Praxistest

Samsung Galaxy S6 Edge im Business-Einsatz

Das neue Samsung S6 Edge weckt mit seinem edlen Finish, dem hochauflösenden und kontrastreichen Display, wie auch der neuen Fingerabdruckerkennung Begehrlichkeiten unter den Android-Fans im Business-Bereich. Können neben diesen "Äußerlichkeiten" auch die inneren Werte für eine sichere Integration in Firmeninfrastrukturen überzeugen?

Ein positives "Unboxing"-Erlebnis ist bei dem ersten vollständig in Metall und beidseitig abgerundeten Gorilla Glass 4 von Corning funkelnden Samsung-Smartphone bei Kollegen der Managementebene garantiert. Größere Anstrengungen bedarf es dagegen Sicherheitsbedenken gegenüber einem Android-Gerät bei Vertretern der IT zu zerstreuen, wenn es um die mobile Anbindung von Unternehmensressourcen wie Exchange, Intranet und Fileserver geht. Dabei gibt sich Samsung bereits seit geraumer Zeit Mühe, Zweiflern mit seiner KNOX-Initiative zu begegnen. Wir schauten uns konkrete Optionen jenseits der reinen Theorie anhand eines Testgeräts von Samsung im Zusammenspiel mit EMM-Lösungen von MobileIron, Good Technology und Samsung im Integrationslabor "mdmlab.net" an.

Abgesicherter Work-Container mit Samsung KNOX

Auch für den geschäftlichen Bereich ist der Einsatz moderner Smartphones im Post-BlackBerry-Zeitalter letztlich getrieben durch ein Füllhorn nützlicher Apps aus Google Play Store & Co. wie WhatsApp, DB Navigator, Xing, LinkedIn, Google Maps und Hunderten mehr. Obwohl sich diese Apps nicht immer direkt mit einer dienstlichen Aufgabenbeschreibung in Deckung bringen lassen und sich auch sicher jedem Versuch einer zentralen IT-Kontrolle entziehen, steht und fällt der Erfolg von Smartphone-Einführungsprojekten im Unternehmen oftmals mit der Einbindung eher "persönlich" ausgerichteter Apps im Betriebskonzept.

In einem COPE-Betriebsmodell (Company Owned, Private Enabled) gilt es daher aus technischer Sicht vor allem eine klare Trennung zwischen geschäftlichen ("managed") und persönlichem ("unmanaged") Bereich und damit einer "Dual Persona" auf dem Mobilgerät zu schaffen.

Hier hat Samsung mit "Samsung KNOX" in den letzten beiden Jahren vorbildliche Entwicklungsarbeit geleistet. Nachdem der Vorläufer Samsung SAFE ("Samsung for Enterprise") zunächst nur die magere, allgemeinen Android-Administrations-API um fehlende Funktionen zur Geräteverwaltung ergänzte (z.B. Verwaltung von Exchange-Konteneinstellungen), stellte Samsung unter der Bezeichnung "KNOX" einen sicheren Container für Geschäftsdaten vor.

Als eines der Haupt-Features führte KNOX 2.0 im Frühjahr 2014 ein, dass sich nahezu jede App aus dem Google Play Store auch im abgesicherten KNOX-Container betreiben lässt. Ein umständliches und in der Geschäftspraxis nur schwer realisierbares "Wrapping" von Apps für den Container-Einsatz entfällt damit.

Komplexe KNOX-Nomenklatur

Die neue Galaxy S6-Generation wird von Android Lollipop befeuert und mit Samsung KNOX 2.4 ausgeliefert. Mittlerweile hat Samsung eine begriffliche Konsolidierung abgeschlossen: "SAFE" heißt nun "KNOX Standard" und der sichere Container "KNOX Workspace". In der einfachsten und kostenlosen Form lassen sich geschäftliche Werte im KNOX-Container mit Hilfe von "My KNOX" schützen. "My KNOX" erlaubt die Verwaltung von KNOX Workspace durch den Benutzer selbst am Gerät und aus der Ferne über eine Cloud-basierte Web-Oberfläche. "KNOX Express" ist eine kostenlose, Cloud-basierte Geräteverwaltung auf Basis von "KNOX Standard" für bis zu 10 Geräte.

Wer auch den KNOX-Container auf Firmengeräten zentralisiert von der IT-Abteilung verwalten möchte, benötigt neben der kostenpflichtigen Lizenz "KNOX Workspace" eine dafür geeignete EMM-Lösung. Samsung sieht dafür unter eigenem Label das Cloud-Angebot "KNOX Premium" und Samsung SDS vor. Die technische Basis von KNOX Express und Premium stellt eine von Centrify entwickelte Cloud-basierte EMM-Lösung, der auch Mobilgeräte unter iOS und Windows Phone nicht fremd sind.

EMM-Drittanbieter unterstützen KNOX in unterschiedlicher Ausprägung

Eine grundsätzliche Fernverwaltung von KNOX Workspace erlauben mittlerweile nahezu alle führenden EMM-Lösungen wie z.B. AirWatch, Citrix XenMobile und MobileIron. Welche der von Samsung unterschiedenen 142 KNOX-Features aber tatsächlich adressiert werden können, schwankt sehr stark zwischen den einzelnen EMM-Produkten.

Samsung bemüht sich zwar um Überblick für den Kunden mit einer Online-Vergleichstabelle, die von 41 unterstützten Features durch "NQmobile" bis zu 123 Feature mit "Samsung SDS CellWe EMM" reicht. Es ist jedoch weder ersichtlich, auf welche Variante beziehungsweise Version der EMM-Produkte sich die Aussagen beziehen, noch lässt sich daraus wirklich ableiten, ob die IT mit dem gegebenen Instrumentarium jeden Nutzungswunsch insbesondere von S6-Benutzern abbilden kann.

Anders als bei MyKnox wird der Entsperrmodus "Fingerabdruck" noch nicht von allen EMM-Lösungen unterstützt.
Anders als bei MyKnox wird der Entsperrmodus "Fingerabdruck" noch nicht von allen EMM-Lösungen unterstützt.
Foto: Peter Meuser, iTlab Consulting

Der stolze S6-Träger möchte beispielsweise gerne auch den nun im Vergleich zum Vorgänger S5 zuverlässig und schnell arbeitenden Fingerabdruck-Scanner in der Home-Taste nutzen, um den Zugang zu Geschäfts-Apps im KNOX-Container komfortabel zu öffnen. Dies ist beispielsweise unter "Samsung My KNOX", das als kostenlose App aus Google Play geladen werden kann, kein Problem und funktioniert - vom Benutzer konfiguriert - wie erwartet.

Wird der KNOX-Container aber durch die IT, z.B. über MobileIron EMM 7.5.1 (On-Premises) aktiviert, steht dem Administrator die Entsperrmethode "Fingerabdruck" nicht zur Konfiguration und der Benutzer darf sich stattdessen trotz potenter Hardware weiterhin regelmäßig an einer PIN oder einem komplexen Kennwort üben.

Vorbildliche Trennung von Geschäft und Persönlichem

Welches Potential der KNOX-Container grundsätzlich für die Trennung zwischen "Personal" und "Work" bietet, lässt sich bereits mit "Samsung My KNOX" auch ohne zusätzliche EMM-Lösung erschließen. Hat der Benutzer sie aus dem Google Play Store installiert, sich mit seiner Mail-Adresse registriert und einen Wald von Datenschutzeinwilligungen bestätigt, eröffnet sich auf dem Gerät ein neuer, sicherer "Workspace" für seine geschäftlichen Apps.

Mit dem kostenlosen "Samsung My KNOX" kann der Benutzer sein Gerät unabhängig von der IT verwalten.
Mit dem kostenlosen "Samsung My KNOX" kann der Benutzer sein Gerät unabhängig von der IT verwalten.
Foto: Peter Meuser, iTlab Consulting

E-Mails, Kontakte und Termine über "S Planner", die über ein geschäftliches Exchange-Konto mit dem sicheren Arbeitsbereich im Knox-Modus synchronisiert werden, bleiben für Apps im persönlichen Bereich unsichtbar. Damit steht Kontaktsammlern wie WhatsApp allenfalls der persönliche Bereich zum Netzwerkeln offen.

Um trotz der sauberen Knox-Trennung zwischen Arbeit und Privatem nicht den Überblick über die effektiv verbleibende freie Zeit zu verlieren, lassen sich praktischer Weise private Termine auch im geschützten Geschäftskalender einblenden. Auch der umgekehrte Weg wird angeboten, ist aber wenig empfehlenswert. Sinnvoller ist dagegen gezielt auch Namen geschäftlicher Kontakte bei eingehenden Anrufen anzeigen zu lassen.

Trotz dieser gezielten Teilöffnung des geschäftlichen Arbeitsbereichs besteht keine Gefahr für einen Kontaktdatenabfluss ins Internet. Fotos von Meeting-Ergebnissen und anderen schützenswerten Arbeitssituationen, die über die Kamera-App im Knox-Container geschossen werden, verbleiben in dessen geschützter Fotogalerie. Damit kann leicht kontrollierbar die Gefahr von ungewollten Veröffentlichungen in Cloud-Diensten abgewendet werden.

In den geschützten KNOX Work Container lassen sich Apps aus Google Play ohne erforderliches "Wrapping" hinzufügen.
In den geschützten KNOX Work Container lassen sich Apps aus Google Play ohne erforderliches "Wrapping" hinzufügen.
Foto: Peter Meuser, iTlab Consulting

Samsung erlaubt seit Knox 2.0, jede neuere Android App aus Google Play auch im geschützten Knox-Container zu betreiben und ermöglicht somit einen kontrollierten Datenaustausch zwischen den Apps im sicheren Arbeitsbereich . Der Anwender muss dazu lediglich über My Knox bereits installierte Apps aus dem persönlichen Bereich der Work-Zone hinzufügen. Mit dem Knox-Modell der Datentrennung nimmt sich Samsung einer Aufgabenstellung für den geschäftlichen Einsatz an, die bisher mit Apple-Geräten (bis iOS 8.3) mit Bordmitteln in dieser sauberen Form nicht zu lösen sind.