Den mobilen Gerätepark sicher beherrschen

Rückblickend war früher alles ganz einfach: Firmenhardware war deutlich von den Geräten getrennt, die die Mitarbeiter privat verwendeten. Mit dem Aufkommen von Notebooks begann sich dies zu ändern, doch waren diese für die IT-Abteilungen immer noch relativ leicht zu managen. Meist entschied man sich firmenweit für eine bestimmte Hardwareklasse, verwaltete diese analog zu den festinstallierten Systemen – und nahm in Kauf, dass diese Geräte dann und wann auch privat verwendet wurden.

Soweit, so gut. Doch gegenwärtig verzeichnen wir einen gegenläufigen Trend: Nicht nur die sogenannten Digital Natives haben heute ganz klare Vorstellungen von ihren mobilen Arbeitsgeräten beziehungsweise möchten Geräte, die ursprünglich für den Freizeitbereich konzipiert wurden, auch im beruflichen Umfeld einsetzen. Dasselbe gilt auch für Vertriebsmitarbeiter, die im Auftrag Firma unterwegs nicht auf ihr Android Phone verzichten wollen, oder Marketingleiter, die auch im Büro mit ihrem iPad arbeiten möchten.

Bring Your Own Device – welches Smart Device darf’s denn sein?

Den Einsatz solcher Geräte zu verbieten, bringt wenig, wie eine Studie von IDC zeigt: Wer privat ein iPhone, Android-Handy oder Tablet schätzen gelernt hat, findet viele Möglichkeiten, wie er diese Geräte auch für den Job einsetzen könnte und will auf deren Komfort nicht zugunsten eines von der IT-Abteilung abgesegneten Geräts verzichten. Oft dauerten entsprechende Prozesse zur Absegnung bestimmter Geräte für die Anwender auch einfach zu lange.

Die Lösung kann also nur heißen: „Bring your own device – bring uns dein präferiertes Gerät, wir kümmern uns um ein sicheres Management.“ Für die IT-Fachleute in den Firmen, zu deren Aufgabengebiet Verwaltung und Betreuung der Client-Gerät gehören, entstehen dadurch ganz neue Herausforderungen. Die bekannte, traditionelle Verwaltung der Endgeräte ist passé. Zwar ist die Art des Managements durchaus vergleichbar, aber während bei traditionellen Client-Systemen die Maschine im Mittelpunkt der Betrachtung stand, erfordert das Management mobiler Geräte eine User-zentrierte Sicht.

Zunächst einmal sehen sich Systembetreuer bei den mobilen Geräten oder so genannten „Smart Devices“ mit einer Vielzahl von unterschiedlichen Betriebssystemen konfrontiert. Bei den herkömmlichen Systemen waren sie es gewohnt, dass beispielsweise die Disziplin Remote-Administration gelöst ist und durch solide Werkzeuge unterstützt wird. Jetzt sehen sich die IT-Fachleute aber mit einem Gerätepark konfrontiert, der unter Systemen wie Android, iOS, Windows Mobile oder Windows CE betrieben wird. Oder sie haben es sogar mit sogenannten Rugged-Devices zu tun, also klassischen Code-Scanner-Geräten, wie sie beispielsweise in der Logistik oder im Einzelhandel zum Einsatz kommen.

Deren Verwaltungsmöglichkeiten unterscheiden sich sehr vom klassischen PC-Management: Der Administrator kann die Anwendungen beispielsweise auf ein Betriebssystem wie Windows Mobile in der gewohnten Weise von zentraler Stelle aus verteilen. Bei Apples iOS sind solche Managementmöglichkeiten kaum vorhanden. So ist die Verteilung von Firmenapplikationen ohne Interaktion des Anwenders auf dem Endgerät technisch nicht ohne weiteres möglich. Um das Problem der Softwarebereitstellung auf iOS Geräten trotzdem zu lösen, bekommen Apple-Anwender über die Mobile-Device-Management-Lösung in der Regel einen Corporate App Store zur Verfügung gestellt, über den User Anwendungen laden können, die von der Unternehmens-IT bereitgestellt werden.

Der neue Ansatz bringt weitere Anforderungen

Eine große Herausforderung beim Management von Smart Devices besteht also zunächst einmal darin, die unterschiedlichen Betriebssysteme, aber auch die Variationen innerhalb dieser Betriebssysteme zu unterstützen. Eine gute Managementlösung für mobile Geräte wird dem Administrator diesen Schritt abnehmen. Er braucht dann nicht mehr zu wissen, welche Operationen er auf einem Andoid-Gerät mit der jeweiligen Betriebssystem-Version ausführen kann: Die Lösung verfügt über die entsprechenden Informationen.

Doch geht es nicht allein um die Verteilung von Firmenapplikationen auf die unterschiedlichen Smart Devices. Werden mobile Endgeräte ganz selbstverständlich sowohl beruflich als auch im privaten Umfeld genutzt, kommen noch weitere Herausforderungen auf die IT-Abteilungen zu:

• Sensible Unternehmensdaten müssen eventuell auf diese Geräte übertragen werden.
• Eine saubere Trennung von privaten Daten und Firmendaten muss gewährleistet sein.
• Unternehmensdaten müssen sich beim Ausscheiden des Mitarbeiters gezielt von dessen Privatgerät entfernen lassen („Corporate Wipe“).
• Die IT-Verantwortlichen müssen sichergehen dass auch private Geräte, die ins Unternehmensnetz kommen, entsprechend abgesichert sind. Stichwort: Device Lock (Gerät wird immer und ohne Ausnahme über eine PIN-Eingabe abgesichert).
• Viele Geräte (wie zum Beispiel iOS-Geräte) können nicht auf die traditionelle Weise verwaltet werden: Bei ihnen ist immer eine Aktion des Anwenders notwendig, damit beispielsweise ein Dienst oder eine Anwendung installiert werden.

Mobiles Device-Management: Aspekte und Elemente

Wir sehen uns also insgesamt einer Situation gegenüber, die der beim Client-Management vor 15 Jahren ähnlich ist: Unternehmen benötigen sicheres, zuverlässiges und automatisiertes Management von Smartphones und Tablets, weil die Anwender Smart Devices für ihre tägliche Arbeit benötigen. Allerdings haben nur wenige Firmen diese IT-Management Disziplin heute schon gelöst. Gleichwohl drängen derzeit ganz unterschiedliche Anbieter für das Management mobiler Devices auf den Markt. In einer MDM-Lösung sollten die folgenden Teilbereiche unbedingt integriert sein:

• Softwareverteilung: Hier sind Fähigkeiten zur Verwaltung und Betreuung der mobilen Anwendungen auf den Clients gefragt. Sie müssen sowohl ausgerollt als auch installiert, auf dem aktuellem Stand gehalten als auch wieder gelöscht oder blockiert werden können.
• Sicherheitsverwaltung: Verwaltung und Betreuung einer PKI und eines Zertifikatmanagements, die Durchsetzung von Sicherheitsrichtlinien auf den Client-Geräten, Verschlüsselung- und Authentifizierungs-Möglichkeiten.
• Richtlinien-Verwaltung (Policy-Management): Die Richtlinien der Firma für mobile Geräte müssen ausgerollt, durchgesetzt und kontrolliert werden. Geräte mit „Jailbrake“ (iOS) oder die „gerooted“ (Android) sind müssen erkannt und deaktiviert werden können. Auch das Abschalten von einzelnen Diensten, zum Beispiel Youtube auf den mobilen Geräten sollte möglich sein. Zudem muss es möglich sein, mobile Geräte ganz oder Teilfunktionen wie die Kamera in sicherheitsrelevanten Bereichen eines Unternehmens zu deaktivieren.
• Inventar- und Assetverwaltung: Dazu gehören neben den grundlegenden Aufgaben einer Inventarverwaltung auch solche Tätigkeiten wie Provisionierung und Support.
• Verwaltung der Dienste (Service Management): An dieser Stelle müssen dann auch solche Dienste wie die Verwaltung der Telekommunikationsdienste (zum Beispiel Telefon- und Mobilfunk-Verträge der Mitarbeiter) geregelt und überwacht werden. Eine Integration in den User Help Desk ist ebenfalls sinnvoll.

Eine moderne MDM-Lösung sollte zudem auch den klassischen Fall des verlorenen oder gestohlenen Endgeräts effektiv lösen können. Dazu muss das Gerät zunächst einmal mittels „Geo-Tracking“ gefunden werden. MDM-Programme lokalisieren das Gerät auf einer Karte, sperren die Tastatur und lösen einen Klingelton aus. Führen all diese Schritte nicht zur gewünschten Rückführung des Geräts zum Besitzer, so werden die Daten auf dem Gerät gezielt gelöscht („Wipe“).

Last but not least: Integriert oder nicht integriert?

Die Frage ist: Können all diese Aspekte sinnvoll in eine bestehende Client-Management-Lösung integriert werden? Wäre es da nicht praxisnäher, beispielsweise zwei Speziallösungen entsprechend zu kombinieren?
Gegen eine integrierte Lösung spricht eine häufig auftretende Situation: IT-Mitarbeiter, die in den Unternehmen mit dem Client-Management betraut sind, werden in der Regel mit einem zusätzlichen Mobile-Device-Management schnell überfordert sein. Sie besitzen einfach noch nicht das Know-how, kennen die Betriebssysteme sowie die Management-Paradigmen nicht und die benötigte Infrastruktur wird ihnen in der Regel ebenfalls fremd sein.

Allerdings besitzen viele Unternehmen bereits eine komplette Lösung, die das Lifecycle-Management für die PCs regelt. Daher wollen die meisten IT-Verantwortlichen keine zweite vergleichbare Lösung aufbauen, die dann ein ebenso vergleichbares Problem löst. Selbst die Analysten von Gartner sind in der Zwischenzeit daher zu der Überzeugung gelangt: Auch wenn das Managementproblem bei den mobilen Endgeräten sich zunächst anders darstellt als bei der „herkömmlichen IT“, handelt es sich doch um genau das gleiche Business-Problem, das die IT hier zu bewältigen hat.

Folglich bietet der Einsatz einer integrierten Lösung große Synergieeffekte: Das gilt sowohl für die Menschen als auch für die Managementwerkzeuge, für die so weder eine separate Infrastruktur noch ein spezielles eigenes logisches Prinzip bei der Verwaltung eingeführt werden müssen. Weitere Vorteile entstehen auch durch eine Integration des Servicemanagements: Dabei werden nicht nur die Geräte an sich technisch verwaltet, sondern auch die Kostenaspekte sowohl für die Geräte als auch für die Infrastruktur fließen mit ein – was ebenfalls deutlich für den Einsatz einer integrierten Lösung spricht.