Bewegung im MDM/MAM/EMM-Markt durch IOS 7
Mobility-Management nach Apple-Art
Apples neues Mobilgeräte-Betriebssystem IOS 7 bringt den Administratoren in Unternehmen bedeutsame Verbesserungen im Hinblick auf die zentrale Verwaltung der mobilen Geräte und vor allem der Apps (Mobile-Device- und Mobile-Application-Management, MDM/MAM) sowie für höhere Datensicherheit. Auch Android-Hersteller wie Samsung und LG liefern immer mehr MDM/MAM-Funktionen "ab Werk". Der Markt für Enterprise-Mobility-Management-Lösungen steht damit vor einem Umbruch.Mit dem Smartphone und dem Tablet-PC hat IT- und Marketing-Gigant Apple die rasante Verbreitung zweier Produktgattungen angestoßen, die auf Privatanwender zielten, inzwischen aber auch aus dem Geschäftsalltag nicht mehr wegzudenken sind. Zwar hat die Herstellerschar, die Smartphones mit dem Konkurrenz-OS Google Android vertreibt, das Iphone nach Marktanteil bereits überholt, doch in den Unternehmen ist die Hardware mit dem angebissenen Apfel nach wie vor der "gesetzte" Client. Entsprechend groß sind die Auswirkungen auf Unternehmen, wenn Apple an den Endgeräten oder aber an deren Betriebssystem etwas ändert. Schon mit IOS 6 bot Apple einen Satz von APIs, mit denen MDM-Lösungen die Apple-Mobilgeräte verwalten konnten - in genau jener Art und Weise, die man in Cupertino vorgab. Diese Funktionalität hat Apple mit der jüngst vorgestellten Version 7 des Iphone- und Ipad-Betriebssystems deutlich in Richtung einer zentralen Administration der mobilen Geräte wie auch der installierten Apps erweitert. So kann der Administrator nun mittels Open-in-Management festlegen, mit welchen Apps und mit welchen Accounts sich eine Datei öffnen lässt. Damit bietet Apple einen nützlichen DLP-Mechanismus (Data Leakage Prevention, Vermeidung von Datenverlusten). Apps lassen sich so konfigurieren, dass sie beim Start automatisch mittels Per-App-VPNs auf das Unternehmensnetz zugreifen. Der Aufbau eines separaten VPNs erübrigt sich damit. Auch die MDM-Funktionalität für Apple-Geräte ist gewachsen: Unternehmenseigene Geräte lassen sich nun schon beim Setup automatisch im MDM des Unternehmens registrieren. Über Funk kann der Systemverwalter Managed Apps einrichten, individuelle Fonts installieren und Zugriffsoptionen wie zum Beispiel zulässige Airprint-Druckmöglichkeiten konfigurieren. Dank des "App Store Volume Purchase Programs" können Unternehmen Lizenzen gesammelt für ihre Anwender erwerben. Dies erlaubt es Endanwendern, mit ihren eigenen Apple-IDs Unternehmens-Apps zu kaufen, die automatisch in das Lizenz-Management des Arbeitgebers eingebunden sind. Dieser muss die private Apple-ID des Arbeitnehmers dabei nicht kennen - ein sehr praktischer Mechanismus für die berufliche Nutzung von Privatgeräten (Bring Your Own Device, BYOD). IOS 7 unterstützt zudem Enterprise Single Sign-on (SSO) für die Apps. Dies erleichtert Anmeldevorgänge für den Benutzer und erhöht damit ebenfalls die Sicherheit. (Unternehmens-)Daten werden mit IOS 7 bei der Verwendung mit Third-Party-Apps automatisch verschlüsselt, bis der Anwender sie mit seinem Login entschlüsselt. Auch dies dient der Datensicherheit und der DLP. Ein Überblick über die neuen Business-Funktionen findet sich unter www.apple.com/ios/business/. IOS 7 ergänzt damit die Funktionalität heutiger MDM- oder MAM-Lösungen - macht einiges davon aber auch schlicht überflüssig. "Die integrierte Trennung privater und geschäftlicher Daten durch IOS 7 macht Angebote wie App Wrapping für das Apple-Betriebssystem zum Auslaufmodell. Lösungen in diesem Umfeld werden vom Markt verschwinden", prophezeit Thomas Lippert, Senior Product Manager beim Security-Anbieter Sophos. Jenseits der IOS-7-Funktionen Seitens der betroffenen Lösungsanbieter sieht man das naturgemäß meist anders. "Während diese neuen Funktionen von IOS 7 Schritte in die richtige Richtung sind, schützen sie dennoch nicht umfassend, was für Unternehmen wichtig ist - nämlich ihre Apps und ihre Daten", betont zum Beispiel John Dasher, Vice President Product Marketing beim MAM-Vorreiter Good Technology. Er nennt mehrere Gründe, warum aus seiner Sicht der Bedarf für ein zusätzliches Enterprise-Mobility-Management (EMM) bestehen bleibt. Der offensichtlichste Punkt betrifft die Plattformvielfalt: "Der Definition nach sind Apples IOS-7-Funktionen nicht multiplattformfähig und daher nicht mit Android oder Windows kompatibel", so Dasher. "Da die meisten Unternehmen verschiedene Plattformen nutzen, ist diese Funktion sehr wichtig." Aber auch die Absicherung der Apple-Welt weise Lücken auf: Selbst mit Managed Open-in gebe es keine Copy/Paste-Kontrolle, die dafür sorgt, dass das Ausdringen sensibler Daten auf persönliche Apps beschränkt bleibt. Auch bestehe keine Kontrolle über Apples Browser Safari, den Kalender oder die Kontakte. Da Safari nicht als Managed App zähle, sei ein separater sicherer Browser erforderlich, um den Zugang zu Intranet-Ressourcen zu sichern - insbesondere, weil Apple keinen anderen Standard-Browser zulasse. Zudem kritisiert der Good-Marketier, die Managed Apps in IOS 7 böten "einen nur unvollständigen und widersprüchlichen Workflow für Dokumente": "Wie funktioniert beispielsweise ein sicherer Zugang zu Sharepoint, Dateiübertragungen und Web-Apps? Hier werden zusätzliche Apps benötigt - ein sicherer Browser, Sharepoint-Client und so weiter." Des Weiteren gebe es keine zentrale Ablage für Dokumente, sodass die Dokumente über viele verschiedene Apps verteilt abgelegt sind. Auch befassten sich Managed Apps nicht mit Daten, die auf App-Ebene nach außen gelangen. Die Datenübertragung zwischen Apps lasse immer noch unverschlüsselte Daten im Cache zurück, und die neue Airdrop-Funktion (Datensynchronisation zwischen Apple-Geräten) lasse sich nicht einschränken. Hardwareseitig wiederum existierten keine Jailbreak-Erkennung und -Verhinderung oder andere Compliance-Kontrollen in IOS 7. Und schließlich könne der Anwender gemanagte und persönliche Versionen einer App nicht parallel auf einem Gerät nutzen. "Apples Ansatz wird sie demnach dazu zwingen, ihre persönliche Version der App zu löschen und die Unternehmensversion zu installieren", mahnt Dasher. "Keine gute Wahl für eine Welt, in der BYOD eine wichtige Rolle spielt." Neuer Enterprise App Store Vor diesem Hintergrund sieht offenbar auch Citrix nach wie vor Bedarf an zusätzlicher MAM-Funktionalität: Der Spezialist für virtualisierte Applikationen und Desktops, der sich in letzter Zeit verstärkt auf EMM konzentriert, hat kürzlich mit der Worx App Gallery einen eigenen App Store für Enterprise-Anwendungen vorgestellt, die für das Zusammenspiel mit der hauseigenen EMM-Lösung Xenmobile per Wrapping aufbereitet sind. "Unsere Kunden können ein durchgängiges und konsistentes App-Security-Modell über IOS und Android hinweg erwarten, mit Zugriff auf Mobile-, Windows- und SaaS-Anwendungen, zudem der Möglichkeit, den Zugang von unautorisierten öffentlichen Netzwerken zu blockieren, und DLP-Policies wie das Blockieren von Copy/Paste aus gemanagten Apps", erläutert Stefan Volmari, Manager Systems Engineering Networking and Cloud für Deutschland bei Citrix, den Hintergrund. Zudem unterstütze man - da ist Citrix im Einklang mit allen führenden MDM/MAM-Anbietern wie Airwatch, Good oder Mobileiron - ab sofort die neuen IOS-7-Funktionen und -APIs. Dazu habe Citrix zum IOS-7-Start Xenmobile in Version 8.5 auf den Markt gebracht, zudem gebe es 60 zusätzliche App-Policies. Während Good wie auch Citrix aus Apples Fokus auf die hauseigene Monokultur und den weiterhin bestehenden technischen Funktionslücken einen bleibenden Bedarf für ein plattformübergreifendes EMM auch für IOS-Geräte ableiten, hat man bei VMware ganz anders reagiert: Srinivas Krishnamurti, Senior Director for Mobile Solutions bei VMware, gab Ende Juli auf dem VMware-Blog (tinyurl.com/oexdorz) bekannt, dass man sich aus dem MAM-Markt für Apple-Geräte zurückziehen werde. "Der Bedarf an Containern und Application Wrapping wird durch IOS 7 drastisch reduziert", so Krishnamurti. Zwar werde - wie im oben erwähnten Fall des Copy and Paste zwischen Business- und Privatanwendungen - weiterhin ein Einsatzfeld für App Wrapping bestehen bleiben, doch im Wesentlichen könne ein Administrator künftig seine Ziele auch ohne solche Mechanismen erreichen. Deshalb bietet VMware seine MAM-Lösung Horizon Workspace - aktuell in Version 1.5 - ab sofort ohne IOS App Wrapping und somit nur noch für Android an. Allerdings gibt es auch in der Android-Welt Bestrebungen, Smartphones zu liefern, die bereits ab Werk unternehmenstauglich sind. So hat Android-Platzhirsch Samsung mit seinem Security-Framework Knox für das Galaxy S4 das Standard-Android um wichtige Enterprise-Funktionen ergänzt: Business-Apps laufen in einem gesicherten Container, der per VPN mit dem Unternehmens-Backend kommuniziert. Hinzu gesellen sich SSO, ein anpassbarer Secure-Boot-Vorgang sowie erweiterte MDM-Schnittstellen. Einen ähnlichen Ansatz hat in Samsungs Windschatten jüngst Konkurrent LG mit Gate vorgestellt: Die Dual-Personality-Lösung für LGs Smartphones der Baureihe G2 kombiniert ebenfalls Verschlüsselung, Microsoft Activesync, VPN und MDM-Funktionen. Damit sollen sich auch die G2-Geräte besser für BYOD eignen. Allerdings wird Gate zunächst nur in den USA verfügbar sein. Ausblick Mit Ansätzen wie IOS 7, Knox und Gate arbeiten die Mobilgerätehersteller daran, ihre Devices bereits ab Werk für den Unternehmens- und BYOD-Einsatz zu rüsten. Die EMM-Anbieter ergänzen dies um ein plattformübergreifendes Management und schließen punktuell funktionale Lücken einzelner Hersteller. Damit rückt eine Zukunft in greifbare Nähe, in der ein neu eingestellter Mitarbeiter sein privates - und auf OS-, App- oder aber Container-Ebene abgesichertes - Mobilgerät ins Unternehmen mitbringt und von der IT neben der E-Mail-Adresse und dem Active-Directory-Account einfach einen rollenbasierten Zugang zum unternehmenseigenen App Store erhält. Von dort lädt er die benötigten Business-Apps und -Ressourcen, deren Nutzung die IT-Abteilung zentral steuern und beim Ausscheiden des Mitarbeiters oder bei Geräteverlust ebenso zentral unterbinden kann. Diese Entwicklung wird die Rolle der IT-Organisation deutlich verändern, argumentiert Steve Daly, CEO des Client-Management-Spezialisten Landesk, im LANline-Interview. "Self-Service wird die Standardvorgehensweise sein", so Daly. "Die IT muss dazu einen Ort schaffen, den die Anwender von sich aus aufsuchen wollen, und sie muss bei Bedarf Hilfestellung leisten." Der Helpdesk wandle sich damit in Richtung eines "Hospitality Desks" - gleiche also künftig der Rezeption eines Hotels, die dem Gast weitestgehend entgegenkommt und ihn in allen Belangen unterstützt. Der Landesk-CEO fordert deshalb einen verstärkten Fokus auf den Endanwender: "Disziplinen wie Client-Lifecycle-Management und MDM werden in einem User-Lifecycle-Management aufgehen." Angesichts wachsender Business-Client-Funktionalität wie IOS 7 und Samsung Knox werde die Wertschöpfung im umfassenden User-Management und der herstellerübergreifenden Orchestrierung liegen. "Der Endanwender wird Wahlfreiheit einfordern", so Steve Daly. Die IT müsse den Anwender künftig auf der Basis einer prozessorientierten, automatisierten Durchsetzung der Unternehmensrichtlinien durch möglichst unauffälliges IT-Management im Hintergrund unterstützen.
Der Autor auf LANline.de: wgreiner
Lesen Sie mehr zum Thema
