Durchblick im MDM-Dschungel

Die Buchstabensuppe rund um Mobile Management

07.04.2014 von Bernd Reder

Rund um das Thema Verwaltung und Absicherung mobiler Geräte und Anwendungen haben sich unterschiedliche Technologien, Ansätze und auch Abkürzungen breitgemacht. Wir erklären die wichtigsten Begriffe.

MDM (Mobile Device Management)

MDM wird normalerweise in Form einer Software implementiert. Diese kann auch in Form eines Software-as-a-Service-Angebots von einem Cloud-Service-Provider bezogen werden. Mithilfe der Lösung lassen sich Mobilgeräte wie Smartphones, Tablet-Rechner und Notebooks verwalten, verschlüsseln, sperren oder fernlöschen. Zudem ermöglichen es viele Produkte, "Policies" (Regelwerke) auf- und umzusetzen. Diese steuern den Zugriff auf bestimmte Anwendungen und Datenbestände, je nach Rolle und Funktion des Nutzers.

Ein potenzieller Problempunkt ist das Zugriffsrecht der IT-Abteilung, wenn ein Nutzer private Endgeräte für berufliche Zwecke nutzt, diese aber in ein MDM eingebunden werden. In diesem Fall kann es dazu kommen, dass bei Verlust des Geräts und anlässlich einer Fernlösch-Aktion ("Remote Wipe") auch private Daten des Nutzers eliminiert werden. Zudem haben Mitarbeiter der IT-Abteilung Zugriff auf diese privaten Informationen. Dies ist weder wünschenswert noch unter dem Aspekt Datenschutz akzeptabel.

BYOD (Bring Your Own Device)

BYOD bezeichnet den Einsatz privater, meist mobiler Endgeräte für geschäftliche Zwecke. Oft handelt es sich um Smartphones und Tablet-Rechner. So setzen nach Angaben des deutschen Hightech-Verbandes Bitkom 40 Prozent der Arbeitnehmer in Deutschland ihr privates Smartphones zumindest ab und zu auch zum Erledigen beruflicher Aufgaben ein. Besonders beliebt ist dabei das Bearbeiten von E-Mails.

Insgesamt, so der Bitkom, verwenden 71 Prozent der Beschäftigten hierzulande private IT-Geräte im Büro oder für berufliche Aufgaben. Das Problem dabei: die Trennung von geschäftlichen und privaten Informationen, zudem der Schutz sensibler Geschäftsinformationen vor dem Zugriff Unbefugter. Dies wird beispielsweise mithilfe von MDM-Lösungen und einer Software für das Mobile Application Management erreicht.

BYOA (Bring Your Own Application)

In erster Linie ist dies eine Unterkategorie von BYOD, denn mit privaten Systemen halten auch private Anwendungen darauf Einzug ins Unternehmensnetz.

CYOD (Choose Your Own Device)

Ein Kompromiss zwischen BYOD und der althergebrachten Vorgehensweise, Beschäftigte mit speziellen Betriebs-Smartphones oder -Notebooks auszustatten. Bei CYOD hat der Mitarbeiter die Wahl zwischen mehreren Geräten gleichen Typs, etwa zwei oder drei Smartphone-Modellen eines oder unterschiedlicher Hersteller. Diese Systeme werden vom Arbeitgeber angeschafft und gemanagt. Der Einfluss des Users beschränkt sich auf die Wahl des Systems. Manche Unternehmen ermöglichen es den Beschäftigten, über einen firmeninternen App Store ihre Mobilgeräte mit den Anwendungen ihrer Wahl auszustatten - in dem von der IT-Abteilung gesteckten Rahmen.

MAM (Mobile Application Management)

Nicht auf die Hardware kommt es an, sondern auf die Daten und Applikationen. Dies ist die Grundidee von MAM. In diesem Fall konzentriert sich die IT-Abteilung darauf, Anwendungen zu managen, das heißt, bestimmten Usern oder Nutzergruppen Zugang zu ausgewählten Apps einzuräumen und den Zugriff auf Daten oder Anwendungen nötigenfalls zu sperren, etwa bei Diebstahl eines Smartphones. MAM beschränkt sich auf das Management der Anwendungen, die das Unternehmen auf dem mobilen Endgerät platziert hat. In BYOD-Szenarien ist es somit möglich, private und geschäftliche Anwendungen zu trennen. Gleiches gilt für das Fernlöschen von Anwendungen und Informationen.

MCM (Mobile Content Management)

Dies bezieht sich in der Regel auf die Absicherung des "Sharings" von Informationen, etwa über File-Sharing-Plattformen und Online-Storage-Dienste. Zudem ermöglichen solche Lösungen einen sicheren Zugriff auf Daten-Repositories im Unternehmensnetz.

MIM (Mobile Information Management) oder Mobile Data Management

MIM stellt das Management von Informationen in den Mittelpunkt, nicht das von Endgeräten. Ein Ziel eines Management-Information-Managements ist es, das Speichern und Bearbeiten von Firmendaten an potenziell unsicheren Orten wie unverschlüsselten Cloud-Speichern zu verhindern. Zudem können Funktionen integriert werden, die das Synchronisieren von Daten zwischen unterschiedlichen Systemen ermöglichen, etwa Smartphones, Notebook und Büro-PCs. (cvi)

Sieben Schritte zum MDM -

Sieben Schritte zum MDM
Wie kommt ein Unternehmen zu einem sicheren Mobile-Device-Management?

Mobility-Strategie
Zunächst muss jedes Unternehmen für sich definieren, welche Rolle das Thema Mobilität generell spielen und inwiefern MDM in eine Arbeitsplatzstrategie eingebettet werden soll. Dabei empfiehlt FI-TS, künftige Anforderungen in die Planung einzubeziehen. In der ersten Planungsphase müssen unternehmensspezifische Bedürfnisse evaluiert, der Status quo beurteilt und die Ziele für den MDM-Einsatz benannt werden.

ByoD – ja oder nein?
Die zweite wichtige Entscheidung lautet: Darf der Mitarbeiter sein eigenes privates Gerät beruflich verwenden, oder sollen firmeneigene Devices genutzt beziehungsweise angeschafft werden? Und: Welche Mitarbeiter benötigen überhaupt ein Mobilgerät? Für und gegen Bring your own Device (ByoD) gibt es jeweils viele Argumente. FI-TS hat sich für Firmengeräte entschieden – mit der Begründung, dass diese Variante weniger Sicherheitsrisiken berge. Die Festlegung auf ein Betriebssystem erleichtere die Umsetzung.

Anbieter wählen
Auf dem Markt für MDM-Lösungen tummeln sich zahlreiche Anbieter. Die Unterschiede im Angebot seien oft marginal, so FI-TS. Der Dienstleister plädiert deshalb für einen Anbieter „mit Branchenfokus“, weil dieser mit den spezifischen Anforderungen eines Industriezweigs vertraut sei und die wichtigen Features bereitstelle.

Technische Lösung
Eine MDM-Lösung umfasst im Wesentlichen folgende Funktionen: die Durchsetzung von Policies zur Absicherung des Endgeräts inklusive Daten und Apps, Richtlinien zur Trennung der beruflichen von der privaten Nutzung und zur Regulierung des Zugriffs auf interne sowie externe Daten, dazu Passwort- Bestimmungen und externe Gerätesteuerung für den Notfall. Ausführliche Beratung und ein sorgfältiger Vergleich der Lösungen sind unerlässlich.

Betriebsrat & Co.
Rechtlich handelt es sich bei MDM-Einführungen um Vertragsanpassungen oder Nutzungsvereinbarungen. Darin involviert beziehungsweise damit abgedeckt sind Pflichten und Rechte von Arbeitnehmern und -gebern sowie geldwerte Vorteile, aber auch das Fernmeldegeheimnis. Auf der organisatorischen Seite empfiehlt es sich, Betriebsrat, interne Kommunikation und Personalabteilung frühzeitig in die Planungen einzubeziehen, um Daten- und Mitarbeiterschutz, Personalschulungen, User-Support und begleitende Kommunikationsmaßnahmen abzustimmen.

Rollout und Testen
Ein Pilotprojekt mit einer begrenzten Zahl von Test-Usern könne bereits im Vorfeld des Rollouts gröbere Fehler aufdecken und die Benutzerfreundlichkeit der Lösung überprü- fen, so FI-TS. Der Rollout selbst sollte von einem Monitoring des technischen Betriebs und der Admin-Prozesse begleitet sein. In dieser Phase lassen sich Nachbesserungen vornehmen sowie das User-Verhalten überwachen und eventuell durch Kommunikationsmaßnahmen unterstützen.

User-Support
Bei der Einführung eines MDM geht es nicht um die reine Technik. Hier stehen vor allem die Mitarbeiter im Blickpunkt. Die sind unbedingt frühzeitig über die neue Mobility-Strategie des Unternehmens zu informieren. Während und nach dem eigentlichen Rollout müssen sie umfassend geschult und beraten werden. Manche Mitarbeiter brauchen ja vielleicht ein wenig Zeit, um sich an die neuen Geräte und Handhabungen zu gewöhnen. Für ein erfolgreiches MDM ist zudem wichtig, dass sie nicht nur über die technische Bedienung aufgeklärt werden, sondern auch über ihre Rechte und Möglichkeiten.