IT-Organisationen haben inzwischen ihre Windows-Geräteverwaltung (Client-Lifecycle-Management, CLM) durch eine Verwaltung von Mobilgeräten, vorrangig IOS- und Android-Devices, ergänzt (Enterprise-Mobility-Management, EMM). Damit betreiben sie nun allerdings zwei Management-Lösungen parallel. Einige Hersteller wollen deshalb CLM und EMM wieder vereinen: zum Unified-Endpoint-Management (UEM). Der Bereitstellung mobiler Arbeitsplätze wiederum dienen sogenannte Workspace Aggregators.

Wenn von „mobilem Arbeiten“ oder „Enterprise Mobility“ die Rede ist, dann ist damit nur in zweiter Linie der gehetzte Mitarbeiter gemeint, der zwischen zwei Meetings noch schnell seine E-Mails am Smartphone abarbeitet. Diese Variante gibt es in der Tat, doch ist sie auf Dauer der Work-Life-Balance wenig zuträglich. Häufig aber zeigt sich Enterprise Mobility vorrangig als Arbeiten mit wechselnden tragbaren Endgeräten, an wechselnden Standorten – und leider auch mit wechselnder Qualität der Internet-Anbindung. Das „mobile“ ist also in der Praxis eher ein „nomadisches“ Arbeiten: mal mit dem Smartphone im Taxi, in der U-Bahn oder auf der Rolltreppe, mal mit dem Tablet oder Convertible bei einer Kundenpräsentation, mal mit dem Notebook im Home Office, Café, Hotel, ICE oder Wartebereich eines Flughafens.

Nomadisches Arbeiten

Für den modernen Arbeitsnomaden ist es praktisch, wenn er von überall aus auf seine benötigten Apps und Daten zugreifen kann – über einen einheitlichen Zugang, aber angepasst an die Display-Größe des gerade genutzten Endgeräts und sofern möglich bitte auch Performance-optimiert, wenn man mal wieder mit einer 3G-Verbindung auskommen muss. Lösungen, die einen solchen ortsungebundenen, geräte- und betriebssystemübergreifenden Zugriff auf Applikationen, Services und Dateien bereitstellen, nennt das Analystenhaus Gartner „Workspace Aggregators“. Denn Unternehmensressourcen und Cloud-Services werden hier zu einem digitalen Arbeitsumfeld „aggregiert“ und per Web-Browser oder Client-App zugänglich.

Der Workspace Aggregator Myworkspace von Matrix42 bündelt Cloud-Apps und -Services zu einer per Browser aufrufbaren Arbeitsumgebung. Bild: Matrix42

Der Workspace Aggregator Myworkspace von Matrix42 bündelt Cloud-Apps und -Services zu einer per Browser aufrufbaren Arbeitsumgebung.
Bild: Matrix42

Laut Gartner umfasst ein Workspace Aggregator fünf Funktionsbereiche: 1. Application Delivery, also die orchestrierte Provisionierung und Deprovisionierung von Mobilgeräte-, PC- und Web-Applikationen; 2. die sichere Bereitstellung von Unternehmensdaten; 3. die Verwaltung der Workspaces inklusive Application-Lifecycle-Management, Metering und Monitoring; 4. kontextbezogene Sicherheitsfunktionen; 5. optimale Bedienbarkeit („User Experience“) dank der vereinheitlichten Arbeitsumgebung.

Workspace-Aggregator-Markt

In den USA hat Gartner durchaus die Marktmacht, neue Produktsegmente herbeizudefinieren; hierzulande hingegen scheint sich der schon 2012 von Gartner verwendete Begriff „Workspace Aggregator“ [1] noch nicht so recht etablieren zu wollen. Dies ist in gewisser Weise verwunderlich, denn nicht nur ist diese Lösungsgattung offenkundig sehr nützlich, zudem findet man in Gartners „Market Guide for Workspace Aggregators“ [2] einige bekannte Herstellernamen: Als „repräsentative Anbieter“ nannte der Report Citrix mit Xendesktop (samt der Cloud-basierten Variante namens Citrix Cloud) im Zusammenspiel mit der EMM-Software Xenmobile und der Filesharing-Lösung Sharefile ebenso wie VMwares Konkurrenzangebot Horizon (zusammen mit VMwares EMM-Lösung Airwatch). Als weitere Anbieter in diesem Umfeld erwähnte Gartners Bericht ASG (mit deren aus der Übernahme des deutschen Anbieters Visionapp hervorgeganger Lösung Cloud Cockpit), das britische Softwarehaus Centrix (zum Redaktionsschluss im Web nicht auffindbar), die 2014 von Citrix aufgekaufte Softwareschmiede Framehawk sowie den chinesischen Computerhersteller Lenovo. In Deutschland widmet sich Client-Management-Größe Matrix42 dem Thema mittels seiner 2016 neu auf den Markt bebrachten Lösung Myworkspace, die per Web-Portal unterschiedliche Cloud-Services zu einem Online-Arbeitsplatz zusammenführt, zudem das Ettlinger IT-Beratungshaus Appsphere (einst ebenfalls aus dem Visionapp-Umfeld hervorgegangen) mit seiner „Next Generation Workplace“-Architektur.

VMwares MDM-Einstiegslösung Airwatch Express soll durch die Nutzung von Blueprints das Mobility-Management vereinfachen helfen. Bild: VMware

VMwares MDM-Einstiegslösung Airwatch Express soll durch die Nutzung von Blueprints das Mobility-Management vereinfachen helfen.
Bild: VMware

Falls Gartners Prognose von 2013 eintritt, dann werden bereits nächstes Jahr über die Hälfte der Arbeitgeber von ihren Angestellten den beruflichen Einsatz ihrer privaten Endgeräte (Bring Your Own Device, BYOD) einfordern [3]. Die IT-Abteilungen dieser Unternehmen müssen sich dann Client-seitig nur noch um die Bereitstellung der digitalen Workspaces kümmern, denn für die Endgeräte sind schließlich die Endanwender selbst zuständig (wobei BYOD-Programme verbreitet für den Fall von Hardwareproblemen Service-Verträge mit Austausch des Geräts innerhalb eines Arbeitstages vorschreiben).

Alle anderen IT-Organisationen aber müssen sich weiterhin um die immer vielfältigeren und immer öfter mobilen Endgeräte kümmern. Da die vertrauten CLM-Suiten mit den jüngst so populären IOS- und Android-Devices zunächst nicht umgehen konnten, sahen die IT-Abteilungen sich gezwungen, separate MDM-Tools einzuführen. Diese haben sich längst zu umfangreichen EMM-Suiten gemausert. Einen guten Überblick über den EMM-Markt gibt wiederum Gartner: Deren „Magic Quadrant for Enterprise Mobility Management Suites“ [4] erschien im Juni 2016 in aktualisierter Fassung und umreißt den EMM-Markt aus dem Blickwinkel eines US-Analystenhauses, das sich vorwiegend den Anforderungen großer, multinational agierender Anwenderunternehmen widmet. Für den typischen deutschen Mittelständler sind die Empfehlungen damit nur mit einigen Einschränkungen verwertbar.

Baramundis Management-App Bcenter macht auch den Administrator mobiler Endgeräte mobil. Bild: Baramundi

Baramundis Management-App Bcenter macht auch den Administrator mobiler Endgeräte mobil.
Bild: Baramundi

Als EMM-Suite bezeichnet Gartner eine Lösung, die folgende Aufgabenbereiche abdeckt:

  • Provisionierung von Mobilgeräten und Apps inklusive Management von Updates und Dekommissionierung,
  • Auditing, Tracking und Reporting von Hardwarebeständen, Einstellungen und Gerätenutzung zur Kontrolle der Einhaltung von Unternehmensrichtlinien,
  • Schutz der Unternehmensdaten vor Datenverlust oder -diebstahl durch Mechanismen wie Datenverschüsselung, Datenzugriffsrechte, App Wrapping (Erweiterung von Apps um Möglichkeiten zentraler Kontrolle) oder App Containment (Betrieb von Unternehmens-Apps in einem geschützten Container) sowie Sperrung mobiler Endgeräte,
  • Unterstützung der IT-Organisation beim Support mobiler Nutzer (Inventarisierung, Analyse, Fernzugriff).

Der Funktionsumfang umfasst demgemäß neben MDM auch Features für das Mobile-Application-, Mobile-Identity- und Mobile-Content-Management (MAM, MIM, MCM). Stark diversifiziert ist dabei der MAM-Anteil und insbesondere der Schutz der Unternehmens-Apps. Als Varianten findet man am Markt neben App-Containern und Per-App-Kontrolle auch Dual-Personality-Geräte sowie die Bereitstellung spezieller, zentral verwaltbarer Unternehmens-Apps über proprietäre App Stores oder auch Erweiterungen, um Apps per SDK (Software Development Kit) oder eben App Wrapping den eigenen Anforderungen anzupassen.

Des Weiteren versuchen die EMM-Anbieter, sich durch vielfältige Zusatzfunktionalität von der Konkurrenz abzuheben. Die Ansätze reichen hier von einer Integration in das IT-Service-Management über die Anbindung an das Asset- oder Lizenz-Management bis hin zur Vereinigung von EMM und CLM zum Unified-Endpoint-Management (UEM). Da Microsoft sein aktuelles Windows 10 mit einem Mobility Layer ausgerüstet und damit für die Kontrolle per EMM zugänglich gemacht hat, ist UEM eine Funktionalität, die schon bald Standard sein dürfte. Seinen bisherigen Magic Quadrant für Client-Management-Tools jedenfalls hat Gartner bereits eingestellt [5]. „Enterprise-Mobility-Management (EMM) ist noch ein separater Markt, aber Organisationen suchen verstärkt nach einem einzigen Anbieter und einer einzigen Management-Plattform, um PCs, Macs und Mobilgeräte zu unterstützen“, hieß es dazu bereits im Juni 2015 im letztjährigen Magic Quadrant für CMTs [6].

Die EMM-Marktführer haben sich in Gartners Magic Quadrant 2016 gegenüber der 2015er-Fassung nur wenig verändert: An der Spitze der fünf „Leaders“ liegt VMwares Tochter Airwatch, gefolgt von Citrix, Mobileiron, IBM sowie – neu – Blackberry. Denn der entthronte Mobility-König Blackberry hat sich nach einigem Straucheln und Schlingern per Akquisition des langjährigen Marktführers Good Technology auf eine der fünf EMM-Spitzenpositionen katapultiert.

EMM-Markt laut Gartner

Als „Visionaries“ (also technisch ausgereift, aber in der Umsetzung nicht so stark wie die Marktführer) stufen die US-Analysten Soti, Landesk, Sophos und Microsoft ein. „Challengers“ (umsetzungsstark, aber wenig innovativ) sieht Gartner dieses Jahr hingegen gar keine.

Unter den „Niche Players“ findet man dann auch zwei deutsche Anbieter: vorneweg und neu Matrix42, die per Aufkauf des australischen EMM-Spezialisten Silverback in Kombination mit ihrer CLM-Historie nun eines der wenigen marktreifen UEM-Angebote liefern können (neben IBM und Landesk), außerdem SAP, die mit ihrer EMM-Lösung Afaria schon 2015 Magic-Quadrant-Bestandteil waren (damals noch als „Challenger“). Andere deutsche Anbieter, die in diesem Marktsegment unterwegs sind, etwa den Augsburger Client-Management-Spezialisten Baramundi oder das Berliner EMM-Softwarehaus Cortado, findet man im Magic Quadrant nicht – Gartner ignoriert Marktteilnehmer, wenn sie zu klein oder aber nur regional tätig sind. Umso mehr verwundert es deshalb, dass die Analysten als Niche Players neben Cisco (per Akquise von Meraki) und dem Lizenz-Management-Spezialisten Snow Software (der auch MDM/MAM-Funktionalität offeriert) diesmal das chinesische Softwarehaus Nationsky mit aufführen – obwohl Gartner selbst deren bisherige Limitierung auf China erwähnt und einen Einsatz der Lösung Nqsky außerhalb von China mangels Fremdsprachenunterstützung nicht empfiehlt. Kein Wunder, dass Fachleute Gartner immer wieder – und auch diesmal – für die scheinbar willkürlichen Ein- und Ausschlusskriterien rügen.

Lebendiges Marktsegment

Der EMM-Markt ist nach wie vor deutlich in Bewegung – nicht nur in den mitunter nützlichen, obschon umstrittenen magischen Quadranten von US-Marktbeobachtern, sondern auch in puncto Weiterentwicklung der Lösungsangebote. So hat Marktführer VMware kürzlich seine umfangreiche Airwatch-Suite mit Airwatch Express um eine abgespeckte, benutzerfreundliche MDM-Lösung für den KMU-Markt ergänzt. Damit macht VMware unter anderem Microsofts Intune Konkurrenz – Redmonds Cloud-Service gilt als wenig innovativ, aber beliebt bei zahlreichen „Microsoft-Shops“.

Citrix arbeitet, wie auf der Hausmesse Synergy verkündet, für die Workspace-Aggregation per Cloud künftig enger mit Microsoft zusammen; in puncto EMM unterstütze man, wie ebenfalls von der Synergy zu hören war, MAM-Funktionen nun auch ohne Registrierung eines Geräts im MDM-Pool – praktisch für BYOD. IBM hat seine EMM-Lösung Maas360 mit der Security-Lösung Qradar integriert und kann damit je nach Sicherheitsvorfall gezielte Aktionen anstoßen, etwa ein selektives Löschen von Firmendaten auf einem infizierten Endgerät.

Saytec ersetzt den üblichen VPN-Zugriff durch applikationsbezogenes „Virtual Private Tunneling. Bild: Saytec

Saytec ersetzt den üblichen VPN-Zugriff durch applikationsbezogenes „Virtual Private Tunneling.
Bild: Saytec

Mobileiron hat sein Portfolio mit einer Lösung namens Access um ein Tool zur sicheren Nutzung von Unternehmensdaten per Mobilgerät ergänzt. Die Software soll sicherstellen, dass nur vertrauenswürdige Apps auf vertrauenswürdigen Geräten und mit vertrauenswürdigen Benutzern auf Unternehmensdaten in der Cloud zugreifen können. Access integriert sich laut Mobileiron in diverse Cloud-Apps wie Box, Google Apps for Work, Office 365 und Salesforce. Blackberry wiederum vertreibt seinen Blackberry Enterprise Server (BES) 12 nun zusammen mit Good Dynamics sowie Good- und Watchdox-Apps als „Good Secure EMM Suite“ – eine Integration überlappender Funktionen steht derzeit noch aus. Hardwareseitig haben die Kanadier die Produktion der „Classic“-Smartphones eingestellt und scheinen sich verstärkt auf Android-Geräte einzuschießen.

Matrix42 will mit Silverback – aktuell in Version 5.0 Update 2 – die mobile Nutzung von Firmendokumenten und Dateiablagen erleichtern: Silverback unterstützt ab sofort auch den Zugang zu Fileshares auf der Basis nutzerspezifischer NTFS-Zugriffsrechte (statt nur über vom Administrator zugewiesene Ordner). Der Silversync-Server wurde dazu für die Einbindung lokaler Datenquellen überarbeitet. Damit unterstützt die EMM-Lösung nun laut Hersteller die Nutzung von Windows-Fileshares und Sharepoint ebenso wie gebräuchliche Cloud-Datenquellen wie Onedrive for Business, Dropbox, Google Drive, Box oder Owncloud.

Die Baramundi Management Suite (BMS) 2016 kommt mit zahlreichen Neuerungen und Erweiterungen. Die Client-Verwaltungslösung bietet laut dem Augsburger Hersteller neue MAM- und MDM-Funktionen, darunter Support für Windows 10 Mobile und eine schnellere Erkennung von IOS-Jailbreaks. Ebenfalls neu ist das Modul Baramundi Virtual für das Management virtueller Umgebungen. Die aktuelle Suite bietet laut Hersteller zudem eine Workflow Engine mit Scheduling sowie bessere Skalierbarkeit.

Cortado Corporate Server (CCS) unterstützt in der Version 8.0 FR1 Apples Device Enrollment Programm (DEP). Damit ist es laut Cortado möglich, IOS-Geräte innerhalb von 90 Sekunden automatisiert in das Unternehmensnetzwerk zu integrieren. Der Administrator kann in einem Arbeitsschritt eine Vielzahl von IOS-Geräten einrichten, ohne dass ihm die Geräte physisch vorliegen müssten, betont man bei Cortado; anders als andere Lösungen biete man zudem vollautomatischen Zugriff auf Unternehmensressourcen wie Dateien und die Druckinfrastruktur.

Einen interessanten Ansatz für höhere Sicherheit beim Einsatz mobiler Endgeräte bietet der Münchner Anbieter Saytec mit der Lösung Saytrust Access: Dank der hauseigenen VPN-Alternative VPT (Virtual Private Tunneling) erfolge die verschlüsselte Verbindung zu den Unternehmensressourcen applikationsbezogen, die Authentisierung wiederum bereits auf dem Endgerät (dank Mehrfaktor-Authentifizierung per USB-Stick). Es wird laut Saytec keine Netzwerkkopplung erzeugt, die IP-Adressen der Hosts blieben somit unsichtbar. Das Verfahren soll die Angreifbarkeit des Endgeräts wie auch des Hosts minimieren und eine Ausbreitung von Malware verhindern helfen.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.