Ergebnisse ausgewählter Kategorien

Durchsetzen von Richtlinien

Wichtig für den Betrieb von MDM-Lösungen ist es, wie komfortabel sich Richtlinien durch das Aufspielen geeigneter Parameter auf den Endgeräten durchsetzen lassen. Besonders relevant sind hierbei Policies zur Absicherung des Endgeräts, und der darauf befindlichen Daten und Apps, sowie Richtlinien zur Deckelung der Mobilfunkkosten, der Trennung zwischen beruflicher und privater Nutzung, dem Aufspielen von Apps und der Regulierung des Zugriffs auf interne und externe Datenquellen.

Beim Durchsetzen von Richtlinien, etwa das Führen von Black-/Whitelists bei der Anwendungsnutzung, oder Funktionen zur Deckelung der Mobilfunkkosten erfüllte MobileIron die Kriterien am besten. MS&C gefiel es dabei besonders, dass nach der Anbindung des Geräts nur noch eine geringe Interaktion mit dem Anwender erforderlich war. Als einziges Manko bei MobileIron sah MS&C die teilweise gravierenden Unterschiede in der Verfügbarkeit von Funktionen über die verschiedenen Systeme (iOS und Android) – hier ist allerdings schwer einzuschätzen, ob der Grund nicht einfach bei den von den Plattformbetreibern zur Verfügung gestellten APIs lag.

Airwatch und Good Technology boten laut MS&C im Vergleich zu MobileIron nur geringfügig weniger Möglichkeiten zur Durchsetzung von Policies. So konnten die Münchner bei Airwatch lediglich eine Funktion zur Erkennung manipulierter Daten nicht ausmachen. Zudem verwirrte die Anzeige von Geräteinformationen an zwei verschiedenen Stellen in der Maskenstruktur der Anwendung.

Bei Good Technology wiederum konnte lediglich der Zugriff auf den iTunes MusicStore, nicht aber auf den gesamten AppStore, überwacht werden. Für Android fehlte diese Funktion (Google Play Store) ganz. Auch Roaming konnte nicht untersagt werden, stattdessen wurde lediglich angezeigt, ob eine Datenverbindung im Ausland genutzt wird.

Mobile Active Defense bot laut MC&C als einzige der betrachteten Lösungen die Möglichkeit, Blacklists für bestimmte Verbindungsprotokolle und Übertragungswege zu definieren, die dem Unternehmen unsicher erscheinen. MAD bot außerdem eine Funktion, die bei Eintreten eines bestimmten Status des Gerätes die Verbindung zu Exchange und Unternehmensnetzwerk trennt. Wie die Münchner Management-Beratung feststellte, konnte dies allerdings nur umständlich durch die Kombination zweier Leistungsmerkmale realisiert werden, was der Usability schadete.

Bei Fiberlink MaaS360 stellte MS&C fest, dass das Admin-Portal von Fiberlink nicht alle auf einem Endgerät vorhandenen Apps auflistete. Zudem erschien die Erfassung in der Liste zugelassener Applikationen recht mühsam, es konnte darüber hinaus auch keine ausreichende Überwachung des Zugriffs auf Applikationen festgestellt werden. Verdächtige Applikationen wurden nicht in Quarantäne gestellt. Doch damit nicht genug: Die Möglichkeit zur Überwachung des Roaming war nicht unbedingt intuitiv zu finden, berichtet MS&C, die Erkennung von Roaming-Verletzungen und entsprechende Aktionen (z. B. Deaktivieren des Server-Zugriffs) waren augenscheinlich nur für Android verfügbar. Ebenso konnten private und geschäftliche Inhalte nicht gekennzeichnet werden.

Auch bei Sophos stellten die Tester einige Schwachstellen beim Handling fest. So verlangte die Lösung in der Ansicht des User-Self-Service die Angabe des Betriebssystems, es wurde also offenbar nicht automatisch erkannt. Zudem konnte bei der Identifikation eines „gejailbreakten“ (iOS) beziehungsweise „gerooteten“ (Android) Devices keine automatisierte Nachricht an den Administrator ausgelöst werden. Die Überwachung des Zugriffs auf AppStores war bei Sophos außerdem nur für Android verfügbar. Unter den getesteten Lösungen war Sophos außerdem die einzige, die keine integrierten Methoden zur Erstellung eines Profils (Zusammenstellung von Konfigurationsparametern) bereitstellt. Profile mussten hier umständlich in Zusatzsoftware erstellt werden. Nach Auskunft eines Sophos-Managers stammte die getestete Lösung von Ende 2011 (!), weshalb die festgestellten Defizite wohl inzwischen beseitigt wurden - wie bereits im Vorfeld wurde, sollte man sämtliche Ergebnisse in dieser Hinsicht mit Vorsicht betrachten...

Bei Zenprise musste ein Endgerät zunächst manuell zum Bestand unter Angabe des – prinzipiell automatisch erkennbaren – OS und der Seriennummer erfasst werden. Bei Android-Geräten konnte das Roamingsicht nicht komplett untersagt werden. Bei Richtlinienverstößen ließ sich der Zugriff auf Unternehmensserver nur bedingt einschränken.

Auch bei Ibelem stellte die Management-Beratung einige Defizite im Bereich Policies fest. So musste jede denkbare Applikation zunächst einer zuvor definierten Nutzergruppe (etwa Außendienst oder Verkauf) zugeordnet werden, bei Verdachtsfällen ließen sich Apps nicht in Quarantäne versetzen. Bei Roaming-Verstößen war lediglich das Unterbinden möglich, eine echte Überwachung beziehungsweise Aufzeichnung des Volumens war nicht vorgesehen.

Auch Capricode konnte MS&C in dieser Kategorie nicht überzeugen. Ähnlich wie bei Ibelem konnte die Roaming-Nutzung über Profileinstellungen zwar generell unterbunden, aber nicht überwacht werden. Auch White- oder Blacklists zur Freigabe respektive Sperrung von Apps ließ diese Lösung vermissen, der Zugriff auf AppStores und der Download von Apps konnte nicht überwacht werden, Quarantänefunktionen suchte man vergebens.

Insgesamt konnte nach Angaben der Münchner keines der getesteten Tools Policies zur Deckelung von Mobilfunkkosten wirklich kontrollieren, berichten oder unterbinden. Auch ließen sich bei nahezu allen Lösungen private und geschäftliche Inhalte nicht kennzeichnen, beziehungsweise trennen. Einzelne Lösungen waren immerhin in der Lage, zu protokollieren, welche Daten oder Applikationen über den MDM-Server geroutet wurden. Bei einem sogenannten Selective Wipe wird diese Information benötigt, um im Notfall (etwa Geräteverlust) die auf das Gerät gebrachten Inhalte zu entfernen. Nicht erkannt wurden die Daten, die in Drittprogrammen abgespeichert werden (zum Beispiel von einem entsprechenden Editor bearbeitete PDFs). Diese Daten würden zudem bei einem Selective Wipe nicht erfasst, so MS&C.

Sicherheit und Konformität

Neben der Möglichkeit, Richtlinien umzusetzen, belegt die Kategorie „Sicherheit und Konformität“ einen wichtigen Stellenwert bei MDM-Lösungen. So umfasst sie neben der Absicherung der Sprach- und – wichtiger – Datenkommunikation Funktionen zur Umsetzung sicherheitsrelevanter Compliance-Richtlinien, etwa die Durchsetzung von Passwortrichtlinien, (Selective) Remote Lock & Wipe, Verschlüsselung und Authentifizierung.

In dieser Kategorie machten Airwatch und MobileIron, dicht gefolgt von den Lösungen von Fiberlink, Zenprise und Good Technology, den besten Eindruck - waren aber nicht ohne Makel, wie die Tester feststellten. So boten Airwatch und MobileIron im Test für Android-Endgeräte keine automatisierte Gerätesperre nach einer längeren Zeit der Inaktivität. Bei Airwatch konnte zudem, wie auch bei Fiberlink und Capricode, eine Datenlöschung (Wipe) nur für einzelne Endgeräte vorgenommen werden. Bei Anwendung lokaler Datenverschlüsselung wurden App-spezifische Daten nur bedingt eingeschlossen, sodass zusätzlich kontrolliert werden musste, welche Daten gegebenenfalls unverschlüsselt blieben.

MobileIron, Fiberlink und Zenprise boten für Android-Geräte keine zertifikatbasierte Authentifizierung (inklusive Geräte-ID, OS-Version, Telefonnummer) an. Diese Lösungen sowie diejenigen von Good Technology verhinderten nicht, dass Mitarbeiter oder Fremdnutzer ein iOS-Endgerät von Apple als mobilen Hotspot einrichten könnten (sogenanntes „Tethering“). Umgekehrt verhinderte dies die Lösung von Ibelem für Android-Geräte.

Bei Zenprise und MAD konnte MS&C im Test zudem kein mobiles VPN zum Unternehmensnetzwerk einrichten – bei Ibelem war das nur für Android-Devices nicht möglich. Ebenso wie Airwatch bot Zenprise keine Archivierung und Wiederherstellung von Nachrichten an. Bei Good Technology waren diese Funktionen immerhin für iOS-Geräte verfügbar.

Bei Sophos schlug vor allem negativ zu Buche, dass die Erstellung von Policies für iOS-Geräte nicht mit der Lösung selbst möglich war. Stattdessen musste hierfür das von Apple frei verfügbare iPhone-Konfigurationsprogramm verwendet werden. Erst hiermit konnten die für das Endgerät gewünschten Parametereinstellungen zusammengestellt und als Datei exportiert werden, damit Sophos diese anschließend auf das Endgerät übertragen konnte.

Die vorliegende Testversion von Capricode fiel laut MS&C zudem durch die uneinheitliche Umsetzung von Teilfunktionen im Zusammenspiel mit den Betriebssystemen auf. Darüber hinaus kritisierte die Management-Beratung, dass es keine Gewissheit gab, in welchem Umfang die Daten einzelner Apps auf dem jeweiligen Endgerät tatsächlich verschlüsselt wurden.

Immerhin: Der Aufbau einer sicheren Datenverbindung zum Unternehmensnetzwerk war laut Testbericht bei allen Lösungen möglich. Entweder gaben sich die Endgeräte mit Hilfe eines Zertifikats zu erkennen oder sie nutzten eine sichere Verbindung über ein VPN. Optionen hierfür boten alle Hersteller an. Außer bei der Gestaltung der entsprechenden Masken ergaben sich keine qualitativen Unterschiede.

Im Gegensatz dazu war das Unterbinden von Tethering lediglich bei Airwatch und Fiberlink – und hier nur für Android-Geräte – möglich. Diese Einschränkung ist dennoch wichtig - sie trägt dazu bei, die Verbindung zum Firmennetzwerk durch ein konformes Gerät per WLAN zu nichtkonformen oder gemanagten Geräten zu verhindern.

Inventory Management

In dieser Kategorie bewertete MS&C Funktionen zur Überwachung und fallweisen Steuerung von Hard- und Softwarekomponenten mobiler Endgeräte . Hierzu zählen die Suche und Lokalisation von Mobilgeräten, die Konfiguration, die Überwachung oder gar Sperre („Lockdown“) von Hardwarefunktionen wie z.B. der Kamera oder Anschlüssen für Speichermedien und Ähnliches. Die Herausforderung für die MDM-Lösungen ist, die gerätespezifischen Daten der gemanagten mobilen Geräte auszulesen und diese für die IT-Administration übersichtlich darzustellen. Ziel ist es, unerwünschte Zustände und Ereignisse rasch zu erkennen, um Maßnahmen zur Prävention beziehungsweise Abwehr von Sicherheitsrisiken ergreifen zu können.

In dieser Kategorie lagen Airwatch und MobileIron laut MS&C gleich auf. Die Tester nahmen bei Airwatch lediglich leichte Schwierigkeiten in der Handhabung bei Zustellung und Eingabe von Serveradressen auf den Endgeräten wahr. Bei MobileIron wurde festgestellt, dass der Nutzer selbst das Geräte-Tracking verbieten kann, was eine Ortung im Verlustfall nicht mehr ermöglicht. An anderen Defiziten waren nicht die Lösungsanbieter, sondern iOS schuld: So ermöglicht Apple den MDM-Tools keine Deaktivierung von externen Speichermedien, der Schnittstellen Infrarot, Bluetooth und WiFi.

Allerdings stellte MS&C beim Test fest, dass andere Lösungen wie die von Sophos, Fiberlink und MAD einige dieser Sicherheitsoptionen nicht einmal für Android-Endgeräte unterstützen. Ibelem ließ eine Lokalisierung des Endgeräts nur zu, wenn der Nutzer des Geräts die Ortung nicht deaktiviert hatte. Im Test der Lösung von Good Technology konnte die Lokalisierung nicht erfolgreich erprobt werden. Die vorliegende Testplattform von Zenprise ließ keinerlei Lockdown-Funktion von Hardware-Komponenten zu. Auch die Suche und Wiederherstellung von Geräten (z.B. nach Verlust) war bei Zenprise und Capricode nicht testbar.