Smartphones und Tablets gehören bei vielen Unternehmen zum täglichen Arbeitswerkzeug. Nicht erst mit der Einführung der EU-Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 umgesetzt werden muss, stellt sich Unternehmensverantwortlichen die Frage nach einer wirksamen Mobile-Security-Strategie, die sowohl Unternehmens- wie Kundendaten umfassend schützt. Um- und durchgesetzt werden kann diese eigentlich nur mit Hilfe von EMM-Lösungen (Enterprise Mobility Management). Im Folgenden haben wir fünf Vertreter dieser Gattung gegenübergestellt.
Wie so häufig unterliegt nicht nur die Technik, sondern auch ihre Klassifizierung einem rapiden Wandel. Ursprünglich war nur von MDM-Lösungen (Mobile Device Management) die Rede. Neben der Inventarisierung der Geräte inklusive einem Überblick der OS-Version und der automatisierten Installation der grundlegenden Anwendungen und Datenzugänge gehört zu den Grundfunktionen des MDM die Minimierung der Gefahr von Cyberattacken und Datendiebstahl.
Je nach verwendeter Hard- und Software- sowie der Betriebssystem-Plattform reicht die Funktionalität bis hin zu einem „Supervised Mode“, der der IT-Abteilung die volle Kontrolle über Smartphones und Tablets in allen Sicherheits- und Datenschutzfragen gewährt. Zunächst sollte eine unternehmensweite Security-Policy erstellt werden, die dann mittels MDM auch auf mobilen Geräten durch die IT-Administration umgesetzt werden kann. Voraussetzung ist die Erstellung einer Security-Policy, die dann mittels MDM auch auf mobilen Geräten durch die IT-Administration umgesetzt werden kann.
Diese Security Policy kontrolliert:
Es werden also nicht nur die Devices als Hardware-Komponente administriert, sondern auch die darauf befindlichen Anwendungen und Daten. Vor allem aber brauchen die Administratoren ausgefeilte Sicherheits-Funktionen für Mobilgeräte im Unternehmenseinsatz. Datenschutz, Malware-Protection und Identity-Management waren hier die Treiber. So wurden die Lösungen immer umfangreicher und wuchsen von MDM- zu EMM-Plattformen(Enterprise Mobility Management) heran.
Inzwischen zeichnet sich ein weiterer Entwicklungsschritt ab, der neben mobilen Geräten wie Smartphones und Tablets auch Desktop- und Laptop-Computer mit denselben Mechanismen absichert. Und auch die wachsende Flut an IoT-Devices findet so Anschluss an den unternehmensweiten Sicherheitsschirm. Dementsprechend nennt sich diese Form der Endgeräteverwaltung Unified Endpoint Management (UEM).
Da die Unterscheidung nicht immer trennscharf erfolgt und teilweise allein von der Software-Version mit den jeweils hinzugefügten Funktionen abhängig ist, wollen wir der Einfachheit halber weiterhin von EMM-Lösungen sprechen.
EMM-Lösungen greifen auf die APIs zu, die der Betriebssystem-Hersteller – in der Regel Apple (iOS und MacOS), Microsoft (Windows) oder Google (Android) – zur Verfügung stellen, um Notebooks, Smartphones, Tablets oder industrielle Geräte, wie zum Beispiel Handscanner, verwalten zu können. Teilweise sind die benötigten Funktionen nur auf bestimmter Hardware verfügbar, so dass man vor dem Kauf kontrollieren muss, ob das gewünschte Gerät die benötigten EMM-Funktionen unterstützt.
So gibt es beispielsweise bei den Android-Geräten die Unterscheidung zwischen der Standard-Installation (demnächst: „Android One“ mit einem einheitlichen Kernel, der nicht mehr auf provider- oder herstellerspezifische Updates angewiesen ist), Android Enterprise (ehemals „Android for Work“) und der herstellerspezifischen, kostenpflichtigen Plattform Samsung Knox Workspace.
Zum Teil stehen die Funktionen auch nur Unternehmenskunden zur Verfügung, die sich über die Teilnahme an spezifischen Enterprise-Programmen qualifizieren. Die Entsprechung zu Android Enterprise von Google ist bei Apple das Device Enrollment Program (DEP) kombiniert mit dem Volumen-Lizenz-Programm (VPP, Volume Purchase Program), bei Microsoft der Windows AutoPilot.
Ein wichtiges Kriterium ist daher, welche Betriebssysteme die genannten Lösungen unterstützen. Weitere Unterscheidungsmerkmale bieten das Hosting (Cloud, On Premise oder beides), das Lizenzmodell (pro User / pro Gerät bzw. Standard- oder Premium-Pakete), die Verwaltungsoberfläche (meistens Weboberfläche, intuitive Bedienung nicht immer gewährleistet), Serverstandorte, ausgewählte Security-Funktionen oder die unterschiedlichen Support-Modelle. Im Folgenden haben wir Ihnen die wichtigsten Kriterien aufgelistet, um Ihnen den Überblick zu erleichtern. Die Auswahl bezieht sich auf die gängigsten MDM-Lösungen in Österreich.
Microsoft Intune ist ein einfaches, intuitives Tool zur Verwaltung von Mobil- und Desktopgeräten aus den Betriebssystem-Welten von Microsoft, Apple und Google. Zur vollumfänglichen Konfiguration von Android-Geräten wird Android for Work vorausgesetzt. Die Anwendung hat kein eigenes Gateway, daher wird zum sicheren Zugriff auf Ressourcen in internen Netzwerken die VPN-Lösung eines Drittherstellers benötigt. Ebenso ist keine Certificate Authority integriert, es können jedoch PKIs (Private Key Infrastructure) aus der Cloud oder dem internen Microsoft-Netz angebunden werden. Zur Verteilung ist ein Windows-Server mit NDES-Rolle (Network Device Enrollment Service) notwendig.
Gemessen an der Anzahl der gebotenen Features ist Intune eher gering ausgestattet. Perspektivisch ist davon auszugehen, dass es Microsofts Managementplattform für alle Devices wird, mit dem On-Premise-Lösungen verdrängt werden sollen.
Einmal konfiguriert arbeitet die MobileIron-Plattform annähernd wartungsfrei. Lediglich Updates für die On-Premise-Komponenten sind beim Einsatz dieser Variante zu installieren, alles andere ist automatisierbar. Zahlreiche Funktionen sind per APIs über andere Applikationen ansteuerbar. Den Fokus legt MobileIron auf die Cloud-Version, die trotz der großen Funktionsvielfalt einen sehr intuitiven Aufbau zeigt. Derzeit gibt es aber auch keine Hinweise, dass On Premise abgelöst werden soll.
Der technische Unterbau besteht ausschließlich aus gehärteten Linux-Appliances, der einen Betrieb im FIPS-140-2-Mode ermöglicht. Das integrierte Gateway (Sentry), das auch einen High-Availability-Modus bietet, ermöglicht eine einfache Certificate-based Authentication zur Absicherung von getunnelten und damit abgesicherten Verbindungen.
– Webseite: Mobile Iron
Die Applikation zeichnet sich nicht nur aus durch ein sehr gutes, vollständiges Mobile Device Management, sondern bietet auch alle Funktionen, die von einem Mobile Application Management erwartet werden. Die Administrations-Konsole ist dementsprechend umfangreich, so dass nicht alle Funktionen auf Anhieb einfach zu finden sind.
Werden alle zur Verfügung stehenden Komponenten eingebunden, z.B. Secure Mail Gateway, Content Locker, Per-AppVPN, dann wird die Installation sehr umfassend, aber die Suite funktioniert trotzdem relativ einfach.
– Webseite: VMware AirWatch
Je nach Edition ist bereits Netscaler, – angepriesen als Gateway, tatsächlich jedoch ein mächtiges Tool für Anwendungs- und Infrastruktur-Analysen – in der Lizenz enthalten, es fallen jedoch zusätzliche Gebühren je Gerät oder je Appliance an. Die Lösung empfiehlt sich daher besonders für bereits bestehende Citrix-Umgebungen inklusive Netscaler beziehungsweise für Anwendungsfälle, bei denen mittels Citrix virtualisierte Desktop-Apps zum Einsatz kommen.
– Webseite: Citrix XenMobile
JAMF beschränkt sich auf die Unterstützung des Apple-Ökosystems (iOS und MacOS X). Für MacOS ist es allerdings dank der Spezialisierung das beste System.
– Webseite: jamf.com
Die unterschiedlichen Ausrichtungen, Funktionsumfänge und Lizenzmodelle machen einen direkten Vergleich schwierig. In manchen Punkten liegen die vorgestellten Kandidaten eng beieinander, in anderen sind sie grundverschieden. Grundsätzlich bieten Apples Betriebssysteme MacOS (Desktop) und iOS (für Smartphones und Tablets) besonders gute Voraussetzungen für das unternehmensweite Gerätemanagement. In der reinen Apple-Welt hat sich JAMF bereits bewährt.
Sehr gute Erfahrungen haben die ACP-Experten bei gemischten Umgebungen mit MobileIron und Airwatch gemacht. Alle MDM- beziehungsweise EMM-Systeme haben jedoch ihre Daseinsberechtigung. Welches für wen am besten geeignet ist, kann nur individuell entschieden werden.
Je nach Kunde sind unterschiedliche Leistungsklassen gefordert: dem einen genügt ein klassisches MDM, der nächste braucht ein EMM, der dritte will zumindest perspektivisch ein UEM einführen. ACP hat aus diesem Grund einen MDM-Workshop entwickelt, der Kunden dabei unterstützt, das passende System auszuwählen. Die vorhandene Infrastruktur, genutzte Anwendungen, zu erreichende Ziele und umzusetzende Security-Policies werden dabei berücksichtigt.
Die gebräuchlichsten Klassifizierungen für das Endgeräte-Management sind:
MDM: Mobile Device Management
EMM: Enterprise Mobility Management
UEM: Unified Endpoint Management
Daneben gibt es noch Teillösungen, die in unterschiedlichen Konstellationen in den drei vorgenannten enthalten sind:
MAM: Mobile Application Management
MCM: Mobile Content Management
MEM: Mobile Email Management
MTM: Mobile Threat Defense Mechanism
MIAM: Mobile Identity & Access Management
MADP: Mobile Application Development
TEM: Technology Expense Management, nicht zu verwechseln mit Telecom Expense Management
Weitere verwendete Abkürzungen:
BYOD: Bring Your Own Device
DSGVO: Datenschutz-Grundverordnung
DEP: (Apple) Device Enrollment Program
VPP: (Apple) Volume Purchase Program
KME: (Samsung) Knox Mobile Enrollment