„Es dauert gerade mal fünf Minuten, um den Agenten auf das jeweilige Smartphone zu spielen“, beschreibt Bernd Thome, Senior Consultant Client Management & Security bei der Rödl IT Operation GmbH, die Absicherung des Mobilgeräte-Managements innerhalb eines Unternehmens. Davor gebe es natürlich eine Menge Arbeit zu leisten, unter anderem für den Test der Produkte und für das Einarbeiten. Da könnten dann schon ein bis zwei Monate zusammenkommen.
Der Zeitaufwand zahlt sich aber auf jeden Fall aus: für Mobilgeräte, die auch auf Unternehmensdaten, seien es nun E-Mails auf dem Exchange Server oder Verkaufs- und Personaldaten aus Datenbanken und CRM-Systemen, zugreifen dürfen, ist nämlich ein zentrales Gerätemanagement unabdingbar. Sicherheit und gesetzliche Datenschutzanforderungen gehen dabei Hand in Hand. Schlamperei kann schnell die Existenz des Unternehmens in Frage stellen.
Die Rödl IT Operation GmbH ist Teil des Nürnberger Mittelständlers Rödl & Partner GbR, eines Wirtschaftsprüfungs- und Beratungsunternehmens für Steuer- und Wirtschaftsrecht und hat viel Erfahrung bei der Implementierung von Mobile-Device-Management. „Wir haben bei einem international tätigen Industrieunternehmen letztes Jahr innerhalb von sechs Wochen das MDM von Airwatch, das sehr eng in das Systemmanagement-Tool Empirum von Matrix42 integriert ist, zur Verwaltung von iOS-Geräten zum Laufen gebracht“, sagt Bernd Thome.
Auch den Mischbetrieb von mitarbeiter- und firmeneigenen Mobilgeräten („Bring your own device“, BYOD) hat man im Blick. Derzeit werden über das MDM-System alle Sicherheitsanforderungen des Industrieunternehmens umgesetzt. So bildet das Secure-E-Mail-Gateway von Matrix42/airwatch eine sichere Zwischeninstanz für den Mailzugriff von unterwegs, die Exchange Server im Unternehmen abschottet. Über einen Corporate AppStore sichergestellt, dass nur geprüfte Applikationen auf die Mobilgeräte geladen werden.
Mit MDM sicher an der Kandare
In einem Pilotprojekt, das Rödl IT Operation für die Mutterfirma Rödl & Partner als Kunde durchführt, ist BYOD schon umgesetzt. „Wir verwalten bei unserer Mutterfirma mit dem MDM-System derzeit firmeneigene und private Smartphones, die auf allen möglichen Plattformen und Endgeräte-Marken – von iOS und Blackberry über Android und Windows Phone – laufen“, erklärt Thome.
Über die mandantenfähige zentrale Konsole werden die einzelnen Mobilgeräte bestimmten Gruppen zugeordnet. Der jeweilige Nutzer muss auf seinem Smartphone oder Tablet dann eine Webadresse öffnen, über die der MDM-Agent auf das Endgerät überspielt wird.
Mit Hilfe von Mobile-Device-Management-Systemen lassen sich mobile Geräte – auch wenn sie Privateigentum sind – sicher an die Kandare nehmen, ohne dass der im Privaten gewohnte Nutzerkomfort verloren geht und auch ohne dass die privaten Daten manipuliert werden. „Mit unserem MDM-System ist es möglich, bei kompromittierten Endgeräten die Unternehmensdaten zu löschen, ohne dass die privaten Daten angerührt werden“, sagt Bernd Thome.
Delegated Admin-Tools erleichtern die Verwaltung
Andres als bei der traditionellen IT sind Smartphones und Tablets erst einmal unter der vollständigen Kontrolle des jeweiligen Nutzers. Einschränkungen des „nativen Admin-Status“ des Nutzers durch das jeweilige Mobile-Device-Management müssen mit Augenmaß betrieben werden, um diesem nicht die Freude an seinem Arbeits- und Spielzeug zu nehmen. Andererseits hat der native Admin-Status des Nutzers auch Vorteile. Da er oder sie ihr Gerät gut kennen, übernehmen sie gern auch Tätigkeiten, die in der traditionellen IT dem Helpdesk beziehungsweise dem 2nd- und 3rd-Level-Support obliegen.
Dass Self-Provisoning-Funktionen innerhalb einer MDM-Lösung den administrativen Aufwand für das Anwenderunternehmen deutlich reduzieren können, erläutert Thomas Maxeiner, Teamleader Enterprise Solution Architects Endpoint and Mobile, bei McAfee in Europa: „Eine Lösung wie Enterprise Mobility Management hat zum Ziel, dass der Endanwender das Mobilgerät selbst ohne IT-Helpdesk initialisieren kann. Dadurch beanspruchen diese Geräte den Helpdesk weniger als Laptops und Desktops. Darüber hinaus hilft sich der Anwender auch später, wenn einmal Probleme auftreten, meist selbst, sodass der Anruf beim Helpdesk entfällt.“
Dass die sichere Verwaltung mobiler Geräte weit weniger Helpdesk- und administraionsintensiv ist als traditionelle PC, unterstreicht auch Marco Foellmer, Geschäftsführer beim Kölner Mobility-Spezialisten EBF, der für Kunden das Mobile Device Management-System von MobileIron hostet: „Wir zählen nur eine sehr geringe Anzahl an Helpdesk-Anrufen und E-Mail-Anfragen. Außerdem lassen sich durch das Delegated Admin Tool von EBF effiziente Self-Service-Modelle umsetzen, sodass die Administration entlastet wird.“ Das Delegated Admin-Tool wurde von EBF speziell für große Konzerne entwickelt. Mit dem Tool lassen sich Rechte und Rollenfunktionen so weit herunterschrauben, dass im Extremfall Mitarbeiter beispielsweise nur noch Geräte für eine bestimmte Region sehen und verwalten können.
Einen weiteren Aspekt des Self Service und Self Provisioning erläutert Martin Blattmann, Account Manager beim schweizerischen Mobility-Spezialisten und MobileIron-Partner Nomasis AG: „Einige unserer Kunden nutzen die umfangreichen API von MobileIron, um das MDM-System ins interne Identity Managing System zu integrieren. Diese elementare Integration in die Firmenprozesse ermöglicht eine wesentliche Vereinfachung der Registrierung und Genehmigung durch bereits bestehende Werkzeuge. Durch Einfachheit werden Sicherheit, Bedienbarkeit und Supportqualität erheblich erhöht.“
Des Weiteren berichtet Blattmann von internen Kunden-Foren, in denen die Nutzer sich miteinander austauschen und bei Problemen gegenseitig Hilfestellung leisten. Auch dies sei eine erhebliche Entlastung für den traditionellen Helpdesk.
Die Kehrseite der Selbstverwaltung
Die Reduzierung der Hepldesk-Calls bei Standardvorfällen sieht auch Oliver Bendig, Vizepräsident Produkmanagement bei Matrix42. Sie trete vor allem dann ein, wenn es sich um das private Mobilegerät des Mitarbeiters handele. Er formuliert aber sehr vorsichtig: „Wenn der Mitarbeiter sein eigenes Gerät nutzt, versucht er zuerst das Problem selbständig zu lösen, bevor er den Service Desk einschaltet. Dieses reduzierte Call-Aufkommen hat eventuell eine positive Auswirkung auf die Service-Desk-Kosten.“
Bendig denkt aber auch an eine eventuelle Kehrseite: „Der Produktivitätsverlust, den der Mitarbeiter erzeugt, weil er seine IT-Probleme selbständig löst, wiegt eine eventuelle Ersparnis in der Gesamtbetrachtung unter Umständen wieder auf.“ Das Resümee von Bendig ist dann aber doch eher positiv: „Nichtsdestotrotz hat Bring your own device viele Vorteile, die weniger mit den Kosten in Verbindung stehen als mit höherer Anwenderzufriedenheit durch mehr Autonomie und Effizienz im Umgang mit dem IT-Arbeitsgerät. Letztendlich führt dies zu mehr Spaß und Produktivität bei der Arbeit.“
Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…