Da sich Windows-10- und macOS-Clients inzwischen mit den gleichen Tools verwalten lassen wie iOS- und Android-Geräte, konnten EMM-Werkzeuge (Enterprise-Mobility-Management) ihren Wirkungskreis erheblich erweitern. Der Markt befindet sich deshalb auf dem Weg zum Unified-Endpoint-Management oder UEM (siehe Beitrag auf Seite 44). LANline befragte die Anbieter zu den Besonderheiten ihrer EMM/UEM-Lösungen.

In seinem „Magic Quadrant for Unified Endpoint Management Tools“ vom 23. Juli 2018 sieht Gartner VMware, Microsoft, IBM, BlackBerry und MobileIron als Marktführer. Als Herausforderer gilt dem Analystenhaus Ivanti, zu den „Visionären“ zählt es Citrix, Sophos, das indische Unternehmen 42Gears und Soti. Als „Nischen-Player“ stuft Gartner neben dem deutschen Anbieter Matrix42 auch NationSky, ManageEngine und Snow Software ein.

Hier ist zu erwähnen, dass Gartner einen starken Fokus auf Großunternehmen und den US-Markt hat, sodass deutsche Lokalmatadoren wie Cortado, Deskcenter oder Virtual Solution durch das Raster fallen – lediglich das Frankfurter Softwarehaus Matrix42 hat es in Gartners UEM-Report geschafft. Zudem hat schon der vorherige Magic Quadrant zum EMM-Markt gezeigt, dass Gartner mitunter extrem hohe Anforderungen stellt – die teils über den tatsächlichen Bedarf der IT-Entscheider weit hinausgehen. Auch ein Nischenanbieter oder ein im Magic Quadrant gar nicht erwähnter Anbieter kann deshalb für einen Mittelständler oder Konzern die beste Lösung liefern (worauf Gartner auch stets selbst hinweist).

Zwei Anbietergruppen

Der UEM-Markt umfasst einerseits Anbieter mit EMM-Hintergrund wie BlackBerry, Citrix, MobileIron oder VMware, andererseits Hersteller von CLM-Tools (Client-Lifecycle-Management), die sich in Richtung UEM weiterentwickelt haben, darunter Baramundi, Ivanti oder eben Matrix42. Der folgende Beitrag beruht auf einer Anbieterbefragung der LANline, an der sich 21 Hersteller von EMM/UEM-Lösungen beteiligt haben (siehe die Marktübersichtstabelle auf Seite 51).

Das Softwarehaus AppTec aus der Schweiz betont bei seiner Lösung AppTec360 EMM das funktionsreiche und einfache Management, die einfache Inbetriebnahme lokaler Installationen, den günstigen Preis und den Umstand, dass man ein regionaler Anbieter ist. „Das Onboarding wurde bei uns vollautomatisiert, sodass keinerlei User-Interaktionen mehr benötigt werden“, ergänzt AppTec-Chef Sahin Tugcular.

Mit Self-Service-Portalen – im Bild das Portal von Cisco Meraki – erleichtern die UEM-Anbieter der IT-Abteilung die Arbeit. Bild: Cisco

„Uns geht es darum, mit Aruba Clearpass möglichst sicher die Vielzahl aller Nutzer und Geräte automatisiert und mit spezifischen Zugangsprivilegien ausgestattet zu verbinden und mit Aruba Introspect danach deren Verhalten zu überwachen“, erläutert Axel Simon, Chief Executive der HPE-Tochter Aruba. „Wir setzen auf die gezielte Authentisierung mithilfe eines Profilings, anhand dessen eine Rolle erkannt wird, der Zugangspriviligien regelbasiert zugeordnet werden können, um geräteplattformunabhängig der Vielfalt und der Menge der IoT-Welt gerecht zu werden.“ Dank des Clearpass-Profilings könne das IT-Team neue Mitarbeiter und Geräte erkennen und mit einem automatischen Onboarding einbinden. Introspect wiederum helfe als UEBA-Plattform (User and Entity Behaviour Analytics), Angriffe wie Zero-Day-Attacken zu erkennen, unerlaubte Zugriffe zu vermeiden und ungewöhnliche Datenbewegungen zu unterbinden.

Das Augsburger Softwarehaus Baramundi hat seine CLM-Lösung allein durch Eigenentwicklung zur UEM-Suite ausgebaut. „Die Baramundi Management Suite überzeugt durch einfache Bedienbarkeit und ein einheitlich und konsequent umgesetztes Modell zum Management aller populären Endpoint-Typen“, betont Armin Leinfelder, Head of Product Management bei der Augsburger Softwareschmiede. „Unsere UEM-Lösung stärkt mittels regelmäßiger Schwachstellen-Scans und nachhaltiger Patch-Mechanismen die Abwehrkräfte jedes Endpoints und beugt so Malware-Angriffen wirksam vor“, so Leinfelder.

BlackBerry, einst „der“ Hersteller mobiler Business-Endgeräte, hat sich längst zum Softwarehaus mit Fokus auf hochsichere Mobility weiterentwickelt.

Vom Gerätehersteller zum Security-Spezialisten

„BlackBerry UEM schützt Daten im Ruhezustand und während der Übertragung zwischen Geräten, Containern, Anwendungen und dem Unternehmensnetzwerk, und unsere NOC-abhängige Verbindung macht kostspielige und problematische VPN-Lösungen überflüssig“, fasst Florian Bienvenu, SVP EMEA bei BlackBerry, die Funktionalität zusammen. Zwei Jahre lang habe Gartner BlackBerry als Marktführer in allen sechs von Gartner definier-ten Hochsicherheits-Anwendungsfällen für Mobility-Management anerkannt. Mit BlackBerrys Multi-Plattform-Lösung könne die IT den Server, die Benutzerkonten und alle Gerätetypen über eine einzige Konsole verwalten.

Cisco Meraki Systems Manager bietet laut Hersteller eine zentrale Web-Oberfläche für alle IT-Werkzeuge: Die IT könne nicht nur ihr Mobile-Device-Management per Browser managen, sondern auch WLAN, Switching, Kameras und Security/Firewalling. Als Cloud-basierte Lösung sei sie innerhalb von Minuten ohne lokale Installation oder Server sofort nutzbar und skaliere bis zu zehntausenden Geräten. Zudem ist sie direkt in die anderen Netzwerkprodukte von Meraki integriert.

Citrix Endpoint Management, vormals als XenMobile bekannt, ist Citrix’ Stand-alone-Lösung für das UEM, fügt sich aber nahtlos in die Digital-Workspace-Architektur des Anbieters ein. Citrix betont, bei einer Implementierung erhalte man innerhalb weniger Stunden eine umfassende Lösung für das Geräte-, App- und Content-Management von mobilen Endgeräten, herkömmlichen Desktops, Laptops und IoT-Technik. Die Lösung umfasst ein sicheres Netzwerk-Gateway sowie eine Reihe containerisierter Apps für den geschützten Business-Einsatz.

„Cortado ist sowohl aus der Cloud als auch in der lokal installierten Variante extrem schnell betriebsbereit“, lobt Sven Huschke, CEO der Cortado Mobile Solutions. „Cortado ist sicher, ohne die Mitarbeiter handlungsunfähig zu machen. Unser starker Fokus liegt auf der Benutzerfreundlichkeit für den Administrator und den Anwender.“ Da sich der Cortado-Server direkt in die Infrastruktur des Unternehmens integrieren lasse, vermeide man Mehraufwand bei der Einbindung mobiler Geräte. So verwende Cortado 1:1 die im Active Directory hinterlegten Dateizugriffsrechte.

„Die DeskCenter Management Suite ist eine ganzheitliche Lösung, in der alle IT-Disziplinen auf einer gemeinsamen Plattform integriert sind“, beschreibt Benedikt Gasch, Direktor Produkt-Management bei DeskCenter Solutions, „dadurch greifen die Prozesse optimal ineinander.“ Die Suite sei skalierbar und biete diverse Möglichkeiten, unternehmensweite IT-Services auch für mobile und dezentrale Assets und Anwender bereitzustellen, und dies über den gesamten IT-Lifecycle hinweg. „Durch Monitoring und Reporting der File-Server-Infrastruktur werden Berechtigungen kontinuierlich geprüft und bei Bedarf angepasst“, so Gasch weiter. „Die vollständige Inventarisierung der IT-Infrastruktur deckt auch Schatten-IT auf und bildet so die Basis für automatische Analysen von Versions- und Patch-Ständen.“

UEM mit Hilfestellung durch KI

Als Hauptvorteile der IBM-Lösung „MaaS360 with Watson“ nennt David Fuchs, Security Software Experte bei IBM Deutschland, die günstige Kostenstruktur des reinen SaaS-Ansatzes, das Abdecken des kompletten EMM/UEM-Spektrums sowie den Umstand, dass bei IBM die IT-Sicherheit im Mittelpunkt stehe. Dies zeige sich durch die Integration mit SIEM-Lösungen wie IBMs QRadar, etwa in Form der KI-gestützten Suche mittels QRadar Advisor by Watson.

„Die Nutzung von Paketgruppen über Gerätetypen hinweg erlaubt es, Anwendungen wie beispielsweise Office für PC, Smartphone und Tablet in einem einzigen Schritt auszuwählen“, so Bernhard Steiner, Director PreSales EMEA Central bei Ivanti. Ivantis Endpoint Manager (EPM) erkenne, an welche Person das IT-Team welche Geräte und Apps ausgegeben hat. „Ein Benutzer kann Office mit einem Klick für alle seine Geräte beantragen oder nur für ausgesuchte Geräte“, erläutert Steiner. „So ist EPM in der Lage, den gesamten digitalen Arbeitsplatz über alle Architekturgrenzen hinweg zu verwalten: egal ob physisch, virtualisiert oder mobil.“

Hilfreich ist es, wenn das Service-Desk-Team eine Softwareverteilung direkt aus dem Helpdesk heraus anstoßen kann. Bild: Deskcenter

Kaseya betont bei seiner Lösung VSA (Virtual Systems Administrator) das umfassende Management, das Endpoints ebenso umfasse wie Netzwerkgeräte. „Die Automatisierung stützt sich auf Crowdsourcing, damit können Kunden sich bei Bedarf auf ein Heer an Automatisierungstechnikern verlassen“, so Tracy Hernandez, Vice President Product Marketing bei Kaseya. „Mit kontextbasierten Dokumentationen haben Techniker im Handumdrehen Zugriff auf das für sie nötige Hintergrundwissen. Zusätzlich erhalten sie ein zentralisiertes Bedienpanel für alle Remote-Sessions und Tickets.“

Matrix42, so Horst Droege, Chief Product Architect des Frankfurter Softwarehauses, verfüge einerseits über langes und intensives Know-how im klassischen Desktop-Management, andererseits über ein schlankes EMM-System, das den Endkunden „wichtige und vor allem die richtigen Funktionen“ liefere. „Die Kombination der beiden Elemente in einer einheitlichen Konsole ist die konsequente Umsetzung unserer Strategie, Unternehmen ein ganzheitliches Management ihrer IT zu ermöglichen“, so Droege weiter. „Dazu zählt die enge Verzahnung der Lösung in unsere Produkte außerhalb der UEM-Familie wie Service Desk, Software Asset Management und MyWorkspace als Zugriffspunkt für Identitäten und Anwendungen.“

„Einer der größten Vorteile der ManageEngine-Lösungen ist, dass sie sich jeweils für alle verfügbaren Systeme eignen – also sowohl für das Betriebssystem selbst als auch für Third-Party-Applikationen“, betont Christian Schneegans, Spezialist Software Consulting Enterprise Management bei dem ManageEngine-Vertriebspartner MicroNova. Man könne die verschiedenen Geräte komfortabel per einheitlicher Benutzeroberfläche verwalten. Die Web-basierte Software lasse sich leicht in ManageEngines Helpdesk-Tool ServiceDesk Plus integrieren, unterstütze aber auch Lösungen anderer Hersteller wie Jira oder ServiceNow.

Moderne Arbeitsplätze

„Der besondere Vorteil an unserer UEM-Lösung ist die Integration in unsere Plattform und somit in unser Modern-Workplace-Angebot“, sagt Stratos Komotoglou, Subsidiary Product Marketing Manager, Microsoft 365 Security bei Microsoft Deutschland. „Sie vereint Identitäts- und Zugriffsverwaltung mit Informationsschutz, Schutz vor modernen Bedrohungen sowie Sicherheits-Management und ist vollständig in unsere Collaboration- und Produktivitätslösungen integriert.“ Diese Integration zum „Microsoft 365“-Angebot garantiere hohe Benutzerakzeptanz und beuge einer Schatten IT vor.

MobileIron hebt neben der gemeinsamen Verwaltung mobiler und stationärer Rechner unter Windows 10 und unter macOS die zugehörige Sicherheitslösung Threat Defense hervor. Diese beruhe auf heuristischen Methoden und sei direkt in den Client integriert, sodass der Anwender sie nicht abschalten könne. Des Weiteren betont Peter Machat, Vice President EMEA Central von MobileIron, „die Möglichkeiten der Absicherung von Endgeräten im Zusammenspiel mit Cloud-Lösungen sowie unsere neue Multi-Faktor-Authentifizierung.“ Hier komme das Smartphone per einfacher Ja/Nein-Entscheidung in Sekundenschnelle als zweiter Faktor zum Einsatz (siehe Beitrag auf Seite 60).

Neben klassischen UEM-Funktionen bietet Kace laut Hersteller Quest auch umfassende Funktionen für die Asset- und Lizenzverwaltung, Endgerätesicherheit mit plattformübergreifendem Patch-Management, Scans auf potenzielle Sicherheitslücken und einen vollintegrierten Service-Desk-Bereich mit Software-Kiosk und Knowledge Base. „Sämtliche verwaltete Endgeräte können zentral auf Aktualisierungen oder Sicherheits-Updates geprüft werden“, so Timo Weberskirch, Sales Engineer bei Quest. „Natürlich lassen sich diese auch richtlinienbasiert verteilen oder bei Bedarf zurückziehen.“ Zudem biete die Kace Desktop Authority Suite Funktionen zur Absicherung der Geräteschnittstellen (USB, CD/DVD, Bluetooth etc.) und zur Verwaltung von Administrationsrechten. So könne man das Prinzip des geringsten Privilegs durchsetzen, also Zugriffsrechte auf das nötige Mindestmaß beschränken.

Management plus Sicherheit

Sophos hebt die Integration der hauseigenen UEM-Lösung in Sophos’ zentrale Management-Plattform Central hervor. Man bringe nicht nur UEM-typisch CLM und EMM zusammen, sondern biete zudem eine integrierte Endpoint-Protection-Lösung. „Damit hat der IT-Administrator wirklich nur noch ein Management-System, um Geräte aller Art zu verwalten und zu schützen“, so Thomas Lippert, Principal Product Manager bei den Briten.

Zudem sei die Lösung einfach zu nutzen: „Durch die Integration aller Produkte, die durchgängige Bedienung und das aufgeräumte Management-Interface sind die Administrationsaufwände deutlich geringer als bei vergleichbaren Lösungen“, verspricht Lippert.

Arubas Endpoint-Security-Werkzeug IntroSpect erlaubt es, die Entwicklung des Risikoprofils eines Nutzers nachzuverfolgen. Bild: Aruba

„Betriebssystemunabhängig verwaltet MobiControl Windows, Apple iOS und macOS, Android sowie Linux – alles mit derselben Lizenz, unabhängig vom Formfaktor des Geräts: Smartphone, Tablet, Scanner, Notebook, Raspberry, Geräte ohne Display usw.“, umreißt Stefan Mennecke, Regional Director Central Europe bei Soti. Ergänzend biete man weitere Lösungen, darunter das Helpdesk-Werkzeug Assist sowie Snap, ein Tool zur minutenschnellen Erstellung von iOS- oder Android-Apps, die man dann per EMM sofort auf die Endgeräte verteilen könne. Die Lösung skaliere von zehn Geräten bis zur Konzerngröße, die Lizenz sei dauerhaft oder im Cloud-Abonnement zu beziehen.

ThinPrint ergänzt führende UEM-Lösungen um die Option, vom Smartphone, Tablet und Laptop aus zu drucken. „Unternehmen können bestehende Rechte, wer wo auf welchen Druckern drucken darf, übernehmen und falls gewünscht erweitern oder einschränken“, beschreibt Thorsten Hesse, CPO von ThinPrint. Eine Nutzerauthentifizierung am Drucker sorge dafür, dass Ausdrucke nicht in falsche Hände geraten.

Der Endanwender könne per Self-Service überall Drucker suchen, finden, sich zuordnen und Einstellungen zu (Standard-)Druckern speichern. Druckertreiber verwalte die Software automatisch, und für sicheres Pull Printing könne ein Mitarbeiter Karten wie etwa die für den Gebäudezugang einfach selbst registrieren.

„SecurePIM ist eine Containerlösung und schützt Daten vor mißbräuchlicher Verwendung, ungewolltem Abfließen und unbefugten Zugriffen“, erläutert Günter Junk, CEO des IT-Sicherheitsspezialisten Virtual Solution aus München. „Alle Unternehmensdaten befinden sich auf dem Endgerät in einem virtuellen Container und sind auf dem Gerät sowie bei der Übertragung nach höchsten Sicherheitsstandards verschlüsselt.“ Die Lösung sei sehr flexibel: Sie gliedere sich in existierende Infrastrukturen ein, man könne sie mit oder ohne EMM/UEM-System betreiben. Vor allem aber zeichne sie sich durch ein hohes Sicherheitsniveau aus: „SecurePIM Government SDS wurde vom BSI für Datenkommunikation bis zur Sicherheitsstufe ‚Verschlusssache – nur für den Dienstgebrauch’ (VS-NfD) zugelassen“, so Junk. Die Software were ausschließlich in Deutschland entwickelt, biete also Sicherheit „Made in Germany“.

„Workspace One ist eine intelligente Plattform für digitale Arbeitsplätze auf Basis von VMwares AirWatch-Technologie“, so Michael Weber, Manager System Engineering bei VMware. Die Plattform biete zahlreiche Sicherheitsfunktionen wie zum Beispiel standortagnostische Richtlinien. Eine optionale Integration mit VMwares Netzwerk-Virtualisierungslösung NSX erlaube zusätzliche sicherheitsspezifische Abfragen und Reaktionen auf sich ändernde Umgebungsvariablen. „Zukünftig wird VMware Workspace One ein zusätzliches Modul (Intelligence) bereitstellen, das über Analysefunktionen Echtzeit-Reaktionen anbieten wird“, so Weber weiter. Die On-Premise- und Cloud-Varianten basieren laut dem VMware-Fachmann auf der gleichen Softwaregrundlage. Zudem biete die Lösung echte Multimandanten-Fähigkeit und eine plattformunabhängige Verwaltung zahlreicher Endgerätearten bis hin zu IoT-Devices.