Foto: 3CX
Mit der zunehmenden Mobilisierung haben insbesondere kleine Firmen ein Problem. So ist es für sie besonders wichtig, dass Mitarbeiter auch unterwegs erreichbar sind und produktiv bleiben. Gleichzeitig fehlen aber oft auch Geld und ausreichendes IT-Know-how, um die dafür erforderlichen mobilen Endgeräte entsprechend abzusichern. Die Unternehmen riskieren damit nicht zuletzt den Verlust von sensiblen Daten, wenn einem Mitarbeiter sein Device abhanden kommt.
Der Kommunikationsanbieter 3CX hat dieses Problem erkannt und bietet mit dem 3CX Mobile Device Manager eine günstige MDM-Lösung, mit der Firmen Android- und iOS-Devices sowie Windows-8-Notebooks verwalten, absichern und - rechtlich nicht ganz unbedenklich - tracken können. Das System lässt sich in der Cloud (auf deutschen Servern in Düsseldorf gehosted) oder On Premise betreiben und ist in der Hosted-Version bei fünf oder weniger verwalteten Geräten komplett kostenlos. Doch auch die Bezahlversion ist äußerst erschwinglich: Bereits ab 25 Devices liegt die Gebühr pro Monat und Gerät umgerechnet deutlich unter einem Euro. Wer die Lösung lieber bei sich hosten will, muss nicht einmal 1500 Euro in die Hand nehmen, um 100 mobile Endgeräte damit zu verwalten - die Wartungsgebühr für ein Jahr bereits inbegriffen. Dank Hochskalierbarkeit soll sich das System dabei für mehrere tausend Devices eignen.
Cloud- oder On-Premise-Version
Um herauszufinden, wie brauchbar die MDM-Lösung ist, haben wir uns in einem Test die sehr einfach nutzbare Cloud-Lösung anhand zweier Android-Smartphones und einem Apple iPad genauer angesehen. Von der Bedienung her, lassen sich die Ergebnisse wohl im Großen und Ganzen auch auf die On-Premise-Variante übertragen, während der Aufwand deutlich niedriger liegt: So reicht für die Hosted-Lösung ein PC mit Webzugang aus, während man für die Vorort-Installation unter anderem einen Windows Server (2008 R2 oder 2012 64-Bit), den Zugang zu einem SMTP-Server für den Versand von E-Mails sowie einen Account für ein SMS-Gateway benötigt. Außerdem muss man natürlich diverse Ports in der Firewall öffnen. In diversen Kommentaren der Spiceworks-Community wird außerdem angedeutet, dass es Performance-Probleme gibt. Wir konnten bei der Cloud-Version nichts dergleichen feststellen, im Zweifelsfall kann man auch die On-Premise-Version testen.
Einfach Geräte ausrollen
Verwaltet wird die Lösung in beiden Szenarien über ein übersichtliches, allerdings nur in englischer Sprache verfügbares Web-Interface. Die Bedienung ist einfach: Um neue Nutzer zu registrieren, gibt man lediglich deren Namen, Telefonnummer und E-Mail-Adresse an, optional besteht die Möglichkeit, die Angaben per .csv-Datei zu importieren. Im Anschluss erhält der Mitarbeiter dann eine Benachrichtigungs-Mail und wird aufgefordert, die 3CX-MDM-App zu installieren. Danach soll er dann die entsprechende Konfigurationsdatei laden und los geht's! Dabei ist es selbstverständlich auch möglich, im Bereich "Users" über den Menüpunkt "Resent Invite" einem Nutzer mehrere Geräte zuzuweisen.
Während das Enrollment bei Android- und Windows-Geräten problemlos und einfach wie beschrieben vonstatten geht, gibt es bei iOS-Devices eine kleine Ausnahme: Man muss sich bei Apple zunächst noch ein spezielles Zertifikat besorgen. Die Anleitung zu der mittlerweile relativ problemlosen Prozedur (außer man benutzt Internet Explorer) findet man in der Verwaltungskonsole unter dem Menüpunkt System/Apple Certificate). Danach geht es normal weiter, die Einladung wird per E-Mail gesendet und im Anschluss wird das Konfigurationsprofil auf das iOS-Gerät gepusht und der 3CX MDM-Client installiert. Bei Android ist es außerdem erforderlich, für eine bessere Mail-Verwaltung die App "Aquamail for 3CX" zu installieren.
In punkto Usability gibt es dabei kaum Klagen: So ist es möglich, mehrere Administratoren einzusetzen oder verschiedene Gruppen anzulegen und dazu passende Policies auszuwählen. Ähnlich kann man über 3CX MDM für Geräte oder Gruppen davon den E-Mail-oder Exchange-Account konfigurieren (und falls nötig wieder zu entfernen) oder den WLAN-Zugang einrichten. Außerdem lassen sich über die Konsole einfach und effektiv kommerzielle oder Inhouse-Apps auf einzelne Devices oder Gruppen davon verteilen.
Zu Risiken und Nebenwirkungen…
Bevor man die Geräte im 3CX-System angelegt und verwaltet, ja eventuell sogar bevor man die Lösung evaluiert, sollte man auf jeden Fall den Mitarbeitern (dem Betriebsrat) die damit verbundenen Möglichkeiten darlegen und eine damit verbundene User Policy/Betriebsvereinbarung erstellen. So mag die Lösung zwar klein und günstig sein, manche Funktionen sind jedoch nicht ganz unproblematisch. Unter anderem kann der Administrator mobile Endgeräte nicht nur aus der Ferne sperren oder sämtliche Inhalte löschen, er hat zumindest bei Android-Smartphones und -Tablets über die "Fernsteuerung" auch Zugriff auf den Dateimanager und kann so sensible Bereiche wie das Adressbuch einsehen.
Auch die Möglichkeit, den Standort von Geräten zu ermitteln, hat ihre Licht- und Schattenseiten: Auf diese Weise lassen sich zwar verlorene Devices orten und zusammen mit dem Versenden von Push-Mitteilungen eine einfache Form von Workforce-Management umsetzen. Gleichzeitig ist dieses Feature (rechtlich) nicht ganz unbedenklich, da der Arbeitgeber damit potenziell auch in der Lage ist, seine Mitarbeiter ständig zu tracken - und dies auch nach Dienstschluss. Ein weiterer kritischer Punkt ist die Option, die Gesprächshistorie eines verwalteten (Android-)Geräts einzusehen. Der Zugriff auf so sensiblen Daten wie Standort, Standort-Historie und vergangene Anrufe lässt sich zwar ausschalten. Wirklich sicherstellen kann der Mitarbeiter aber nicht, dass ihm nicht hinterherspioniert wird.
Zahlreiche Standardfunktionen
Was generell die möglichen Verwaltungs-Features betrifft, kocht natürlich auch 3CX nur mit Wasser und verwendet die von den Herstellern Apple, Google und Microsoft bereitgestellten Management-APIs. Zusätzliche Schnittstellen, wie sie etwa Samsung für seine Galaxy-Reihe (u.a. Safe und Knox) anbietet, werden nicht genutzt.
Die damit durchsetzbaren Policies unterscheiden sich bei iOS und dem einfachen Android entsprechend deutlich: Bei iOS kann man (inzwischen) relativ filigrane Sicherheitsvorgaben bezüglich Passwort (Länge, Komplexität) und Einschränkungen (AppStore, Kamera, Screenshot…) machen, dafür aber nicht so stark auf das System selbst zugreifen. Bei Android ist es genau umgekehrt: Hier kann man nur grobe Richtlinien vorgeben, dafür aber im Zweifelsfall remote auf das Dateisystem des Geräts zugreifen.
Was für beide Betriebssysteme fehlt, ist die Möglichkeit, durch Root (Android) beziehungsweise Jailbreak (iOS) veränderte Geräte zu erkennen. Auch wenn es für MDM-Hersteller nicht einfach ist, hier immer auf dem Laufenden zu bleiben und die Erkennung nicht hundertprozentig zuverlässig ist, ist die Funktion dennoch essentiell: Nur durch die Unversehrtheit der Betriebssysteme kann gewährleistet werden, dass die integrierten Schutzmechanismen und Kontrollinstanzen intakt sind und sich Policies durchsetzen lassen.
Auch dem Thema Anwendungsverwaltung hat sich 3CX bei der Lösung gewidmet: So kann man im entsprechenden Reiter App Management eine Liste aller auf den verwalteten Geräten installierten Apps einsehen. Außerdem gibt es ein Repository für Apps, die man bei Bedarf auf die Endgeräte pushen kann. Last but not least kann man im 3CX Mobile Device Manager eine Whitelist beziehungsweise Blacklist mit zugelassenen oder aber verbotenen Apps führen. Richtig wirkungsvoll erwies sich die schwarze Liste dabei im Test aber nicht. So konnten wir trotz Verbotes problemlos auf einem der Android-Smartphones Whatsapp neu installieren und stellten auch keinen Alarm auf der Management-Konsole fest. Im Bereich "Installed App" wurde die App dagegen aufgeführt.
Apropos Alarm: Immerhin meldete das System im Test erfolgreich, wenn über längere Zeit keine Verbindung zu dem 3CX MDM Agent hergestellt werden konnte. Außerdem informierte es, wenn ein Client-Gerät erfolgreich gesperrt oder gelöscht wurde.
Eingeschränkte Sanktionsmöglichkeiten
Wird ein Verstoß (tatsächlich) festgestellt, kann der Admin den Anwender per Push-Mitteilung darauf hinweisen. Reagiert der Nutzer dann immer noch nicht, gibt es zudem die Möglichkeit, die App remote zu löschen. Dies funktioniert allerdings nicht immer: Bei Android ist dies nur möglich, wenn der Nutzer zustimmt, bei iOS klappt es nur bei Apps, die erst nach der Installation des 3CX-MDM-Clients neu auf das Gerät gespielt wurden.
Ansonsten beschränken sich die Sanktionen bei iPads und iPhones auf das Sperren und Löschen des kompletten Geräts. Bei Android-Devices gibt es noch die äußerst effektive Funktion Remote Control - eine Art Fernzugriff, bei der man auf den Client zugreifen und dort etwa den Dateimanager oder das Adressbuch durchforsten kann.
Fazit: Nur mit Vorsicht zu genießen
Der 3CX Mobile Device Manager reicht zwar von den Funktionen nicht an die Lösungen der führenden EMM-Anbieter heran, ist dafür mit Preisen von unter einem Euro pro Device und Monat auch deutlich günstiger. Da wichtige Funktionen fehlen, muss man sich jedoch die ernsthafte Frage stellen, ob man dabei nicht am falschen Ende spart. So ist Root- oder Jailbreak-Kontrolle für eine effektive Verwaltung nahezu essentiell. Außerdem vermisst man zumindest in der Cloud-Version die Funktion, heikle Features wie Bewegungsprofile oder den Remote-Zugriff auf Adressbuch, Dateimanager und System-Logs zu deaktivieren, beziehungsweise komplett auszublenden. Auch neuere Verwaltungsfunktionen von iOS 7, wie Managed Open in oder Pre App VPN werden (noch) nicht unterstützt.
Wer sich für 3CX Mobile Device Manager entscheidet, sollte sich also über dessen Grenzen bewusst sein: So ist die Lösung für ein ByoD-Szenario nur sehr bedingt zu empfehlen, bei reinen Dienstgeräten fehlen einige Features. Im Großen und Ganzen ist das System auf jeden Fall besser als gar keine Mobile-Device-Management-Lösung und man darf gespannt sein, wie schnell das System weiterentwickelt wird.