Über lange Zeit ein Nischenthema, rückt Mobile Device Management (MDM) in den letzten Jahren immer stärker in den Vordergrund. Schuld daran ist nicht nur die allgemein zunehmende Ausstattung der Mitarbeiter mit mobilen Endgeräten, insbesondere iPhones. Da die nun verstärkt genutzten Plattformen Android (siehe auch Android 4 im Unternehmen einsetzen) und iOS nicht primär für den Business-Einsatz konzipiert sind, müssen außerdem zusätzliche Maßnahmen zur Absicherung und Verwaltung ergriffen werden.
Höherer Schutzbedarf
Im Kern benötigen die Geräte dabei einen höheren Schutz als bei Privatanwendern, da sich auf ihnen möglicherweise geschäftskritische Daten befinden oder über sie auf wichtige Informationen zugegriffen werden kann. Dies gilt umso mehr, wenn auf den Geräten nicht nur Mails und Kalenderdaten synchronisiert werden, sondern auch remote auf Firmenressourcen zugegriffen wird oder Enterprise-Apps laufen.
"Unternehmen sind in Sorge über die Lücke zwischen der Technologie und der Verwaltbarkeit durch die IT", bringt es Günter Kurth, verantwortlich für das Mobility-Geschäft bei Computacenter, auf den Punkt.
Nach der Beschreibung von Gartner ist Enterprise-taugliche (es gibt auch Verwaltungslösungen für Mobilfunkanbieter und Endgerätehersteller) MDM-Software in erster Linie ein Werkzeug, das dazu dient, Policies und Konfigurationen auf mobilen Endgeräten - Smartphones und Tablets mit einem Smartphone-Betriebssystem - zu verwalten. Sie hilft Unternehmen dabei, den Übergang zu einer komplexeren mobilen Mobile-Computing- und -Communications-Umgebung zu managen, indem sie Security, Netzwerkdienste sowie Hard- und Softwareverwaltung über mehrere mobile Betriebssysteme hinweg unterstützt. Dies sei mittlerweile umso wichtiger, so die Marktforscher, als viele Unternehmen nun das Thema "Bring your own Device" (ByoD) ins Auge fassen.
Den Lebenszyklus abdecken
Inzwischen beherrschen wohl die meisten größeren Anbieter im MDM-Bereich das Pflichtprogramm, um Firmen über den gesamten Lebenszyklus hinweg bei der Nutzung von mobilen Endgeräten zu assistieren. Dazu gehört im Rahmen des Asset-Managements zunächst das Erfassen und Anlegen eines neuen Smartphones oder Tablets im MDM-System - das idealerweise mit bestehenden Verzeichnisses wie dem Active Directory und anderen Unternehmensressourcen verbunden ist. Über eine zentrale Konsole wird das Gerät auch mit den aufgestellten Richtlinien (Policies) verknüpft und im Anschluss mit der darauf basierenden Grundkonfiguration, Zertifikaten und Ähnlichem beschickt.
Im laufenden Betrieb sorgt dann ein MDM-Client auf dem Device für Sicherheit und die Einhaltung der Regeln: Bei Verstößen (etwa abgelaufenes Passwort, Jailbreak/Root, fehlende Updates oder Installation unerlaubter Anwendungen) wird der Zugriff auf geschäftskritische Ressourcen blockiert, als letzte Konsequenz beziehungsweise bei Verlust oder Diebstahl können das Smartphone oder Tablet aber auch remote gesperrt oder dessen Inhalte gelöscht werden (Remote Lock & Wipe).
Plattformfrage weitgehend geklärt
Bis vor ein, zwei Jahren stand beim Mobile Device Management noch die Frage im Mittelpunkt, welche der vielen mobilen Plattformen ein System unterstützt und in welchem Umfang: Android, BlackBerry OS, Palm-OS, Symbian und Windows Mobile. Inzwischen ist die Anzahl der für das Business relevanten mobilen Betriebssysteme überschaubar geworden, die Hersteller konzentrieren sich überwiegend auf iOS und Android, wobei Computacenter-Mann Kurth darauf hinweist, dass sich fast 90 Prozent der Unternehmensanfragen auf Verwaltungsmöglichkeiten für das Apple-System beziehen. "Alle sind sehr glücklich, wenn lediglich iOS zum Einsatz kommt, nicht nur die Anwender", erklärt er: Der AppStore biete eine gewisse Sicherheit vor Malware; zudem habe die IT-Abteilung nur ein mobiles Betriebssystem zur Verwaltung. Außerdem gebe es hier eine lange Feature-Liste der Mobile-Device-Management-Hersteller.
Allerdings interessierten sich die Anwender auch für Googles mobiles Betriebssystem, und auch die nächste Generation von Rugged-Devices läuft auf Android-Basis. Weil sich anstelle von Google einzelne Hersteller wie HTC oder Samsung darum kümmern müssten, habe die Plattform die Business-Möglichkeiten aber noch nicht ausgeschöpft. Dem Mobility-Experten zufolge gucken Anwenderunternehmen aber auch auf Windows Phone 8 mit NT-Kernel - in der Hoffnung, darauf basierende Smartphones besser in ihre Microsoft-Umgebung einbinden zu können. Kurth ist sich aber nicht sicher, ob dieser Wunsch tatsächlich in Erfüllung gehen wird.
Von der Pflicht zur Kür
Da den einzelnen Anbietern mittlerweile in etwa die gleichen Mittel zur Verfügung stehen, etwa die von Apple bereitgestellten MDM-APIs, findet die Differenzierung über Features statt. Dabei handelt es sich häufig um Zusatzfunktionen, die den Administratoren die Verwaltung der mobilen Endgeräte in der Praxis erleichtern sollen. Unterschiede gibt es aber auch beim Sicherheitsgrad: "Remote Wipe können alle, eine Sandbox- oder Container-Lösung nicht unbedingt - hier findet eine Differenzierung statt", so Johannes Michel, Geschäftsführer im Bereich Technology Consulting bei Accenture.
Ein weiterer Punkt ist die Granularität beim Festlegen von Policies. "RIM BlackBerry mit mehr als 500 Policy-Einstellungen im BlackBerry Enterprise Server (BES) ist dabei schon der Gold-Standard", erklärt Erwin Selg von der GFT AG. Mittlerweile sei es jedoch wichtiger geworden, dass MDM-Lösungen die Möglichkeiten der Anwender nicht einschränken, sondern unterstützen - für Selg mit ein Grund dafür, warum viele Nutzer von BlackBerry auf iOS und Android wechseln.
Dieser Trend, bekannter durch Schlagwörter wie IT-Consumerisation oder Bring your own Device (ByoD) - die wohl gravierendste Entwicklung in diesem Gebiet -, stellt die Anwenderunternehmen vor unerwartete Probleme und bietet den MDM-Herstellern die Möglichkeit, ihre Lösungen daran anzupassen.
Keine Selbstbedienung erwünscht
Ein solches Extra ist etwa ein Self-Service-Portal, über das der Nutzer einen Teil der Verwaltung seines mobilen Endgeräts selbst erledigen kann, etwa bei ByoD-Szenarien. Der Anwender kann hier sein neues Smartphone oder Tablet registrieren, sich die erforderliche Konfiguration laden und das Gerät bei Verlust selbst sperren oder löschen. Computacenter-Manager Kurth weiß allerdings aus der Praxis zu berichten, dass solche Lösungen nur selten im Einsatz sind. Da nicht eben bei der IT-Abteilung beliebt, seien sie noch nicht vorrangig. Obwohl sie Kosten sparten, sieht er diese daher auch mittelfristig noch nicht im Anforderungsprofil.
Enterprise-AppStore
Wichtiger ist offenbar ein anderes Thema, mit dem viele Unternehmen angesichts der Nutzung verschiedenster (privater) Endgeräte und der Verbreitung von inhouse entwickelten Apps jetzt konfrontiert sehen, nämlich: Wie kann ich Mitarbeiter einen sicheren Zugang zu nützlichen und für sie passenden Anwendungen und auch Dokumenten ermöglichen? "In der Diskussion mit Kunden wird das Thema App-Verteilung und spezielle Berechtigungs-Features schon nachgefragt", bestätigt Michel von Accenture. Der Trend gehe hier in Richtung Enterprise-AppStore, aber auch zu Mobile Web-Apps und Portallösungen. Die Situation ist ähnlich wie bei der Entwicklung von Fat- zu Thin-Clients."
ByoD-Szenarien verwalten
Nicht unbedingt neu, aber brandaktuell sind Container- oder Sandboxing-Lösungen, bei denen geschäftskritische Inhalte und Anwendungen in einem abgeschotteten Bereich vorgehalten werden. Bekanntester Anbieter auf dem Gebiet ist Good Technology. Streng genommen fallen solche Lösungen gar nicht in den Bereich MDM, weil anstatt des Geräts die Anwendungen im Mittelpunkt stehen und verwaltet werden - eine ideale Voraussetzung für ByoD.
Noch wenig Marktbedeutung, aber zumindest ein großes Potenzial weisen sogenannte Mobile-Application-Management- oder App-Wrapping-Lösungen auf; Vertreter sind etwa Apperian, AppSense oder Nukona (mittlerweile von Symantec übernommen). Wie der Begriff MAM bereits andeutet, liegt hier die Sicherheit auf der Applikationsebene; ob das Gerät verwaltet werden kann oder gar bereits kompromittiert ist, spielt keine Rolle.
Möglich ist dies, weil der IT-Administrator durch Parameter festlegen kann, wie eine solche "speziell eingepackte" Anwendung verwendet werden muss. So kann er etwa beim Starten der App einen Eingabebildschirm zur Passworteingabe vorschalten, bei der Nutzung die Screenshot- oder Copy-and-Paste-Funktion sperren oder einen spezifischen VPN-Tunnel errichten lassen. Künftig soll beispielsweise auch die Einbindung von Zeit- und Ortsparametern (Geofencing) möglich sein.
Welche Lösung für welchen Zweck?
Welche MDM-Lösung im Detail gewählt wird, ist stark abhängig vom Sicherheitsbedürfnis des Unternehmens. "Banken und Versicherungen wählen daher häufig eine Kapsellösung", so Michel. "Eine Container-Trennung Privat-Beruflich wird vorgenommen, wenn eine hohe Sicherheitsstufe benötigt wird", erklärt Stefano Simone, bei Accenture im Bereich Workplace Technology & Collaboration als Consultant tätig. Hier reichten die nativen Features von iOS und Android nicht aus. Obwohl Good Technology unter anderem acht der zehn größten Finanzinstitute und die Hälfte der Fortune-500-Unternehmen zu seinen Kunden zählt, schätzen Marktbeobachter Goods Verbreitung im gesamten MDM-Markt indes als geringer ein. "Good for Enterprise ist eine gute Lösung, wird aber von den Anwendern nicht so gut angenommen und ist beim Listenpreis die teuerste Variante", weiß Kurth von Computacenter zu berichten.
Der Gros der Unternehmen greift vielmehr auf eine klassische MDM-Lösung zurück, wobei neben zahlreichen Anforderungen auch die Größe eine Rolle spielt. "Die meisten Großkunden haben bisher auf MobileIron gesetzt", so Kurth. Branchenkenner wissen außerdem, dass praktisch die gesamte deutsche Automobilindustrie das System einsetzt.
Ansonsten fällt ein Vergleich oder eine Bewertung aufgrund der mehr als 100 am Markt befindlichen MDM-Lösungen schwer. Betrachtet man ihn nach dem im Mai erschienenen "Magic Quadrant" von Gartner, tummelt sich der Großteil der Hersteller im Feld "Nischenanbieter" (links unten). Oben rechts, im wichtigen "Leaders"-Viertel, befindet sich MobileIron, zusammen mit AirWatch, Fiberlink, Zenprise und Good Technology. Vor einem Jahr war hier auch SAP/Sybase zu finden, nun sehen die Analysten den Anbieter nur noch als Herausforderer (neben Symantec). "Sybase Afaria ist ein Tool-Kasten, in den viel integriert werden muss, die Konfiguration ist komplex. Entsprechend hoch ist der Aufwand, die Plattform zum Laufen zu bekommen", erklärt Kurth hierzu. Das sei schon immer so gewesen, nun aber habe die Konkurrenz nachgelegt.
Die Aufstellung von Gartner bietet allerdings nur bedingt Anhaltspunkte für die Position der einzelnen Player. So fehlen eine Reihe von Herstellern, weil sie einige Kriterien nicht erfüllen. Gerade für Nischenanbieter dürfte es schwer sein, eine installierte Basis von mehr als 10.000 Anwenderunternehmen oder mindestens 75.000 verkaufte Lizenzen vorzuweisen.
Die ByoD-Alternative
"Bring your own Device" oder die hierzulande bislang gebräuchlichere Variante "Use your own Device" (ohne Zuschuss/Bezahlung durch den Arbeitgeber) ist grundsätzlich problematisch, da private Geräte niemals so gut abgesichert werden können wie vom Unternehmen gestellte Devices - von den rechtlichen Problemen ganz zu schweigen. Computacenter empfiehlt, eine private Nutzung zu erlauben, die Geräte aber vom Unternehmen auszugeben. Wie Kurth erklärt, gewährt dieses Szenario mehr Spielraum beim Umgang mit den Devices, und auch eine Vorauswahl an kompatiblen Geräten ist möglich. Dies ist insbesondere im Android-Umfeld relevant, um die Versionsvielfalt einzudämmen. Es bietet zudem eine Lösung für einen rechtlichen, aber auch praktischen Aspekt: Was tun, wenn das private Gerät kaputt geht, der Anwender aber derzeit kein Geld für eine Neuanschaffung hat?
Der Einsatz von Business-Geräten federt darüber hinaus Probleme hinsichtlich der Datensicherheit ab. Die Spracherkennung von Apples "Siri" etwa läuft über Server in den USA und ist damit unzulässig. "Bei privaten Geräten bekommen Sie das nie gemanagt", so Kurth. Außerdem seien 80 Prozent der Mitarbeiter ohnehin bereits glücklich, wenn die private Nutzung erlaubt ist.
Vertrauen ist gut ...
Wie bereits dargestellt wurde, ist es die Hauptaufgabe von MDM-Lösungen, die vom Unternehmen festgelegten Richtlinien zur Nutzung mobiler Endgeräte durchzusetzen beziehungsweise Sanktionen bei deren Nichteinhaltung oder bei besonderer Gefährdung geschäftskritischer Daten (Lock-Wipe) ergreifen zu können. Einzelne Aufgaben lassen sich dabei oft schon mit Bordmitteln erledigen. "Ein Passwort durchzusetzen geht bereits mit Exchange ActiveSync", berichtet GFT-Mann Selg. "Für eine Jailbreak-Sperre braucht man aber schon eine MDM-Lösung."
Zur Verdeutlichung: Jailbreak (iOS) oder Root (Android) ermöglichen es dem Nutzer - oder dem Dieb beziehungsweise dem Finder - allerdings, die Kontrolle über das Gerät zu übernehmen. Damit können auch die Sicherheitseinstellungen wieder zurückgesetzt werden. Wer ein solches Risiko nicht nur durch eine User Policy, sondern auch technisch adressieren will, kommt um ein MDM-System mit Jailbreak-Erkennung nicht herum. So viel zur Theorie. Doch wie müssen Verwaltungsplattform und zugrunde liegende Richtlinen in der Praxis beschaffen sein, um einerseits ausreichende Sicherheit zu gewährleisten und andererseits den Anwender nicht allzu sehr einzuschnüren?
"Die richtige Lösung, was Sicherheitsaspekte angeht, ist, die Balance zwischen Verantwortung, Verantwortungsbewusstsein und technischen Einschränkungen zu finden", erklärt Accenture-Manager Michel zu diesem Punkt. Dazu müsse man User-Policies festlegen und MDM für wirklich geschäftskritische Sicherheitsrisiken nutzen. "Ziel sollte es sein, jeden Mitarbeiter nur mit den für ihn wirklich notwendigen Sicherheitsanforderungen auszustatten. Zu viele Einschränkungen sind oft kontraproduktiv", so Michel weiter. "Allgemein gilt: den Mitarbeitern Vertrauen schenken", stimmt ihm Kurth von Computacenter zu.
Wird man sich der mit dem Einsatz von mobilen Endgeräten verbundenen Gefahren bewusst, erscheint es verwunderlich, dass sich viele Unternehmen erst jetzt nach MDM-Lösungen umschauen. Insgesamt vermutet etwa GFT-Manager Selg, dass weniger als 20 Prozent der deutschen Unternehmen eine echte MDM-Lösung einsetzen. Viele Firmen hätten aber noch einen BlackBerry-Enterprise-Server im Einsatz, fügt er hinzu. Daneben gebe es natürlich auch Early Adopters, also zum Beispiel Unternehmen mit vielen Außendienstlern oder hochgeheimen Daten, die zudem offline verfügbar sein müssen - diese könnten schon jetzt auf ein MDM-System nicht verzichten. (mje)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.