© Jenzig71, photocase.com

Die sauberste Lösung für BYOD scheint zu sein, dass die IT-Abteilung die Geräte unter ihre Kontrolle bringt und für das Managen der Mobil-Betriebssysteme und Apps sorgt. Eine unübersichtlich große Menge Produkte verspricht genau dies zu tun.

Der seriöseste Art mit dem Problem der Mischnutzung von Geräten umzugehen, ist private und dienstliche Programme voneinander zu trennen. Das kriegt der Admin für Privat-Notebooks gut in Eigenregie bewerkstelligt, indem er den privaten Teil des Gerätes weiter unter der Kontrolle des Benutzers lässt und den dienstlichen Teil selbst bereitstellt. In Betracht kommen Dualboot- genauso wie virtuelle Systeme. Letztere Variante ist nicht nur moderner, sondern lässt sich auch besser umsetzen: Die Festplatte muss nicht umpartitioniert werden.

Schwerer noch wiegt der Vorteil, dass die Virtualisierung Hardware-Unterschiede nivelliert; der Admin in der Firma braucht nur eine virtuelle Maschine für alle fremden Rechner vorhalten.

Das Betriebssystem gestalten die Admins am besten fernadministrierbar. Die Verbindung nach draußen sollte ausschließlich per VPN in die Firma passieren – am besten, man lässt den Mitarbeiter sogar beim dienstlichen Surfen über das Firmengateway laufen.

Wer keine Virtualisierung möchte, kann die Mitarbeiter mit USB-Sticks ausstatten, mit denen sie ihre Rechner booten. Die sollten freilich in Sachen Security so ausgelegt sein, dass bei Verlust keine ungesicherten Zertifikate in falsche Hände kommen. Es gibt auch Firmen, die sich auf entsprechende Bootmedien spezialisiert haben, beispielsweise ECOS mit ihrem “Secure Boot Stick”, der eine Zwei-Faktor-Authentifizierung bietet [1].

Smartphones und Tablets

Die modernen Geräteklassen machen den Admins die Administration ungleich schwerer. Einzig RIM mit seinen Blackberry-Serien hat schon beim Design an Fremd- und Gruppenadministration gedacht. Android- und Apple-Geräte dagegen sind für den Massenmarkt gemacht und bieten von sich aus keine ernst zu nehmende Unterstützung. Firmen sind auf die Software und Hilfe von Drittanbietern angewiesen.

Das Sachgebiet nennt sich Mobile Device Management, kurz MDM. Es umfasst das zentrale Verwalten der Geräte sowie das Verteilen von Apps, Daten sowie Einstellungen. Laut [2] besitzt die ideale MDM-Lösung folgende Eigenschaften:

• Kompatibel zu allen gängigen Mobilplattformen und -anwendungen
• Arbeitet in allen Mobilfunknetzen
• Lässt sich direkt Over-the-air (OTA) implementieren unter Auswahl bestimmter Zielgeräte
• Liefert Hardware, Betriebssysteme, Konfiguration und Anwendungen schnell und problemlos aus
• Administratoren fügen mobile Geräte nach Bedarf per System hinzu oder entfernen sie
• Die Integrität und Sicherheit der IT-Infrastruktur ist stets gewährleistet
• Security Policies werden konsequent durchgesetzt
• Der Anwender bekommt von der Existenz der Lösung kaum etwas mit.

Rund 50 Anbieter treten mit MDM-Lösungen in Erscheinung (siehe Kasten “Der Markt”). Bei den aktuellen Systemen lassen sich grundsätzlich zwei Typen unterscheiden: Management-Systeme, die im Wesentlichen nur einen Endgerätetyp oder ein Betriebssystem unterstützen wie Blackberry von RIM oder der System Center Mobile Device Manager von Microsoft. Sie eignen sich nur für Monokulturen, legen dort aber in der Regel größere Leistungsfähigkeit an den Tag als die zweite Gruppe. Diese zielt auf heterogene Endgerätelandschaften ab und macht den Hauptteil des Marktes aus. Die Produkte differieren stark darin, welche Gerätetypen sie unterstützen und wie vielfältig die angebotenen Funktionen sind. Vor ihrer Einführung müssen Unternehmen daher genau hinschauen.

Monokulturen

Ein vergleichsweise einfaches Szenario erlaubt den Anwendern nur ein einziges System, etwa Smartphones von Research In Motion (RIM). Die neue Blackberry-10-Plattform gilt als sehr leistungsfähig und passt perfekt zur erprobten Managementumgebung Blackberry Mobile Fusion. Allerdings sind Probleme mit der Service-Verfügbarkeit dokumentiert. RIM verkauft zudem mit dem Blackberry Enterprise Server eine Managementplattform für die Eigenregie in der Firma. Für einige Irritation im Markt sorgte der Umstand, dass RIM den deutschen MDM-Platzhirsch Ubitexx [4] übernommen hat, dessen Plattform eine Vielzahl von mobilen Systemen adressierte.

Es ist zu vermuten, dass auch Microsoft mit Windows Phone 8 in Richtung zentraler Wartungsfunktionen gehen wird. Die Integration von United Extensible Firmware Interface (UEFI) und einem Remote Management sowie dem Windows Phone 8 Hub für unternehmensweite Apps deuten darauf hin. Wie weit diese Geräte in den Industrieländern Fuß fassen können, bleibt freilich abzuwarten.

Symantecs und SAPs MDM-Reiche

Apropos Unternehmenskäufe: Im März hat Symantec die Firma Odyssey Software übernommen und gelangte damit in den Besitz der Software Odyseey Athena. Symantec komplettiert das eigene MDM-Portfolio [5] und bietet damit eine Standalone-Lösung an, ein integriertes MDM in der Altiris IT Management Suite und ein MDM, das sich in den Microsoft System Center Configuration Manager integrieren lässt. Daneben existieren Einzellösungen wie die ab dem zweiten Halbjahr verfügbare Symantec Data Loss Prevention for Mobile für das iPad und iPhone. Das Nukona App Center verschlüsselt Daten und Apps auf I-OS-Geräten und der Symantec PGP Viewer zeigt verschlüsselte E-Mails auf Apple- und Android-Geräten an.

Neu ist die “Mobile Security für Android”: Symantec beobachtet und analysiert dazu Millionen von Android-Apps in den weltweiten Appstores und greift zudem auf Erkenntnisse aus dem eigenen Analysenetz Global Intelligence Network und die Malware-Erkennung von Software Norton Mobile Security zurück. Heraus kommt eine Art Freund-Feind-Unterscheidung. Die Software lässt sich in die Altiris IT Management Suite von Symantec und den Microsoft System Center Configuration Manager integrieren.

Sybase, mittlerweile ein Unternehmensbereich von SAP, verwaltet mit dem Produkt Afaria [6] Android-, Apple- und Blackberry-Geräte (auch Windows-Notebooks). Auf den Servern ist Windows Voraussetzung (Abbildung 1). Afaria Advanced Enterprise Security for Android zielt auf das Samsung Galaxy S und S2 ab und umfasst ein Sicherheitsmanagement über Richtlinien, Anwendungsmanagement, Konfigurationsmanagement, Exchange-Clientkonfiguration und Over-the-Air-Bereitstellung. Letztere funktioniert serverseitig auch auf einem Linux-Apache-Server.

Abbildung 1: Die umfängliche MDM-Lösung Sybase Afaria gehört mittlerweile zu SAP.

Mobile Iron

Als Spezialanbieter hat es Mobile Iron [7] dieses Jahr in den Leader-Quadranten bei Gartner geschafft. Das Produktportfolio umfasst mit Application Delivery Network (ADN, Abbildung 2) eine große App-Ausroll-Lösung genauso wie die Spezialanwendung Mobile Iron Docs@Work, die durch Verschlüsselung und Kontrolle Datenlecks verhindern will.

Für Linuxer interessanter ist das Produkt App Connect für Android. Es verpackt jede geschäftliche App in einen Container, den der Admin über die Mobile-Iron-Konsole verwaltet. Nur vertrauenswürdige Apps können Daten untereinander austauschen. Private Apps auf dem Mobilgerät sind von dieser Kommunikation ausgeschlossen. Die erweiterte App-Wrapping-Technologie erfordert allerdings einen minimalen Eingriff des Android-App-Entwicklers. App Connect verschlüsselt zudem Daten, bietet eine Single-Sign-on-Funktion und trennt geschäftliche und private Daten (siehe nächster Abschnitt).

Abbildung 2: Das Mobile Iron Application Delivery Network rollt Apps aus.

Neuer Ansatz

Dank leistungsfähigerer Hardware rückt in den letzten Monaten ein neue Möglichkeiten ins Blickfeld. Technisch ähnlich zur eingangs geschilderten Trennung von Programmen und Daten auf Notebooks, arbeiten einzelne Firmen und Institute daran, dieses auch auf Smartphones und Tablet-PCs zu realisieren. Pionier ist Good Technology: Good Mobile Control legt getrennte verschlüsselte Datenbereichen (“Container”) für private und Firmendaten auf dem Mobilgerät an.

Moderner und besser ist eine Virtualisierung, weil der Benutzer in Echtzeit zwischen zwei Systemen umschalten kann. Dabei kontrolliert das Unternehmen das virtuelle Betriebssystem in einer abgesicherten Umgebung und sorgt automatisch für Aktualisierungen, da es die gesamte Sandbox-Umgebung verwaltet. So bietet VMware eine Virtualisierungsmöglichkeit für kleine Geräte mit den Betriebssystemen Windows CE 5.0 und 6.0, Linux 2.6, Symbian 9, E-Cos, µItron Norti und µC/OS-II an [8].

Mit der Technik allein ist es nicht getan

Wer eine MDM-Lösung einführt, hat auch organisatorische und rechtliche Vorbereitungen zu treffen. So sollte er Leitlinien für das Gerätemanagement definieren, die die Aktivitäten für BYOD-Geräte abdecken, beispielsweise die Vorgaben für die Nutzer-Registrierung und des Nutzer-Selfservice. Auch der Helpdesk braucht eine Richtlinie, mit welchen Mitteln er Fehler aufspüren und beheben will. Zudem sollte die Rechtsabteilung eine Vereinbarung ausarbeiten über den Umfang des betrieblichen Eingriffs in die Privatgeräte, einhergehende Rechte und Pflichten beider Seiten sowie zur Haftung.

Fazit

Mobile Device Management ist der löbliche Versuch, das Übel an der Wurzel zu packen – unsichere Endgeräte unter die Kontrolle der Firmen-IT zu bringen und durch eine Managementlösung sicher zu machen. Was nach einer sauberen Lösung klingt, erweist sich in der Praxis als schwer durchsetzbar – schon allein deshalb, weil MDM den Eigentümern der Geräte Restriktionen zumutet.

Auch technisch ist die Sache eine einzige Herausforderung, da die Mehrzahl der Consumergeräte und Betriebssysteme auf Usability und nicht auf Managebarkeit und Datenschutz optimiert sind. Hinzu kommen die Vielzahl verschiedener Geräte und das Innovationstempo auf dem Markt: Jedes MDM steht Unmengen sich schnell bewegender Ziele gegenüber. Am aussichtsreichsten sind die neuen Virtualisierungsansätze.

Ohne Vorgaben des eigenen Unternehmens (“Erlaubt für BYOD sind nur Samsung-Geräte mit der Android-Version X”) erscheint die Situation kaum beherrschbar. Unterm Strich fahren Unternehmen, die MDM anzuwenden planen, besser, wenn sie gleich Firmenhandys und -tablets ausgeben. Bring your own Device dürfen sie das dann freilich nicht mehr nennen.