Viele Anbieter preisen ihre MDM-Produkte (Mobile-Device-Management) gerne und nicht immer gänzlich treffend als Lösung für die Anforderungen von BYOD-Initiativen (Bring Your Own Device) im Unternehmen an. Good Technology bietet mit Good for Enterprise und Good Dynamics einen vielversprechenden App-orientierten Containeransatz mit Schwerpunkt „Mobile-Application-Management“, um geschäftliche Daten selbst auf Privatgeräten absichern zu können.

Dürfen Mitarbeiter private Smartphones und Tablets im Unternehmen auch für geschäftliche Zwecke einsetzen, steht an erster Aufgabenstelle, das geschäftliche E-Mail-Konto und andere Daten aus Microsoft Exchange oder Lotus Domino sicher bereitzustellen. Folgt man dabei konsequent datenschutzrechtlichen Empfehlungen wie auch Sicherheitsüberlegungen, gilt es, private und geschäftliche Daten auf dem Privatgerät so voneinander zu trennen, dass auch das Risiko eines versehentlichen Austauschs zwischen den beiden Bereichen möglichst minimiert wird. Der administrative Zugriff sollte auf den geschäftlichen Bereich des unternehmensfremden Geräts beschränkt sein. Während Apples profilbasiertes MDM seit IOS 5 wie auch Googles Android zusammen mit herstellerspezifischen Erweiterungen wie Samsungs SAFE-Initiative dazu Ansätze liefern, reichen diese für eine konsequente Datentrennung nicht wirklich aus. Zwar lässt sich das Firmen-E-Mail-Konto bei Verstoß gegen Unternehmensrichtlinien unter Einsatz von MDM-Lösungen wie Mobileiron (siehe Teil 1 unserer Testserie unter lanl.in/MosnPg) von einem Privatgerät löschen, doch teilen sich private wie geschäftliche Nachrichten eine E-Mail-App und damit die gleiche Sicherheitsebene.

 

Container-orientierte App-Architektur mit NOC

Auf eine andere Strategie für die sichere Bereitstellung von Geschäfts-Mails, -Kontakten und -Terminen sowie den Zugriff auf Intranet-Ressourcen setzt Good Technology aus Kalifornien mit Good for Enterprise: Statt auf die hauseigenen PIM-Apps (Personal Information Management) der Plattformen IOS, Android und Windows Phone zu setzen, stellt Good die Funktionen für die rein geschäftliche Nutzung über eine eigene App bereit. Die von der Good App verwalteten Geschäftsdaten sind unabhängig vom Mobilbetriebssystem verschlüsselt, der Zugang lässt sich auf Wunsch per Kennwort absichern. Der so entstehende Sicherheitscontainer kommuniziert durchgängig verschlüsselt (AES-192 zertifiziert nach FIPS 140-2) über ein zentrales, von Good betriebenes NOC (Network Operation Center) in den USA mit dem GMM-Server (Good Mobile Messaging) im Unternehmensnetz. Good bietet jeweils angepasste GMM-Varianten für Lotus Domino und Microsoft Exchange an. Dass diese Architektur sehr stark an RIMs Blackberry Enterprise Solution erinnert, kommt nicht von ungefähr: Good wurde von ehemaligen RIM-Mitarbeitern gegründet und hält einige Patente, die von den Kanadiern weiterhin genutzt werden. Das Funktionsangebot von Good for Enterprise beschränkt sich nicht nur auf die sichere Bereitstellung von PIM-Daten. Hinzu kommen MDM und ein Enterprise-App-Katalog für IOS und Android. Während für IOS 5 Apples MDM-Policies (Kennwortvorgaben, Geräteristriktionen, WLAN-, VPN- und Exchange-Activesync-Konfigurationen) vollständig abgebildet werden, beschränkt sich die Android-Verwaltung auf wenige Einstellungen wie Vorgaben zur Kennwortgüte. Spezifische MDM-Erweiterungen für Android von Geräteherstellern wie Samsung oder HTC sind daher nicht implementiert. Im Unterschied zu anderen lokal installierten MDM-Lösungen stellt Good MDM-Konfigurationen und Enterprise-Apps für die Endgeräte nicht über den internen Verwaltungs-Server (Good Mobile Control Server, GMC) sondern über ein MDM-Gateway im NOC bereit. Somit muss die Unternehmens-Firewall zwar keinerlei Inbound-Verbindungen zulassen und der Kunde keine offiziellen SSL-Zertifikate erwerben, dafür hält aber Good Unternehmensdaten in seinem derzeit einzigen RZ in den USA vor.

 

Problemlose Integration und Inbetriebnahme

Die Integration der beiden Server-Komponenten GMC und GMM erfolgte in unserer Testumgebung Setup-geführt und unaufwändig. Als Voraussetzung benötigt GMM in Notes-Umgebungen einen eigenen Domino-Server (32-Bit) als Installationsbasis, Lotus Traveler ist nicht erforderlich. Für den Zugriff auf Exchange-Server nutzt die entsprechende GMM-Variante MAPI/CDO. Nach Aussage des Herstellers verkraftet der GMM-Server unter Windows 64-Bit (8 GByte RAM, Quad-Core CPU) bis zu 800 Endgeräte (davon 20 Prozent mit aktiven „Secure Browser“ ins Intranet). Ein GMC-Server kontrolliert bis zu 10.000 Benutzer auf mehreren GMM-Servern. Wie in unserem Testaufbau lassen sich aber auch für Installationen unter 800 Benutzern alle Komponenten auf einer virtuellen Windows-Maschine unter VMware ESXi vereinen. Die Administration des Systems erfolgt vollständig über die Web-basierte GMC-Verwaltungsoberfläche. Die Arbeit des Administrators beginnt mit der Anlage von Sicherheitsvorgaben und Konfigurationseinstellungen, die in „Policy Sets“ zusammengefasst sind. Hier lässt sich zum Beispiel detailliert festlegen, ob der Anwender Daten via Copy and Paste in und/oder aus der Good App transferieren darf; ebenso, ob er Dateianhänge (PDF- und Office-Dokumente) nur innerhalb der Good App betrachten oder auch an externe Apps übergeben kann. Compliance-Regeln halten für IOS und Android exakt fest, welche Gerätemodelle und Betriebssystemversionen zum Einsatz kommen dürfen, welche Apps auf den Endgeräten unzulässig sind und ob eine regelmäßige Überprüfung auf Jailbreaks (IOS) oder Rooted Devices (Android) erfolgt. Auf Regelverstöße kann ein Unternehmen mit der Sperrung des Zugangs zur Good App oder einem automatischen Löschen sämtlicher Geschäftsdaten (und nur dieser!) auf dem Endgerät reagieren. Inbesondere der Überprüfung auf Jailbroken/Rooted Devices beim Aktivieren der Good App kommt aus Security-Gesichtspunkten auch für das Sicherheitscontainerkonzept eine wichtige Bedeutung zu. Ist beispielsweise ein Keylogger aktiv, kann dieser das Zugangskennwort zu Good auslesen und auf diesem Weg den Grundstein für eine weitere Datenentschlüsselung liefern. Die Entwickler setzen daher auf eine dynamische Jailbreak/Rooted-Erkennung, die ihre Prüfungsmuster regelmäßig wie ein Virenscanner über Good aktualisiert. Damit lässt sich ein Restrisiko zwar technisch auch nicht vollends ausschließen, zumindest aber existiert ein Mechanismus, um beim Katz-und-Maus-Spiel mit Jailbreak-Entwicklern mitzuhalten.

 

Dynamische Enterprise Apps

Good for Enterprise bietet limitierte Mechanismen, um Mitarbeitern ausgewählte Apps bereitzustellen. Für IOS können dies entweder öffentlich verfügbare Apps aus Apples App Store oder unternehmenseigene Entwicklungen sein. Apps aus Google Play werden dagegen für Android grundsätzlich nicht unterstützt, für das firmeninterne Angebot ist daher der Zugriff auf die Programmdatei erforderlich. Möglichkeiten, weitergehende App-Beschreibungen für den spezifischen Firmeneinsatz zu hinterlegen, fehlen ebenso wie eine Unterscheidung zwischen Iphone- und Ipad-Apps. Versucht ein Anwender versehentlich, eine reine Ipad-App auf seinem Iphone zu installieren, endet der Versuch in einem nicht näher spezifizierten Fehler. Getrennte Policy Sets für unterschiedliche Gerätetypen zu pflegen, gestaltet sich aus Administrationssicht schnell als recht aufwändig. Mit der gezielten Bereitstellung im Mitarbeiterkreis wird eine App aber nicht gleich auch zur sicheren Enterprise App. Diese Lücke schließt die Lösung Good Dynamics: IOS- und neuerdings Android-Entwickler können ein von Good bereitgestelltes SDK kostenlos verwenden, um ihre Anwendungen um Good-spezifische Enterprise-Funktionen zu erweitern. Aus dem App Store standen uns für Tests beispielsweise Iannotate PDF Good Dynamics Edition und Proselect HD for Good Technologies als Beispielanwendungen zur Verfügung. Dynamics-Apps lassen sich gezielt freigeben, um alleinig Dateianhänge von E-Mails aus der Good App (in diesem Fall PDF- und Office-Dokumente) bearbeiten zu können. Da auch der lokale Datenspeicher dieser Apps verschlüsselt ist und ein Austausch mit Nicht-Dynamics-Apps unterbunden wird, verbleiben Geschäftsdaten in geschützten und kontrollierten Good-Containern. Die Verwendung von Dynamics-Apps im eigenen Unternehmen setzt allerdings den zusätzlichen Betrieb der beiden Komponenten Good Control und Good Proxy Server voraus.

 

Gemischte Benutzbarkeit

Ein hoher Sicherheitsstandard führt nicht zwangsläufig zu hoher Anwenderakzeptanz, und insbesondere in BYOD-Szenarien werden Eingriffe in die persönliche Komfortzone „Smartphone“ nur wenig toleriert. Good beeinflusst durch die Container-Apps für alles Geschäftliche den privaten Bereich nur wenig, wenngleich ein Jailbreak/Rooting eines Privatgeräts nicht toleriert werden kann. Die Inbetriebnahme von Good fällt für den Anwender sehr einfach aus. Mit dem Aufruf von get.good.com wird er automatisch zum Download der entsprechenden Good App für sein Mobilgerät geleitet. Danach muss er lediglich seine E-Mail-Adresse und eine 15-stellige „OTA-PIN“ eingeben, die er per E-Mail durch die Benutzeranlage zugestellt bekommt. Die Good-eigene Implementation von Mail, Kalender mit Tages- und Monatsansicht, Kontakten, sicherem Intranet-Browser und integriertem Enterprise-App-Katalog erscheint auf den ersten Blick funktionell und leicht zu bedienen. Erst in der täglichen Arbeit treten lästige Einschränkungen gegenüber den Standard-Apps hervor. HTML-Mails erscheinen nicht immer in gleicher Qualität, insbesondere wenn eingebettete Bilder und andere Medien im Spiel sind. Eine Server-seitige E-Mail-Suche wird weder für Domino noch Exchange unterstützt. Selbst geschossene Fotos etwa für Dokumentationszwecke lassen sich nicht an E-Mails anhängen. Als Quelle von Dateianhängen stehen lediglich Inhalte der sicheren Dokumentenablage zur Verfügung. Der integrierte sichere Intranet-Browser beschränkt sich auf HTML 4. Damit muss eine weitere Browser-Plattform in Testreihen für Intranet-Anwendungen aufgenommen werden. Schwerwiegender ist allerdings das Antwortverhalten durch den umgeleiteten Datenverkehr über das NOC. Auch bei unternehmensinternen WLAN-Verbindungen leitet Good grundsätzlich jedes Datenpaket über sein NOC in den USA. In unseren Tests war teilweise ein Arbeiten mit einer Intranet-Anwendung aufgrund des schlechten Antwortverhalten via UMTS oder EDGE über den Secure Browser nicht möglich, obwohl die Seiten am gleichen Ort über Safari flott aufgebaut wurden. An sichere Enterprise-Anwendungen, die Good-gestützt auf Video- oder Tonübertragungen setzen, dürfte somit kaum zu denken sein. Bei einer Einsatzplanung ist zu beachten, dass nicht alle Funktionen auf jeder Mobilplattform gleichermaßen vorhanden sind. So hinkt der Good-Client für Windows Phone trotz der Partnerschaft mit Microsoft derzeit am weitesten hinterher. Lediglich E-Mail, Termine und Kontakte stehen im sicheren Angebot. PDF- und Office-Dateianhänge lassen sich nicht betrachten. Der Secure Browser bleibt Android 2.2 oder 2.3 vorbehalten. Auf unseren beiden Testgeräten Samsung Galaxy S2 und S3 unter Android 4.0.x war daher kein sicherer Intranet-Zugang möglich. Während Good auf dem Ipad E-Mails wenigstens in einer geteilten Ansicht anbietet, war von dieser effizienten Bildschirmausnutzung auf einem Samsung Galaxy Tab 10.1N (Android 3.2) nichts zu sehen.

 

Fazit

Good for Enterprise liefert mit seiner Container-basierten Architektur einen Ansatz mit großem Potenzial, um der ansonsten ungelösten Aufgabe einer Trennung privater und geschäftlicher Daten in BYOD-Szenarien gerecht zu werden. Durch den hohen Sicherheitsstandard der Lösung verwundert es auch nicht, dass sie insbesondere in sensiblen Branchen wie Banken, Versicherungen und dem Gesundheitswesen auf Interesse stößt. Unternehmen, die der Sicherheitsimplementierung amerikanischer Herkunft nicht ganz trauen, gewährt der Hersteller nach eigenem Bekunden unter NDA einen tiefergehenden Einblick in die Implementierung. Trotzdem wäre der Verbreitung auf dieser Seite des großen Teichs eine unabhängige Sicherheitszertifizierung zum Beispiel durch das BSI oder das Fraunhofer Institut sicher zuträglich. Für einen größeren Erfolg in Europa wird auch ein lokales NOC unumgänglich sein. Obwohl sich Good mit seiner Lösung für das sichere Mobile-Application-Management nicht als direkte Konkurrenz zu reinen MDM-Lösungen sieht, würde Good for Enterprise eine Erweiterung der MDM-Fähigkeiten gut zu Gesicht stehen. So ist es beispielsweise derzeit nicht möglich, die Kamerafunktion auf Android-Geräten für sensible Unternehmensumgebungen zu deaktivieren. Der Preis für das Mehr an Sicherheit zahlt derzeit der Anwender: Während sich die Lösung rundum sehr einfach administrieren lässt, muss er im Umgang mit geschäftlichen Daten mit deutlichen Abstrichen beim Bedienungskomfort und den funktionellen Möglichkeiten rechnen. Dies dürften viele aber angesichts der hinzugewonnenen Freiheiten bei der privaten Gerätenutzung hinnehmen. So spricht beispielsweise durch die sicheren Geschäftsdatencontainer wenig gegen die private Nutzung von Cloud-Lösungen. Good steht vor der Veröffentlichung neuer Clients, die einige der im Test beanstandeten Limitierungen adressieren sollen. Sein volles Potenzial spielt Good for Enterprise allerdings erst in Kombination mit Enterprise-Apps nach dem Strickmuster von Good Dynamics aus. Good ruft als Lizenzkosten 152 Euro pro Gerät (Lifetime-Lizenz) und 1.432 Euro pro GMM-Server auf. Hinzu kommen neben der obligatorischen Mehrwertsteuer 19 Euro für einen jährlichen Basis-Support pro Gerät und 382 Euro pro Server. Dies entspricht zum Beispiel bei 100 Geräten und zwei Jahren Laufzeit 105,98 Euro pro Jahr und Gerät (zzgl. MwSt.). Der Autor auf LANline.de: pmeuser      Info: Good TechnologyTel.: 069/67733149Web: www.good.com

Die Systemadministration via Good Mobile Control lässt sich im Zweifelsfall auch vom Ipad aus erledigen.

Die Good Apps für IOS und Android sind funktionell nicht identisch.

Der Testaufbau des LANline-Tests von Good for Enterprise. Bild: Peter Meuser

LANline.