Im Unternehmenseinsatz stellte sich für firmeneigene Geräte nur selten die Frage nach einer Alternative beziehungsweise Ergänzung zum klassischen Mobile Device Management (MDM). Sollen jedoch Mitarbeiter mit ihren privaten Endgeräten oder externe Dienstleister auch Zugriff auf Unternehmensressourcen bekommen, ist MDM oft kein gangbarer Weg: Mitarbeiter sorgen sich häufig um ihre Privatsphäre, da ein durch MDM gemanagtes Endgerät viele Details (z. B. zuletzt besuchte Orte, installierte Anwendungen usw.) über sich und somit auch über den Nutzer preisgeben kann. Externe Mitarbeiter haben gegebenenfalls schon ein durch ihre entsendende Firma gemanagtes Endgerät und dieses erlaubt kein weiteres Management. Somit stellt sich die Frage wie man Anwendungen sicher auf vermeidlich unsicheren Endgeräten betreiben kann.
Managen von Geräten vs. Managen von Applikationen
Mobile Device Management
MDM-Systeme bieten die Möglichkeit einer zentralisierten Verwaltung mobiler Endgeräte. Hier werden neben der Inventarisierung von Hardware und Software auch diverse Sicherheitseinstellungen an den Geräten von zentraler Stelle vorgenommen. So kann jederzeit sichergestellt werden, dass die gemanagten Geräte sicher betrieben werden, da sie in regelmäßigen Abständen ihre Konfiguration mit der Zentrale abgleichen müssen. Sollte bei so einer im Hintergrund durchgeführten Kontrolle ein Fehler wie z. B. Jailbreak/Rooting oder auch die Installation von nicht freigegebener Software festgestellt werden, sind Sanktionen möglich. Der Admin kann, je nach Konfiguration des MDM, veranlassen, dass das Gerät neu konfiguriert wird oder gar Firmenzugriff und alle schützenswerten Daten entfernen. Hier lassen sich in den MDM-Systemen so genannte Eskalationsregeln definieren, auf deren Grundlage dann die entsprechenden Maßnahmen ergriffen werden.
Mobile Application Management
Mobile-Applikation-Management-Systeme bieten Unternehmen die Möglichkeit, einzelne Applikation und deren Daten zu verteilen ohne direkten Zugriff auf das Gerät haben zu müssen. Ganz im Gegenteil zu MDM kann hier mehr als ein MAM-System an ein Endgerät angebunden werden und zum Beispiel in einem ByoD-Szenario (Bring your own Device) für Mitarbeiter oder beim Einsatz externen Dienstleister Verwendung finden. Bei MAM stellt die Firma lediglich eine Plattform zur Verfügung, über die sie die Applikationen, die entsprechenden Konfigurationen und Sicherheitseinstellungen ihren Anwendern anbietet. Die Administratoren haben dann, im Gegensatz zu MDM, nur Zugriff auf die von der Firma verantworteten Anwendungen und Daten. Ein Zugriff auf das Endgerät ist bei MAM nicht vorgesehen.
Containerisierung
Durch das reine Managen der Applikationen werden diese jedoch nicht unbedingt sicher. Hier kommen Container-Lösungen zum Einsatz. Sie dienen dazu mögliche Schwachstellen am Gerät oder Fehler des Anwenders weitestgehend zu eliminieren. Dies stellen sie sicher, indem sie die Anwendungen und ihre Daten in einem abgeschotteten Umfeld (Container) laufen lassen. So wird unter anderem verhindert, dass Daten unkontrolliert ab- oder einfließen beziehungsweise manipuliert werden können.
Bei einer sicher konfigurierten Container-Lösung lässt sich beispielsweise verhindern, dass Firmeninformationen per Copy & Paste auf Facebook oder Twitter landen. Hier wäre der Zugriff aus dem Firmenkontext auf die private Facebook oder Twitter App schlichtweg nicht möglich. Hier ist auch wichtig, dass der Wechsel zwischen den Firmenanwendungen und den privaten Apps für den Anwender deutlich sichtbar ist, damit ihm immer unmissverständlich klar ist, in welchem Kontext er sich befindet. Durch Container können somit einige Schwachstellen eliminiert werden.
Die meisten Container-Lösungen bringen allerdings ein Risiko mit sich. Sie gehen davon aus, dass sie selbst sicher sind. Wenn beispielsweise eine Container-App nicht aus dem AppStore installiert wird, sondern eine durch Codeinjektion veränderte (z. B. via SMALI unter Android) Version zum Einsatz kommt, kann diese unter Umständen eine Backend-Verbindung aufbauen und so Daten transferieren bzw. manipulieren. Für dieses Angriffsszenario gibt es meist keinen hundertprozentigen Schutz. Die Hersteller der Container-Lösungen müssen hier ständig tätig werden und die Container immer wieder anpassen, damit sie den aktuellen Bedrohungsszenarien des Marktes standhalten können.
Durch eine MAM-Lösung oder MDM-Lösung kann in Verbindung mit der Containerisierung somit sichergestellt werden, dass die schützenswerten Anwendungen und Daten auch weitestgehend sicher genutzt werden können. Dabei bleibt bei MAM die Privatsphäre des Anwenders jederzeit gewahrt, da das MAM-System keinen Zugriff auf das Endgerät hat.
Anforderungen an Container-Lösungen
Bei der Auswahl einer Container-Lösung zur sicheren Verteilung und zum sicheren Betrieb von mobilen Lösungen sind allerdings einige Dinge zu beachten. So liefern die einschlägigen Anbieter zusammen mit ihren Containern einige Basisanwendungen mit aus. Auf diese Weise können zum Beispiel Dienste wie Mail, Kontakte und Kalender ohne großen Aufwand gleich genutzt werden. Bei der Auswahl eines Systems sollte daher nicht nur das Serversystem, die Anbindungsmöglichkeiten, die Sicherheit und die Administrationsmöglichkeiten betrachtet werden. Es ist auch wichtig, die mitgelieferten Anwendungen und die Erweiterbarkeit der Lösung durch eigene Anwendungen beziehungsweise fertige Lösungen anderer Hersteller zu betrachten. Hierauf wird im Folgenden etwas genauer eingegangen.
Anwenderfreundlichkeit der mitgelieferten Anwendungen
Nicht selten wird versucht, mit einer universellen mobilen Lösung möglichst viele Plattformen mit nur einer Anwendungsentwicklung bedienen zu können. Bei solchen Lösungen bleibt dann leider oft die Anwenderfreundlichkeit auf der Strecke. Wichtig ist, dass der Nutzer einer mobilen Lösung sich auf seinem Endgerät auch bei der Nutzung der Firmenanwendung zu Hause fühlt und dass grundlegende Anforderungen an die Benutzeroberfläche und das Bedienkonzept entsprechend der Endgeräteplattform umgesetzt sind. Dies sollte natürlich nicht nur bei diesen Container-Anwendungen beachtet werden, sondern auch bei allen Anwendungen, die auf mobilen Lösungen zum Einsatz kommen. Weiter ist, wie zu Beginn schon erwähnt, die klar merkbare Trennung zwischen Privat und Geschäft ein wichtiger Punkt.
Ressourcenverbrauch
Wegen der nur begrenzt zur Verfügung stehenden Ressourcen ist auch bei Container-Lösungen wie bei jeder mobilen Lösung auf den Verbrauch des Endgerätes zu achten. So kann es z. B. bei einer unsauberen Konfiguration der Firmenanbindung (z. B. via VPN) ganz schnell zu einer hohen Netzwerklast kommen. Dies kann dann schnell zu Unzufriedenheit der Anwender führen, da unter Umständen die mobilen Datenoptionen schnell aufgebraucht werden, selbst wenn die Anwendung nur selten genutzt wird. Weiter ist z. B. auch darauf zu achten, wie speicher- oder CPU-intensiv eine Container-Anwendung oder -Umgebung auf dem mobilen Endgerät ist, da hier ganz schnell die Akkulaufzeit reduziert werden kann.
Datenschutz und Datensicherheit
Neben der Usability und dem gewissenhaften Umgang mit den Ressourcen auf dem Endgerät stehen bei der Evaluierung auch der Datenschutz und die Sicherheit im Vordergrund. Hier sind einige Punkte zu beachten. Neben der sicheren (verschlüsselten) Ablage der Daten auf dem Gerät sind durch das Container-System auch Dinge wie z. B. die Interaktion von Applikationen und somit auch der Austausch von Daten zu kontrollieren bzw. zu unterbinden. So können durch viele Container-Systeme eine Vielzahl von Sicherheitsregeln auf die Container-Applikationen angewendet werden. Hier lässt sich auch eine Prüfung nach der Integrität des Endgerätes vornehmen. So bieten die Hersteller der Systeme verschiedene Möglichkeiten an um beispielsweise vor Start einer Unternehmensanwendung zu prüfen ob ein Jailbreak oder Rooting des Gerätes vorliegt. Bei Feststellen eines Fehlers kann dann je nach Konfiguration des Container-Systems nicht mehr auf die Daten zugegriffen werden. Da das Gerät nicht zwingend gemanagt sein muss, können die Applikation und Daten allerdings meist nicht zentral entfernt werden. Es kann lediglich der Start einer verwalteten Applikation und der Zugriff auf die Daten entzogen werden. Diese Prüfungen setzen allerdings meist die Integrität der Container-Anwendung voraus.
Erweiterbarkeit
Neben der PIM-Funktionalität (Personal Information Management) wie Mail, Kalender, Kontakte bieten einige Containersysteme standardmäßig auch Anwendungen zum sicheren Surfen oder zum Dateiaustausch. Weiter gibt es in den jeweiligen Marktplätzen schon einige Applikationen, die für die jeweiligen Containerhersteller spezifische Lösungen bieten. Im Unternehmenseinsatz reicht das häufig nicht aus, da hier meist noch speziell für die Unternehmung geschriebene Lösungen zum Einsatz kommen. Hier ist es wichtig dass das Containersystem eine Plattform bietet, um auch diese speziellen Anwendungen zu integrieren - beispielsweise durch Wrapping.
Die Herausforderung für die Hersteller der Wrapping-Lösungen sind die sich immer wieder ändernden Umgebungsparameter auf den Endgeräten. So kann es durchaus möglich sein, dass bei einem größeren Release-Wechsel eines mobilen Betriebssystems die Kompatibilität nicht mehr sichergestellt werden kann. Aktuell etwa stellt Apple die Hersteller mit der Einführung von Swift als neue Sprache für iOS vor eine Herausforderung. Bei Android werden die Container-Hersteller auf den Wechsel auf die neue Runtime ART (Android RunTime) mit Ahead-Of-Time-Compiler (AOT) und die daraus resultierenden Veränderungen reagieren müssen.
Verfügbare mobile Plattformen
Zusätzlich ist zu beachten, dass die für das Containersystem notwendige Applikation auch auf allen notwendigen mobile Plattformen verfügbar ist. Die meisten Hersteller bieten ihre Lösungen für iOS und Android an, viele haben heute schon Lösungen für Windows Phone im Angebot oder zumindest bereits angekündigt. Bei den hier betrachteten Lösungen bieten Good Technologies und Citrix Lösungen für alle drei Mobile-OS an. Blackberry bietet aktuell nur eine Lösung für Android und iOS, Unterstützung für Windows Phone ist für die nächste Version BES 12 geplant.
Beispiele für Container-Lösungen
Im Folgenden wird exemplarisch auf die Container-Lösungen von Blackberry, Citrix und Good Technology etwas genauer eingegangen.
-
BlackBerry Secure Workspace (PDF) ist eine Erweiterung des Blackberry Enterprise Service 10 (BES 10). Mit dieser wird die Möglichkeit geschaffen, Anwendungen auf nicht verwalteten Android- und iOS-Geräten sicher zu betreiben. Die Konfiguration sowie die Verteilung der Anwendungen und Sicherheitseinstellung erfolgt über die bekannte Management Konsole des BES 10. Die durch den BES verteilten Anwendungen können auf den Endgeräten in abgesicherten und verschlüsselten Containern betrieben werden. Blackberry liefert standardmäßig Anwendungen für Mail, Kontakte, Kalender, einen Browser und Dokumentenanzeige bzw. -bearbeitung für Android und iOS mit. Bei iOS können zusätzlich noch Aufgaben und Notizen genutzt werden. Möchte man jedoch eigene Anwendungen hinzufügen, muss aktuell auf ein eher aufwändiges Wrapping-Tool zurückgegriffen werden. Das Wrapping der Anwendungen erfolgt derzeit durch ein Kommandozeilen-Tool und wird durch verschiedenen Shell Scripts durchgeführt. Weiter bietet Blackberry aktuell leider keine Windows-Phone-Anwendung an.
-
Citrix liefert mit Worx Home eine Reihe Anwendungen für Android, iOS und Windows Phone und bietet somit eine Lösung für die drei größten Mobile-Plattformen am Markt. Das Management der Anwendungen erfolgt über Citrix XenMobile. Auch hier wird zusätzlich zum klassischen MDM die Möglichkeit geschaffen, Anwendungen via MAM zu verteilen. Diese Apps können dann auch in einem sicheren Container betrieben werden. Standardmäßig bietet Citrix mit WorxHome Anwendungen für Email, Kontakte, Kalender, einen Browser und Dateiaustausch an. Nach Konfiguration des XenMobile-Systems kann der Anwender mit der in dem jeweiligen Appstore verfügbaren WorxHome-Applikation die Firmenverbindung herstellen und auf die ihm bereit gestellten Anwendungen zu greifen. Zusätzlich zu den standardmäßig verfügbaren Anwendungen stehen bei Citrix noch einige Anwendung von Drittherstellern speziell für die Integration in WorxHome in dem jeweiligen Appstore zur Verfügung. Weiter bietet Citrix eine einfache und komfortable Möglichkeit, selbst entwickelte Anwendungen durch Wrapping zu integrieren. Der Wrapper bei Citrix ist mit einer leicht zu bedienenden GUI ausgestattet.
-
Good Technologies bietet mit Good For Enterprise (PDF) eine Lösung für Android, iOS und Windows Phone. Mit Good For Enterprise können standardmäßig Funktionen für Mail, Kontakte, Kalender, Aufgaben, Browser und Dateizugriff auf allen drei mobile Plattformen genutzt werden. Eine Browser-Funktionalität steht aktuell nur für Android und iOS zur Verfügung. Weitere Anwendungen können auch hier über einen sicheren internen Appstore den Anwendern zu Verfügung gestellt werden. Diese Funktion gibt es aktuell auch nur für Android und iOS. Um weitere Anwendungen verfügbar zu machen, kann Good Dynamics genutzt werden. Für die Integration dieser Anwendungen muss kein Wrapper eingesetzt werden, allerdings ist Good Dynamics unter Umständen separat zu lizenzieren. Die Aktivierung der Anwender bzw. Endgeräte ist bei Good For Enterprise durch eine Out-of-Band-Methode sehr komfortabel.
Fazit: Kaum größere Unterschiede
Es hat sich gezeigt, dass sich die Containerlösungen der verschiedenen Anbieter in den Grundfunktionen nicht deutlich unterscheiden. Alle hier betrachteten Produkte bieten von Haus aus PIM-Funktionen und einige andere Basisanwendungen an. Die Möglichkeiten zur Erweiterung um spezifische Applikationen und die Integrierbarkeit in die im Unternehmen bestehende IT-Infrastruktur sowie die spezifischen Sicherheitsanforderungen einer Unternehmung sind nur einige Punkte, die bei der Auswahl genau beachtet werden müssen.
Mit zukünftigen Betriebssystemversionen der Mobile-Plattformen könnte es durchaus sein, dass Container nicht mehr benötigt werden. So bieten gegebenenfalls zukünftige Android-, iOS- oder Windows-Phone-Versionen schon von Haus aus ein Set an Konfigurationen an, mit denen die heute über Container gewährleistete Sicherheit geschaffen werden kann. (mb)