Mobile-Application-Management im Vergleich
IOS 7 versus Knox
Apple setzt mit IOS 7, Android-Marktführer Samsung mit Knox die Anforderungen an Application-Management auf Betriebssystemebene um - ein wichtiger Schritt für die Business-Tauglichkeit der mobilen Geräte. Apple baut dabei auf Management-Funktionen, Samsung auf einen Container-Ansatz.
IOS 7 ermöglicht die nahtlose Integration beruflicher und privater Apps sowie Daten auf Betriebssystemebene. Durch die feste Verankerung der erforderlichen Schnittstellen in IOS 7 stehen den MDM-Herstellern (Mobile-Device-Management) die Werkzeuge zur Verfügung, um die Integration von IOS-Geräten in das Unternehmensnetzwerk zu ermöglichen.
Konfigurationsebenen
Hierbei sind zwei Konfigurationsebenen zu unterscheiden. Zunächst erstellt der Administrator die Konfigurationsprofile, die zur generellen Verwaltung der systemweiten Geräteeinstellungen zum Einsatz kommen. Sie enthalten die Informationen zum MDM-Server und stehen den Benutzern über die MDM-Lösung zur Verfügung. Will ein Mitarbeiter mit seinem IOS-Gerät Zugriff auf die Unternehmensressourcen erhalten, muss er dieses Konfigurationsprofil auf seinem Gerät installieren. Der MDM-Server überprüft die Gültigkeit des Profils sowie die entsprechenden Benutzerrechte und sendet dem IOS-Device eine Checkliste mit erforderlichen Aufgaben zu, die das Gerät abarbeiten muss. Hierzu zählen beispielsweise sicherheitsrelevante Einstellungen wie Regeln zum Gerätepasswort oder das Deaktivieren der Kamera. Der Administrtor legt diese Policies über den MDM-Server je Benutzer oder Benutzergruppe fest.
Auf der anderen Ebene kann der Administrator die beruflich nutzbaren Apps konfigurieren und ihnen Attribute mitgeben, sie als "Managed Apps" markieren. Diese Apps pusht die Management-Lösung unmittelbar auf die Geräte, und der Anwender muss sie nur noch bestätigen. Bei Bedarf kann der Administrator einzelne Managed Apps und damit deren Dateninhalt auch wieder löschen. Die privaten Daten auf dem Gerät bleiben davon unberührt.
Einheitliche Bedienung für den Anwender
Für den Benutzer ergibt sich dadurch eine einheitliche Bedienung. Einige MDM-Lösungen ermöglichen dem Anwender per Self-Service Portal, das Ausrollen erforderlicher MDM-Profile sowie die automatische Installation aller Managed Apps selbst anstoßen. In der Regel wird der Anwender sich per Web-Interface am Server authentifizieren und erhält über dessen Portal das vom Administrator auf ihn zugeschnittene MDM-Profil.
Durch Apples Integration tauchen Managed sowie private (Unmanaged) Apps für den Anwender nebeneinander auf und lassen sich nicht voneinander unterscheiden. Erst bei Nutzung der Apps stellt er die Unterschiede fest.
Der Administrator kann für alle Managed Apps festlegen, dass diese nur untereinander Dateien austauschen dürfen. So lassen sich beruflich erstellte Dokumente nur mit freigegebenen Apps öffnen und auch nicht in Unmanaged Apps kopieren. Bei entsprechender Konfiguration können die Managed Apps mittels "Per-App-VPN" auf das Unternehmensnetz zugreifen. Apple wählt hier ebenfalls die einheitliche Bedienbarkeit. IOS kann die Credentials für das Unternehmens-VPN per MDM erhalten und nur den Managed Apps übergeben. Auf diese Weise werden nur die nötigen Datenströme durch das VPN geleitet, und der Traffic anderer Apps belastet keine Unternehmensressourcen.
Verwendet ein Unternehmen mehrere Apps eines Entwicklers, ist es möglich, dass diese über Enterprise Single-Sign-On alle auf eine gemeinsame, gesicherte Keychain zugreifen. So muss sich der Benutzer nur in einer App des Entwicklers einloggen und kann diese Benutzerdaten über die Apps hinweg verwenden. Die Apps stehen wie gewohnt über den App Store bereit. Benötigt ein Unternehmen eine App als Managed App, stößt das Gerät den Download aus dem App Store an und konfiguriert sich von alleine mit dem vom Administrator festgelegten Profil.
Wichtig zu wissen ist dabei: Eine App lässt sich nur entweder als Managed App oder als private App betreiben, also nicht parallel in beiden Bereichen. Nutzt ein Anwender bespielsweise Dropbox im beruflichen Bereich als gemanagte App, muss er sich im privaten Bereich nach einer Alternativlösung umschauen.
Administration der Festung Knox
Bei Samsungs Android-Erweiterung Knox befinden sich die arbeitsrelevanten Daten in einem verschlüsselten, abgeschlossenen Container. Der Benutzer richtet diesen entweder selbst über die Knox App ein oder erhält alle Daten von einem MDM-Server gepusht. Auf dem Gerät erfolgt nun der Setup des Speicherbereichs, in den die Unternehmensdaten geschrieben werden. Sie sind 256-Bit-verschlüsselt (AES-256) und nur über die Knox-Umgebung aufrufbar. Der Administrator kann mit einer geeigneten MDM-Lösung den gesamten Knox-Container für den Benutzer konfigurieren und festlegen, welche Apps darin zu installieren sind. Des Weiteren kann er den Container mit Sicherheitszertifikaten und Zugriffsrechten versehen.
Der Knox-Container läuft quasi als zweites Betriebssystem parallel zum privaten "Basis-Betriebssystem". Technisch ist Knox jedoch tief in das von Samsung modifizierte Android integriert. Die Knox-Umgebung hat ein eigenes Sicherheits-, Zertifikats- und Rechte-Management. In Samsungs neuem Flagschiff, dem Galaxy Note 3, geht das Knox-Sicherheitskonzept bis auf die Hardwareebene und prüft, ob eine unzulässige, potenziell unsichere Firmware auf das Gerät aufgespielt wurde. In diesem Fall markiert es das Gerät unumkehrbar als "unsicher", und der Anwender kann weder ein neuer Knox-Container erstellen, noch die im Container enthaltenen Daten wiederherstellen.
Knox wird als Icon auf dem Homescreen und im App Drawer hinterlegt. Bei seinem Start erscheint eine Passwort-Eingabeaufforderung. Nach dem Login befindet sich der Anwender im Knox-Container. Möchte er in seinen privaten Bereich wechseln, nutzt er eine Verknüpfung innerhalb von Knox. Die gesicherte Umgebung bedeutet auch, dass sich Fotos, die der Anwender unter Knox geschossen hat, nur im Knox-Container öffnen lassen. Den Dateitransfer kann der Administrator durch entsprechende Policies unterbinden. Dies gilt ebenfalls für Exchange-Konten, die unter Knox eingerichtet sind - einschließlich E-Mail-Konten, Kalendereinträgen und Kontaktadressen.
Wenn im E-Mail-(Push-)Konto unter Knox eine E-Mail eintrifft, blendet Android eine Benachrichtigung (Notification) ein, ohne Absender oder Betreff zu nennen. Der Benutzer muss sich authentifizieren, um die E-Mail lesen zu können. Gleiches gilt für Kalenderereignisse mit Erinnerungen. Kalendereinträge aus dem privaten Kalender erscheinen im Knox-Kalender, damit der Anwender die Übersicht über seine Termine behält.
Mit einer entsprechenden MDM-Lösung lässt sich der Knox-Container losgelöst von den Privatdaten löschen (Wipe). Veranlassen kann dies entweder der Benutzer per Self-Service-Portal oder der Administrator über seine Management-Konsole. Ebenfalls praktisch: Der Administrator kann das VPN ausschließlich für Knox konfigurieren, sodass nur unter Knox Zugriff auf das Intranet gewährt wird, in der persönlichen Umgebung hingegen nicht. Insbesondere für die Berechtigungen der Apps ist dies wichtig, da immer mehr Apps vollen Netzwerkzugriff verlangen.
Innerhalb der Knox-Umgebung lassen sich nur Apps installieren, die im Samsung Knox Store freigegeben sind. Samsung verifiziert dazu die eingereichten Apps der Softwareanbieter und stattet sie mit einem Sicherheitszertifikat aus. Hier liegt ein wichtiger Unterschied zu IOS: Die Entwickler müssen ihre Apps proaktiv im Knox Store parallel zum Google Play Store zugänglich machen.
Beide Sicherheitskonzepte haben ihre Stärken und spielen diese in ihren Bereichen aus. Während es Apple wichtig ist, dem Benutzer eine fließende, einheitliche Bedienbarkeit anzubieten, schließt Samsung die beruflichen Apps und Daten gesichert in Knox ein. Doch einige Fragen bleiben offen: Wie lässt sich beispielsweise die parallele Verwendung einer App für private und geschäftliche Daten unter IOS ermöglichen? Werden sich die Entwickler erfolgreicher Apps auf den Samsung Knox Store einlassen und sich immer wieder dem parallelen Zertifizierungsprozess stellen?
Für Antworten ist es zu früh, denn noch fehlen beiden Herstellern die Erfahrung und das Benutzer-Feedback. Fest steht jedoch heute schon, dass dies zwei wegweisende Ansätze sind, die viele Herausforderungen bewältigen, vor denen mobile Mitarbeiter und deren Administratoren bisher standen.
Sicher ist auch, dass durch diese Konzepte die kritische Sicherheitsschwelle überschritten wurde und zumindest technisch schon heute die Unabhängigkeit von ortsgebundenen Arbeitsplätzen möglich ist.
Lesen Sie mehr zum Thema
