Die meisten Unternehmen, die sich standardmäßig auf eine Plattform eingestellt haben, müssen inzwischen trotzdem viele verschiedene mobile Betriebssysteme bedienen. 38 Prozent der von Kelton Research befragten Unternehmen planen, bis Ende des Jahres mindestens fünf Plattformen zu unterstützen. Dabei müssen jedoch übergreifende Sicherheitsanforderungen erfüllt werden, und es gilt die Eigenheiten der verschiedenen Plattformen zu bedenken.
Blackberry: Der Mercedes unter den Mobilgeräten
Jedes Gerät stellt besondere Herausforderungen an die IT-Sicherheit. Der Blackberry ist sozusagen der Mercedes unter den mobilen Endgeräten im Unternehmenseinsatz. Andere klassische Umgebungen wie Windows Mobile oder Symbian wurden im Lauf der Zeit von Fremdherstellern mit Add-ons versehen, die sie ebenfalls gut geeignet für den Enterprise-Einsatz machen. Das gesamte Sicherheitsniveau wurde damit verbessert. Wenn man von Blackberry auf ein - womöglich verbraucherfreundlicheres - Gerät wechselt, muss man oft bis zu einem gewissen Grad Sicherheitseinbußen hinnehmen.
Hier können Mobile-Device-Management-Lösungen helfen, eventuelle Schwachstellen zu überbrücken und die Geräte sicher in die Technologie-infrastruktur einzubinden. Dabei muss jedes Unternehmen den Spagat zwischen Freiheit und Sicherheitsrichtlinien schaffen, um eine maximale Produktivität seiner Mitarbeiter zu gewährleisten, ohne Firmen- oder Kundendaten aufs Spiel zu setzen.
Software und Hardware aufeinander abstimmen
Die Möglichkeit zum Download einer riesigen Vielfalt an Apps eröffnet zwar ein Universum an Nutzungsoptionen, schafft aber auf der anderen Seite eine relativ große Angriffsfläche auf die Unternehmensdaten. Hier gilt es, das richtige Maß an Sicherheit zu finden, das die Risiken verringert, ohne die Benutzerfreundlichkeit und Akzeptanz der Geräte zu beeinträchtigen.
Bei der Einbindung mobiler Endgeräte in den Unternehmenskontext ist eine optimale Abstimmung von Software und Hardware gefordert. Deshalb ist es aus Anwendersicht wünschenswert, wenn Softwareanbieter und Gerätehersteller zusammenarbeiten. Dies zeigt sich ganz besonders beim iPhone, das explizit als "Nicht-Enterprise-Gerät" konzipiert wurde und doch längst Einzug in die Unternehmen gehalten hat - und das nicht nur auf C-Management-Ebene. Während iOS 3 noch umfassende Schwachpunkte aufwies, wurde die Sicherheit bei iOS 4 durch umfassende Management-Funktionen wesentlich verbessert. So gibt es für die Version 4 zahlreiche Management- und Sicherheitsschnittstellen, die genau auf die Enterprise-Anforderungen zugeschnitten sind. iOS 5 geht noch einen Schritt weiter und bringt weitere Mobile-Device-Management-Funktionen.
Mobility-Komponenten
Eine vollständige Mobility-Lösung umfasst laut Gartner verschiedenste Komponenten:
• Softwaredistribution: Management und Support mobiler Applikationen.
• Policy-Management: Entwicklung, Kontrolle und Ausführen von Richtlinien für ein mobiles Unternehmen.
• Inventory-Management: Bereitstellung und Support.
• Sicherheits-Management: Durchsetzung von Standards für Gerätesicherheit, Authentifizierung und Verschlüsselung.
• Service-Management: Rating von Telekommunikationsdienstleistungen.
Android erlernt gerade die Enterprise-Fähigkeit
Android wiederum ist gerade auf dem Weg, die Enterprise-Fähigkeit zu erlernen. So waren die 1.x-Versionen sehr verbraucherorientiert und verfügten nur über minimale Management- und Sicherheitsschnittstellen. Seit der Version 2.x wartet Android nun mit Sicherheits-Features auf Unternehmensniveau auf. Dazu gehören etwa die Advanced Encryption Standards (AES) für Samsung- und Motorola-Geräte. Doch nur wenige Device-Management-Lösungen haben diese neuen Funktionen bereits implementiert. Bisher in den "Consumer-Schuhen" stecken geblieben ist Windows Phone 7, wohingegen das ältere Windows Mobile in Version 5 und 6 bereits Enterprise-Reife hatte.
Mit dem Einzug der Smartphones im Unternehmen steigen die Herausforderungen im Hinblick auf die Einhaltung von Unternehmensrichtlinien. Es geht um Sicherheit und Support für sehr viele Gerätetypen. Mobile-Device-Management-Lösungen zur Sicherung und Verwaltung von mobilen Endgeräten bieten einen Ansatz, dies über mehrere Plattformen hinweg zu realisieren. Es ist ein verbreiteter Irrglaube, dass die Zahl der unterstützten Geräteplattformen nur von der eingesetzten MDM-Lösung abhängt. Hier spielen vielmehr auch die inhärenten Eigenschaften des Plattformdesigns eine Rolle.
Die meisten Devices unterstützen im Zusammenspiel mit MDM-Lösungen weitgehende Passwort-Funktionen (Vorgeben von Power-on-Passwort-Richtlinie, Länge und Passwort-Typ, Spezifizierung der Häufigkeit von Passwort-Änderungen etc.). Ausnahmen von der Regel sind etwa WinCE-Geräte, RIM Blackberry oder Android (v 2.1)- Geräte. Beim Blackberry besteht die Herausforderung darin, dass sich eine MDM-Lösung in den proprietären Blackberry Enterprise Server (BES) integrieren muss. Ähnlich sieht es bei den Lockdown-Funktionen aus: Windows-Mobile-Geräte bilden diese alle ab, Symbian weitestgehend (bis auf Lockdown bei Entfernung oder Änderung der SIM-Karte).
Unterschiedliche Lockdown-Richtlinien
Apple zeigt sich hier noch eingeschränkter und unterstützt lediglich die Vorgabe einer Lockdown-Richtlinie, Lockdown bei falscher Passwort-Eingabe sowie einen "Hard Reset" des Geräts bei Lockdown. Android deckt ab Version 2.2 die Lockdown-Richtlinie ab und ermöglicht den Lockdown nach Ablauf einer bestimmten Frist, steigt dann aber aus. Remote Wipe wird von Windows Mobile, RIM Blackberry, Symbian, iOS und Android ab Version 2.2 unterstützt.
Wie hoch das jeweils angepeilte Sicherheitsniveau sein sollte, hängt auch vom Anwendungsbereich ab. So ist etwa der Financial-Services-Sektor per se ein sehr sicherheitsintensiver Bereich und erfordert die Erfüllung höchster Sicherheitsansprüche bei der Einbindung mobiler Endgeräte. Dennoch tendieren auch Finanzunternehmen zunehmend zur Mobilisierung. So setzen die Basler Versicherungen schon seit vielen Jahren eine Mobility-Lösung ein. Wenig erfolgreich war dabei der Versuch, ein Standardgerät einzuführen. Angesichts dieser Erfahrung wurde dann ein Self-Service-Portal aufgebaut, über das die Mitarbeiter ein Gerät ihrer Wahl selbst einrichten können. Als Quasi-Standard kristallisierte sich das iPhone heraus, das vom Gros der Mitarbeiter verwendet wurde. Eine andere Möglichkeit, um in kritischen Umgebungen den Sicherheitsansprüchen zu genügen, ist die Anonymisierung der Daten zusätzlich zu deren Codierung (Nummernkontenprinzip).
Anwenderakzeptanz versus Unternehmenssicherheit
Zurzeit kann man in Sachen Sicherheit prinzipiell zwischen zwei Typen von mobilen Endgeräten unterscheiden: Da sind zum einen die bei Anwendern sehr beliebten Geräte wie das iPhone, die allerdings bisher im Enterprise-Kontext die notwendigen Sicherheitsanforderungen nicht zu 100 Prozent erfüllt haben. Auf der anderen Seite die inzwischen sehr verlässlichen Windows-Mobile- und Symbian-Geräte sowie der von vornherein für den Unternehmenseinsatz konzipierte und immer noch bewährte Blackberry. Allerdings erfreuen sich die letzten drei Kategorien derzeit bei den Anwendern keiner großen Beliebtheit.
Deshalb müssen sich Unternehmen im Rahmen ihrer Mobilitätsstrategie auch mit dem Thema "Bring your own Device" auseinandersetzen. Eine frühzeitige Einführung von ByoD-Richtlinien zur sicheren Einbindung von privaten Geräten ist unerlässlich. Denn die nächste Mitarbeitergeneration, die Millennials, ist mit Internet und Mobilgeräten aufgewachsen. Wenn diese Leute im Unternehmen ihr bevorzugtes eigenes Gerät verwenden dürfen, arbeiten sie produktiver. (hi)