Mobile first - aber bitte ohne Risiko

Die Arbeitswelt wird mobil. Statt Telefon und PC im Büro nutzen immer mehr Beschäftigte mobile Devices wie Smartphones, Tablets, Notebooks oder Ultrabooks. Das belegt die Studie "Arbeitswelt 3.0" des deutschen IT- und Telekommunikationsbranchen-Verbandes Bitkom. Demnach setzen drei Viertel der deutschen Arbeitnehmer mobile Systeme ein.

Ein Großteil der Beschäftigten greift dabei auf private Geräte zurück, so der Verband in einer weiteren Studie zum Thema "Bring Your Own Device" (BYOD): 35 Prozent der Arbeitnehmer verwendeten 2013 ein privates Notebook für geschäftliche Zwecke, 19 Prozent ihr eigenes Smartphone, und 8 Prozent einen Tablet-Rechner. Hinzu kommen 31 Prozent private Handys.

Dennoch hat die Mehrzahl der deutschen Unternehmen noch keine schlüssige Mobilstrategie entwickelt, so eine Umfrage der IT-Firma Citrix unter deutschen IT-Verantwortlichen. Und dies, obwohl 78 Prozent der Befragten die Einbindung von Mobilgeräten in die Unternehmens-IT als eine der zentralen strategische Herausforderungen betrachten und 74 Prozent "Mobility" als wichtigen Wettbewerbsvorteil einstufen.

Laut der Citrix-Studie haben nur etwa 50 Prozent der deutschen Firmen eine Lösung für das Mobile Device Management im Einsatz; rund 43 Prozent verfügen über ein Tool für die Verwaltung mobiler Apps (Mobile Application Management, MAM). Den Einsatz privater Mobilgeräte am Arbeitsplatz oder außerhalb des Büros erlauben derzeit 40 Prozent der Firmen in Deutschland. Doch 72 Prozent wollen BYOD mittelfristig gestatten.

Allerdings sei Mobile Device Management nicht allein für Anwender relevant, die den Einsatz privater Mobilsysteme gestatten, so Hans-Heinrich Aenishänslin, EMEA Regional Sales Senior Manager Endpoint Systems Management bei der Dell Software Group: "Jedes Unternehmen, dessen Mitarbeiter mobile Endgeräte einsetzen, benötigt eine MDM-Lösung. Auch wenn der Arbeitgeber diese Systeme bereitstellt, müssen sie verwaltet und mit den aktuellen Sicherheits-Patches ausgestattet werden."

Herausforderung für die IT-Abteilung

Generell stehen kleine und mittelständische Unternehmen BYOD offener gegenüber als Großunternehmen, so Michael Melzig, Senior Product Marketing Manager Business Clients bei Fujitsu: "Nach unseren Erfahrung sind große Firmen restriktiver, was den Einsatz privater Endgeräte betrifft. Dies ist oft auf die Überlastung der IT-Abteilung zurückzuführen. Das Management vieler mobiler Systeme, die zudem mit unterschiedlichen Betriebssystemen und Anwendungen ausgestattet sind, ist daher kaum zu bewältigen."

Die Folge ist, dass sich eine Art Schatten-IT entwickelt: "Viele Mitarbeiter nutzen private Systeme, ohne dass die IT-Abteilung davon etwas erfährt", so Thomas Wendt, IT Security Consultant bei Atos. "Die vorhandene IT-Infrastruktur in vielen Unternehmen fördert diesen Trend. Selbst technisch weniger versierte Mitarbeiter können heute ohne Hilfe der IT-Abteilung ein Mobilgerät ins Firmennetz einbinden oder eine VPN-Verbindung zum Intranet herstellen."

Nach Angaben von MobileIron, einem Anbieter von Software für das Mobile Device Management, sind Mobilgeräte aus mehreren Gründen für IT-Abteilungen und Unternehmen ein zweischneidiges Schwert. Mit der Nutzung solcher Systeme seien sowohl Risiken als auch Vorteile für das Unternehmen verbunden:

• Mobilgeräte sind primär auf einfache Benutzung abgestimmt, nicht auf IT-Sicherheit: Für Anwender ist der sofortige Zugriff auf Informationen wichtig. Das erhöht die Produktivität. Verschlüsselung beispielsweise oder der Zwang, Passwörter einzugeben, wirkt sich störend aus. In der Regel verzichten daher viele Unternehmen auf ein stringentes Management von Mobilgeräten, das allzu massive Einschränkungen für den Nutzer mit sich bringt.

• Mobilsysteme verfügen über beträchtliche Speicherressourcen für Daten und Anwendungen: Dies ist positiv, weil Anwender Unternehmensanwendungen und Geschäftsdaten lokal auf dem Endgerät nutzen können. Problematisch ist dies, wenn ein solches System abhandenkommt.

• Viele Mobilgeräte sind mit Cloud-Computing-Ressourcen verknüpft: Das gilt insbesondere für Cloud-Storage-Dienste wie Dropbox, Microsoft OneDrive oder Box. Solche Services machen es einerseits einfach, mit Kollegen oder Partnern Daten auszutauschen. Andererseits birgt dies das Risiko, dass Dritte Zugriff auf sensible Informationen erhalten, speziell dann, wenn die Daten nicht verschlüsselt werden.

• Mobilsysteme können über unterschiedliche Wege auf das Firmennetz zugreifen - über Mobilfunknetze, öffentliche und Firmen-Wireless-LANs (WLAN) sowie teilweise auch über drahtgebundene Netze (LANs). Das erhöht die Flexibilität, macht aber die Absicherung der Verbindungen schwierig, etwa wenn ein User über ein unsicheres WLAN im Flughafen auf das Firmennetz zugreift.

Was MDM leisten sollte

Um den Verlust sensibler Daten zu verhindern und Verstöße gegen Datenschutzregelungen und Compliance-Vorgaben zu vermeiden, müssen daher mobile Geräte in das unternehmensweite IT-Management eingebunden werden.

Das gilt auch für private Endgeräte. Ein Mobile Device Management sollte nach Angaben von Pretioso, einem deutschen Anbieter von MDM-Lösungen aus Südergellersen nahe Lüneburg, über folgende Kernfunktionen verfügen:

• die lückenlose Integration in eine beliebige Zahl von Verzeichnissen (etwa Microsoft Active Directory, LDAP);

• die Option, Security-Policies und alle Berechtigungskonzepte aus Active Directory, LDAP oder anderen Verzeichnisdiensten wie eDir abzuleiten;

• beliebig skalierbare Mandanten- und Organisationsstruktur zur Abbildung unterschiedlicher Security-Layer;

• eine multiple-Proxy-Struktur, damit sich komplexe, individuelle Sicherheitsarchitekturen abbilden lassen;

• Unterstützung aller gängigen Mobilbetriebssysteme. Nach den Erfahrungen von Pretioso reicht es nicht aus, sich auf Android und iOS zu konzentrieren und eventuell noch Windows Phone 8 zu supporten. Ebenso müssen beispielsweise BlackBerry OS, Symbian und gegebenenfalls Chrome OS (Netbooks) sowie Linux unterstützt werden;

• Erkennen und Verhindern gerätespezifischer Bedrohungen (Jail-Breaking von iOS-Systemen, Rooting bei Android-Systemen);

• lückenlose Integration in Monitoring-, Security- und Helpdesk-Lösungen;

• sichere Verschlüsselung. Hier ist nach Angaben von Pretioso zu berücksichtigen, dass US-Hersteller und Anbieter mit Niederlassungen in den USA Verschlüsselungsverfahren mit Keys von mehr als 56 Bit im Rahmen von Exportkontrollvorschriften offenlegen müssen.

Daten und Anwendungen im Container

Eine Technologie, die einen Kompromiss zwischen Kontrolle über die Firmendaten auf Endgeräten und privater Nutzung erlaubt, ist die "Containerization". Auf dem Mobilgerät wird dabei ein verschlüsselter Bereich für Firmenanwendungen und entsprechende Daten angelegt. Dieser Container ist nach Eingabe eines Passwortes zugänglich. "Das hat den Vorteil, dass die IT-Abteilung firmenbezogene Informationen separat verwalten kann und private Daten auf dem System davon unberührt bleiben", erklärt Melzig.

Auch für Atos ist das Konzept der Container ein probates Mittel, speziell in BYOD-Szenarien: "Dadurch ist sichergestellt, dass es zu keinen Problemen mit Datenschutzregelungen kommt", erläutert Thomas Wendt. "Doch auch für Systeme, die ein Unternehmen dem Mitarbeiter zur Verfügung stellt, bietet sich der Einsatz von Containern an. Dadurch sind Anwendungen, Daten und Konfigurationseinstellungen vor dem Zugriff Dritter geschützt, wenn ein System 'verschwinden' sollte."

Container kein Allheilmittel

Verschlüsselte Container lassen sich unabhängig von einem MDM-System einsetzen. Allerdings sprechen nach Angaben von Air-Watch, einem Anbieter von MDM- und Enterprise-Mobility-Management-Lösungen, mehrere Gründe dafür, beide Techniken gemeinsam zu nutzen. Das ist etwa dann der Fall, wenn in einem Unternehmen sowohl private als auch firmeneigene Mobilsysteme eingesetzt werden. Die Firmensysteme werden in diesem Fall via MDM verwaltet, die privaten nicht.

Doch auch Containerization ist kein Garant für die Sicherheit von Daten und Anwendungen, sagt der deutsche MDM-Spezialist Pretioso. So lassen sich die Passworteingaben von Usern mittels eines Keyloggers abfangen, den Cyber-Kriminelle auf einem gerooteten oder "gejailbreakten" Mobilgerät platzieren. Daher, so Pretioso, sei es fahrlässig, zugunsten eines Container-Konzepts auf ein Mobile Device Management zu verzichten.

Die große Lösung: Virtualisierung und Desktop als Service

Gleich, ob MDM oder MAM: Wenn auf einem - privaten - Endgerät Geschäftsanwendungen und entsprechende Daten lagern, besteht die Gefahr, dass diese kompromittiert werden. Einen Ansatz, bei dem Unternehmen nicht nur die Kontrolle über Geschäftsdaten behalten, sondern auch über Anwendungen und die gesamte Desktop-Umgebung auf einem Mobilgerät, bieten virtualisierte Desktops. In diesem Fall werden Anwendungen, Daten und die IT-Arbeitsumgebung des Nutzers in einem Rechenzentrum vorgehalten. Dies kann das firmeneigene Data Center sein oder das eines (Cloud-)Service-Providers. Über einen Browser oder einen speziellen Client greift der Nutzer vom Mobilgerät auf "seine" Arbeitsumgebung im Rechenzentrum zu.

Der Vorteil dieses Ansatzes: Die IT-Abteilung kann die Desktop-Images zentral verwalten. Das schließt das Einspielen von Updates und Patches mit ein. Zudem ist es bei diesem Ansatz relativ einfach, Daten zu sichern (Backup) und zu archivieren.

Zu den führenden Anbietern solcher Lösungen zählen Citrix und VMware. Speziell VMware will offenkundig seine Präsenz im Bereich "Mobility" und Management von mobilen Systeme und Anwendungen ausbauen. Zu diesem Zweck hat VMware im Februar die US-Firma AirWatch übernommen, einen etablierten Anbieter von Lösungen für MDM und Enterprise Mobility Management.

DaaS: Kontrolle über eigene Daten behalten

Allerdings stellen sich bei Desktop-as-a-Service mehrere Fragen. So muss sichergestellt sein, dass Mitarbeiter auch dann von ihrem mobilen System aus auf ihre Desktops und Daten zugreifen können, wenn keine Internetverbindung oder nur eine langsame Mobilfunk-Connection via Edge oder gar GPRS verfügbar ist. Das lässt sich beispielsweise erreichen, indem die virtualisierte Umgebung lokal von einem Stick oder einer SD-Karte gestartet wird.

Ein zweiter Punkt ist die Oberhoheit über die Daten, wenn ein externer Cloud-Service-Provider die Desktops über seine Rechenzentren bereitstellt. Hier ist beispielsweise zu berücksichtigen, dass amerikanische Anbieter dem Patriot Act unterliegen. Dieses Gesetz verpflichtet US-Firmen, auf Anfrage von Behörden Daten ihrer Kunden herauszugeben, unabhängig davon, welches (Cloud-)Rechenzentrum des Anbieters diese nutzen. Anbieter von gemanagten Desktop-Lösungen wie Fujitsu, aber auch kleinere Anbieter wie etwa Pironet-NDH in Köln führen dieses Argument ins Feld. Sie verweisen darauf, dass sie als deutsches beziehungsweise deutsch-japanisches Unternehmen nicht dem Patriot Act unterliegen.

Der Weg zum Enterprise Mobility Management

Ein Mobile Device Management ist ein Baustein einer Strategie, mit der mobile Endgeräte und "Mobile Data" abgesichert werden können. Derzeit geht der Trend in Richtung Enterprise Mobility Management (EMM).

Eine EMM-Lösung besteht aus mehreren Komponenten: einer MDM-Software, einem App-Management und einer Software für das Mobile Content Management (MCM). Mithilfe von MCM kann die IT-Abteilung sicherstellen, dass Daten nur auf dafür freigegebenen Plattformen gespeichert, bearbeitet und mit Dritten geteilt werden können. Das kann ein Daten-Repository im Unternehmensnetz sein, aber auch ein Cloud-Speicherdienst wie Microsoft OneDrive.

Unternehmen und deren IT-Fachleute werden sich allmählich dessen bewusst, dass es nicht ausreicht, eine Insellösung zu implementieren, etwa "nur" eine MDM-Software. "Mobile Device Management muss Teil einer unternehmensweiten Systemmanagement- und IT-Sicherheitsstrategie sein", sagt Hans-Heinrich Aenishänslin von Dell. "Wenn MDN und das Systemmanagement nicht harmonieren, kann sich das Potenzial von Mobile Device Management nicht entfalten."

Für einen ganzheitlichen Ansatz plädiert auch Michael Melzig von Fujitsu: "Enterprise Mobility schließt auch einen sicheren Zugriff auf Enterprise-App-Stores mit ein; ebenso gehören das Management von Apps auf den Endgeräten und die Verwaltung der Verbindungen, über die Mobilgeräte auf das Intranet oder den firmeneigenen Exchange-Server zugreifen, dazu."

MDM als Service

Hinsichtlich der Bereitstellungs- und Nutzungsmodelle von MDM- oder Enterprise-Mobility-Lösungen kann der Anwender mittlerweile zwischen mehreren Optionen wählen. Viele MDM-Lösungen sind in einer On-Premise-Version und als Software-as-a-Service erhältlich. Zudem können Anwender oft eine Variante für den Einsatz in einer Private Cloud ordern oder sich für eine komplett ausgelagerte Ausgabe entscheiden. Für Mittelständler, die ihre IT-Abteilung entlasten möchten, kommt zudem MDM in Form eines Managed-Services in Betracht.

"Der Nutzer zahlt in diesem Fall für jedes Gerät eine Monatspauschale. Dadurch ist es einfach, die Kosten abzuschätzen", erläutert Michael Melzig. "Zudem vereinfacht ein solches Modell den Support und erlaubt es, bei Bedarf weitere Endgeräte in das MDM einzubinden."

Fazit

Der einfachste Weg für ein Unternehmen, Sicherheitsrisiken durch mobile Geräte zu vermeiden und den Managementaufwand zu begrenzen, besteht immer noch darin, dem Mitarbeiter firmeneigene Systeme zur Verfügung zu stellen und diese von der IT-Abteilung verwalten zu lassen. Doch dieser zentralistische Ansatz ist in der Praxis kaum - noch - durchzuhalten.

Eine Alternative ist, Beschäftigten eine Auswahl an Mobilgeräten anzubieten und ihnen die private Nutzung zu erlauben, Stichwort "Corporate Owned - Personally Enabled" (COPE). Dieses Konzept ist vor allem in Großfirmen und sicherheitssensitiven Branchen wie dem Gesundheitswesen oder in Behörden ein besserer Weg als BYOD. In jedem Fall ist die Implementierung einer MDM-Lösung unverzichtbar. Im Idealfall fügt sie sich nahtlos in die vorhandene Systemmanagement- und Configuration-Management-Landschaft ein. (ad/hal)