Außendienstler und Führungskräfte müssen auch mobil Zugriff auf Anwendungen und Daten im Intranet haben. Deshalb waren das obere und mittlere Management sowie der Vertrieb der CommerzReal AG selbstverständlich längst mit Handys ausgerüstet. Bis zum Herbst vergangenen Jahres bewegten sie sich dabei in der Windows-Mobile-Welt mit Vodafone als Anbieter. Doch dann gab es den harten Schnitt: Rund 250 Mitarbeiter des Immobilienfinanzierers nutzen seitdem iPhones von Apple.
"Wegen einer Konzernvorgabe der Commerzbank war der Umstieg auf T-Mobile notwendig", berichtet Christian Decker, Leiter Infrastruktur, Security und Service-Desk der CommerzReal, "gleichzeitig stellte sich die Frage der Endgeräte neu." Zum Zeitpunkt der Entscheidung bot die Deutsche Telekom die iPhones in Deutschland quasi exklusiv an. Aber das Team um Abteilungsdirektor Decker sah sich auch andere Endgeräte an, beispielsweise den Blackberry von RIM. Doch diese Alternative war schnell aus dem Rennen. "Dafür hätten wir den Blackberry Enterprise Server installieren müssen", erläutert Decker. Der Aufbau einer neuen Infrastruktur erschien der CommerzReal jedoch als zu aufwändig - zumal sich mit Windows Mobile oder dem iPhone-Betriebssystem iOS eine direkte Verbindung zum Exchange Server von Microsoft herstellen ließ.
Für die Apple-Geräte entschied sich der Finanzdienstleister vor allem wegen des Komforts für die Nutzer: "Das iphone ist von der Bedienung her intuitiver, kommt also den Anwendern stärker entgegen", so Decker: "Windows Mobile war damals wesentlich umständlicher -die Version 7 gab es noch nicht am Markt." Wie der IT-Manager betont, gibt auch bei der CommerzReal die IT vor, welche Geräte die Anwender nutzen, "aber man kann ihnen ja mal entgegenkommen, wenn es passt".
Das Unternehmen in Kürze
-
Die Commerz Real AG ist eine hundertprozentige Tochtergesellschaft der Commerzbank AG.
-
Sie offeriert unter anderem Immobilien-Asset-Management sowie strukturiertes Leasing.
-
Mit einem verwalteten Vermögen von rund 45 Milliarden Euro gehört sie zu den größten Anbietern in diesem Markt.
-
Die Firmenzentrale ist sowohl in Wiesbaden als auch in Düsseldorf ansässig.
-
Rund 1000 Mitarbeiter sind bei dem Finanzdienstleister beschäftigt (Stand 2010). Sie arbeiten in den deutschen Geschäftsstellen und für die Niederlassungen im europäischen Ausland.
Support an der Kapazitätsgrenze
Einigen IT-Verantwortlichen bereitet der Gedanke daran, dass sie iPhones in ihre Infrastruktur integrieren sollen, heftige Kopfschmerzen. Die Sorgen reichen von Schnittstellenproblemen über Sicherheitslöcher bis zu erhöhtem Support-Aufwand. Decker hat diese Bedenken analysiert und Wege gefunden, um sie zu zerstreuen. Mehr noch - nachdem die iPhones mittlerweile ein paar Monate im Einsatz sind, zieht er ein erstes positives Fazit: "Die Geräte verursachen weniger Aufwand und damit weniger Kosten als andere Geräte - und zwar um den Faktor fünf."
Bis dato hatte die CommerzReal 230 Windows-Mobile-Geräte der Modellreihen Vodafone VPA und VDA sowie Sony Ericsson X1 im Einsatz. Der Abgleich der PIM-Daten (Personal Information Manager) mit dem Exchange-Server in Wiesbaden sowie mit dem redundant ausgelegten Gegenstück in Düsseldorf lief über "ActiveSync". Die dafür erforderlichen Profile wurden händisch auf jedem Handy eingerichtet. Nicht gerade die effizienteste Lösung, wie Decker bestätigt: "Das Verfahren war kostenintensiv und erforderte einen hohen Support-Aufwand." Zudem war kein Support möglich, wenn sich die Mitarbeiter außer Haus befanden. So stieß die Betreuung schnell an ihre Kapazitätsgrenzen.
Deshalb entschied die Commerz Real, mit dem Rollout der Apple-Geräte (iPhone 3GS) auch das Support-Konzept zu ändern. Die iPhones sollten mit Pushmail und Intranet-Anbindung ausgestattet werden - beides auf dem für einen Finanzdienstleister unverzichtbaren Sicherheits-Level. Das durfte aber nicht zu Lasten der Effizienz gehen. Vielmehr war die Forderung, dass sich die Benutzer- und Sicherheitsprofile effizient verwalten ließen.
Zusammen mit dem auf Apple-Lösungen spezialisierten Servicepartner Cancom IT System AG suchte CommerzReal nach einer zentralen MDM-Lösung (Mobile-Device-Management) mit Policy-Verwaltung und umfassenden Sicherheitsfunktionen. Fündig wurden sie mit der Ubi-Suite von Ubitexx.
Ohne zusätzliches Personal
Cancom erhielt den Auftrag, den Ubi-Suite-Server einzurichten und die iPhones auszuliefern. Decker selbst übernahm die Leitung des Einführungsprojekts. Eine Idealbesetzung, da er gleichzeitig für Infrastruktur, Sicherheit und Support verantwortlich zeichnet. Nach erfolgreichem Testlauf wurden die 250 iPhones im Spätsommer 2010 europaweit ausgeliefert. Mit Hilfe der Ubi-Suite erfolgte der Rollout zentral und "over the air".
Die MDM-Lösung unterstützt auch die Konfiguration der Geräte, was den Support-Aufwand niedrig hält. "Die Verwaltung iPhones sollte ohne zusätzliches Personal von unseren Administratoren und Service-Desk-Mitarbeitern handhabbar sein", berichtet lauteteDecker. Folglich musste die Lösung auch ohne Spezialkenntnisse zu bedienen sein.
Drei Administratoren, zwei in Wiesbaden und einer in Düsseldorf, betreuen heute neben den anderen IT-Geräten auch die Smartphones. Den First-Level-Support stellt der zentrale Service-Desk.
Wer Apps herunterlädt, bleibt draußen
Die Mitarbeiter der CommerzReal AG nutzen ihre iPhones nicht nur, um zu telefonieren, E-Mails abzurufen und mobil im Internet zu recherchieren. Vielmehr fungieren die Geräte auch als Schnittstelle ins firmeneigene Intranet. Das geschieht per Private APN (Access Point Name) und über einen Einwahlknoten des Carriers, der die Smarphones mit den Netz-Servern der Commerz Real AG verbindet.
In der MDM-Lösung wurde zentral eine Benutzergruppe eingerichtet, deren Konfigurationen mit allen Pushmail- und Sicherheitseinstellungen - beispielsweise Passwort-Restriktionen, Private-APN-Einstellungen und anderen Profildaten - definiert sind. Die in die Software integrierte Benutzer- und Geräteauthentifizierung soll im laufenden Betrieb sicherstellen, dass sich die Mitarbeiter nur mit zertifizierten iPhones und Passwort im Unternehmensnetz anmelden können. Verliert ein Mitarbeiter sein Smartphone, oder überschreitet er die vorgegebene Zahl der Login-Versuche, so können die Administratoren die Daten auf dem Gerät sofort remote entfernen.
Was viele IT-Verantwortliche besonder stört am iPhone, ist die Angewohneit der Nutzer, alle möglichen Apps aus dem Netz herunterzuladen. Das findet auch Decker nicht lustig. Aber dagegen könne man sich absichern, sagt er: "Wir haben eine Policy, die die Anwender unterschrieben müssen. Demnach dürfen sie keine privaten Apps herunterladen, sondern nur das, was wir freigeben."
Download-Wildwuchs gefährdet die Datenintegrität und verursacht Zusatzkosten, beispielsweise indem er einen Datenstrom verursacht, der durch die Flatrate nicht gedeckt ist. "Das lässt sich aber mit der Ubi-Suite überwachen und notfalls unterbinden", verrät der Projektleiter. Die von der IT freigegeben Anwendungen werden dazu von den Administratoren als Whitelist im Konfigurationsprofil am zentralen Server definiert.
Apple habe hierfür kürzlich erst ein Protokoll entwickelt, klärt Decker auf: "Dieses Feature wollen wir auf jeden Fall nutzen. Es ermöglicht uns, die Anwender, die nicht von uns installierte Anwendungen nutzen, von der Synchronisation auszuschließen." Tatsächlich habe die Ankündigung dieses Protokolls ihm die Entscheidung für die iPhones wesentlich erleichtert.
IT Operations Day
Achtung: Die Digital Natives kommen!
Social Networks, Cloud Computing, Mobility – Was IT-Manager und Digital Natives voneinander lernen können. Am 12. Mai 2011 in Berlin. Mehr Informationen
Konfiguration in einem Drittel der Zeit
Die Mitarbeiter erhalten die einsatzbereiten Samrphones per Hauspost, das Profil folgt per SMS. "Das zentrale iPhone-Management ist für uns viel effizienter", beteuert Decker, "wir übergeben nur noch den Mitarbeitern das Gerät persönlich, die eine Einweisung in die Grundbedienung benötigen." Die automatische Konfiguration dauere nur noch fünf Minuten - statt der 15 Minuten, die eine manuelle Konfiguration früher benötigt habe.
Noch mehr als über diese Zeiteinsparung freut sich der Abteilungsdirektor über den verringerten Support-Aufwand: "Früher haben Mitarbeiter auf Auslandsreisen oft die Einstellungen für Provider- oder E-Mail-Synchronisation verändert. Dadurch hatten wir rund 50 Geräteausfälle im Jahr." Seit die zentrale MDM-Suite die Smartphones verwalte, sei noch kein einziges Gerät wegen Benutzereingriff ausgefallen.
Ein Verbesserungsvorschlag hat Decker allerdings: "Was wir uns von Ubitexx noch wünschen, ist ein abgestuftes Berechtigungskonzept für die Administratoren. Es sollte ihnen erlauben, beispielsweise die Profile auf verloren gegangenen Geräten zu löschen. Zudem soll es sie davor bewahren, aus Versehen die Sicherheitsprofile zu verändern." Schließlich handle es sich ja nicht nur um ausgefuchste Experten, sondern auch um Level-eins-Anwender. Wie Ubitexx versichert, ist die Botschaft angekommen und das gewünschte Feature Bestandteil der Produktplanung für 2011.