Container, App Wrapping und IOS 7
Apple versus MAM-Anbieter
Um den sicheren Einsatz von Ipad und Iphone im Unternehmen zu ermöglichen, haben in der Vergangenheit zahlreiche MDM- und MAM-Anbieter (Mobile-Device-/Mobile-Application-Management) eigene Lösungsansätze entwickelt. Denn Apple hatte zwar mit jeder Version seines Betriebssystems IOS die Sicherheit und Administration seiner Geräte verbessert, doch gab es immer noch erhebliche Lücken, die den Einsatz der Apple-Mobilgeräte im Business-Umfeld erschwerten. Das könnte sich nun ändern.Zuletzt hatten sich bei den Ansätzen der MDM- und MAM-Hersteller zwei wesentliche Techniken herauskristallisiert: die Erstellung von Containern sowie das Wrapping von Anwendungen. Container-Lösungen bilden eine in sich geschlossene Anwendung, die somit gleichsam vom Rest des Betriebssystems getrennt ist. Dazu sind innerhalb dieser einen Anwendung alle notwendigen Dienste des Geräts abzubilden, so auch zwangsläufig die E-Mail-Anwendung. Beispiele für Anbieter von Container-Lösungen sind Good Technology sowie Excitor. Dem Vorteil eines Maximums an Sicherheit stehen hier häufig unzufriedene Anwender gegenüber. Zum einen wird selten die Funktionstiefe und Benutzerfreundlichkeit der nativen Apple-Mail-Anwendung erreicht, zum anderen erlaubte Apple nur seiner eigenen App das Empfangen von E-Mails im Hintergrund. Container oder App Wrapping Im Gegensatz zu Container-Lösungen versucht man beim App Wrapping nicht, alles in einer Anwendung abzubilden, sondern probiert, eine Gruppe von Apps so zu verändern, dass sie höheren Sicherheitsanforderungen entsprechen und Daten und Dokumente nur untereinander austauschen. Im Rahmen des Wrapping-Prozesses tauschen die Softwareentwickler dazu in einer bestehenden Anwendung Bibliotheken gegen modifizierte Biblotheken aus. Anders als bei einer Container-Lösung, bei der es sich um eine abgeschlossene, stabil funktionierende Lösung handelt, kann es beim App Wrapping sowohl zu rechtlichen als auch technischen Problemen kommen (siehe Kasten "Ausgewählte Problembereiche des App Wrappings"). Dennoch hat diese Technik im vergangenen Jahr einen regelrechten Hype erlebt. Schon wurden Rufe nach einer Standardisierung laut, denn jedes App Wrapping funktioniert anders. Und so finden sich die ersten Apps im App Store, die gleich mehrfach vorhanden sind: einmal für den normalen Anwender und dann in gewrappter Form für verschiedene MAM-Hersteller. Letztendlich war dies sicherlich eine Entwicklung, die Apple nicht gefallen hat. So wurde zur Apple Worldwide Developers Conference (WWDC) 2013 in San Francisco das neue IOS 7 angekündigt. Während die neue Oberfläche für Diskussionen sorgte, veröffentlichte Apple auf einer eigens dafür eingerichteten Website Details zu den Business-Features. Die Reaktionen der MDM-Hersteller und auch Blogger fielen sehr unterschiedlich aus. So entschied sich VMware für die Einstellung seiner App-Wrapping-Technik. Denn der Bedarf an Containern und App Wrapping für IOS 7 sei nun deutlich geringer, argumentierte Srinivas Krishnamurti, Senior Director for Mobile Solutions bei VMware, in einem Blog-Beitrag. Der EMM-Anbieter (Enterprise-Mobility-Management: Verwaltung mobiler Geräte, Apps und Daten) Mobileiron dagegen ließ in einen Blog gegenüber dem Hersteller Appsense verlauten: Die Frage, ob nur die Apps ohne das Gerät gemanagt werden können, habe Apple ganz klar mit Nein beantwortet. Der Blogger Jack Madden verfasste interessante Abgrenzungen zwischen dem MAM von Geräteherstellern und Drittanbietern. Und mit Citrix gibt es sogar einen Hersteller, der erst jetzt mit Worx Portal ein eigenes Portal für gewrappte Apps vorgestellt hat. Verfügbar sind in diesem Portal bislang aber gerade mal eine Handvoll Apps. Wie so häufig, wenn ein großer Hersteller etablierten, aber kleineren Anbietern auf die Füße tritt, ist schnell das Argument zur Hand, dass die neue Technik nur Basisfunktionen abdecke (siehe Beitrag auf Seite 38). Aber hier sollte man Apple als Meister der Reduktion nicht unterschätzen. Wo unabhängige Hersteller bislang aufwendige Verfahren bemühten, kommt Apple mit wenigen Funktionen aus. Für den Kunden bedeutet dies letztendlich, mit geringem Aufwand zu den gleichen Resultaten zu kommen. Apples MAM von IOS 7 setzt ein MDM-System voraus, um Anwendungen per Push auf das Gerät zu bringen. Neben den Anwendungen können auch Business-E-Mail-Konten gepusht werden. Diesen so genannten Managed Accounts und Apps kann der Administrator nun bestimmte Eigenschaften zuordnen. So kann er sicherstellen, dass beim Austausch von Dokumenten - "Open-in" genannt - Dokumente nur zwischen gemanagten Apps und Konten ausgetauscht werden. Da dies auch für die native E-Mail-App gilt, entsteht auf diese Weise eine Art Container. E-Mail-Anhänge, die man über seinen Business-E-Mail-Account erhält, lassen sich dann nur mit gemanagten Apps bearbeiten. Um die Sicherheit dieser Container zu erhöhen, stellt IOS 7 außerdem sicher, dass alle Anwendungsdaten verschlüsselt sind, und bietet zusätzlich das so genannte "App VPN" an, über das alle gemanagten Apps auf das Unternehmensnetzwerk zugreifen. Damit verfolgt Apple sogar eine Art Dual-Persona-Konzept (Dual Persona: Unterteilung eines Geräts in ein virtuelles geschäftliches und ein virtuelles privates Gerät), denn private Anwendungen sind von diesen Änderungen ausgenommen. So können mit dem App VPN privat genutzte Apps vom VPN ausgeschlossen werden, sodass zum Beispiel der private Youtube-Datenverkehr nicht mehr länger über das Unternehmensnetzwerk läuft. Da die MAM-Funktionen direkt in das Betriebssystem integriert sind, funktionieren sie für alle Applikationen. Die Anwendungshersteller können aber sogar noch weitere Funktionen in ihre Apps einbauen, so zum Beispiel Single Sign-on (SSO). Hier übernimmt das Betriebssystem die Authentifizierung und stellt diese für alle SSO-Anwendungen bereit. Es bleibt abzuwarten, wie die App-Hersteller dies adaptieren. Apple hat mit IOS 7 eine Technik herausgebracht, die App Wrapping kurzfristig ablösen wird und auch das Zeug dazu hat, sichere Container zu erstellen. Da Apple dies auf Basis der nativen E-Mail-Anwendung ermöglicht, werden es IT-Abteilungen schwer haben, Third-Party-E-Mail-Lösungen durchzusetzen, die mit einer proprietären eigenen E-Mail arbeiten. Unternehmen, die weiterhin auf App Wrapping setzen, sollten die Gefahr nicht unterschätzen, dass Apple nach Einführung seiner eigenen Technik gewrappte Apps womöglich aus dem App Store verbannt. Für die MDM- und MAM-Hersteller hat diese Entwicklung weitreichende Konsequenzen. Die Apple-eigenen MAM-Funktionen werden ihre Differenzierungsmerkmale weiter minimieren. Aus diesem Grund empfiehlt es sich, den Fokus mehr auf die erweiterten Enterprise-Mobility-Funktionen der Hersteller zu setzen. Denn gerade mit der Möglichkeit des Erstellens sicherer Container werden Funktionen wie der Zugriff auf Unternehmensressourcen immer spannender. Per App VPN lässt sich beispielsweise der Zugriff auf lokale File-Sharing-Apps optimieren. Empfehlungen Wer ein App-Wrapping-Projekt plant, sollte dieses Projekt stoppen. Es wird mit IOS 7 überflüssig. "Containerisierung" durch einen Drittanbieter wird ebenfalls überflüssig, denn IOS 7 ermöglicht eine vollständige, flexible und sichere Containerisierung einschließlich der nativen E-Mail-App - und dies, ohne die Benutzerakzeptanz durch eine Einschränkung der Funktionen zu gefährden. Beliebte Apps, die Mitarbeitern einen Produktivitätsgewinn ermöglichen, sollte ein Unternehmen nicht länger blockieren, denn ihre Verwendung wird mit IOS 7 unter Einhaltung hoher Sicherheitsstandards möglich sein. Bisherige App-Nutzungsrichtlinien sind zu überdenken. Apple-Geräte, die nicht unter IOS 7 lauffähig sind, sollte man verkaufen, solange ihr Marktwert noch hoch ist. Über eine Teilnahme am Apple Volume Purchase Program kann man sehr einfach IOS- und Mac-Apps sowie -Geräte kaufen und verteilen, Apps sehr einfach zurückgeben oder an andere Anwender übertragen. Zudem sollte man seine App-Anbieter fragen, wie diese IOS 7 unterstützen werden. Ein Unternehmen sollte außerdem prüfen, ob seine MDM-Lösung kompatibel zum neuen MAM-Ansatz von IOS 7 ist. Nur so kann es vom neuen IOS 7 profitieren. Wichtig ist zudem die Wahl des richtigen VPNs, das IOS 7 App VPN unterstützt. Den Datenverkehr kann man begrenzen, indem man alle privat installierten Apps wie Skype vom Unternehmens-VPN ausschließt.
Lesen Sie mehr zum Thema
