Das Management von Desktops und Notebooks vereint sich derzeit mit der Mobilgeräteverwaltung (Enterprise-Mobility-Management, EMM) zum übergreifenden UEM (Unified-Endpoint-Management). Damit reagiert die IT-Branche auf den Trend zu steigender Mobilität und zur Mischnutzung vielfältiger Endgeräte. Vermehrt kommen nun aber IoT-Geräte ins Unternehmensnetz und erschweren die Lage erneut: Welche IoT-Devices fallen in die Zuständigkeit von UEM, welche nicht?
Ende Juli präsentierte das Analystenhaus Gartner erstmals seinen neuen „Magic Quadrant for Unified Endpoint Management Tools“. Diese Markteinschätzung ersetzt Gartners vorherige – und separate – Magic Quadrants zu Client-Management-Tools und EMM-Lösungen. Damit trägt Gartner aktuellen Entwicklungen im Endpoint-Management Rechnung: Dank neuer Schnittstellen lassen sich Windows-10- und macOS- mit den gleichen EMM-Tools verwalten wie iOS- und Android-Geräte. Zudem gilt es, in verstärktem Maße auch Linux-, Chrome-OS- oder auch unterschiedlichste IoT-Devices (Internet of Things) ins Management mit aufzunehmen – der Anspruch ist schließlich ein „Unified-“ (also vereinheitlichtes) Endpoint-Management. UEM-Werkzeuge bieten laut Gartners Definition folgende Funktionen:

  • Konfiguration, Verwaltung und Monitoring von iOS-, Android-, Windows-10- und macOS-Endpunkten, zudem Verwaltung „mancher“ IoT- wie auch Wearable-Endgeräte;
  • Vereinheitlichung der Konfigurationen, Management-Profile, Geräte-Richtlinienkonformität und Datensicherheit;
  • geräteübergreifende Überblicksdarstellung pro Nutzer, um den Nutzer-Support und Analysen zu erleichtern; sowie
  • Koordinationsstelle für die Orchestrierung von Aktivitäten verwandter Endpoint-Techniken wie Identity-Services und Sicherheitsinfrastruktur.

Die Analysten räumen ein, dass die Mehrheit der Organisationen beim Umstieg auf UEM vor „nicht trivialen Hindernissen“ steht. Diese, so Gartner, sind vor allem bedingt durch hohe Anforderungen der Legacy-Welt (sprich: etablierter Windows-Applikationen), zum Beispiel die Unterstützung von Gruppenrichtlinien (GPOs) oder Imaging-Verfahren. UEM-Werkzeuge, die aus der EMM-Welt kommen, bieten dies nicht. Hinzu kommen laut dem Analystenhaus eingefahrene CMT-Prozesse, die man nicht so leicht über Bord kippen will.

Angesichts zunehmender Gerätevielfalt raten die Analysten den IT-Verantwortlichen zu einer Aktualisierung ihrer Endpoint-Management-Strategie. Dazu solle man je nach Bedarf beginnen, Endgerätegruppen schrittweise in die neue UEM-Welt zu überführen. Derzeit befinde sich die Einführung von UEM-Lösungen noch in einem frühen Stadium – selbst bei den großen, multinationalen Unternehmen, auf die Gartner seinen Fokus richtet.

UEM in den Startlöchern

„Aus Sophos-Sicht ist der Markt noch in den Kinderschuhen“, sagt Thomas Lippert, Principal Product Manager bei Sophos. „Viele Unternehmen sind noch mit der Migration auf Windows 10 beschäftigt, was in vielen Fällen Grundvoraussetzung für eine einheitliche Verwaltung von konventionellen und mobilen Endgeräten ist.“ Falko Binder, Head of Enterprise Networking Architecture Germany bei Cisco, ergänzt: „Hier fehlen oft noch eine abgestimmte Strategie und zum Teil auch das Verständnis für die Dringlichkeit eines passenden Endpoint-Managements.“

Sophos beobachte aber, dass IT-Organisationen Teilbereiche, die bisher nicht gut verwaltet sind, jetzt mittels UEM adressieren, etwa macOS-Geräte oder Geräte externer Mitarbeiter und Berater: „Wir denken, das ab 2020 das Thema deutlich relevanter wird, zuerst in Unternehmen, die viele Knowledge Worker haben, später dann über alle Bereiche und Firmengrößen hinweg“, so Lippert.

„Langfristig wird das Ausbringen von Betriebssystem-Images oder Updates durch Enrollment-Vorgänge ersetzt werden, bei denen sich Geräte durch den Benutzer selbst personalisieren lassen“, sagt Bernhard Steiner, Director PreSales EMEA Central bei Ivanti. Bild: Ivanti

Vorerst jedoch besteht laut Sven Huschke, CEO von Cortado Mobile Solutions, eine anhaltende Nachfrage nach EMM-Tools: „Für mobile Geräte werden schlanke Lösungen evaluiert, die genau diese Aufgabe übernehmen und dem Thema Mobilität die Komplexität nehmen.“ Bernhard Steiner, Director PreSales EMEA Central bei Ivanti, ist zuversichtlich, dass diese Art der Geräteverwaltung eines Tages die Windows-Welt erreichen wird: „Langfristig wird das Ausbringen von Betriebssystem-Images oder Updates durch Enrollment-Vorgänge ersetzt werden, bei denen sich Geräte durch den Benutzer selbst personalisieren lassen.“

Deutlich positiver stellt sich die Lage aus Microsoft-Sicht schon heute dar: „Die Nachfrage nach UEM-Lösungen ist sehr hoch“, berichtet Stratos Komotoglou, Subsidiary Product Marketing Manager, Microsoft 365 Security bei Microsoft Deutschland. „Vor allem seit Einführung von Windows 10 streben Unternehmen danach, sowohl klassische PCs als auch Smartphones und Tablets unter einer Plattform und mit demselben Ansatz verwalten zu können.“

Kontextbezogene Sicherheit

Mobile Endgeräte gelten allerdings gemeinhin als Risikofaktor, da lokal gespeicherte sensible Daten leicht abhanden kommen können. Ein kritischer UEM-Aspekt ist deshalb die Endpunktsicherheit. „Hierbei spielen vor allem die richtige Identitäts- und Zugriffsverwaltung eine große Rolle“, so Komotoglou. „Benutzername und Passwort reichen heute nicht mehr aus, vor allem in der mobilen Cloud-Welt nicht mehr.“ Wichtig ist hier laut Cisco-Mann Binder die Möglichkeit, kontextbezogene Sicherheitsrichtlinien durchzusetzen: „Ein Beispiel: Ein Endgerät darf nur bei aktiviertem Virenschutz, aktualisiertem OS und innerhalb Deutschlands auf Unternehmensressourcen zugreifen. Ist dies nicht der Fall, landet es in einem gesicherten Gästenetz.“

Realisieren kann eine IT-Organisation diese kontextbezogene Sicherheit zum Beispiel mittels Profilen: „Mit Soti MobiControl können Geräten oder Mitarbeitern bestimmte Nutzungsprofile zugewiesen und unterschiedliche Zugriffsrechte auf Gerätefunktionen sowie Daten gewährt werden“, so Stefan Mennecke, Regional Director Central Europe bei Soti. Man könne Daten als nur „lesbar“ kategorisieren oder Geräte in einen Lockdown-Modus versetzen, damit der Benutzer nur von der IT erwünschte Apps verwenden kann. Per Geo-Fencing lasse sich zudem ein Gebiet definieren, in dem bestimmte Daten und Applikationen zur Verfügung stehen, so Mennecke weiter: „Verlässt das Gerät das Gebiet, ändern sich Zugriffsmöglichkeiten und Applikationen.“

„Auf der Cebit zeigte der MobileIron-Partner Hencke einen Selbstbedienungsautomaten, bei dem Mitarbeiter mit ihrem Firmenausweis ein fertig konfiguriertes neues Smartphone ‚ziehen‘ können“, berichtet Peter Machat, Vice President EMEA Central von MobileIron. Bild: MobileIron

Microsoft-Mann Komotoglou verdeutlicht diese kontextbezogene Endpoint-Sicherheit mit einem Beispiel: „Ein Mitarbeiter versucht, sich über sein mobiles Gerät von Frankfurt am Main aus am System anzumelden. Eine halbe Stunde später versucht genau derselbe Mitarbeiter, aus Hong Kong erneut Zugriff auf das System zu erhalten. Unsere Lösung würde hier automatisch erkennen, dass etwas nicht in Ordnung sein kann, und den Zugriff einschränken, einen zweiten Faktor für die Authentifizierung verlangen oder aber den Zugang sperren.“ Mit Microsofts „Conditional Access“ könne man den Benutzerzugriff mit einem standort-, geräte-, anwendungs- oder risikobasierten Ansatz und je nach Sensitivität der Informationen einschränken.

Schutz kritischer Unternehmensdaten

Günter Junk, CEO von Virtual Solution aus München, sieht den Schutz der Unternehmensdaten sogar im Zentrum der Bemühungen im UEM-Umfeld: „Oft schrecken IT-Manager vor der Komplexität des Themas zurück und konzentrieren sich lieber darauf, den Datenzugriff unabhängig von bestimmten Endgeräten zu managen. Daher stehen eher Konzepte, die einen sicheren Datenzugriff gewährleisten, im Mittelpunkt.“ Dies bestätigt Sahin Tugcular, Geschäftsführer von AppTec, und benennt den aktuellen Anlass: „Die hohe Nachfrage ist insbesondere durch die neue EU-DSGVO entstanden“, so Tugcular.

Als grundlegende Maßnahme zur Sicherung sensibler Unternehmeninformationen setzt man in der EMM/UEM-Branche verbreitet auf Containerisierung, etwa bei IBM: „MaaS360 bietet einen Softwarecontainer, der alle Unternehmensinhalte auf dem Endgerät einschließt und vom Rest des Geräts trennt“, erläutert David Fuchs, Security-Software-Experte bei IBM Deutschland, die Funktionsweise. „Durch VPN und Gateways wird auch der Transport dieser Inhalte abgesichert.“

Zum Schutz der wertvollen Daten kommen im UEM noch weitere Methoden zum Einsatz: „Dies startet bei der Registrierung mit Einmal-Passwörtern und geht weiter mit der Definition zugelasser Geräte mittels IMEI oder Seriennummern und Betriebssystemversionen“, beschreibt Horst Droege, Chief Product Architect bei Matrix42, das Vorgehen. „Erweitert wird dies durch eine zertifikatsbasierte Authentifizierung an Endpunkten sowie granular einstellbaren Compliance-Regeln und deren regelmäßige Überprüfung.“ Auf Applikationsebene können man unerwünschte Apps definieren, während Containerisierung nicht nur auf OS-Ebene, sondern auch durch eine Matrix42-eigene App möglich sei.

„Die Nachfrage nach UEM-Lösungen ist sehr hoch“, betont Stratos Komotoglou, Subsidiary Product Marketing Manager, Microsoft 365 Security bei Microsoft Deutschland. Bild: Microsoft

Hinzu gesellen sich bei manchen Anbietern zusätzliche DLP-Mechanismen (Data Leakage Prevention): „Mit ManageEngines Desktop Central können Unternehmen verhindern, dass Daten über den USB-Anschluss auf externe Speichermedien gelangen“, so Christian Schneegans, Spezialist Software Consulting Enterprise Management beim ManageEngine-Vertriebspartner MicroNova. BlackBerry, inzwischen klar auf seine Kernkompetenz – das Management sicherer Mobilität – fokussiert, geht noch einen Schritt weiter: Die Workspaces-Lösung der Kanadier, so Florian Bienvenu, SVP EMEA bei BlackBerry, „ermöglicht es Nutzern, Dokumente mit DRM-Schutz (Digital-Rights-Management, d.Red.) zu sichern, sodass sie die Kontrolle behalten, selbst wenn Dateien außerhalb der Firewall sind.“

Das Versprechen von UEM ist allerdings erst in zweiter Linie eine verbesserte Endpoint-Sicherheit, vor allem aber ein über die Gerätegattungen hinweg konsolidiertes und damit vereinfachtes Endgeräte-, App- und User-Management. So offerieren die UEM-Anbieter zum Beispiel diverse aus der EMM-Welt stammende (Self-Service-)Funktionen, um die Inbetriebnahme neuer Endgeräte oder die Aufnahme (das „Onboarding“) neuer Mitarbeiter ins Asset- und IT-Management eines Unternehmens zu beschleunigen. Zu den Mitteln der Wahl zählen vorrangig Portale für die Self-Service-Registrierung, teils mit eigenem Unternehmens-App-Store, zudem die Unterstützung OS- oder herstellerspezifischer Onboarding-Verfahren wie Apple DEP (Device Enrollment Program), Googles Android Zero Touch Enrollment, Microsoft Windows Auto-Pilot oder auch Samsungs Knox Mobile Enrollment.

Schnelleres Onboarding

Die Zustellung benötigter Registrierungsangaben an den neuen Mitarbeiter erfolgt dabei üblicherweise per E-Mail, SMS oder per QR-Code: „Mit der Einführung von QR-Codes haben wir den Registrierungsprozess für Geräte so einfach und sicher wie möglich gemacht“, betont BlackBerry-SVP Bienvenu. „Es ist so einfach wie das Öffnen einer Box, das Herausnehmen des Geräts und das Scannen eines Barcodes. Der Rest passiert automatisch, was lange Bereitstellungscodes überflüssig macht.“

„Wir sehen aufgrund der Explosion der Anzahl an IoT-Geräten die Notwendigkeit rollenbasierter Authentisierung“, so Axel Simon, Chief Executive bei der HPE-Business-Unit Aruba. Bild: Aruba

Neben dem üblichen Self-Service-Enrollment bietet IBM die Option eines „On Behalf“-Enrollments: „Hier wird die Unternehmens-IT in die Lage versetzt, im Namen vom Endbenutzer das Gerät auszurollen“, erklärt David Fuchs von IBM Deutschland das Verfahren. Insgesamt sind mit UEM-Software hochautomatisierte Registrierungsprozesse möglich, wie Peter Machat, Vice President EMEA Central von MobileIron, berichtet: „Auf der Cebit zeigte der MobileIron-Partner Hencke einen Selbstbedienungsautomaten, bei dem Mitarbeiter mit ihrem Firmenausweis ein fertig konfiguriertes neues Smartphone ‚ziehen’ können.“

Das Internet der widerspenstigen Dinge

Als wäre die Aufgabe, die wachsende Fülle von Endgeräten zentral abzusichern und – bis hin zur erwähnten vollautomatisierten Provisionierung – zu managen nicht schon anspruchsvoll genug, tauchen nun immer mehr „smarte“ Geräte in den Unternehmen auf: „Aktuell geht es noch viel um die Themen Management und Security – allerdings sehen wir den Trend, dass in Unternehmen auch vermehrt Wearables und IoT-Geräte verwendet werden“, so etwa Michael Weber, Manager System Engineering bei VMware.

In der Branche ist man sich noch uneinig, in welchem Maße UEM-Lösungen IoT-Geräte unterstützen müssen. Denn das immens große Spektrum der IoT-Gerätschaft reicht von den erwähnten Wearables, die letztlich nur eine weitere Client-Gattung sind wie Smartphones und Tablets auch, bis hin zu Equipment, das eher in den Bereich des Facility-Managements fällt (etwa intelligente Raumsteuerungssysteme) oder aber in ganz andere Zuständigkeiten, so im Fall vernetzter Technik, wie sie heutzutage in die Fahrzeuge der Firmenflotten hineinwandert. Ein Kernproblem ist, dass ein Teil der IoT-Geräte gar nicht dafür konzipiert ist, von einer UEM-Lösung verwaltet und mit Updates oder Patches bestückt zu werden.

So kann zum Beispiel VMwares Workspace One laut VMware-Mann Weber IoT-Geräte über Push-Methoden mit Management-Agenten versorgen, sofern diese netzwerkseitig erreichbar sind. Dies erweitert den Einzugsbereich einer UEM-Lösung deutlich über klassische stationäre und mobile Clients hinaus. Doch nicht alle IoT-Geräte erlauben es, Agentensoftware aufzuspielen.

Herangehensweisen an das Thema IoT

„Wir sehen aufgrund der Explosion der Anzahl an IoT-Geräten die Notwendigkeit rollenbasierter Authentisierung und des Ausrollens von Zertifikaten auf das Endgerät anstatt der Verwendung von Agenten“, kommentiert Axel Simon, Chief Executive bei der HPE-Business-Unit Aruba. Ergänzen sollte man dies laut Simon um „Sicherheitsmechanismen basierend auf künstlicher Intelligenz, die der erweiterten Angriffsfläche, die sich durch die Digitalisierung bildet, Rechnung tragen.“ Angesichts rasanter IoT-Verbreitung stelle sich die Frage, „ob traditionelle EMM/UEM-, aber auch bisherige Security-Ansätze dem gewachsen sind.“

Die UEM-Anbieter beschreiten unterschiedliche Wege, um sich der Herausforderung IoT zu stellen. So bietet BlackBerry für die Überwachung von IoT-Geräten seine Radar-Software an, die sich laut BlackBerry-Manager Bienvenu zum Beispiel für die Verfolgung von LKW-Containern eignet: „Im Falle des Transports von Frischwaren bietet die Möglichkeit, bei einer Unterbrechung der Kühlkette schnell alarmiert zu werden, ein erhebliches Einsparpotenzial“, so Bienvenu. IBM wiederum hat für die Verwaltung von IoT-Gerätschaft eine Schnittstelle zu Watson IoT eingerichtet. Microsofts IoT-Angebote hingegen sind von den „Modern Workplace“-Produkten entkoppelt.

Sicherheit im UEM „startet bei der Registrierung mit Einmal-Passwörtern und geht weiter mit der Defini-tion zugelasser Geräte mittels IMEI oder Serien-nummern und Betriebs-systemversionen“, so Horst Droege, Chief Product Archi-tect bei Matrix42. Bild: Matrix42

Sophos Mobile unterstützt laut Sophos-Mann Lippert das Management von „Windows 10 IoT“- und „Android Things“-Geräten über die UEM-Konsole. Sotis MobiControl verwaltet auch Geräte mit Linux, einem OS, das auf vielen IoT-Geräten zu finden ist. „In Kürze werden zusätzlich Geräte, die IoT-Protokolle wie MQTT sprechen, verwaltbar sein“, kündigt Soti-Director Mennecke an.

Mit MobileIron-Tools lassen sich zum Beispiel benutzerlose Navigationsgeräte und benutzergesteuerte Mobilgeräte gemeinsam verwalten. „Ob aber eine Verwaltung beliebiger IoT-Endgeräte über eine EMM-Plattform sinnvoll ist, da habe ich Zweifel“, sagt MobileIron-VP Machat. Den IoT-Einzugsbereich von MobileIron definiert Machat anhand der Daten: „Wir sichern Unternehmensdaten, wo immer sie anfallen, gespeichert oder transportiert werden.“

Neue Werkzeugkiste

Mit UEM hat sich eine neue Gattung von Management-Tools herausgebildet, die es aber wohl erst mittelfristig schaffen kann, bestehende PC-Management- und EMM-Werkzeuge zu ersetzen (einen Marktüberblick über EMM- und UEM-Lösungen gibt der nachfolgende Artikel auf Seite 48). Inwieweit sich das UEM auch auf den Bereich IoT erstrecken wird, steht derzeit noch in den Sternen, hängt dies doch nicht zuletzt von APIs, Protokollen und Management-Mechanismen ab, die es Stand heute teils noch gar nicht gibt. Die einschlägigen Anbieter dürften sich deshalb vorerst auf eine Abdeckung jener IoT-Geräte wie Wearables beschränken, mit denen die Endanwender täglich hantieren – und auf denen Unternehmensdaten liegen könnten, die es zu schützen gilt.