Integriertes PC- und Mobile-Device-Management
Mobile Geräte sicher unter Kontrolle
Die Arbeitsbedingungen und Anforderungen an IT-Spezialisten ändern sich immer schneller: Mussten sie bis vor nicht allzu langer Zeit neben PCs nur mobile Geräte wie Notebooks verwalten, sehen sich Administratoren heute mit einem wahren Zoo unterschiedlicher Geräte konfrontiert. Spezielle Lösungen für die Verwaltung mobiler Geräte (Mobile-Device-Management, MDM) sollen helfen, auch solche neuen Endgeräte in die IT-Infrastruktur zu integrieren. Meist sind dies aber Stand-alone-Werkzeuge.Bis vor wenigen Jahren existierte noch eine deutliche Trennung zwischen den Geräten, die Anwender in den Firmen einsetzten, und der Technik, die bei den Nutzern im privaten Umfeld Verwendung fand. Waren es zunächst die Computer- und Notebook-Systeme, die aus dem geschäftlichen Umfeld in die häusliche Umgebung eindrangen, so sehen sich IT-Verantwortliche in den Unternehmen aktuell mit einer gegenläufigen Bewegung konfrontiert: Vor allem Apple-Geräte wie Iphone oder Ipad, eigentlich primär für das private Umfeld und den Freizeitbereich konzipiert, kommen immer häufiger auch in Unternehmensnetzwerken zum Einsatz.
Neue Geräte - neue Herausforderungen
Für die IT-Fachleute in den Unternehmen, zu deren Aufgabengebiet Verwaltung und Betreuung der Client-Geräte gehören, entstehen dadurch ganz neue Herausforderungen: Die traditionelle Verwaltung der Endgeräte funktioniert jetzt nicht mehr. Zwar ist die Art des Managements, die bei diesen Geräten zum Einsatz kommen muss, durchaus mit der bisherigen Art der Verwaltung zu vergleichen - auch hier handelt es sich um klassisches Geräte-Management, aber die Details bei der Betreuung der Geräte unterscheiden sich gänzlich von denen des klassischen Geräte-Managements. Während bei traditionellen Client-Systemen die Maschine im Mittelpunkt der Betrachtung stand, erfordert das Management mobiler Geräte eine benutzerzentrierte Sicht.
Systembetreuer sehen sich bei den mobilen Geräten oder so genannten "Smart Devices" zunächst einmal mit einer Vielzahl von unterschiedlichen Betriebssystemen konfrontiert. Bei den Fat Clients (PCs) waren sie es gewohnt, dass beispielsweise die Disziplin Fernadministration abgedeckt ist und durch solide Werkzeuge unterstützt wird. Selbst bei Apple-Macintosh-Clients ist diese Herangehensweise heute praktikabel. Jetzt aber sehen sich die IT-Fachleute Geräten gegenüber, die unter Systemen wie Apple IOS, Google Android, Microsoft Windows Mobile oder Windows CE betrieben werden, oder sie haben es gar mit so genannten Rugged-Devices zu tun, also zum Beispiel Code-Scanner-Geräten, wie sie im Einzelhandel zum Einsatz kommen.
Anders als PC-Management
Die Verwaltungsmöglichkeiten unterscheiden sich hier enorm vom klassischen PC-Management: Der Administrator kann die Anwendungen beispielsweise auf ein Betriebssystem wie Windows Mobile zwar in der gewohnten Weise von zentraler Stelle aus verteilen. Da es sich aber bei Apples Iphone oder Ipad eigentlich um Consumer-Geräte handelt, sind dort die Management-Möglichkeiten weniger stark ausgeprägt. So ist die Verteilung von Apps ohne Anwenderinteraktion technisch nicht ohne Weiteres möglich. Um das Problem der Softwarebereitstellung auf iOS Geräten trotzdem zu lösen, stellen Unternehmen Apple-Anwendern in der Regel einen Corporate App Store - vergleichbar dem Apple App Store - zur Verfügung, über den der Anwender von der Unternehmens-IT bereitgestellte Apps "einkaufen" kann.
Eine große Herausforderung beim Management von Smart Devices besteht darin, die unterschiedlichen Betriebssysteme und damit die Variationen innerhalb dieser Betriebssysteme zu unterstützen. Eine gute Management-Lösung für mobile Geräte wird dem Administrator diesen Schritt abnehmen: Er braucht dann nicht mehr zu wissen, welche Operationen er auf einem Android-Gerät mit der jeweiligen Betriebssystemversion ausführen kann. Die Lösung verfügt über die entsprechenden Informationen. Dabei existieren in der Regel große Unterschiede zwischen den Möglichkeiten und Funktionen der einzelnen Betriebssysteme.
BYOD bringt weitere Anforderungen
Zudem kommt unter dem Schlagwort "BYOD" (Bring Your Own Device) auf deutsche Firmen und damit deren IT-Abteilungen eine Entwicklung zu, die in den USA und Großbritannien schon deutlich weiter verbreitet und teils durch Arbeitgeber gefördert ist: Mitarbeiter bringen ihre eigenen Endgeräte ins Unternehmen mit und wollen damit im Unternehmensnetzwerk arbeiten. Nun muss die IT diese Geräte mit den unternehmenseigenen IT-Services versorgen und trifft dabei auf folgende Herausforderungen:
Sensible Unternehmensdaten sind eventuell auf diese Geräte zu übertragen.
Unternehmensdaten müssen beim Ausscheiden des Mitarbeiters von dessen Privatgerät gezielt entfernbar sein ("Corporate Wipe").
Die IT-Verantwortlichen müssen sichergehen, dass auch private Geräte, die ins Unternehmensnetz kommen, entsprechend abgesichert sind. Stichwort: "Device Lock" (Mobile Endgeräte sind ausnahmslos per PIN-Eingabe abgesichert).
Viele Endgeräte (darunter jene mit IOS) lassen sich nicht auf die traditionelle Weise verwalten: Bei ihnen ist immer eine Aktion des Anwenders notwendig, damit beispielsweise ein Dienst oder eine Anwendung installiert werden kann.
Frage der Zuständigkeit
Die Situation ähnelt jener beim Client-Management vor 15 Jahren: Unternehmen benötigen ein sicheres, zuverlässiges und automatisiertes Management von Endgeräten - heute eben von Smartphones und Tablets, weil die Anwender diese Devices für ihre tägliche Arbeit benötigen. Allerdings haben nur wenige Unternehmen diese IT-Management-Disziplin heute schon im Griff. Dies führt direkt zur der nächsten wichtigen, wenn nicht gar der wichtigsten Frage: Wer beziehungsweise welche Abteilung ist dafür verantwortlich, diese neuen Klasse von Client-Geräten im Unternehmensumfeld zu verwalten? Eine Problematik, die auch schon aus dem Umfeld der virtuellen Desktops bekannt ist.
Da die Disziplin des Geräte-Managements für mobile Geräte noch so neu ist, ist es vielfach auch nicht klar, im welchen Bereich der IT-Administration diese Aufgabe aufgehängt sein sollte. Im Moment findet man hier noch ganz unterschiedliche Ansätze: So gibt es Unternehmen, bei denen sich die klassischen Infrastruktur-Administratoren, die auch im Client-Bereich tätig sind, um diese Thematik kümmern. Dann gibt es auch eine starke Fraktion, deren eigentliche Tätigkeitschwerpunkte eindeutig im Security-Umfeld liegen, die aber in ihren Unternehmen diese Client-Systeme betreuen und warten. Schließlich findet man als eine interessante Variante auch eine ganze Reihe von Unternehmen, bei denen sich die Mitarbeiter, die eigentlich für die Mobilfunkbudgets (Telecom-Expense-Management) verantwortlich sind, zusätzlich um die Verwaltungsaspekte der mobilen Geräte kümmern.
Diese Aufgabe sollte allerdings am besten von der Gruppe in der IT betreut werden, die für das Enduser-Computing verantwortlich ist. Eine solche Gruppe existiert zwar in vielen Firmen noch nicht, wird jedoch für die neuen Arbeitsplätze der Nutzer, die immer häufiger auch aus mobilen Geräten und virtuellen Desktops bestehen, immer notwendiger: Dort finden sich dann nicht nur Server- und Client-Spezialisten, sondern auch IT-Fachleute aus den Bereichen Sicherheit und Mobilgeräte. Nur der Einsatz einer solchen dedizierten, bereichsübergreifenden Gruppe, die alle Aspekte des Endanwender-Arbeitsplatzes betrachten und verwalten kann, ist ein Garant dafür, dass kein wichtiger Aspekt des Mobilgeräte-Managements vernachlässigt wird.
Mobile-Device-Management
Ein umfassendes Management mobiler Endgeräte kann also auch eine Art Quersumme von Client-Management, MDM-Lösung und Telecom-Expense-Management darstellen. Dabei sollten folgende Teilbereiche unbedingt integriert sein: Softwareverteilung, Sicherheits- wie auch Richtlinienverwaltung, Inventar- und Asset- sowie Service-Management.
Bei der Softwareverteilung sind Funktionen zur Verwaltung und Betreuung der mobilen Anwendungen auf den Clients gefragt. Der Administrator muss sie sowohl verteilen als auch installieren, auf dem aktuellem Stand halten und wieder löschen oder blockieren können. Die Sicherheitsverwaltung umfasst die Verwaltung und Betreuung einer PKI und eines Zertifikat-Managements, die Durchsetzung von Sicherheitsrichtlinien auf den Client-Geräten sowie Verschlüsselung- und Authentifizierungsmöglichkeiten. Im Rahmen der Richtlinienverwaltung (Policy-Management) muss die IT-Abteilung die Richtlinien des Unternehmens für mobile Geräte einrichten, durchsetzen und kontrollieren können. Dazu zählen das Erkennen und Deaktivieren von "Jailbroken" (bei IOS) oder "Rooted" (bei Android) Geräten oder gegebenenfalls auch Funktionen wie das Abschalten von Youtube auf den mobilen Geräten.
Inventar- und Asset-Management
Zum Inventar- und Asset-Management gehören neben den grundlegenden Aufgaben einer Inventarverwaltung auch Tätigkeiten wie Provisionierung und Support. Im Service-Management gilt es an dieser Stelle, auch solche Dienste wie die Verwaltung der Telekommunikationsdienste, zum Beispiel Telefon- und Mobilfunkverträge der Mitarbeiter, zu regeln und zu überwachen. Eine Integration in den User Helpdesk ist ebenfalls sinnvoll.
Eine moderne MDM-Lösung sollte zudem das klassische Problem des im Taxi oder Flugzeug liegengelassenen Mobiltelefons effektiv lösen können. Dazu will das Gerät zunächst einmal mittels so genannten "Geo-Trackings" gefunden sin. Möglicherweise muss die IT es dann löschen (Wipe). MDM-Programme lokalisieren das Gerät auf einer Karte, sperren die Tastatur und lösen einen Klingelton aus. Führen all diese Schritte nicht zur Rückführung des Geräts zum Besitzer, so werden die Daten auf dem Gerät gezielt gelöscht.
Integriert oder nicht integriert?
Wer die Fülle dieser Anforderungen an MDM betrachtet, steht schnell vor der Frage, wie sich all diese Aspekte sinnvoll innerhalb einer Lösung integrieren lassen. Wäre es nicht praxisnäher, beispielsweise zwei Speziallösungen zu kombinieren? Ohne Zweifel gibt es Nachteile, wenn eine Organisation komplett auf eine integrierte Lösung setzt: Für Administratoren bedeutet das nämlich auch, dass sie sich in eine gewisse Abhängigkeit begeben. Ist beispielsweise das Client-Management zu eng mit dem Mobile-Device-Management verbunden, so können Probleme, die in der einen Komponente auftauchen, direkt die andere bedrohen und im schlimmsten Fall die Arbeit beeinträchtigen.
Ein weiteres Problem betrifft eine häufig auftretende Situation: IT-Mitarbeiter, die in den Unternehmen mit dem Client-Management betraut sind, werden in der Regel mit einem zusätzlichen Mobile-Device-Management schnell überfordert sein. Sie besitzen einfach noch nicht das Knowhow, kennen die Betriebssysteme sowie die Management-Paradigmen nicht, und die benötigte Infrastruktur wird ihnen in der Regel ebenfalls fremd sein. Allerdings besitzen viele Unternehmen bereits eine komplette Lösung, die das Client-Lifecycle-Management für die PCs regelt. Daher wollen die meisten IT-Verantwortlichen und Administratoren nicht erneut eine vergleichbare Management-Lösung aufbauen, die dann ein ebenso vergleichbares Problem löst. So sind auch die Analysten von Gartner zu der Überzeugung gelangt: Selbst wenn das Managementproblem bei den mobilen Endgeräten zunächst anders aussieht als bei der "normalen" IT, handelt es sich doch um genau das gleiche Business-Problem, das die IT hier zu bewältigen hat. Folglich bietet der Einsatz einer integrierten Lösung große Synergieeffekte. Dies gilt sowohl für die Mitarbeiter als auch für die Management-Werkzeuge, für die dank Integration weder eine separate Infrastruktur noch ein spezielles eigenes logischen Prinzip bei der Verwaltung einzuführen ist. Weitere Vorteile entstehen durch eine Integration des Service-Managements: Dabei werden nicht nur die Geräte technisch verwaltet, sondern zudem fließen die Kostenaspekte sowohl für die Geräte als auch für die Infrastruktur mit ein.
Lesen Sie mehr zum Thema
