Was mit dem IBM-PC begann, wird heute durch Smartphones und Tablets in eine ganz neue Dimension geführt: Unter Schlagwörtern wie BYOD (Bring Your Own Device) und Consumerization of IT gewinnen die Endanwender immer größeren Einfluss darauf, welche Hard- und Software in ihrer IT-Umgebung zum Einsatz kommt.
War es bis vor wenigen Jahren noch so, dass Geräte wie PCs und Notebooks aus dem Firmen heraus langsam ihren Einzug in das private Umfeld der Anwender hielten, so ist es heute eher umgekehrt: Die Consumer-Geräte - allen voran Apples iPhones und iPads - drängen aus dem Freizeitbereich in das professionelle Umfeld der Unternehmens-IT.
Mag diese Verbreitung von Consumer-Geräten bis hin zum Einbringen der eigenen Endgeräte in das Firmennetz auch im weitesten Sinne durchaus so etwas wie eine "Demokratisierung" der IT bewirken, entbindet sie dennoch Administratoren und IT-Verantwortlichen nicht von ihrer grundsätzlichen Verantwortung: Sie müssen das einwandfreie Funktionieren aller IT-Assets im Zusammenspiel mit der Firmen-IT garantieren und sind vor allen Dingen auch für die Sicherheit der IT und der Informationen verantwortlich, die damit verarbeitet werden.
Was noch funktioniert - und was nicht mehr geht
Die IT-Fachleute in den Firmen stehen dadurch vor neuen und anderen Herausforderungen als bisher: So begegnen sie zwar bei diesen neuen Geräten in ihrem "Zoo" grundsätzlich den gleichen Problemen, die sie bisher bei den anderen Client-Systemen mit den Methoden des klassischen Gerätemanagements lösen konnten. Auch beim Management der "neuen" mobilen Geräte geht es grundsätzlich darum:
• Geräte zu erfassen,
• die Software und Daten darauf auf dem aktuellen Stand zu halten und
• die Unternehmensdaten auf den Geräten zu schützen.
Trotzdem funktioniert hier die bekannte, traditionelle Verwaltung der Endgeräte nicht mehr. Es sind die Details bei der Betreuung der Geräte, die einen entscheidenden Unterschied im Vergleich zu der bisherigen Art des Gerätemanagements ausmachen.
Ein weiteres Problem: Bei den bisherigen Client-Systemen, ganz gleich ob es sich dabei um Windows-, Apple OS X- oder Linux-Systeme gehandelt hat, war es für die Administratoren nie eine Frage, dass die grundlegenden Verwaltungsdisziplinen - wie etwa die Möglichkeit einer Remote-Administration - auch gelöst sind. Das sieht nun aber gänzlich anders aus: Es kommen Geräte ins Netz, die unter dem Android-Betriebssystem, iOS, Windows Phone 7, BlackBerry, Windows Mobile oder einem anderen proprietären System arbeiten. Kommt beispielsweise noch das alte Windows Mobile (bis zur Version 6.5) zum Einsatz, so können die Systemverantwortlichen die üblichen Mechanismen einsetzen und unter anderem ihre Anwendungen auf die übliche Weise verteilen.
Herausforderungen beim Management der Smart Devices
Bei den heute am häufigsten zum Einsatz kommenden Smartphones und Tablets handelt es sich aber grundsätzlich um Geräte für den Consumer. So sind bei Apples iOS die Managementmöglichkeiten grundsätzlich weniger stark ausgeprägt; erst mit der aktuellen Version 5 des Betriebssystems hat Apple einige verbesserte Funktionen zur Verwaltung eingebaut.
Beispielsweise ist eine Verteilung von Apps ohne Anwenderinteraktion technisch nicht ohne Weiteres möglich. Um das Problem der Softwarebereitstellung auf iOS Geräten trotzdem zu lösen, bekommt der Apple-Anwender über die Mobile-Device-Management-Lösung in der Regel einen Corporate App Store - vergleichbar mit dem Apple AppStore - zur Verfügung gestellt, über den er Apps "einkaufen" kann, die von der Unternehmens-IT bereitgestellt werden.
Die Herausforderung besteht also zunächst einmal darin, die unterschiedlichen Betriebssysteme und damit auch die Variationen innerhalb dieser Betriebssysteme zu unterstützen. Zudem existieren in der Regel große Unterschiede zwischen den Möglichkeiten und Funktionen der einzelnen Betriebssystemversion.
Eine gute Managementlösung für mobile Geräte wird dem Administrator diesen Schritt abnehmen: Er braucht dann nicht mehr zu wissen, welche Operationen er auf einem Android-Gerät mit der jeweiligen Betriebssystemversion ausführen kann: Die Lösung verfügt über die entsprechenden Informationen. Dabei existieren in der Regel große Unterschiede zwischen den Möglichkeiten und Funktionen der einzelnen Betriebssysteme.
BYOD bringt weitere Anforderungen
Unter dem Schlagwort "BYOD" (Bring Your Own Device) kommt auf deutsche Firmen und damit deren IT-Abteilungen eine Entwicklung zu, die in den USA und Großbritannien schon deutlich weiter verbreitet ist: Mitarbeiter kommen ins Unternehmen, bringen ihre eigenen Endgeräte mit und wollen damit im Firmennetzwerk arbeiten.
Nun muss die IT irgendwie auch diese Geräte mit den "Corporate Services" versorgen. Zudem muss sichergestellt werden, dass diese Geräte den Sicherheitsrichtlinien des Unternehmens entsprechen. Dazu gehören unter anderem die folgenden Punkte:
• Auf den Geräten muss ein bestimmtes, in den Sicherheitsrichtlinien des Unternehmens freigegebene Version des Betriebssystems laufen.
• Dieses Gerät darf weder "Gerootet" (Android) noch "Gejailbreaked" (Apple iOS) sein.
• Weitere Absicherungen wie beispielsweise ein zwingendes Device Lock (Gerät wird immer und ohne Ausnahme über eine PIN-Eingabe abgesichert) sind zu überprüfen.
• Eventuell müssen sensible Unternehmensdaten sicher auf diese Geräte übertragen werden.
• Solche Unternehmensdaten müssen beim Ausscheiden des Mitarbeiters von dessen Privatgerät gezielt entfernt werden können ("Corporate Wipe"), ohne dass die privaten Daten des Anwenders verloren gehen.
Wir haben uns auf dem Markt umgeschaut und stellen im Folgenden einige Lösungen vor, die sich mit dieser Thematik befassen und entsprechende Programme zur Verfügung stellen. Dieser Überblick kann dabei nur exemplarischen Charakter haben, da dieses Marktsegment seit Jahren ständig wächst.
Die Spezialisten für die mobilen Systeme: MobileIron
Wer sich heute mit dem Thema Mobile Device Management beschäftigt, wird mit großer Sicherheit immer wieder auf einen Namen stoßen: MobileIron.
Foto: MobileIron
Die erst 2007 in Mountain View, Kalifornien, gegründete Firma wird von den Analysten bei Gartner als eines der führenden Unternehmen im "Magic Quadrant for Mobile Device Management Software" angesehen.
Der Anbieter hat sich mit seinen Produkten ganz auf die Verwaltung und die Bereitstellung mobiler Geräte im Unternehmensumfeld konzentriert. Er verschafft mit seiner als Virtual Smartphone Platform (VSP) bezeichneten Lösung den Administratoren die Möglichkeit, sowohl Smartphones als auch Tablets unter den Betriebssystemen iOS, Android, BlackBerry, Symbian oder Windows in Echtzeit zu verwalten, zu kontrollieren und zu überwachen.
Foto: MobileIron
Das Kernstück und "Hub" dieser Lösung ist die Sicherheits-Appliance VSP, die dann auf dem Managementserver installiert werden muss. Dabei handelt es sich um ein gehärtetes Linux-System, das komplett gegen Zugriffe abgeschottet ist: Der Administrator arbeitet nur mittels der Webkonsole auf diesem System. Diese Plattform kann als Hardware-Appliance oder als virtuelle Appliance, auf einem VMware ESX-Server, betrieben werden. Der Anbieter rät zum Einsatz dieser Appliance innerhalb der DMZ (Demilitarized Zone), das ist aber nicht zwingend notwendig.
Diese Managementplattform setzt dann auf ein zentrales Repository auf, in dem alle Daten der im Unternehmen eingesetzten Smartphones (firmeneigene sowie entsprechend genehmigte private Smartphones) gespeichert sind, die von der Systemadministration für ein sicheres Management benötigt werden.
Foto: MobileIron
Die Managementsoftware klinkt sich automatisch in das Unternehmensnetzwerk ein und baut die Verbindungen zu den Mobile-Iron-Anwendungen und den entsprechenden Unternehmensressourcen wie LDAP, Exchange Active Sync, den verschiedene Zertifizierungsstellen und einem eventuellen Blackberry-Enterprise-Server auf.
So stellt sie dann die Möglichkeit zur Verfügung, die Mobilgeräte zu überwachen und zu steuern. Zusätzlich bietet das Unternehmen unter dem Namen "Connected Cloud" ein mandantenfähiges Mobile-Device-Management für die Cloud an. Durch einen sogenannten optionalen Enterprise Connector soll sich auch diese Verwaltungslösung leicht in die bestehende Sicherheitsinfrastruktur eines Unternehmens integrieren lassen.
Die grundsätzliche Arbeitsweise der MobileIron-Plattform
Zunächst muss natürlich der Mobile-Iron-Server mit der Verwaltungssoftware im Rechenzentrum beziehungsweise in der DMZ installiert werden. Hier kann dann zusätzlich auch noch die als "Sentry" bezeichnete Lösung zum Einsatz kommen, die eine Zugriffskontrolle für E-Mail-Systeme bietet, die mit Microsofts ActiveSync arbeiten. Dazu gehören neben Microsoft Exchange auch IBM Lotus Notes, Google Mail und Microsoft Office 365. Auch dieser Teil der Lösung kann als virtuelle Maschine oder Hardware-Appliance betrieben werden. Das sogenannte "Advanced Management"-Paket des Herstellers beinhaltet diese Funktionalität, während die Hardware-Appliance extra erworben werden muss.
In einem nächsten Schritt wird dann der MobileIron-Client direkt auf die mobilen Geräte ausgerollt - dies geschieht "over-the-air", sodass die Anwender nicht mit ihren Geräten zu den Administratoren kommen müssen. Entsprechende Privacy-Richtlinien regeln hier bereits den Zugang zu den mobilen Daten.
Foto: MobileIron
Die Administratoren können dann über die Webkonsole mithilfe eines Enterprise Smartphone Management Dashboards die entsprechenden Einstellungen vornehmen und dabei beispielsweise auch mobile Geräte sperren, Daten auf diesen Geräten löschen oder die nötigen Updates einspielen. Durch geschicktes Ausnutzen der iOS-eigenen Mechanismen ist es den Entwicklern von MobileIron dabei auch gelungen, die vom Anwender geforderte Interaktion auf ein minimales Maß zu reduzieren: Hat der Nutzer einmal der Verwaltung durch das Enterprise-Management zugestimmt, können fast alle Aktionen ohne sein Zutun ausgelöst und gesteuert werden. Dem Endanwender steht dabei mit der als MyPhone@Work bezeichneten Software ein Weg zur Verfügung, wie er ebenfalls über eine Webkonsole einen Teil (je nach Vorgaben der Firmenadministratoren) der Verwaltung selbst übernehmen und so beispielsweise auch ein verlorenes oder gestohlenes Gerät wieder auffinden kann.
Bekannter Player aus dem Markt der Managementsoftware: Matrix42
Der deutsche Anbieter Matrix42 stellt unter der Bezeichnung "Matrix42 Mobile Device Management" ebenfalls eine MDM-Lösung zur Verfügung. Dabei kann er mit einem großen Vorteil punkten: Wenn es um die Verwaltung, Betreuung und das Management sowohl physischer als auch virtueller Geräte im Unternehmensumfeld geht, glänzt der Hersteller mit einer langen Historie und umfangreichen Lösungen.
Foto: Matrix42
Um ihre Managementlösungen auch um die Fähigkeit zur Verwaltung und Betreuung mobiler Geräte zu ergänzen, ist die Firma vergangenes Jahr eine Partnerschaft mit dem amerikanischen Anbieter Airwatch eingegangen und hat dessen Technik in das eigene Portfolio integriert. Dieser Hersteller wird von den Gartner-Analysten genauso wie MobileIron im rechten, oberen Bereich ihres "Magic Quadranten" eingeordnet, also bei der führenden, innovativen Firma dieses Geschäftsfelds. Auch diese Lösung ist in der Lage, sowohl iOS- als auch Android-, BlackBerry-, Symbian- und Windows-Mobile-Geräte zu verwalten.
Foto: Matrix42
Der Aufbau der Lösung: Die gesamte Software-Suite besteht aus verschiedenen Elementen, die zusammen die Verwaltung und Betreuung der mobilen Geräte erlauben. Je nach Art der zu verwaltenden IT-Umgebung und der vorhandenen mobilen Geräte können diese Komponenten auf einem einzelne Server installiert oder auf mehrere Server verteilt werden, um so einen Load-Balancing-Effekt zu erreichen beziehungsweise die Verfügbarkeit zu erhöhen. Grundsätzlich teilt sich das System dabei in drei Gruppen auf:
• MDM-Datenbank: eine SQL-Datenbank, die als Repository dient und alle Daten zur Verwaltung und Betreuung der mobilen Geräte speichert.
• MDM-Webanwendungen: Anwendungen, die unter anderem Microsofts Webdienst IIS und die .Net-Bibliothek einsetzen. Sie bilden die Schnittstelle zu den Endanwendern und den Geräten-
• MDM-Windows-Dienste: Anwendungen, die auf den Windows-Servern als Hintergrunddienste installiert werden und entsprechende Aufgaben verrichten.
MDM mit Matrix42
Eine typische Installation würde nach den Empfehlungen des Anbieters aus zwei Windows-2003- oder -2008-Servern bestehen, wobei das eine System als Application-Server (mit der Webkonsole, den Device-Diensten sowie API- und Windows-Diensten) und das andere als Datenbankserver mit der Datenbank (MS SQL-Server 2005 oder 2008) dient. Zwar ist es möglich, die verschiedenen Komponenten auch in virtualisierten Umgebungen einzusetzen, der Hersteller rät aber davon ab, dies auch für den Datenbankserver zu tun.
Foto: Matrix42
Ähnlich wie bei der zuvor vorgestellten Lösung können Administratoren auch bei diesem MDM-Produkt einen rollenbasierten Zugriff konfigurieren, der beispielsweise den Schutz der entsprechenden Firmendaten garantieren kann. Funktionen wie "Corporate Wipe" und die Lokalisierung sind bei dieser Lösung ebenfalls zu finden und funktionierten bei entsprechenden Demonstrationen sowohl mit iOS- als auch mit Android-Geräten völlig problemlos.
Die Software bietet zudem eine Integration in die verschiedenen Enterprise-Dienste wie LDAP und Active-Directory sowie zum BlackBerry Enterprise-Server, dem Microsoft System Center Operations Manager, und ein SDK, mit dem Client- und Server-Dienst integriert werden können.
Foto: Matrix42
Zu den weiteren Vorteilen der Software-Suite gehört ein Enterprise App Catalog, der es den Administratoren ermöglicht, die firmeninternen Apps mit den öffentlichen Apps zusammenzufassen und so den Anwendern gemein und zentral anzubieten. So ist eine weitaus bessere und sicherere Kontrolle über die Anwendungen möglich, die von den Endanwendern auf den mobilen Geräten installiert und eingesetzt werden. Ganz ähnlich wie bei der MobileIron-Software steht auch hier einer Erweiterung zur Verfügung, die den E-Mail-Verkehr von und zu den mobilen Geräten regelt und kontrolliert: Sie trägt die Bezeichnung Secure-E-Mail-Gateway.
Ein Newcomer im Bereich MDM: Baramundi
Auch die Augsburger Baramundi Software AG wird im Sommer 2012 ihre IT-Management-Plattform um das Mobile Device Management erweitern. Der Fokus bei der Entwicklung der eigenen Lösung liegt dabei primär auf Apple iOS und soll erst im zweiten Schritt auch die Android-Systeme beinhalten.
Foto: Baramundi Software
Wie sich die Software konkret auf iOS-Geräten anfühlt, konnten wir bei einem Besuch vor Ort selbst erleben. Der Arbeitsbereich für die mobilen Geräte ist nahtlos in die Oberfläche der BMS (Baramundi Management Suite) integriert. Das Ausrollen der benötigten Software auf dem mobilen Gerät funktioniert entweder per E-Mail oder über eine Website.
Bezüglich der WLAN-Einstellungen, die im Unternehmen für den ersten Zugriff benötigt werden, gilt auch hier das typische "Henne-Ei"-Problem. Eigentlich sollen die gesamten Einstellung aus der Baramundi-Software heraus direkt auf das Zielgerät übertragen werden: WLAN-Einstellungen, Links auf dem Desktop oder alle anderen Einstellungen des iPhone-Konfigurationsprogramms von Apple. Allerdings ist für den ersten Zugriff auf diese Weise bereits ein WLAN-Zugang erforderlich. Mit Blick auf die Praktikabilität empfiehlt sich deshalb hier eine Ersteinrichtung durch den IT-Service. Somit ist die erforderliche "Pflicht-Aktivierung" bei Apple ebenfalls erledigt.
Foto: Baramundi Software
Anschließend ist der Administrator mit dieser Lösung in der Lage, gezielt Einstellungen zu verteilen, das Gerät zu sperren oder alle Daten auf dem System zu löschen. Wie die gesamten Marktbegleiter, so arbeitet auch Baramundi mit den Möglichkeiten, die der "Apple Push Notification Service" (APNS) bietet. Somit ist auch bei dieser Umsetzung die Zustimmung des Anwenders bei DER Installation von Apps stets erforderlich. "Managed Apps", Programme; die über Baramundi eingerichtet wurden, können aber ohne die Zustimmung des Endanwenders wieder entfernt werden. Links auf dem Desktop ließen sich bei der Betrachtung ohne Zustimmung publizieren - was bei einigen Konkurrenten irrtümlich als "push app" dargestellt wird.
Ein weiteres Feature ist die Inventarisierung der iOS-Geräte - hierbei werden sowohl "managed" als auch "unmanaged" Apps aufgelistet. Eine Suchfunktion für "Jailbreaked iOS"-Geräte ist angedacht, ob sie jedoch schon in der ersten Version fertig sein wird, ist zum jetzigen Zeitpunkt noch unklar. Insgesamt ist diese Software noch ein ganzes Stück von dem großen Leistungsumfang entfernt, den die Lösungen von MobileIron und Matrix42 zu bieten haben, sie zeigt aber schon in dieser frühen Version sehr gute Ansätze.
Microsofts bisher kleiner Beitrag zu MDM …
Natürlich ist es auch in einer reinen Microsoft-Umgebung grundsätzlich möglich, mithilfe der Dialogfelder eines Exchange-Servers den Dateninhalt eines entsprechend angebundenen Mobiltelefons zu entfernen. Das kann aber beim heutigen Stand der Technik nicht mithilfe eines "Push"-Befehls vonstatten gehen, der sofort ausgeführt wird: Eine derartige Löschaktion würde also erst bei einer erneuten Synchronisation zwischen Server und Mobilgerät ausgeführt. Synchronisiert also ein ehemaliger Mitarbeiter sein E-Mail-Fach nicht mehr mit dem Server, so bleiben alle zuvor übertragenen Informationen auf dem Smartphone erhalten.
Losgelöst davon erlaubt Microsoft es aber, über den Online-Service "Mein Handy" das eigene Gerät zu lokalisieren, zu löschen oder zu sperren. Eine solche Funktionalität, die bei vielen anderen Herstellern als zusätzliche Software eingekauft werden muss, ist beim Windows Phone 7 und höher bereits im Standardlieferumfang enthalten. Aber diese Funktion ist eindeutig auf den Consumer ausgerichtet, der sich mithilfe seines Accounts auf die Website einloggt und von dort aus die sicherheitsspezifischen Aufgabenstellungen wahrnehmen möchte - für den Unternehmenseinsatz taugt diese Technik so noch nicht.
Auch ein gewisser Einfluss auf die für ein Gerät unter Windows Phone 7 zur Verfügung gestellten Applikationen ist möglich, allerdings ist dieses Konzept der "Private Windows Phone 7 Applications" nicht sonderlich gut für den Einsatz im Enterprise-Umfeld geeignet: Bei dieser Form der Bereitstellung sind die entsprechenden Anwendungen im öffentlichen Marketplace nicht sichtbar, während ihre Installation selbst über das Verteilen der sogenannten "Deep Links" erfolgen soll, die direkt auf das Programm zeigen. Natürlich können solche Deep Links eine echte, gesicherte Bereitstellung in Unternehmen mit Anmeldung durch Benutzernamen und Passwort nicht ersetzen. Unsere Recherche hat mehr als deutlich gezeigt, dass derzeit noch alle Anbieter von MDM-Anwendungen keine Lösung für Geräte unter Windows Phone 7 anbieten und häufig darauf, was folgende Versionen von Microsofts Betriebssystem für Smartphone zu bieten haben.
Fazit: etablierter Anbieter oder Speziallösung - Entscheidung ist notwendig
Für IT-Verantwortliche und Administratoren heißt es, sich zu entscheiden: Setzen sie eine der MDM-Lösungen der etablierten Client-Lifecycle-Management- beziehungsweise Systems-Management-Programm-Anbieter ein, oder wählen sie eine der vielen kleinen Lösungen, die sich ausschließlich auf mobile Geräte spezialisiert haben?
Die Antwort auf diese Frage ist bei genauer Betrachtung recht leicht zu beantworten: Wen es nicht stört, dass mobile Geräte vollkommen getrennt von PCs, Laptops und Servern verwaltet werden, der mag beim Einsatz einer kleinen Lösung auf keinerlei Problem stoßen. Geht es aber darum, eine komplette Übersicht über das Asset einer Abteilung an einem Standort selektiv zu erstellen oder eine Kostenstelle genauer zu betrachten, so empfiehlt sich der Einsatz einer Komplettlösung.
Wie solche Übersichten automatisiert zu erstellen sind, wie Accounts für IT-Mitarbeiter mit unterschiedlichen Zugriffsrechten bewerkstelligt werden, Nutzung von variablen Werten, Script-basierte Abläufe und wie Updates in Datenbanksysteme sicher und zuverlässig durchgeführt werden - das haben die "alteingesessenen" Anbieter mit ausreichend Erfahrung sicher im Griff. Bestes Beispiel hierfür ist sicher Matrix42. Die ausschließlich auf mobile Geräte fokussierten Verwaltungsprogramme wie das von MobileIron bieten für das mobile Gerät den gleichen Leistungsumfang und sind zudem meist deutlich schneller eingerichtet. (mje)