In den letzten Jahren dominierte das Thema Mobility das End-User Computing, befeuert durch vom Consumer-Segment importierten Smartphones und Tablets: Die Endanwender forderten – oder nutzten einfach – moderne Mobilgeräte und Apps, die Unternehmens-IT befand sich oft im reinen Reaktionsmodus. Inzwischen aber gehen deutsche Unternehmen das Thema strategischer an und betrachten Mobility als Teil ihrer Digitalisierungsinitiativen. Doch Sicherheitsrisiken, der Datenschutz und das IoT bringen neue Herausforderungen.

Bei der IDC-Umfrage „Enterprise Mobility in Deutschland 2017“ vom Oktober dieses Jahres gaben 56 Prozent der deutschen Unternehmen an, eine Mobility-Strategie implementiert zu haben – deutlich mehr als im Jahr 2014 (47 Prozent) oder gar 2012 (28 Prozent). IDC hatte dazu im Juli 257 IT- und Fachbereitsverantwortliche aus Unternehmen mit über 100 Mitarbeitern befragt. Die Marktforscher bescheinigen den Befragten eine „deutlich gereiftere und innovativere Herangehensweise“ in Sachen Mobility als noch vor wenigen Jahren. Auf Unternehmensseite wolle man „eine bessere Unterstützung der Fachbereiche und die Durchsetzung der Security Hand in Hand angehen“, so IDC. Neben Smart Devices und Wearables finde man auch immer häufiger AR/VR (Augmented Reality und Virtual Reality) als Bestandteile der Digitalisierungsstrategien: Zwei Drittel der IT-Entscheider beschäftigen sich laut der Umfrage mit AR und VR.

Um in der mobileren Arbeitswelt für Verwaltbarkeit, Sicherheit und Compliance zu sorgen, rät IDC zu UEM (Unified-Endpoint-Management), also zur Konvergenz des klassischen Windows-orientierten Client-Lifecycle-Managements (CLM) mit dem Enterprise-Mobility-Management (EMM) – im Einklang mit den führenden Anbietern, die sich alle in diese Richtung bewegen. Auch das Analystenhaus Gartner, das sich lange auf die Funktionsfülle von EMM konzentrierte, stellte in seinem letzten „Magic Quadrant“ zum Thema einen Bedarf an CLM/EMM-Konvergenz fest (LANline berichtete, siehe bit.ly/2whubZq). Zugleich warnte Gartner aber vor der Komplexität der Aufgabe, Windows-Bestandsumgebungen mittels EMM verwalten zu wollen.

Digitale Arbeitsplätze sind laut Microsoft heute in der Cloud und damit per Mobilgerät jederzeit und überall verfügbar, im Bild die Cloud-basierte Business-Software Dynamics 365. Bild: Microsoft

 

EMM-Tools dienten früher praktisch ausschließlich dem Management von iOS- und Android-Mobilgeräten. Doch in den letzten Jahren ermöglichten Apple und Microsoft den Wandel hin zum UEM: Beide Konzerne öffneten ihre Desktop- und Notebook-Betriebssysteme per MDM-API (Mobile-Device-Management-Schnittstelle) für eine Verwaltung mittels EMM-Lösungen – ein wichtiger Schritt, zumal sich immer mehr „2-in-1“-Geräte wie Microsofts Surface Pro, Lenovos ThinkPad Yoga oder HPs Pavilion x360 einer klaren Einordnung als Notebook oder Tablet entziehen.

UEM ermöglicht die einheitliche, zentralisierte Kontrolle sämtlicher Clients im Unternehmen. Die Endanwender können dabei die von ihren Consumer-Geräten her gewohnte, Self-Service-gestützte Flexibilität weitgehend behalten. „Der User rückt in den Fokus“, kommentiert Robin Wittland, Leiter Geschäftsbereich Windows & Devices bei Microsoft Deutschland. „Die fortschreitende Digitalisierung im Privaten steigert auch den Anspruch an Soft- und Hardware im Job. Arbeitnehmer wünschen sich mehr Autonomie und Souveränität bei den Themen, wie sie arbeiten, wann sie arbeiten und wo sie arbeiten.“ Moderne Hardware, die diesen Lebensstil ermöglicht, werde damit zum zentralen Bestandteil der Unternehmens-IT, so Wittland in Anspielung auf Microsofts Surface-Familie von Notebooks, Tablets und mobilen 2-in-1-Geräten, mit denen Redmond der Apple- und Android-Welt nach jahrelanger Aufholjagd heute Paroli bietet.

Den Endanwender betrachtet auch der Frankfurter UEM-Anbieter Matrix42 als Dreh- und Angelpunkt der modernen Arbeitswelt: „Die Beziehung zwischen Mitarbeiter und digitalem Arbeitsplatz ist schon länger keine 1:1-Beziehung mehr“, so Oliver Bendig, CEO von Matrix42. „Wir sehen heute viel mehr eine 1:n-Beziehung mit Laptop, Smartphone, Tablet etc. Dies erzeugt neue Anforderungen an das IT-Management, damit die richtige App auf dem richtigen Gerät zur richtigen Zeit und zum richtigen Service-Preis zur Verfügung steht.“

Den Grundstein für den Wandel vom CLM- zum UEM-Anbieter legte Matrix42 schon Ende 2014 per Aquisition des australischen EMM-Spezialisten Silverback. „Dadurch, dass wir sehr früh die Verschmelzung von mobilen und traditionellen Geräten vorangetrieben haben, können wir Unternehmen bei ihrer digitalen Arbeitsplatz-Transformation sehr gut unterstützen“, betont Bendig.

Mit Workspace One verbindet VMware die Endpoint-Verwaltung mit dem Identity-Management. Bild: VMware

 

Anders als Matrix42 verzichtete der Augsburger Client-Management-Spezialist Baramundi auf dem Weg zum UEM bewusst auf Zukäufe: „Baramundi setzt seit über fünf Jahren auf die konsequente Eigenentwicklung von EMM als Erweiterung der etablierten klassischen Client-Management-Suite“, erläutert Armin Leinfelder, Leiter Produkt-Management bei Baramundi. Damit liefere man „seit Anbeginn wahres Unified-Endpoint-Management“. Er begrüßt, dass sich am Markt Standardmethoden etablieren: „Hierzu beobachten wir aufkommende Standardisierungen wie zum Beispiel AppConfig und eine zunehmende Konvergenz der Management-Möglichkeiten zwischen klassischen Geräteformen und neuen Mobilgeräten, also Consumer-Geräten“, so Leinfelder.

Die AppConfig-Community ist eine Gruppe von EMM/UEM-Herstellern, die sich um eine einheitliche Verwaltung von Mobilgeräte-Apps bemühen. Zur Gruppe zählen wichtige Anbieter wie Cisco, IBM, VMware, MobileIron, SAP und Soti.

Matrix42-Chef Bendig warnt in diesem Kontext davor, UEM als reine Geräteverwaltung zu begreifen: „Wir bei Matrix42 glauben, dass die technische Automation und die einfacherer Bereitstellung des digitalen Arbeitsplatzes nur eine Puzzlestück in einem größeren Workspace-Bild ist.“ Deshalb biete Matrix42 neben UEM auch Lösungen für das Service- und das Lizenz-Management sowie mit MyWorkspace eine Plattform für in der Cloud gehostete virtualisierte Arbeitsplätze.

Virtual Workspaces

Der digitale Arbeitsplatz verlagert sich zunehmend in die Cloud: Mobile Endgeräte – und hier sind die Consumer-Geräte Vorreiter – geraten immer stärker zu bloßen Hardware-Gegenstücken Cloud-basierter Lösungen, Mobility und Cloud erweisen sich als zwei Seiten der gleichen Medaille. Vor diesem Hintergrund bietet zum Beispiel Microsoft neben seinen aktuellen Windows-10-Geräten auch Softwarebausteine für den modernen Cloud-basierten Arbeitsplatz. So hat der Redmonder Konzern seine Office-365-Suite mit Enterprise-Mobility- und Security-Funktionen zur Lösung „Microsoft 365“ zusammengeführt. Dies ist ein Cloud-basiertes Workspace-Portal, „über welches sich Mitarbeiter den individuell passenden Arbeitsplatz selbst zusammenbauen“, so Microsoft-Mann Wittland. Hinzu gesellt sich die Business-Suite Dynamics 365 ebenso wie die Collaboration-Software Teams, die Skype for Business ablösen soll. „Teams ist nur in Office 365 verfügbar – ein eindeutiges Signal, dass Microsoft weiterhin die Cloud-First-Strategie verfolgt“, so Nils Gräf, Business Unit Manager Collaboration Infrastructure bei Axians IT Solutions.

Mit diesem Portfolio tritt Microsoft verstärkt in Konkurrenz zu den Virtual-Workspace-Vorreitern Citrix und VMware. Beide Virtualisierungsgrößen haben sich längst den umfassenden, flexiblen und jederzeit mobil verfügbaren Arbeitsplatz auf die Fahnen geschrieben und bewegen sich von der lokalen Virtual Desktop Infrastructure (VDI) immer stärker in Richtung Cloud-basierter Arbeitsplätze.

In Citrix’ Hybrid-Cloud-Architektur sorgt ein Cloud Connector für die sichere Kommunikation zwischen der Unternehmensumgebung und der Citrix Cloud. Bild: Citrix

Kontrolle plus Flexibilität

 

Citrix setzt dabei auf seine Hybrid-Cloud-Plattform für das Virtual-Workspace-Management Citrix Cloud, seine UEM-Lösung XenMobile und seine enge Zusammenarbeit mit Microsoft, VMware auf die Virtual-Workspace-Lösung Horizon, seine UEM-Software Workspace One und Partnerschaften mit zahlreichen Cloud-Providern, darunter nun auch der vormalige Konkurrent AWS.

„Ein moderner Workspace integriert auch Cloud-Services von außerhalb des klassischen Unternehmensnetzwerks“, erklärt Stefan Volmari, Director Systems Engineering CEE bei Citrix. „Die größte Herausforderung der IT ist nicht die Wahl der Cloud, sondern wie Unternehmen und Mitarbeiter am besten von der großen Vielzahl der Cloud-Dienste profitieren können.“ Der Desktop sei nicht mehr der einzige Einstiegspunkt für Benutzer und nicht der einzige Kontrollpunkt für die IT, so Volmari weiter: „Es gibt nicht ,den einen’ Desktop auf ,dem einen’ Endgerät. Dies führt zu fragmentierten Endnutzererfahrungen, erhöhter Komplexität und einem verstärkten Risiko von Sicherheitslücken und unkontrolliertem Zugriff auf Daten.“

Daraus ergeben sich laut Volmari drei Kernanforderungen an den Virtual Workspace: Er müsse einheitlich („Unified“) sein, also eine einheitliche Bedienung und eine einzige zentrale Kontrollebene bieten; er müsse kontextabhängig arbeiten, also Inhalte, Workflows und App-Zugriffe abhängig von den Anforderungen, Geräten und Netzwerkbedingungen eines Mitarbeiters bestmöglich bereitstellen; und er müsse sicher sein: „Ein Secure Digital Perimeter hilft, Angriffsoberflächen zu verbergen, den sicheren Zugriff zu ermöglichen und vollständige Kontrolle, Transparenz und Sicherheitsanalysen über Apps, Geräte und Netzwerke hinweg zu gewährleisten“, so Volmari.

Matrix42 arbeitet derzeit daran, die Threat-Defense-Technik von enSilo (Bild) in seine UEM-Lösung zu integrieren. Bild: Matrix42

 

Ganz ähnlich sieht man das bei VMware. Nicht umsonst hat die Dell-EMC-Tochter in ihre Workspace-One-Lösung neben App-Katalog und Self-Service-Funktionalität auch ein Identity-Management mit SSO-Funktionalität (Single Sign-on) integriert: „Um einen sicheren Zugriff zu gewährleisten und Angriffe zu vermeiden, haben wir in unsere Plattform eine Technologie eingebettet, in der wir die Identität des Nutzers mit dem Kontext des Geräts verbinden und damit einen sehr hohen Grad an Sicherheit erreichen können“, so Ralf Gegg, Senior Director EUC and Mobility CEMEA bei VMware. „Wir prüfen zum Beispiel über Fingerprint oder Retina-Scan die Identität des Mitarbeiters und dessen Zugriffsrechte. Auch können wir über den Gerätestatus weitere sicherheitsrelevante Merkmale nutzen, beispielsweise ob sich der Mitarbeiter im Unternehmens-WLAN befindet, ob er im Ausland ist oder ob sich auf dem Gerät kritische Apps befinden, die Sicherheitsrisiken beinhalten.“ Auf dieser Basis lasse sich der Zugriff je nach Kontext einschränken.

Risiken und Security

Die einschlägigen Anbieter warnen einhellig davor, dass mit der Mobilität der Endanwender auch das Sicherheitsrisiko gewachsen ist. Als Hauptgründe nennen sie gegenüber LANline immer wieder: die enorm gestiegene Plattformvielfalt (insbesondere im Android-Umfeld), eine Vielzahl nach wie vor nicht zentral verwalteter Mobilgeräte, achtlose Endanwender und die tückische Angreiferschaft mit ihrem Arsenal von Social Engineering über Phishing bis zu Malware und Ransomware. Die Anbieter versuchen mit unterschiedlichsten Mitteln, diesen Gefahren entgegenzuwirken.

„Da moderne Cloud-Lösungen bereits heute ein hohes Maß an Sicherheit bieten, ist der größte Schwachpunkt die Absicherung der Endgeräte selbst“, warnt Matthias Haas, Chief Technology Officer beim Bremer Thin-Client- und Mobility-Management-Anbieter Igel. Firewalls und Virenscanner reichten längst nicht mehr aus, so Haas. Er rät zu „smarten“ Sicherheitsmechanismen wie umfassender, kontextabhängiger Kontrolle über das Endpoint-Betriebssystem und Zwei-Faktor-Authentifizierung. Mit UD Pocket hat Igel zudem einen Kleinst-TC im USB-Stick-Format im Portfolio, der einen Windows- und Mac-Rechner für die Dauer der Nutzung in einen Thin Client – und somit in einen zentral abgesicherten Cloud-Arbeitsplatz – verwandelt: „Mit dem Micro Thin Client UD Pocket ermöglichen wir Unternehmen sicheres BYOD (Bring Your Own Device, d.Red.) durch effektive Betriebssystem-Separierung“, erklärt Haas. „Bei Bedarf lässt sich UD Pocket auch zentral deaktivieren und durch das zentrale Management schnell mit Patches versorgen, wie etwa bei der kürzlich aufgetretenen WLAN-Sicherheitslücke Krack.“

„Arbeitnehmer wünschen sich mehr Autonomie und Souveränität“, so Robin Wittland, Leiter Geschäftsbereich Windows & Devices bei Microsoft Deutschland. Bild: Microsoft

Ojas Rege, Vice President of Strategy bei MobileIron, verweist für die Absicherung der Fernzugriffe auf die hauseigene Lösung Access: „Anders als sogenannte Cloud Access Security Broker überprüft MobileIron Access die gesamte Gestik des Endgeräts, geht also weit über bloße Authentifizierungs- und Identifizierungsparameter hinaus, wie sie Identity- und Access-Management-Systeme bieten.“ So überprüfe die Lösung die IP-Adresse, Geräte-Compliance, den Zugriffszeitpunkt und den Stanort des Geräts. Anfragen des Endgeräts würden bei Bedarf über das EMM-System umgeleitet. In puncto Malware betont Rege die Partnerschaft mit Zimperium, einem Anbieter Machine- Learning-basierter Bedrohungsabwehr (Threat Defense) auf Mobilgeräten. Matrix42 wiederum ist derzeit damit befasst, die Echtzeit-Threat-Defense-Technik von enSilo zu integrieren, während Baramundi automatisierte Schwachstellenscans mit seinem Patch-Management verknüpft.

Höhere Datenschutzhürden

Als weitere Herausforderung neben der vielfältigen Bedrohungslandschaft rücken viele Anbieter derzeit das Thema Datenschutz in den Mittelpunkt. Schließlich tritt im Mai 2018 die EU-DSGVO (Datenschutz-Grundverordnung) in Kraft, die auf strikten Schutz personenbezogener Daten von EU-Bürgern abzielt. Bei diesem Thema spielten laut IDC die Mobilgeräte eine besonders wichtige Rolle: 35 Prozent der Smartphones in den Unternehmen stehen laut IDC-Angaben nach wie vor nicht unter Verwaltung durch die Unternehmens-IT. Deshalb wirke die DSGVO als „Impulsgeber“ für Mobility-Projekte: „40 Prozent der befragten Firmen wollen gerade aufgrund der DSGVO neue Mobility-Projekte anstoßen, nur 29 Prozent stellen diese zurück“, so das Analystenhaus.

Gerald Hahn, Vorstand von Softshell, einem auf den Security-Markt spezialisierten Value-Added Distributor, sieht hier aber keinen Anlass für allzu große Aufregung: „Deutsche Unternehmen blicken recht entspannt auf die kommende DSGVO“, so Hahn. „Schließlich ist strenger Datenschutz hierzulande nichts Neues – und hohe Anforderungen an den Schutz personenbezogener Daten auf Unternehmensseite ebensowenig.“

„Baramundi setzt seit über fünf Jahren auf die konsequente Eigenentwicklung von EMM“, so Armin Leinfelder, Leiter Produkt-Management bei Baramundi. Bild: Baramundi Software

Zugleich stellt Hahn aber zufrieden fest, dass man in den Unternehmen nun mehr Augenmerk auf Sicherheitsfragen legt und die Probleme von der Basis her angeht: „In puncto IT-Sicherheit beschäftigen sich viele Unternehmen verstärkt mit den Grundlagen: Netzwerksegmentierung, Zugriffskontrolle, zentrale AAA-Server, Prozesse für die Reaktion auf Vorfälle oder Security-Awareness-Maßnahmen“, berichtet Hahn. „Diese Aktivitäten sind aber nicht DSGVO-getrieben, sondern dem Versuch geschuldet, Angriffen wie Ransomware besser begegnen zu können und die Schatten-IT zu minimieren.“ Es gebe inzwischen zum Glück einige Anbieter von Security-Awareness-Schulungen, die helfen könnten, die Aufmerksamkeit der Endanwender zu verbessern (siehe Kasten).

Nach den Smartphones und Tablets rollt unter der Überschrift „Internet of Things“ oder kurz IoT der nächste Tsunami unverwalteter Endpunkte auf die Unternehmen zu. Das Problem: Bildeten die Apple- und Android-Devices eine konkrete Gerätegattung, so ist IoT extrem breit gefächert: Das Spektrum reicht von Consumer-Gadgets wie Smartwatches über vernetzte Autos und Wohnungen bis hin zu intelligenten Geräten und Maschinen in Industrie, Handel und Logistik.

Im IoT sehen die EMM/UEM-Anbieter vorrangig einen großen Markt an Endgeräten, die es abzudecken gilt. Ralf Gegg von VMware zum Beispiel betont: „Wir ermöglichen es Unternehmen, den digitalen Arbeitsplatz und das Thema Mobility bis hin zu IoT mit einer Softwareplattform zu unterstützen. Dabei liefern wir die größtmögliche Gerätevielfalt: von traditionellen Windows-PC und Macs über mobile Endgeräte wie iPhones, Android-Geräte, Chromebooks und Rugged Devices bis hin zu IoT-Geräten.“ Diese Abdeckungsbreite biete derzeit kein anderer Hersteller, so Gegg. IDC berichtet: „IT-Verantwortliche zeigen sich sehr offen, die Endpoints ihrer IoT-Szenarien über eine EMM- beziehungsweise UEM-Lösung zu verwalten. 61 Prozent der befragten Unternehmen erachten dies als sinnvollen Schritt.“

„Da moderne Cloud-Lösungen bereits heute ein hohes Maß an Sicherheit bieten, ist der größte Schwachpunkt die Absicherung der Endgeräte selbst“, so Matthias Haas, CTO bei Igel. Bild: Igel

Matrix42-CEO Oliver Bendig rät allerdings dazu, die Verwaltung von IoT-Endpunkten mittels UEM-Lösungen differenzierter zu betrachten: „Generell sehen wir bei IoT zwei Bereiche, die Unternehmen beschäftigen: erstens Industrial IoT, also die Steuerung von Produktionsmaschinen und Anlagen, und zweitens Smart Office IoT. Wir glauben, dass Unternehmen Industrial IoT nicht mit Lösungen aus der Office-IT adressieren werden.“ Mehrwerte sehe er hingegen im Bereich des Smart Office IoT, sei dieses doch eine logische Erweiterung des digitalen Arbeitsplatzes. Matrix42 arbeite bereits in ersten Pilotprojekten mit Kunden zusammen, um Aktoren und Sensoren aus der Gebäudetechnik mit dem Client-Management zu verknüpfen.

Zugleich gibt es zahlreiche warnende Stimmen, die das Augenmerk auf die mit IoT verbundenen Risiken lenken, so zum Beispiel Udo Riedel, CEO und CTO von DriveLock: „Das größte Risiko im Moment entsteht aus der Plattformvielfalt im IoT-Umfeld, der weitgehenden Nicht-Existenz von Sicherheitsstandards in diesem Bereich sowie dem Fehlen von teilweise grundlegenden Security-Konzepten in Architektur und Implementierung vieler Geräte oder Software.“ Dies könne man nicht allein durch IT-Security-Software bewältigen: „Security muss ein Teil des Entwicklungsprozesses werden.“

Security-Awareness-Anbieter in Deutschland

Der jährliche Vendor Report des Münchner VARs Softshell gibt einen Überblick über die internationale IT-Security-Anbieterlandschaft. Der Report umfasst in der 2017er-Ausgabe Profile von 1.279 Unternehmen, neben 169 mit Hauptsitz in DACH auch 1.110 Anbieter aus dem Ausland, von denen immerhin 214 eine Niederlassung in der DACH-Region unterhalten. Laut Softshell sind folgende Anbieter von Security-Awareness-Schulungen und -Trainings in Deutschland aktiv:

  • Amitego
  • BC Digital
  • CBT Training & Consulting
  • IT-Seal
  • Nside Attack Logic
  • Security Innovation

Anfordern kann man den Bericht unter www.softshellvendorreport.de.