Verwaltung mobiler Clients ohne MDM
Container für das Mobile Computing
IT-Verantwortliche werden von den Entwicklungen im Mobile Computing nahezu überrollt und geraten unter erheblichen Handlungszwang. Plötzlich sollen unternehmensfremde Endgeräte Zugang zu schutzbedürftigen Unternehmensdaten und Prozessen erhalten. Es stellen sich neue Fragen: Bedeutet das "Ja" zu Mobile Computing auch automatisch das uneingeschränkte "Ja" zur Einführung einer MDM-Lösung (Mobile-Device-Management)? Setzen die Themen Business-Mobilisierung und BYOD (Bring Your Own Device) gar MDM voraus?Der Erfolg und die Marktdurchdringung der Smart Devices ist unaufhaltsam: Immer mehr Anwender entscheiden sich statt für ein Notebook lieber für das neueste Smartphone oder Tablet. Der Umgang mit den Geräten, deren Betriebssystem, dem jeweiligen App Store und der Synchronisation mit den verschiedensten Cloud-Services fällt leicht, macht zumeist Spaß, und der Anwender weiß, dass es diverse Möglichkeiten zur E-Mail-Synchronisation, zum Bearbeiten von Office-Dokumenten etc. gibt. Was liegt näher, als diesen ständigen digitalen Begleiter auch für geschäftliche Tätigkeiten nutzen zu wollen? Das generelle Nutzungsverbot ist für IT-Verantwortliche keine perspektivische Lösung, schriftlich vereinbarte Regelwerke eher Alibi als wirksame Maßnahme. Als Abwehr des drohenden Kontrollverlusts scheint die Implementierung eines Mobile-Device-Managements das richtige Mittel, sorgt eine MDM-Lösung doch für die Kontrolle über solche unbekannten und nicht vertrauenswürdigen Gertäe im Kontext von deren geschäftlicher Nutzung und Integration in die Unternehmens-IT. Hinter dem Begriff Business-Mobilisierung steht eine klare Erwartungshaltung: Produktivitätsgewinn in Verbindung mit effizientem, zeit- und ortsunabhängigen Informationszugriff. Konsequent umgesetzte mobile Informationsverarbeitung ist zudem ein Qualifizierungs- und Differenzierungsmerkmal. Aus Unternehmenssicht gefordert ist daher die schnelle Bereitstellung von Daten, Applikationen und Services an die Nutzer und deren hohe, möglichst uneingeschränkte Verfügbarkeit. Dabei setzen sich die Benutzergruppen keineswegs nur aus den angestammten Mitarbeitern zusammen. Mobile Computing aus Unternehmenssicht Vorrangig ist dabei immer der Schutz der Unternehmensdaten. Dabei sind die potenziellen Sicherheitsrisiken vielfältig, angefangen beim Abhandenkommen des Endgeräts, dem Diebstahl gespeicherter Unternehmensdaten, dem Kompromittieren des Geräts durch Malware und damit dem potenziellen Schädigen des unternehmenseigenen Intranets. Lassen sich hier keine mehrstufigen Sicherheitsmechanismen etablieren, ist die technische/organisatorische Plattform nicht hinreichend tragfähig. Getragen wird eine Lösung de facto von der Akzeptanz durch ihre Benutzer, diese entscheiden maßgeblich über den Erfolg oder Misserfolg einer Lösung. Ein Werkzeug, das aufgrund unzureichender Handlingseigenschaften oder Nutzungshürden nicht oder nur wiederstrebend genutzt wird, trägt nicht zur Produktivitätssteigerung bei. In der Konsequenz bedeutet dies, dass einerseits die "haptische Wahrnehmung" (Wie fühlt sich die App an, wie ist der Bedienkomfort?), andererseits der regulierende Aspekt (Wie stark ist der Anwender hinsichtlich der Smartphone-Nutzung eingeschränkt?) gewichtet werden. Vor allem aber spielt die Befürchtung einer etwaigen Kontrolle des Nutzungsverhaltens seitens Dritter eine entscheidende Rolle für die Akzeptanz oder Ablehnung der Lösung. Hinsichtlich der Kosten/Nutzen-Relation ist BYOD ein interessanter Ansatz: Beschaffung, Deployment und Lifecycle-Management der Geräte entfallen, da deren Besitz und Erneuerung im Verantwortungsbereich der Anwender liegen. Die Anwender sind mit ihren Geräten vertraut und achten in der Regel sorgfältig auf diese. Ist das Unternehmen technisch und organisatorisch auf die Umsetzung einer BYOD-Strategie vorbereitet, kann eine klare Win-Win-Situation entstehen. Mobile Computing aus Anwendersicht Der Wunsch nach Nutzung des eigenen, vertrauten und bevorzugten Endgeräts steht in Übereinstimmung mit einer BYOD-Strategie, soweit diese im Unternehmen bereits vorhanden oder geplant ist. Die Bereitstellung möglichst vieler prozessbezogener Applikationen ist die logische Anforderung an die sich hinsichtlich Zeit und Ort ändernden Arbeitsmethoden. Eine dies unterstützende Informationsbereitstellung beschränkt sich keineswegs nur auf den Zugriff von PIM-Daten (Personal-Information-Management, also E-Mail, Kalender, Kontakte, Aufgaben) vielmehr spielt die zumindest einfache Bearbeitung zum Beispiel von Office-Dokumenten, der Zugriff auf Datenbestände (ERP, CRM) oder die Nutzung via Intranet verfügbarer Anwendungen eine wesentliche Rolle für eine durchgängige Business-Mobilisierung. Dem Vertriebsmitarbeiter, der beim Kunden zwar Zugriff auf seinen E-Mail-Account hat, aber keine Bestandsabfragen oder Auftragsbuchungen durchführen kann, steht nicht wirklich eine Mobile-Computing-Plattform zur Verfügung. Eine Konsequenz des Mobile Computings ist die zunehmende Aufweichung der Grenzen zwischen geschäftlichem und privatem Arbeiten. Mitarbeiter haben ausdrücklich das Recht auf eine Wahrung ihrer Privatsphäre, ihre persönlichen Daten genießen rechtlich besonderen Schutz. Dies gilt umso mehr, wenn die persönlichen Daten auf seinem privaten Endgerät gespeichert sind. Dabei sind alle Aspekte des Datenschutzrechts wirksam. Der Arbeitgeber muss die Persönlichkeitsrechte des Arbeitnehmers, sein Recht auf Vertraulichkeit und Integrität berücksichtigen. Die Wirksamkeit von Individualvereinbarungen, bei denen der Arbeitnehmer einem (administrierenden) Zugriff auf sein Gerät zustimmt, um dieses im Rahmen seiner geschäftlichen Tätigkeiten für seinen Arbeitgeber nutzen zu können, ist keinesfalls rechtssicher. Insofern werden sich Mitarbeiter und Mitarbeitervertretungen überlegen, ob sie sich einem Verfahren unterwerfen wollen, das grundsätzlich dazu geeignet ist, die Privatsphäre zu verletzen. Anwender erwarten eine Lösung mit weitgehend eigenverantwortlicher Nutzung und entsprechender Benutzerfreundlichkeit. Der ideale Ablauf beschränkt sich dabei auf wenige Schritte zur Installation, beginnend bei der Bereitstellung einer App aus einem öffentlichen App Store und deren einfacher Initialkonfiguration zur Anbindung an das Unternehmens-Intranet. Die Nutzungsfreigabe durch den IT-Service-Desk sollte ein möglichst schlanker Prozess sein, ein User-Self-Service-Portal für benutzerseitige Administrationszwecke und Elementarfunktionen wie etwa zur sofortigen Sperrung abhanden gekommener Gerät verfügbar sein. Auf diese Weise sollten Anwender innerhalb kürzerster Zeit mit ihren persönlichen Devices in das Kommunikationssystem und die mobil verfügbaren Prozesse ihres Unternehmens eingebunden werden. Stellt man die Anforderungsprofile einander gegenüber, findet man Übereinstimmungen und scheinbare Diskrepanzen oder Ausschlusskriterien. Als organisatorisch-technische Aufgabe gilt es, Lösungen zu finden, die möglichst alle Anforderungen bei angestrebt geringer Komplexität erfüllen können. MDM adaptiert konventionelle Device-Management-Sichtweisen und -Methoden auf völlig neue Gegebenheiten. Der Fokus liegt auf der Kontrolle und Überwachung der mobilen Endgeräte. Je heterogener die Geräteplattform, je flexibler die Nutzungsszenarien, desto höher ist der Aufwand, um dieses Umfeld mit Device-orientierten Management-Lösungen zu verwalten. Damit MDM greift, muss man es im Betriebssystem des Endgeräts verankern. Wenn ein konsequent umgesetztes MDM den "smarten" Teil der Smartphones eliminiert, droht als Ergebnis eine restriktive Infrastruktur, die weder hinsichtlich Nutzungsqualität, Akzeptanz noch Dynamik überzeugen kann. MDM ist zudem ohne konsequentes Mobile-Application-Management (MAM) unvollständig. MAM wiederum wirkt sich unmittelbar auf die Flexibilität der App-Bereitstellung, deren Interoperabilität und die erforderlichen Deployment-Plattformen aus. In der Summe der Maßnahmen steht am Ende ein Mobile-Enterprise-Management (MEM) das in seiner Komplexität und dem damit verbundenen operativen Aufwand die Kosten in die Höhe treibt und den Nutzen hemmt. Für eine Business-Mobilisierung, die den Einsatz privater Devices berücksichtigt, sollte man den Einsatz von MDM-, MAM- und MEM-Methoden daher kritisch betrachten. Ungeachtet einer technischen Umsetzbarkeit bleiben Anwendervorbehalte, rechtliche Unsicherheiten und funktionale Einschränkungen. Lösungsansatz Container Die Frage nach dem eigentlichen Ziel eröffnet eine andere Sichtweise. Geht es in erster Linie um eine durchgängige Gerätekontrolle, um auf den so gemanagten Systemen Unternehmensdaten vorzuhalten und Apps mit Zugang in das Unternehmens-Intranet betreiben zu können? Oder geht es darum, den unternehmensbezogenen Teil der Daten und Apps vom persönlichen Teil zu isolieren und dieses Unternehmenseigentum hinreichend zu schützen? Der Ansatz des Containerprinzips lautet: "Teile und (be)herrsche", der Grundgedanke: "Stelle dem Anwender eine isolierte und gemanagte Umgebung auf einem ungemanagten Gerät zur Verfügung." Derartige Lösungen installieren nach dem, erstmaligen Start der frei verfügbaren App auf dem Endgerät einen Container mit dynamischer Größenverwaltung, starker Verschlüsselung (256-Bit AES) und eigenem Dateisystem. Geschäftsanwendungen finden nur innerhalb dieses Containers statt, ein Datenexport aus dem Container ist nicht möglich. Die Kommunikation zum Unternehmen erfolgt über Gateways, Zwei-Faktor-Authentifizierung verifiziert Besitz und Wissen. Der jeweilige Container ist an das Gerät und den Benutzer gebunden, Änderungen (anderes Gerät oder anderer Benutzer) resultieren in der Löschung des Containerinhalts. Das Containerprinzip basiert auf der Nutzung nativer Clients. Deren "Look and Feel" muss aus Gründen der Bedienbarkeit dem der betriebssystemseitigen Standard-Clients entsprechen. Aufgrund der strikten Trennung von persönlichen und Containerdaten sind Funktionen wie zum Beispiel Overlay von Kalenderdaten anwendungsrelevant, damit bei der Vereinbarung geschäftlicher Termine eventuell kollidierende Privattermine berücksichtigt werden, ohne dass Privattermine im Businesskalender erscheinen. Die mobile Verfügbarkeit von E-Mails, deren Attachments und Kalenderdaten ist ein erster Schritt, zunehmend wächst der Bedarf, zum Beispiel Office-Dokumente mobil bearbeiten und synchronisieren zu können. Die Orientierung hin zu HTML5 als Plattform für mobile Apps bringt weitere Vorteile. Apps stehen damit betriebssytemübergreifend zur Verfügung und müssen nicht mehr in den jeweiligen OS-Versionen vorgehalten und gepflegt werden. Der Aufbau eigener App Stores entfällt. Derartige Apps lassen sich nach Benutzergruppen auf die jeweiligen Container ausbringen, die Kommunikation der Apps erfolgt durch die sichere native Geräteanbindung. Die Entscheidung für eine Containerlösung wird in der Regel von den Nutzern privater Endgeräte uneingeschränkt befürwortet. Die klare Trennung zwischen den vom Unternehmen bereitgestellten und gemanagten Daten und Apps innerhalb eines isolierten Bereichs einerseits und der davon unbeeinträchtigten Privatsphäre andererseits sorgt für Transparenz: Der Container mit den Unternehmensdaten gehört dem Unternehmen, das Endgerät und die persönlichen Daten dem Benutzer.
Lesen Sie mehr zum Thema
