Bei der Verwaltung mobiler Endgeräte geht es längst nicht mehr nur darum, das Iphone des Vorstands oder das Ipad des Außendienstlers ins Unternehmensnetz einzubinden. BYOD (Bring Your Own Device) bringt immer mehr Android-Geräte ins Netz – mit notorisch uneinheitlichem Softwarestand. Blackberry meldet sich mit neuem Elan zurück, während die Virtualisierungsgrößen VMware und Citrix daran arbeiten, das Enterprise-Mobility-Management (EMM) über Smartphones und Tablets hinaus auszudehnen.Die Begeisterung zahlreicher Endanwender – nicht zuletzt solcher auf Führungsebene – für Smartphones und Tablets aus dem Hause Apple hat vielen IT-Organisationen neue Prioritäten und neue Arbeit im Client-Management beschert: Plötzlich müssen sie sich mit Endgeräten herumschlagen, die nie für den Unternehmenseinsatz konzipiert waren, sondern lediglich für das Privatleben (Consumer Devices). Zum Glück für den geplagten Client-Betreuer bietet Apple für seine IOS-Geräte inzwischen entsprechende Profile und Funktionen für die zentrale Kontrolle von Iphones und Ipads. MDM-Lösungen (Mobile-Device-Management) greifen so auf Apples standardisierte Mechanismen zu und ermöglichen damit die im Unternehmensalltag dringend benötigten Funktionen wie Fernblockierung (Remote Lock), Fernlöschung (Remote Wipe) oder auch das ferngesteuerte Deaktivieren der Kamera. Die Verwaltung der Geräte mit dem angebissenen Apfel im Logo ist damit für Administratoren relativ unproblematisch, wie letztes Jahr Tests der Lösungen von Mobileiron oder Airwatch im Rahmen der LANline-MDM-Testserie zeigten (siehe lanl.in/MosnPg und lanl.in/RfzMbA).

Deutlich komplexer – auch das zeigte die Testserie – ist die Situation, wenn es um Android-Geräte geht. Denn Google hatte Android ursprünglich als reines Basis-Betriebssystem auf den Markt gebracht, das Gerätehersteller und Carrier selbsttätig um Zusatzfunktionen wie zum Beispiel zentrales Management erweitern sollten. Dies führte zu kaum mehr überschaubarem Wildwuchs von Android-Versionen und -Oberflächen sowie zu je nach Hersteller oder Gerät höchst unterschiedlicher Verwaltbarkeit. Mozilla ist mit dem jüngst auf dem Mobile World Congress (MWC) in Barcelona vorgestellten Firefox OS auf dem besten Weg, diesen Fehler zu wiederholen.

Für IT-Organisationen kann sich die uneinheitliche Management-Tiefe von Android-Devices als Problem erweisen, hat sich doch Android nach der ersten Popularitätswelle der Apple-Geräte zum Smartphone-Betriebssystem Nr. 1 gemausert. Android-Gerätelieferant Samsung hat laut IDC-Zahlen mit 29 Prozent Marktanteil (im vierten Quartal 2012) Apple (22 Prozent) inzwischen mit deutlichem Abstand auf Platz zwei auf dem Smartphone-Markt verwiesen. Abgeschlagen mit einstelligen Prozentwerten folgen Huawei, Sony und ZTE (IDC Worldwide Mobile Tracker, 24.1.2013).
 
Android im Business-Einsatz
Künftig dürfte es – Stichwort BYOD – für Administatoren wichtiger werden, neben Apple- auch Android-Endgeräte zentral verwalten und absichern zu können. Diesem Thema hat sich auf dem MWC insbesondere Samsung gewidmet. Der koreanische Konzern, der mit Safe (Samsung Approved for Enterprise) längst APIs für die erweiterte Android-Verwaltung unterstützt, hat in Barcelona Knox vorgestellt, um private von beruflicher App-Nutzung zu trennen. Die Software fußt auf der Android-Variante „Security-Enhanced (SE) Android“, das der US-Geheimdienst NSA entwickelt hat – was nicht für jeden Administator ein Plus bedeutet.

Knox erlaubt als „Dual Persona“-Lösung, auf einem Android-Device in einer geschützten Sandbox eine zweite Instanz (Persona) zu betreiben – im Falle eines BYOD-Szenarios also eine abgesicherte, zentral verwaltete Business-App-Umgebung auf dem Privatgerät eines Mitarbeiters. Laut Samsung sind die Apps und Daten in diesem Container durch Verschlüsselung auf Dateisystemebene geschützt, was Datenverluste ebenso vermeiden soll wie Malware-Angriffe. Ergänzend soll die Software Support für ein FIPS-konformes VPN, Single Sign-on (SSO) sowie Identity- und Access-Management (IAM) via Active Directory und Smart Cards liefern.

Samsung bietet mit Knox also eine Container-Lösung „ab Werk“, sodass unabhängige MAM-Anbieter (Mobile-Application-Management) wie Good oder die verschiedenen MDM-Anbieter, die sich in Richtung MAM bewegen, nun Konkurrenz seitens eines Geräteherstellers erhalten. Allerdings soll Knox erst im Laufe des Jahres und nur für „ausgewählte“ Samsung-Galaxy-Geräte auf den Markt kommen. Die MDM-Anbieter Mobileiron und Airwatch haben gleich zum Start von Knox verkündet, dass sie Samsungs Container-Ansatz unterstützen werden. Wenn Knox so funktioniert wie von Samsung versprochen, dann hat Samsung allerdings auch ohne Hilfe durch externe Anbieter eine Lösung im Portfolio, die auf Android-Basis dem von Administratoren so geschätzten, weil sicheren Blackberry Enterprise Server (BES) Paroli bieten dürfte.
 
Blackberry meldet sich zurück
Solchen Entwicklungen sieht man bei Blackberry natürlich nicht tatenlos zu. Durch den Consumerization-Trend stark unter Druck geraten, hat der kanadische Anbieter – vormals RIM (Research in Motion), jetzt aber unter dem Namen seiner Produktmarke firmierend – mit dem Sprung auf Version 10 seines Blackberry Enterprise Services und mit neuer Gerätegeneration wieder Anschluss an das Marktgeschehen gefunden. Die Smartphones Q10 und Z10 (Blackberrys erstes Smartphone ohne die typische Minitastatur) laufen auf dem runderneuerten Blackberry OS 10 und erlauben ebenfalls den Betrieb getrennter privater und beruflicher „Personas“. Marktbeobachter bescheinigten Blackberry, konkurrenzfähige Devices vorgestellt zu haben, die im Zusammenspiel mit dem als sicher bekannten BES insbesondere Bestandskunden davon abhalten könnten, sich von der vertrauten Plattform abzuwenden. Einen Praxistest von BES 10 im Zusammenspiel mit Blackberrys hauseigenen Endgeräten wird LANline in Kürze veröffentlichen.

Mit Blick über den Tellerrand haben die Kanadier zeitgleich angekündigt, dass BES 10 neben den Endgeräten aus eigener Fabrikation künftig auch IOS- und Android-Devices mitverwalten wird. Erneut bekommen die MDM- und MAM-Anbieter somit Gegenwind von Geräteherstellerseite – diesmal von einem Player, dessen Lösung trotz des Rummels um Apple und Android nach wie vor als Referenzwert für die Verwaltung mobiler Endgeräte gilt.

Doch die MDM-Anbieter zeigen sich nicht weniger dynamisch. So hat Mobileiron kürzlich neben der Unterstützung von Samsung Knox mit Webatwork einen eigenen, sicheren mobilen Browser mit HTML5-Support vorgestellt. Wettbewerber Airwatch – seit Februar mit 200 Millionen Dollar Wagniskapital ausgestattet – bewegt sich ebenfalls mit großen Schritten in Richtung MAM. So hat der Anbieter kürzlich seine Mobile E-Mail Management Suite um den Baustein Android E-Mail Container ergänzt, um verschlüsselte Unternehmenskommunikation auf BYOD-Geräten unter Android zu gewährleisten. Mit Xirrus hat Airwatch zudem einen Partner gefunden, der die MDM-Lösung in sein WLAN-Management integriert, um eine umfassende Mobility-Management-Lösung zu schaffen.

Fiberlink – laut Gartners Magic Quadrant von 2012 einer der fünf MDM-Marktführer neben Mobileiron, Airwatch, Good Technology und der zu Jahresanfang von Citrix akquirierten Zenprise – hat seine als SaaS (Software as a Service) angebotene MDM-Lösung Maas360 jüngst um Security-Technik von Airpatrol erweitert. Deren lokationsbezogene Policy-Kontrolle ermöglicht Fiberlink künftig kontextabhängige Richtlinien für den Netzwerkzugang mobiler Endgeräte.

Good Technology – Anbieter der Container-basierten MAM-Plattform Good for Enterprise, siehe LANline-Test unter lanl.in/PPMivp – erweitert sein Portfolio an Apps, die sich in diesem Container betreiben lassen, kontinuierlich: Anfang des Jahres kamen sechs neue Apps dazu, darunter Tools für Dokumentenbearbeitung und E-Mail-Management. Mit Good Trust haben die Kalifornier außerdem zum Jahreswechsel eine IAM-Lösung vorgestellt, die den Apps in einem Good-Container Zwei-Faktor-Authentifizierung, SSO sowie kontextbasierende Richtliniendurchsetzung erlauben soll. Die erste hauseigene Lösung auf dieser Basis ist Good Vault für sicheren E-Mail-Verkehr mittels Verschlüsselung und S/MIME.

IBM hat sich anlässlich des MWC ebenfalls als Player im Mobility-Markt positioniert. Der Branchengigant verweis auf „tausende Experten“, die Kunden auf dem Weg zum mobilen Unternehmen beraten können, sowie auf das hauseigene Mobilefirst-Portfolio. Zu diesem zählen mit Mobilefirst Management eine Lösung, mit dem IBM auch BYOD-Umgebungen ermöglichen will, sowie Mobilefirst Security zur Überprüfung der Mobile-Computing-Infrastrukturen auf Sicherheitslücken. Symantec wiederum kooperiert nun mit Giesecke und Devrient mit dem Ziel hochsicherer mobiler Apps.
Nach wie vor drängen zudem neue Player auf den bereits übervölkerten MDM- und MAM-Markt. So hat F5 Networks, Marktführer bei der Anwendungsbeschleunigung, kürzlich mit Mobile App Manager eine eigene MAM-Lösung präsentiert. Auch F5 setzt auf den von Good bekannten Container-Ansatz, allerdings mittels einer Hybrid-Cloud-Lösung: Auf Kundenseite sorgt F5s Big-IP-Appliance für das Access-Policy-Management, die MAM-Lösung hingegen wird als SaaS-Lösung in der Cloud laufen. Auf den Markt kommen soll Mobile App Manager im Sommer.
 
Jenseits der Smartphones und Tablets
Beim Enterprise-Mobility-Management (EMM) geht es aber nicht nur um Smartphones und Tablets (selbst wenn diese dank der BYOD-Diskussion im Rampenlicht stehen), darauf legen die Virtualisierungsgrößen VMware und Citrix großen Wert: Beide bieten schließlich VDI-Lösungen (Virtual Desktop Infrastructure) an, die den Zugriff auf zentral gehostete Desktops und Applikationen ermöglichen – was mit dem nach wie vor wichtigsten mobilen Enterprise-Client, dem Notebook, wesentlich nützlicher ist als via Tablet oder gar Smartphone. Entsprechend arbeiten beide Hersteller daran, die MDM/MAM-Welt mit der VDI-Welt zu verheiraten. Citrix hat dazu Anfang des Jahres den oben erwähnten MDM-Anbieter Zenprise geschluckt. Dessen Lösung heißt nun Xenmobile MDM, das Zusammenspiel mit dem Citrix-Portfolio für den sicheren Fernzugriff auf Unternehmensressourcen bezeichnet Citrix als Mobile Solutions Bundle. Die Akquisition dürfte wohl auf eine integrierte, Client-Plattform-übergreifende EMM-Suite hinauslaufen – wie sie auch Konkurrent VMware am gleichen Tag unter dem Namen Horizon Suite angekündigt hat.

Citrix kann durch die Zenprise-Übernahme nun alle Bausteine für ein umfassendes EMM liefern, nämlich eine Kombination von MDM, MAM und Mobile-Information-Management (MIM) sowie eine Verwaltung der Fernzugriffe mit Single Sign-on aus einer Hand. Denn Citrix’ EMM-Portfolio umfasst neben Xenmobile MDM auch die ADC-Plattform Netscaler (auf der das Access Gateway zur Zugangskontrolle läuft), die VDI-Lösung Xendesktop, Online-Collaboration-Tools wie Gotomeeting, eine hauseigene File-Sharing-Lösung namens Sharefile sowie das Cloud-basierte Projekt-Management-Tool Podio. Auf der Client-Seite macht der Xendesktop-Client Receiver Windows-Desktops und -Anwendungen auch auf mobilen Endgeräten mit Touch-Interface verfügbar.

Xenmobile MDM umfasst laut Citrix eine Container-Umgebung zur zentralisierten Verwaltung beliebiger mobiler Apps (allerdings ist ein Wrapping zur Einpassung in den Container erforderlich), ergänzt um einen App Store als zentrale Anlaufstelle für den Anwender. Hinzu gesellt sich im Mobile Solutions Bundle ein IAM mit Single Sign-on und kontextbasierter Zugangskontrolle für sichere Fernzugriffe. Zu einer geplanten Integration oder gar deren Zeitrahmen machte Citrix bislang keine Angaben, man darf aber spekulieren, dass der Hersteller auf seiner Hausmesse Synergy im Mai erste Integrationsschritte verkünden will.
 
Suite für das End-User-Computing
Eine beinahe identische Zielsetzung verfolgt Virtualisierungsgröße VMware mit der ebenfalls Ende Februar vorgestellten Horizon Suite. Auch diese Suite soll IT-Organisationen eine einheitliche Plattform geben, um für Endanwender Desktops, Applikationen und Daten geräte- und ortsunabhängig, zentral gesteuert und sicher bereitzustellen. Dazu vereint die Suite die neue Lösung Horizon Workspace mit aktualisierten Versionen der Virtual-Desktop-Lösung View 5.2 und des Image-Management-Tools Mirage 4.0, beide nun ebenfalls unter der Dachmarke Horizon.

VMware führt in der Horizon Suite – als Vision schon 2010 vorgestellt und letzten Herbst auf der VMworld Barcelona für dieses Jahr avisiert – zahlreiche Lösungen und Projekte aus den letzten Jahren für mobiles Arbeiten und Online-Collaboration zusammen. Dazu gehören neben View die Tools aus Project Octopus (File-Sharing), Project Appblast (Application Delivery nun Blast genannt) und Project Appshift (User Interface Virtualization) sowie die Lösungen Thinapp (Application Streaming), Horizon Application Manager (Identity-Management) und Horizon Mobile (EMM).

Mit Horizon Workspace können IT-Administratoren laut VMware-Angaben Daten, Anwendungen und Desktops Endanwendern oder Anwendergruppen (statt lediglich Geräten) zuordnen. Die zentralisierte Verwaltung erfolgt auf der Basis von Richtlinien (Policies) und soll damit für Compliance und ein angemessen hohes Maß an Sicherheit sorgen. Der Anwender greift, wie er es vom privaten Smartphone oder Tablet her kennt, per Self-Service auf Applikationen und Services zu.

Dank hardwarebeschleunigter 3D-Grafik erlaubt View auch grafisch aufwändige Programme in VDI-Umgebungen. Der Browser-Zugriff auf View-Desktops erfolgt nun mittels HTML5. Anders als Citrix Xendesktop bietet VMware hier keine Funktionen wie Flash-, USB- und Print-Redirect. Ziel ist laut VMware-Angaben vielmehr ein installationsloser Browser-Zugriff mit geringem Verwaltungsaufwand. Neu in View 5.2 ist Support für die Touch- und Swipe-Bedienung.

Horizon Mirage 4 schließlich dient als Image-Layering-Lösung: Sie zerlegt das Software-Image eines (physischen) PCs in logische Schichten (Layers). Einzelne Layers lassen sich somit aktualisieren, ohne die anderen zu beeinträchtigen – ein Ansatz, den zum Beispiel auch Appsense oder Unidesk verfolgen. VMware kombiniert dies mit seiner Application-Streaming-Lösung Thinapp. Was der Horizon Suite derzeit allerdings noch fehlt, ist jene EMM-Funktionalität, wie sie Citrix per Zenprise-Akquisition ins Haus geholt hat. Die Technik dazu, ebenfalls mit Dual-Persona-Ansatz, ist bei VMware großteils vorhanden, die Integration in die Suite soll im Laufe des Jahres folgen.

Citrix und VMware haben ihren Wettbewerb um die bessere Virtual-Desktop-Lösung auf das spannende, aber komplexe Segment der mobilen Nutzung von Unternehmensressourcen verlagert. Je näher die beiden Anbieter ihrem Ziel integrierter EMM-Suiten kommen, desto klarer wird: Die Verwaltung von Smartphones, Tablets, Apps und File-Shares sind letztlich nur Teilbereiche eines umfassenden Enterprise-Mobility-Managements.
Der Autor auf LANline.de: wgreiner

Auf dem Blackberry Z10 – Blackberrys erstem Smartphone ohne Minitastatur – kann der Anwender private von geschäftlich genutzter Umgebung separieren. Bild: Blackberry

Samsung bietet mit Knox nun eine Dual-Persona-Umgebung für den sicheren Betrieb von Enterprise-Apps auf Android-Consumer-Geräten. Bild: Samsung

LANline.