Praxistest Blackberry Enterprise Service 10
Das Comeback der schwarzen Beere
Obwohl die Blackberry Enterprise Solution für das Mobile-Device-Management (MDM) und die sichere mobile Unternehmensanbindung als Maß der Dinge gilt, strahlte ihr Stern zuletzt nicht mehr ganz so hell. Mit den ersten Geräten unter Blackberry 10 und dem neuen Blackberry Enterprise Service 10 starten die Kanadier neu durch. Ein geglücktes Comeback?Der erste Blick auf den Blackberry Enterprise Service (BES) 10 enthüllt viel Vertrautes, wenn auch die entscheidenden Komponenten vollständig neu entwickelt sind. Der Sprung von Blackberry OS 7.1 auf 10 für die mobilen Endgeräte und vom Blackberry Enterprise Server 5 auf den Blackberry Enterprise Service 10 für die Backend-Dienste ist nicht nur eine turnusmäßige Weiterentwicklung der für seine Sicherheit bekannten und von vielen Firmen geschätzten Mobillösung, sondern das Ergebnis einer mehrjährigen Neuentwicklung. Das im Januar vorgestellte Touch-Modell Z10 nutzt als erstes Smartphone aus dem Hause Blackberry (vormals Research in Motion, RIM) den neuen, Multitasking-fähigen QNX-Kernel, den der Anbieter erstmals mit dem Tablet Playbook vorgestellt hatte. Trotz dieser Gemeinsamkeit und Ähnlichkeiten der Benutzeroberflächen unterscheiden sich das neue Blackberry OS 10 auf dem Z10 und das noch aktuelle Playbook OS 2.1 in vielen Details. Blackberry will Blackberry 10 auch für das Playbook portieren, einen konkreten Termin dafür nannten die Kanadier allerdings noch nicht. Sicher ist jedoch, dass die neue "10er-Welt" auf keinem der bisherigen, Java-basierten Blackberry-Modelle wie 9790 oder 9900 lauffähig sein wird. Dieser harte Schnitt erfolgt auch auf der Backend-Seite. Während der bekannte BES 5 weiterhin Geräte bis Blackberry OS 7.1 bedient, erfordert die Unternehmenseinbindung und zentrale Verwaltung von Geräten unter Blackberry 10 und Playbook OS 2.1 den so genannten Blackberry Device Service (BDS) ab der aktuellen Version 6.2, der auch nicht zusammen mit BES 5 auf dem gleichen Server laufen kann. Damit ein Migrationsszenario von alter zu neuer Blackberry-Welt administrativ denoch "sanft" verläuft, lehnt sich die Administrationsoberfläche der BDS sehr stark an BES 5 an. Blackberry-Administratoren werden sich daher sehr schnell heimisch fühlen. Zusätzlich lassen sich eingeschränkt Verwaltungsaufgaben für beide Blackberry-Generationen auch mittels der überspannenden Verwaltungsoberfläche Blackberry Management Studio erledigen. Diese bindet für eine Gesamtsicht auf das mobile Geschehen im Unternehmen auf Wunsch auch IOS- und Android-Geräte ein, deren MDM über den eigenständigen Server-Dienst namens Universal Device Service (UDS) erfolgt. BES 5, BDS 6.2, UDS 6.2.1 und das Management Studio 6.4 machen zusammen den Blackberry Enterprise Service 10 aus. In unserem ersten praxisorientierten Labortest konzentrieren wir uns zunächst auf das Zusammenspiel zwischen Blackberry 10, wie es sich mit dem neuen Z10 erleben lässt, und dem korrespondierenden Backend-Dienst BDS. Beide streben an, das Duo aus alter Gerätegeneration und BES 5 im Unternehmensumfeld zu ersetzen. Neues in der Blackberry-Architektur Auch unter Blackberry 10 erfolgt die sichere Unternehmensanbindung der Endgeräte über einen verschlüsselten Kommunikationskanal über die Blackberry-eigene Infrastruktur. Der Blackberry Device Service hinter der Unternehmensfirewall errichtet eine ausgehende Verbindung zu einem der weltweit verteilten Blackberry-NOCs (Network Operation Center), auf der Gegenseite kommuniziert das Endgerät ebenfalls mit einem NOC, das die verschlüsselten Datenpakete dann via Blackberry-Infrastruktur vermittelt. Wie von vielen Unternehmen mit BES 5 als Best Practice realisiert, lässt sich der Blackberry-Router getrennt vom BDS in einer DMZ plazieren. Alternativ und parallel zur Anbindung über die Blackberry-Infrastruktur können Unternehmen auch eine bestehende VPN-Infrastruktur als sicheren Kommunikationskanal zwischen Endgerät und eigenem Netzwerk nutzen. Auf diesem Kanal führt der Weg dann an den Blackberry-NOCs vorbei, ein dazu geeigneter VPN Concentrator ist zum Beispiel Cisco ASA. Um der Benutzbarkeit auf dieser Alternativroutine keinen Abbruch zu tun, beherrscht BDS nun auch die automatische Verteilung von Client-Zertifikaten für VPN-Profile, um VPN-Verbindungen ins Unternehmen von Endgeräten unter Blackberry 10 "on Demand" aufbauen zu lassen. Anders als bei BES 5 muss das Unternehmen nicht mehr zwischen unterschiedlichen Produktfassungen für Microsoft Exchange, Lotus Domino und Novell Groupwise entscheiden. Dies wird durch den Umstieg auf den Protokollstandard Exchange Activesync (EAS) erreicht. Endgeräte unter Blackberry 10 und Playbook OS 2.1 synchronisieren nun PIM-Daten unmittelbar mit den jeweiligen EAS-Diensten der Groupware-Server. BDS verwaltet lediglich noch E-Mail-Konfigurationsprofile, die den einzelnen Benutzern zugeordnet werden, und vermittelt Datenpakete zu den Groupware-Servern über die Komponente Blackberry MDS Connection Service. Alternativ lässt sich für ein E-Mail-Profil auch dediziert ein VPN-Profil definieren, über das man den Groupware-Server erreichen will. In unserem Test ließen sich über eine BDS-Instanz sowohl Benutzerkonten unter Microsoft Exchange 2010 als auch IBM Lotus Domino parallel bedienen. Die Domino-Anbindung setzt allerdings die EAS-Implementierung von IBM Lotus Domino/Traveler 9 voraus, die zum Testzeitpunkt erst als Betaversion vorlag. Auf der Server-Seite erhöht diese Maßnahme nicht nur die Flexibilität bei der Groupware-Unterstützung, sondern soll auch die Skalierbarkeit verbessern: Während Blackberry pro BES-5-Instanz maximal 1.000 bis 2.000 Geräte empfiehlt, soll ein BDS nun bis zu 10.000 Geräte schaffen. Dies ist derzeit allerdings ein doch eher theoretischer Wert, da sich aufgrund der aktuell fehlenden Unterstützung für eine High-Availability-Option für BDS 6.2 wohl kaum ein Unternehmen auf das Abenteuer einlassen dürfte, diese Grenzbereiche auszuloten. Eine HA-Unterstützung soll erst Ende des Jahres folgen. Der Umstieg auf Exchange Activesync bleibt auch nicht ohne Auswirkungen für die Benutzerseite: Endlich entfällt die lästige Beschränkung auf ein Gerät pro Benutzer aus BES-5-Zeiten. Für einen Benutzer und sein E-Mail-Konto lassen sich nun beliebig viele Geräte unter Blackberry 10 und Playbook OS aktivieren. Dafür unterliegt das geräteseitige Funktionsangebot natürlich auch den Möglichkeiten und Grenzen der EAS-Implementierung. Ändert ein Benutzer beispielsweise sein AD- oder Notes-Internet-Kennwort oder läuft dieses aus, fällt zunächst auch die PIM-Synchronisation aus. Das neue Kennwort ist auf dem Endgerät nachzutragen. E-Mail-Filter lassen sich nicht mehr geräteseitig wie unter den Blackberry-10-Vorläufern definieren. Da Lotus Traveler auch in der Version 9 keine Server-seitige Volltextsuche über die vollständige E-Mail-Datenbank unterstützt, fällt auch dieses bisher geschätzte Feature weg. Administrationsseitig ist keine Option mehr vorgesehen, die E-Mail-Signatur von Blackberry-Benutzern zentral zu pflegen. Diese kann der Benutzer nur am Gerät verwalten. Das Highlight von Blackberry 10 ist aber ohne Zweifel die konsequente Trennung zwischen persönlichen und geschäftlichen Arbeitsbereich auf Betriebssystemebene durch das neue Feature namens Balance. Im Auslieferungszustand verhält sich ein Blackberry-10-Gerät wie der Z10 nun wie jedes andere Smartphone auch: Web- und E-Mail-Nutzung erfordern keinen speziellen Blackberry-Tarif mehr, sondern lassen sich mit jedem Datentarif oder über WLAN nutzen. Auch der E-Mail-Abruf erfolgt nicht mehr über den Umweg eines Blackberry Internet Servers. Selbst Exchange Activesync kann ein Blackberry-10-Gerät ohne BES direkt zur PIM-Synchronisation nutzen. Alle Apps und Daten befinden sich im "Personal Space" des Geräts. Im "Blackberry Hub" versammeln sich sehr praktisch alle ein- und ausgehenden E-Mails und Telefonanrufe sowie Nachrichten aus Zusatzdiensten wie BBM (Blackberry Messenger), Facebook, Twitter und Linkedin. BBM erlaubt dank der potenten neuen Hardware eines Z10 nun auch Videotelefonie über das Internet sowie Screen-Sharing in Echtzeit. Insbesondere Letzteres wird den Helpdesk erfreuen, lassen sich nun auch Anwenderprobleme ohne Zusatzlösung wesentlich leichter nachvollziehen. Mit der Aktivierung gegen einen BDS im Unternehmen wird das Gerät in das zentrale Device-Management der IT eingebunden und zusätzlich ein Gerätebereich für geschäftliche Dateien und Apps sowie deren Unternehmensanbindung via Blackberry-Infrastruktur gebildet. Für den Arbeitsbereich verwendet die Balance-Funktion ein separat verschlüsseltes Dateisystem, das Apps und Daten sauber vom Personal Space trennt. Geschäftsdaten aus der PIM-Synchronisation via Exchange Activesync tauchen erst dann gemeinsam mit Privatdaten in Blackberry Hub sowie in den Kontakt- und Kalender-Apps auf, wenn Balance durch eine Kennworteingabe entsperrt wurde. Per Wischgeste wechselt der Anwender auf der neuen Flow-Oberfläche von Blackberry 10 zwischen der privaten und der geschäftlichen App-Auswahl. Ein getrennt definierbarer Bildschirmhintergrund hilft dabei, die Orientierung zwischen Arbeit und Privatem nicht völlig zu verlieren. Während man Apps für den "Personal Space" jederzeit aus dem öffentlichen App-Store Blackberry World beziehen kann, muss der Administrator Geschäfts-Apps jenseits des Standardlieferumfangs zunächst via BDS über den firmeninternen App-Store Blackberry World-Arbeit bereitstellen. Dazu gehört zum Beispiel die App Work Drives, die einen Dateizugriff auf Windows Shares im Unternehmen erlaubt. Über den Datei-Manager lassen sich so zum Beispiel zwar Office-Dokumente von Dateiablagebereichen im Unternehmen auf das Mobilgerät übertragen und mittels Docstogo und Acrobat Reader betrachten, eine direkte Übertragung in den Privatbereich des Geräts ist aber nicht möglich; Apps im Personal Space tauchen auch nicht in der zentralen App-Inventur auf - beides freut den Datenschützer. Einen schweren Lapsus leistet sich Blackberry allerdings bei der Einbindung der beliebten Cloud-Speicherdienste Box und Dropbox. Diese sind standardmäßig sowohl im Personal wie auch Work Space verfügbar. Im Arbeitsbereich eröffnen sie einen unkontrollierten Weg zum Abfluss sensibler Geschäftsdateien ins Internet. Dies verstößt gegen die IT-Sicherheitsrichtlinien vieler Unternehmen. Zur Unterbindung des potenziellen Datenlecks sieht Blackberry eigentlich eine Konfigurations-Policy vor, die beide Apps aus dem Arbeitsbereich verbannen soll (Cloud Storage Access from Work Space = Disallow). In unserem Test zeigte sich aber, dass die Policy lediglich bei der Neuaktivierung von Geräten greift, ein nachträglicher Versuch der App-Verbannung bleibt hingegen ohne Wirkung. Diesen leicht reproduzierbare Fehler haben wir an das Blackberry-Security-Team weitergeleitet. Überhaupt präsentiert sich die sicherheitstechnische Anpassung des Systems an individuelle Unternehmensanforderungen derzeit teils noch als Baustelle. So führt die "Policy Reference" zu BDS 6.2 zwar 42 Einzelkonfigurationsparameter auf, davon stehen aber alleine acht erst mit Blackberry OS 10.1 zur Verfügung, das laut Aussage von Blackberry zusammen mit dem neuen Tastaturgerät Q10 im zweiten Quartal auf den Markt kommen soll. Dank der insgesamt klaren Balance-Architektur wird aber keine Notwenigkeit entstehen, eine Marke von über 500 Policies wie unter BES 5 anzustreben. Fazit: Vielversprechendes Comeback Blackberry ist mit BB 10 und der Komponente BDS von BES 10 insgesamt ein beeindruckender erster Wurf für eine komplette Neuentwicklung gelungen. Zwar zeigt die Lösung zum Testzeitpunkt noch einige Ecken, darunter zum Beispiel fehlende Traveler-Unterstützung für die Domino-Welt, fehlende High-Availability-Option und den von uns aufgedeckten Sicherheitsfehler im Policy-Deployment; doch die Entwicklung geht mit Balance, dem frischen Flow-GUI von Blackberry 10 und dem Touch-Smartphone Z10 mit zeitgemäßer Hardware in die richtige Richtung, um wieder als Maß der Dinge für sicherheitsbewusste Unternehmensumgebungen zu gelten. Eingeschworene Blackberry-Fans werden sicherlich noch auf das Tastaturmodell Q10 warten. Ob BES 10 mit BB 10 primär nur einen Migrationspfad für bestehende Blackberry-Umgebungen aufzeigt oder sich mit dem Universal Device Service auch als überzeugende MDM-Lösung für IOS- und Android-Geräte anbietet, war noch nicht Bestandteil dieses Tests. Der Betatest von Blackberry Balance for IOS and Android läuft aber bereits für ausgesuchte Unternehmen. Blackberry berechnet 99 Dollar pro Geräte-CAL (Client Access License).
Info: BlackberryTel.: 0044/1753/667000Web: www.blackberry.com
Der Autor auf LANline.de: pmeuser?????
Lesen Sie mehr zum Thema
