
Verwaltung von Anwendungen:
-
Automatisiertes Mobile-Asset- und -Inventory-Management
-
Anwendungen per Exchange Active Sync, WLAN, VPN, LDAP oder Certificate Authority (CA) bereitstellen und aktualisieren
-
Push-Down-Funktion, die zeitgesteuert oder bei der Anmeldung des Nutzers Konfigurationsdaten, Anwendungen oder Lock-/Wipe-Befehle übermittelt.
-
Automatisches Verifizieren von Anwendungen und Einspielen von Updates und Patches
Support-Funktionen:
-
Ferndiagnose und Fernsteuerung der Systeme, um die Ursache von Problemen zu analysieren
-
"Remote-Support" für Anwender und die Option, mittels SMS mit der Konsole zu kommunizieren
-
Self-Service-Portal für Anwender, damit diese selbst Einstellungen ändern oder Probleme lösen können, etwa das Zurücksetzen vergessener Passwörter
-
Integriertes Incident-Management-System, um Störungen zu erfassen und die Problembehebung zu verwalten.
-
Für die IT-Abteilung: Der Hersteller der Lösung sollte über Mitarbeiter (Support) in Deutschland oder zumindest Europa verfügen.
Technische Details:
-
Unterstützte Betriebssysteme: Android, Blackberry OS, iOS, Symbian, Windows, eventuell auch WebOS oder Meego
-
Prüfen, in welcher Form die Lösung vorliegt: als Stand-alone-Software zur Installation im Unternehmen oder auch in Form eines Software-as-a-Service-Angebots (SaaS) oder als Appliance (Hardware, Virtual Machine)
-
Unterstützte Sprache: nur Englisch oder auch Deutsch?
-
APIs (Application Programming Interfaces) für Integration in Verzeichnisdienste und Systemmanagement-Lösungen