Ende Juni hat Apple einen Ausblick auf die Business-Funktionen von iOS 7 gegeben. Neben einigen kleinen, punktuellen Verbesserungen ist grundsätzlich das Ziel der Neuerungen, IT-Abteilungen mehr Kontrolle über die Geräte mit der nächsten Generation des Mobilbetriebssystems zu geben. Die aus Sicht der Administratoren mangelnde Kontrolle war in vielen Überlegungen zu BYOD oder überhaupt zu Mobilitätsstrategien bisher immer ein wunder Punkt – der zumindest für viele und hitzige Diskussionen sorgt, manchmal auch gar nicht gelöst werden konnte.
Dass hier Handlungsbedarf besteht, hat wohl auch Apple gemerkt. Gegen Anpassungen hat sich der Konzern lange mit dem Argument gesträubt hat, es handle sich bei seinen Smartphones um Consumer-Geräte. Möglicherweise haben aber die ersten Erfolge bei Samsungs Bemühungen, bei großen Organisationen Fuß zu fassen, die Markteinführung von Windows Phone 8, bei der Microsoft nicht müde wurde, genau in diese Kerbe zu schlagen und der erneute Angriff von Blackberry in Cupertino doch für ein Umdenken gesorgt: Schließlich dominiert man den Smartphone-Markt schon längst nicht mehr so uneingeschränkt, wie das früher einmal der Fall war.
Zu den Zugeständnissen an die IT-Abteilung gehört etwa, dass Administratoren künftig über die Funktion “Managed open in” per Richtlinie festlegen können, welche Konten und Apps bestimmte Dokumente oder E-Mail-Anhänge öffnen können. “Das ist eine wichtige Ergänzung unserer Möglichkeiten, die Verbindungen von Apps zu reglementieren“, erklärt Symantec-Experte Lars Kroll. Mitarbeiter werden so gezwungen, nur mit den vom Unternehmen zur Verfügung gestellten Apps auf Geschäftsdaten zuzugreifen. Außerdem können Administratoren in iOS 7 auch festlegen, dass beim Start einzelner Apps automatisch eine Verbindung zu einem VPN hergestellt wird. Im Gegensatz zu privaten Daten werden Firmendaten so nur über eine gesicherte Verbindung gesendet und empfangen.
Apple hat zudem ein neues Protokoll für die Verwaltung mobiler Geräte integriert. Das soll die Nutzung von Software von Drittanbietern für das Mobile Device Management erleichtern. Unternehmenseigene Geräte werden künftig bei der Aktivierung automatisch in einer MDM-Lösung angemeldet („Enrollment“) und erhalten anschließend zuvor festgelegte Apps oder auch eine Whitelist mit AirPlay-Geräten, zu denen sie eine Verbindung aufbauen dürfen.
Die Anbieter aus diesem Segment begrüßen Apples Neuerungen durchaus – was nicht ganz selbstverständlich ist, denn schließlich drohen Apples Aktivitäten ihnen einen Teil ihrer Daseinsberechtigung zu nehmen. Lars Kroll, der bei Symantec in Deutschland für den Bereich zuständige Experte, erklärt vielleicht auch daher schlicht: „Mobile Endgeräte werden immer mehr im Enterprise eingesetzt, daher ist ein Ausbau der Management-Möglichkeiten positiv zu bewerten.“
Schub für iOS in Firmen erwartet
Thomas Lippert, Senior Product Manager bei Sophos schließt sich dem grundsätzlich an: „Sophos sieht diese Ankündigung sehr positiv. Viele der heute von Firmenkunden kritisierten Schwachstellen der heutigen Lösung werden mit iOS 7 adressiert. Wir sind uns sicher, dass die Akzeptanz von iOS-Geräten in Unternehmen damit steigen wird.“
Amerikanische Firmensprecher geben sich dagegen geradezu euphorisch. Ojas Rege, Vice President of Strategy bei MobileIron, meint, man sei „unglaublich erfreut“ über die Bemühungen für Großkunden, die Apple für iOS 7 gemacht hat. „Wir denken, das wird die Nutzung von iOS in Großunternehmen ähnlich stark beschleunigen, wie iOS 4 im Jahr 2010. Damals erlaubte das Betriebssystem erstmals die zentrale Verwaltung und löste so eine große Welle der iOS-Adaption in Firmen aus. iOS 7 gibt Kunden durch die neuen Sicherheitsmerkmale mehr Vertrauen in die Plattform.“
Ähnlich aufgeregt ist Dave Renwick, der CTO von AirWatch: „Bei AirWatch sind wir von der jüngsten iOS 7 Ankündigung – aus Konsumenten- als auch Unternehmensperspektive, begeistert. Innovationen in das Kernbetriebssystem und die Apps bedeuten, dass Benutzer als auch IT-Abteilungen Produktivitätsverbesserungen und zusätzliche Management- und Sicherheitsfähigkeiten bekommen werden um den Schutz von Unternehmensgeräten und -informationen sicherzustellen. Die Ankündigung hat für alle Parteien die in und um Mobility arbeiten den richtigen Ton getroffen.“
Laut Renwick ist für seine Firma außerdem auch die nächste OS-X-Version Mavericks eine große Chance. Man unterstütze OS X seit über einem Jahr mit Profilkonfiguration und Remote-Management sowie seit kurzem mit Softwareinstallation, und Befehlsausführung aus der Ferne. Die vielen neuen Erweiterungen bei Mavericks, die Kunden dabei helfen, Mac OS X als Plattform für ihre Organisationen zu wählen, nimmt Renwick begeistert auf. Offenbar sieht man neue Möglichkeiten bei Kunden neben Smartphones und Tablets auch Notebooks und sogar Desktop-Rechner zu verwalten – so wie übrigens MobileIron auch.
Eine auf den ersten Blick eher verwaltungstechnisch erscheinende Neuerung könnte allerdings recht weitreichende Auswirkungen haben: „Im Bereich App-Verteilung ist die Umstellung von Vouchers zu richtigen Firmenlizenzen eine Änderung, die nur durch den Betreiber des App Stores umgesetzt werden konnte. Die angekündigte Änderung ermöglicht den Firmen erst, wirklich teure Apps an Mitarbeiter zu verteilen“, sagt Sophos-Manager Lippert.
Und auch in einem anderen Bereich nimmt Apple den MDM-Anbietern Arbeit ab, wie Lippert zugibt: „Obwohl der Enrollment Prozess in Sophos Mobile Control von den Kunden als sehr einfach gesehen wird, geht der neue Enrollment-Prozess durch Apple noch deutlich weiter. Das MDM-Enrollment wird Teil der initialen Gerätekonfiguration und nimmt dem Mitarbeiter dabei zusätzlich Konfigurationsaufwände ab. Funktional kann Sophos dasselbe, aber die Integration in die Geräteoberfläche ist nur durch den Hersteller des Betriebssystems zu leisten.“
App Wrapping gehört durch iOS 7 zum alten Eisen
Ein Aspekt, den die Anbieter von MDM-Produkten dagegen umschiffen, ist das Thema App Wrapping. Daran haben fast alle gearbeitet von AirWatch bis VMWare. Allerdings ist diese Arbeit durch Apples Neuerungen nun obsolet geworden.
Ziel beim App Wrapping ist es, eine Vielzahl im Unternehmensumfeld als unsicher erachteter Funktionen und Elemente einer App in den Griff zu bekommen. Dazu gehört etwa das Teilen von Dateien mit der App oder Copy-und-Paste-Funktionen zu unterbinden. Deutlich komplexer ist schon die Verknüpfung unterschiedlicher Authentifizierungsebenen um sicherzustellen, dass nur bestimmte Nutzer Apps oder Teile davon benutzen können.
Da hätte man sich wahrscheinlich im Vorfeld etwas mehr Information gewünscht. Carsten Mickeleit, CEO des deutschen Anbieters Cortado, stört das nicht: Zwar sei die Nachfrage von den Kunden da gewesen, sein Unternehmen habe das aber einfach „ausgesessen“, weil man davon ausgegangen sei, dass so etwas bestriebssystemnah geregelt werden müsse und auch werde. Und wer jetzt noch danach frage, der können auch getrost bis Herbst warten, wenn iOS 7 zur Verfügung steht – schneller gehe es mit einer individuellen Lösung nämlich auch nicht.
Denn laut Mickeleit ist App Wrapping bei weitem nicht so problemlos, wie es sich zunächst anhört: „Einfach aus Apps einige Libraries herausnehmen und dann hoffen, dass es läuft, geht eben nicht.“ Außerdem gebe es am Markt noch keinen Standard, wie Apps geschrieben werden – was die Sache auch nicht einfacher mache. Und schließlich laufe man durch App Wrapping Gefahr, Gewährleistungsrechte zu verlieren sowie Urheberrechte zu verletzen – und dadurch letztendlich in ein unendliches und unübersehbares Minenfeld zu geraten.
Gut also, dass Apple den Workaround nun überflüssig macht. Eine offene Frage für Firmen, die sich schon darauf eingelassen haben, bleibt laut Mickeleit aber: „Duldet Apple nach iOS 7 noch gewrappte Apps im App Store?“. Wer den Anbieter auch nur ein bisschen kennt, kann sich die Antwort schon denken: ganz bestimmt nicht.
Wo Apple noch nachlegen könnte
Insgesamt hat Apple mit iOS 7 – dessen Oberfläche recht umstritten ist – zumindest unter der Haube Bahnbrechendes geleistet. Viele Argumente, die bisher von Microsoft ins Feld geführt wurden, um die „Enterprise-Tauglichkeit“ der eigenen Lösungen zu belegen und die der Apple-Produkte in Abrede zu stellen, fallen weg. Zwar hat Apple letztendlich nur an einer Handvoll Stellschrauben gedreht, aber eben an den richtigen.
Ganz arbeitslos werden die Anbieter von Software für Mobile Device Management dennoch nicht: Einerseits lässt ihnen Apple noch Betätigungsfelder, etwa die Verknüpfung zu einem übergreifenden Identity Management oder mit der Verwaltung stationärer Geräte. Auch Angebote für Data Loss Prevention, wie das von AirWatch als Secure Content Locker vermarktete, haben noch ihre Daseinsberechtigung.
Andererseits wird die Welt bunter – auch wenn iOS 7 nochmal einen Schub für Apple-Geräte in Firmen bringt, werden vielfach auch Geräte mit anderem Betriebssystem zum Einsatz kommen und dennoch eine einheitliche Verwaltung gewünscht sein. Auch hier ist ausreichend Bedarf.
Außerdem haben sie eine Gnadenfrist, um sich an die neuen Situation anzupassen: „Wir sehen aktuell noch, dass viele der Funktionen nur für solche Firmengeräte einsetzbar sind, die neu gekauft werden. Sie erfordern eine Einstellung, den sogenannten ‚Supervised Mode‘, der nur während des Enrollments gesetzt werden kann. Eine Bereitstellung auch für bereits vorhanden Geräte oder BYOD-Geräte wäre wünschenswert“, erklärt Sophos-Experte Lippert.
Lars Kroll von Symantec drängt – so wie seit langem zum Beispiel auch das Management von Kaspersky schon – noch darauf, dass Apple die Definition von Security-Schnittstellen angeht, um Security-Apps auf iOS ebenso zu ermöglichen, wie dies bei anderen Plattformen üblich ist. Bisher hat man sich in Cupertino dagegen immer gesträubt. Aber möglicherweise sieht man schon mit iOS 8 ein, dass hier doch Bedarf besteht.
Neueste Kommentare
2 Kommentare zu Unter die Lupe genommen: die Business-Funktionen von iOS 7
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Die neuen Enterprise-Möglichkeiten von iOS7 adressieren insbesondere Schwächen, die die Plattform bei der Trennung privater von geschäftlicher Apps in COPE-Umgebungen (Company Owned Personally Enabled) bisher hatte. Weiterhin offen bleiben Anforderungen im BYOD-Umfeld – auch wenn die im Beitrag zu Wort gekommenen MDM-Lösungsanbieter das gerne anders darstellen. Die neuen Enterprise-Funktionen wie „Managed Open-In“ oder „VPN per App“ stehen nur nach einer vollständigen Gerätekopplung mit der MDM-Lösung im Unternehmen zur Verfügung. Dies widerspricht Datenschutzanforderungen im BYOD-Kontext, dass die Unternehmens-IT lediglich die Hoheit über Unternehmens-Apps und -Daten, nicht aber dem ganzen Privatgerät erhält. Dies sollte bei der Bewertung der Marketing-Aussagen von MDM-Herstellern mit Erscheinen von iOS7 beachtet werden. In der Tat spannend bleibt aber, was aus herstellerspezifischen Aktivitäten übrig bleibt, ein eigenes Enterprise Container Ökosystem wie MobileIron AppConnect, Citrix Worx Apps und Good Dynamics nach iOS7 am Markt zu etablieren …
Auf dem neuen BES 10.1 von Blackberry ist die Sicherheit skalierbarer einstellbar und es gibt wesentlich feinere und tiefgreifendere Möglichkeiten, die Sicherheitspolicies zu gestalten und zu managen. Nur das interessiert wohl niemanden. Ist halt ’ne Brombeere und kein Apfel auf die Geräte gedruckt. Deshalb wurden die neuen BB10 Geräte bei fast allen Testseiten unter Consumer Gesichtspunkten getestet, BES fiel (als integraler Bestandteil der Blackberry Infrastruktur) bei fast allen „Fachleuten“ unter den Tisch oder wurde im Test gar nicht gewertet. Dabei ist Blackebrry derzeit der einzige Anbieter, der Endgerät und MDM aus einer Hand liefert. Und meiner Meinung nach die derzeit sicherste Gesamtlösung im professionellen Umfeld (getestet habe ich bisher BES 10, BES 10.1 mit Q10 und Z10 sowie im Vergleich ein Apple iPhone 5 mit Afaria). Ich kann nicht verstehen, was jetzt so besonders daran ist, das Apple jetzt ein paar (zugegebenermaßen wichtige) Punkte endlich nachbessert – und dann so getan wird, als wäre das jetzt was ganz besonderes. Dabei sind die iPhones ja für Consumer durchaus spaßige Geräte – solange es eben nicht um effiziente Bedienung und Sicherheit geht. Viele meiner Bekannten waren überrascht, als ich im gesperrten Zustand mit deren iPhone5 dank Siri Emails verschickt oder Telefonate geführt habe. Oder beliebige verpasste Anrufe im gesperrten Zustand beantwortet habe, Kontakte und Termine abgefragt usw… . In der Standardeinstellung sehr „praktisch“ – aber halt eben typisch Consumer Geräte und imho im professionellen Umfeld -gerade aus Sicherheitsgründen- eigentlich undenkbar.