Im Unternehmen sind Notebooks, Tablets und Smartphones mittlerweile der Standard. Die Entwicklung kommt dem Wunsch von Arbeitnehmern nach mehr Flexibilität und einer verbesserten Work-Life-Balance entgegen. Gleichzeitig ist sie auch im Sinn der Arbeitgeber. Da diese heute mehr denn je um junge Talente werben, müssen sie sich möglichst attraktiv präsentieren. Zudem versprechen sie sich von zunehmender Flexibilität auch mehr Agilität. Doch das Mobile Office hat auch seine Schattenseiten, insbesondere bezüglich der Datensicherheit.

Bei der Bereitstellung unternehmenseigener IT für die Nutzung in den eigenen vier Wänden oder unterwegs gehen Struktur und Kontrolle schnell verloren: IT-Administratoren sehen sich mit der privaten Nutzung dienstlicher Geräte und umgekehrt konfrontiert. Dies erschwert die Abgrenzung betrieblicher Daten, das Risiko der Abwanderung vertraulicher Informationen steigt.

Gefährliche Grauzone

Bei der Nutzung von Smartphones entsteht eine Grauzone, da viele Anwender es mit dem Datenschutz nicht immer so genau nehmen. Zu verlockend ist es, das Diensthandy am Wochenende oder im Urlaub im Büro zu lassen und die E-Mails auf dem privaten Handy zu checken oder doch mal eine WhatsApp-Message an Kollegen oder Kunden zu verschicken. Umgekehrt ist es praktisch, das Diensthandy auch mal zu nutzen, um eine private Nachricht zu senden oder ein privates Anliegen wie eine Online-Bestellung zu erledigen. Um dienstliche von privaten Daten auf mobilen Endgeräten wirksam zu trennen, wählen Unternehmen oft Containerlösungen. Der Mitarbeiter kann dabei auf seinem Smartphone Unternehmensdaten nur innerhalb einer geschützten Umgebung bearbeiten, und datenschutzrechtlich fragwürdige Apps können nicht auf dienstliche Kontaktdaten zugreifen.

Jedoch hat diese im Prinzip gute Lösung einige eklatante Nachteile. Unabhängig davon, ob der Anwender sein Endgerät vorrangig privat oder dienstlich nutzt, müssen Administratoren jeden Container verwalten. Das Einspielen von System-Updates kann nur in enger Ansprache mit dem Hersteller erfolgen. In letzter Konsequenz entstehen so eine höhere Abhängigkeit und vermeidbare Betriebskosten. Zudem haben diese Container meist nur rudimentäre Möglichkeiten zur Bearbeitung von Dokumenten, zum Datenaustausch und zur Zusammenarbeit mit anderen Apps – ganz zu schweigen davon, dass eine solche Container-App auch zwangsläufig mit einer veränderten Benutzerfreundlichkeit einhergeht. Deshalb zögern einige Nutzer, die darin vorhandenen Anwendungen für E-Mail, Kontakte und Kalender anzunehmen und zu nutzen. Containerlösungen erschweren folglich in vielerlei Hinsicht das mobile Arbeiten, statt es – wie ursprünglich beabsichtigt – zu erleichtern.

Ein Mobile-OS mit nativer Datentrennung sorgt für Orientierung, indem es geschäftliche Apps und Ordner mittels Icons kenntlich macht.
Bild: Baramundi

Datentrennung und Onboarding

Eine Alternative ist ein EMM-Werkzeug (Enterprise-Mobility-Management), das ohne Container arbeitet und bei der Datentrennung am Betriebssystem selbst ansetzt. So gibt es im Bereich Android Enterprise die Pakete „Work Profile“ und „Fully Managed Device“. Nutzt der IT-Administrator die Profile, können sie die Endgeräte im für dienstliche Belange vorgesehenen Bereich kontrollieren. Hier deckt das EMM neben dem von Google geforderten Mindestumfang die Kundenanforderungen an Sicherheitseinstellungen und konfigurierbare Einschränkungen ab.

Bei der Nutzung eines Containers oder einer gekapselten Anwendung sind Administratoren zudem stets vom Hersteller bei der Implementierung neuer System-Updates abhängig, während eine native Lösung integraler Bestandteil der Firmware ist. Zum Einspielen der Updates verwendet eine solche EMM-Plattform die vom jeweiligen Hersteller des Mobilgeräts bereitgestellte Management-Schnittstelle. Im Idealfall ergänzt die Management-Plattform den Standardumfang um zusätzliche Funktionen, bereitgestellt etwa durch einen eigenen Agenten.

Ein derartiges Management-System bietet ferner mehrere Methoden, um die verschiedenen Betriebssysteme der Mobilgeräte in Rahmen eines Enrollments zu koppeln: iOS-Geräte lassen sich so im Optimalfall direkt beim Bestellvorgang anlegen. Dazu reicht es, dass der Benutzer sein Gerät einschaltet, damit es automatisch dem Management beitritt. Zusätzlich besteht die Möglichkeit, dass Mitarbeiter mit einem noch nicht integrierten iOS-Gerät einen QR-Code scannen und es in das Management einschreiben. Bei Android-Geräten ist die Erfassung ähnlich unkompliziert: Die Management-Suite kann Android-Geräte direkt bei der Inbetriebnahme als „Fully Managed Device“ aufnehmen oder zu einem späteren Zeitpunkt mit dem „Work Profile“ hinzufügen. Beide Fälle erfordern ebenfalls den Scan eines QR-Codes.

Windows 10 bietet mit Windows Information Protection (WIP) seit Version 1603 und Windows Autopilot seit Version 1703 ähnliche Optionen für Datentrennung und einfaches Enrollment. Um WIP einsetzen zu können, bedarf es im Unternehmen einer geeigneten Management-Lösung. Administratoren können mit WIP Datenrichtlinien durchsetzen, die Datenweitergabe im Unternehmen steuern sowie geschäftlich genutzte Daten und Apps unabhängig von privaten Elementen administrieren und gegebenenfalls zurücksetzen.

Windows Autopilot ist seit Version 1703 verfügbar und setzt Azure Active Directory voraus, um eine „Out of Box Experience“ (OOBE) beim Enrollment von Notebooks und PCs zu ermöglichen. Microsoft ist mit diesen Optionen später als die Mobilplattformen auf den Markt gekommen – und dies wohl nicht ohne Grund: Während das Management von Smartphones und Tablets von Anfang an Fragen nach Trennung von privaten und geschäftlichen Daten und OOBE aufgeworfen haben, waren diese Themen beim klassischen PCs bisher mit eher niedriger Priorität angesiedelt.

Sauber aufgeräumt

Mittels des nativen Ansatzes existieren Arbeits- und Privatprofil sauber getrennt voneinander. Der Anwender erkennt geschäftliche Daten anhand eines entsprechenden Symbols und kann die Informationen aus den verschiedenen genutzten Kreisen nicht mehr unbeabsichtigt vertauschen. Entsprechend weiß er jederzeit, in welcher Umgebung er sich gerade befindet. Dabei spielt auch Verschlüsselung eine große Rolle. Durch den passwortgeschützten Zugang kann das System nicht nur verhindern, dass der Anwender Bereiche verwechselt, sondern auch, dass Unbefugte bei Verlust des mobilen Endgerätes auf die Daten zugreifen.

Zusätzlich schiebt das Management-System privat genutzten Anwendungen einen Riegel vor: Administratoren können von Haus aus unterbinden, dass Anwender vertrauliche Unternehmensinformationen zum Beispiel über ihr privates WhatsApp-Konto versenden. Doch auch der Nutzer gewinnt für seine eigenen Daten an Sicherheit: Befinden sich diese nicht im vom Unternehmen administrierten Bereich, können IT-Verantwortliche nicht darauf zugreifen. Sie besitzen lediglich Zugriff auf den vom Firmenprofil definierten Bereich, den sie über das Mobile-Device-Management ändern oder löschen können.

Zudem können Administratoren die von ihnen definierten „Pflichtanwendungen“ ohne Konfigurationskonflikte mit dem privaten Profil auch im geschäftlichen Profil installieren. Diese Unterteilung in zwei App-Zonen dient nicht zuletzt der Sicherheit der Arbeitsumgebung auf dem Smartphone: Manche frei verfügbare App kommt trotz Überprüfung in der Download-Plattform der Betriebssystemhersteller mit Programmierfehlern, die die Stabilität der Umgebung beeinträchtigen können. Zugleich verlangen viele Apps Zugang zu den Funktionen des Mobilgeräts, die sie für ihren Programmablauf nicht benötigen und lediglich zur Datensammlung nutzen.

Insbesondere im Hinblick auf Anwendungen, die in der Vergangenheit durch einen eher laschen Umgang mit dem Datenschutz auffällig geworden sind, ist dieser Zugang problematisch. Eine saubere Unterteilung in dienstlich und privat genutzte Daten ist nicht zuletzt aus Datenschutzgründen im ureigensten Interesse des Unternehmens. So könnten Mitarbeiter wenig begeistert reagieren, wenn ihr Arbeitgeber plötzlich Zugriff auf private Daten hat. Zwar ist eine solche Trennung auch durch Containerlösungen gewährleistet, doch demgegenüber stehen die erwähnten technischen Nachteile dieser Option.

Zusätzlich bietet eine ausgereifte Management-Plattform Funktionen, die eine schlichte Nutzung von Containern nicht vorsieht. So inventarisiert sie Rechner wie auch Netzwerkumgebung und ermöglicht die automatisierte Installation und Aktualisierung des Betriebssystems. Ebenso stattet sie das System mit den benötigten Anwendungen aus, die der IT-Administrator gemäß standardisierten Anwendungsszenarien definiert hat. Um jederzeit den sicheren Betrieb der Systeme zu gewährleisten, stellt das Management-System die aktuellen Updates und Patches für Standardsoftware zur Verteilung bereit und informiert über den aktuellen Zustand des gesamten Netzwerks und einzelner Endpoints. Insgesamt sollten IT-Verantwortliche ein natives Datentrennungsmodell dem containerbasierten Ansatz vorziehen. Mehr Sicherheit, eine striktere Datentrennung und weitaus bessere Performance sollten keine Fragen mehr offenlassen.

Alexander Haugk ist Produkt Manager bei Baramundi Software, www.baramundi.de.