Als RIM noch mit seinem Blackberry weitgehend unangefochten die Unternehmenslandschaft beherrschte, war der Weg zur Einbindung der geschäftlich bereitgestellten Smartphones vorgezeichnet. Doch heute gilt es, Tablets wie Apples Ipad sicher mit der IT-Infrastruktur zu verbinden, Smartphones kommen nicht nur von RIM, sondern basieren auf Google Android, Apple IOS und Microsoft Windows. „Bring Your Own Device“ ist der Aufruf der Stunde, der IT-Abteilungen erzittern lässt, da sie plötzlich nicht mehr uneingeschränkt Herr über die Mobilgeräte sind.Geht es um die sichere, von der IT zentral verwaltete und für Anwender transparente Einbindung von Smartphones ins Unternehmen, stellt RIM heute mit seiner Blackberry Solution das Maß der Dinge dar. Die Basis dazu ist das Zusammenspiel von Blackberry-Endgerät, sicherer Datenvermittlung über RIMs internationale Network Operation Centers sowie dem Blackberry Enterprise Server (BES) als Verwaltungszentrale im Unternehmen und Gateway zu E-Mail-Systemen und anderen Ressourcen im Unternehmensnetz. Mithilfe von mittlerweile mehr als 500 IT-Richtlinieneinstellungen lässt sich Anwenderfreiheit gegen Sicherheitsvorgaben des Unternehmens granular abstimmen. Spezifische Apps für die Arbeit wandern ohne erforderliche Benutzerinteraktion „over the Air“ zum mobilen Einsatz. Die Server-Komponenten lassen sich durch redundante Auslegung gegen Ausfallzeiten schützen und bewähren sich tagtäglich in Betriebsszenarien mit vielen tausend Benutzern.

Die etablierte Form der Blackberry Solution trägt aber bereits heute ein Ablaufdatum: RIM will bis Ende des Jahres Geräte mit dem Betriebssystem Blackberry OS 10 herausbringen.

Die neue Smartphone-Generation wird mit den heutigen Geräten aber nur wenig gemein haben. Selbst die jüngst zur CeBIT vorgestellten Blackberry-Modelle unter Blackberry OS 7 wie der Bold 9790 werden sich laut RIM nicht auf OS 10 aktualisieren lassen. Die heutigen nativen, unter Java entwickelte Blackberry-Apps laufen wiederum nicht auf den künftigen Geräten, deren natives SDK von den Entwicklern eine Umstellung auf C++ abverlangt.

Den Blackberry Enterprise Server wird man nur noch solange in Unternehmen vorfinden, wie auch alte Blackberries im Betrieb sind: Künftige Geräte unter OS 10 verwaltet der ebenfalls noch in Entwicklung befindliche Blackberry Device Service (BDS), dem sich auf Wunsch die neue gemeinsame Administrationsoberfläche Blackberry Mobile Fusion überstülpen lässt. Mobile Fusion soll die Administration alter Blackberry-Geräte unter BES, der neuen Gerätegeneration unter BDS sowie von IOS- und Android-Geräten unter dem ebenfalls angekündigten Universal Device Service (UDS) vereinheitlichen.

Heute lässt sich noch nicht absehen, welche genauen Eigenschaften der heutigen Blackberry Solution auch mit Version „1.0“ der kommenden Generation tatsächlich verfügbar sein werden. Ungewiss bleibt auch die Entwicklung des App-Marktes für Blackberry OS 10. Nicht zuletzt vor dem Hintergrund des angekündigten Entwicklungsschnitts empfiehlt sich die IT-seitige Beschäftigung mit dem Thema Mobile Device Management (MDM), unabhängig davon, welche Mobilplattform heute im Einsatz ist oder künftig zum Einsatz kommen soll.

Einstieg und neuer Standard: Exchange Activesync

Die einfachste und vielfach praktizierte Verwaltung von Mobilgeräten basiert auf Exchange Activesync (EAS). Das ursprünglich von Microsoft rein für den E-Mail-Zugriff auf Exchange 2000 entwickelte Protokoll hat sich in der aktuellen Version 14.1, die mit Exchange 2010 SP1 im August 2010 eingeführt wurde, zu einer umfangreichen XML-basierten Spezifikation entwickelt. Neben Push-Mail-, Kalender-, Kontakt- und Aufgabensynchronisation definiert EAS unter anderem die Kontaktsuche im Firmenadressbuch, Volltextsuche in Mailboxen wie auch die Übertragung von Endgeräterichtlinien und aktive Verwaltungsoperationen. So gehören zum Richtlinienrepertoire beispielsweise Vorgaben für minimale Kennwortlänge und -komplexität sowie die erforderliche Verschlüsselung von Gerätedaten. Kamera, WLAN- und Bluetooth-Unterstützung lassen sich unterbinden, und bei Gefahr in Verzug kann man beim entfernten Gerät unautorisierte Zugriffe blockieren wie auch die Löschung aller Daten einleiten.

Microsoft veröffentlicht für EAS eine allgemein zugänglich Protokolldokumentation (siehe lanl.in/HP4vB5) und lizenziert die Spezifikation an implementierungsfreudige Unternehmen. Insbesondere Apple versetzte dem EAS-Zug kräftigen Schub, da das Protokoll die erste und bisher einzige „Enterprise-Schnittstelle“ der integrierten E-Mail-, Kontakt- und Kalender-Apps von IOS darstellt. Dies veranlasste nicht zuletzt auch IBM, EAS zu lizenzieren, um zunächst als Teilimplementierung in IBM Lotus Traveler für eine spezifische Iphone-Anbindung an Lotus Domino zu sorgen. EAS findet ebenso auf Android-Geräten eine standardmäßige Unterstützung wie auch – wenig verwunderlich – durch Windows Phone.

RIM hat zudem angekündigt, mit Blackberry OS 10 das eigene proprietäre Protokoll zugunsten von EAS für die Groupware-Anbindung zu ersetzen. Folgerichtig will auch IBM noch im Laufe dieses Jahres die EAS-Implementation von Traveler erweitern, um weitere Geräte in das direkt unterstützte Spektrum offiziell aufzunehmen. Damit kann man Exchange Activesync durchaus als neuen Industriestandard in der Mobilwelt bezeichnen.

So begrüßenswert diese Entwicklung ist, so hat jede Standardisierung auch ihre Kehrseite. Microsoft lizenziert zwar die EAS-Spezifikation, zertifiziert aber nicht deren jeweilige Implementierung. Ein Exchange Activesync Logo Program existiert zwar, stellt aber allenfalls Minimalanforderungen. Dies kommt nicht von ungefähr: In einer von Microsoft publizierten Client-Kompatibilitätsübersicht unterstützt lediglich das bereits abgekündigte Windows Mobile nahezu alle Protokollfunktionen. Android, IOS und Windows Phone weisen deutliche Lücken auf, die nur teilweise in neueren OS-Versionen bereits geschlossen sind.

Lücken entstehen unter anderem, weil die Mobilplattformen noch nicht alle Basisfunktionen beherrschen. So erlaubt beispielsweise das aktuelle Windows Phone 7.5 („Mango“) noch keine grundsätzliche Verschlüsselung gespeicherter Daten. IOS unterstützt keine Aufgabensynchronisation, weil eine entsprechende Aufgaben-App schlichtweg nicht zum Standardlieferumfang von Apple gehört. Auch die Interoperabilität zwischen Client und EAS-Gateway will letztlich im Einzelfall getestet sein. Während beispielsweise in unserem Testlabor das Zusammenspiel zwischen IOS 5.0 und EAS 14.0 (Exchange 2010 ohne SP) in einer spezifischen Konstellation nicht glücken wollte, enstehen mit IOS 5.1 unter gleicher Konfiguration diese Probleme nicht.

Hinzu kommt eine ganz andere Problematik: Was ein Gerät via EAS zum Beispiel über die Einhaltung bestimmter Richtlinien meldet und welche Einstellungen tatsächlich vorliegen, kann durchaus unterschiedlicher Natur sein. Insbesondere „Jailbroken“ (bei IOS) beziehungsweise „Rooted“ (bei Android) Smartphones eröffnen hier Manipulationspotenzial. Einige MDM-Lösungen (zum Beispiel die von Mobileiron) umfassen einen eigenen EAS-Proxy, der zwischen Client und EAS-Gateway positioniert den Datenaustausch kontrolliert. Erkennt die MDM-App auf dem Endgerät einen Jailbreak, wird diese an die MDM-Plattform gemeldet und der EAS-Proxy kann den weiteren Datenabgleich unterbinden. Auf diese Weise erweitert eine MDM-Lösung die Verwaltungsmöglichkeiten von Exchange Activesync.

Sicherer Draht ins Unternehmen

Blackberry-Benutzer machen sich wenig Gedanken über den sicheren Verbindungsaufbau zu Unternehmensressourcen. In der Natur des Gesamtsystems aus einer Hand liegt die ständige Verfügbarkeit intern freigegebener Applikationen ohne weitere Benutzeraktivität. Ein vergleichbares Benutzererlebnis für Standard-Apps auf anderen Mobilplattformen bietet das Verfahren „VPN On-Demand“: Versucht der Benutzer, auf vordefinierte Domains zuzugreifen, baut sich im Hintergrund zunächst eine entsprechende VPN-Verbindung auf. Die Authentifizierung erfolgt über ein Client-Zertifikat auf dem Smartphone. VPN On-Demand beherrscht bis dato nur IOS. Apple führt als geeignete VPN-Gateways Cisco IPSec, Cisco Anyconnect, Juniper Junos Pulse und F5 Big-IP auf. Im Internet werden auch Erfolge mit der Open-Source-Lösung Strongswan vermeldet. Erst das aktuelle Android 4.0 (Ice Cream Sandwich) enthält mit der Einführung der neuen API „android.net.VpnService“ die Entwicklungsbasis für eine On-Demand-Lösung. Windows Phone bietet auch unter „Mango“ noch keinerlei VPN-Funktionalität.

IOS-Geräte fit für VPN On-Demand auf Unternehmensressourcen zu machen erfordert einige Vorbereitungsschritte. Individuelle X.509-Client-Zertifikate wollen ausgestellt und auf dem Endgerät installiert sein. Abschließend wird geräteseitig ein VPN-Profil mit der Zugangskonfiguration inklusive Zieldomänen benötigt. Solche Profile lassen sich mit der kostenlosen Apple-Utility namens „Iphone-Konfigurationsprogramm“ erstellen und per E-Mail oder Web-Server verteilen. Wer viele IOS-Geräte einzubinden hat, wird von einer manuellen Vorgehenswese absehen wollen und stattdessen auf ein Massen-Deployment unter Zuhilfenahme einer passenden MDM-Lösung setzen. Als positiver Nebeneffekt können dabei auch gleich die notwendigen Client-Zertifikate für eine sichere Anmeldung an ein unternehmensweites WLAN entstehen. Einen ganz anderen Ansatz verfolgt die Lösung Good for Enterprise von Good Technology, das einen Blackberry-ähnlichen, geschlossenen Ansatz über eigene Apps für IOS und Android realisiert.

Apps für den Unternehmenseinsatz

Der Erfolg von IOS und Android beruht an erster Stelle auf dem breiten App-Angebot, das nahezu alle Lebensbereiche umfasst. Auf diesen Zug springen auch Anbieter unternehmensorientierter IT-Lösungen nur allzu gern auf. So war Apple auf der diesjährigen CeBIT selbst zwar nicht vertreten, doch gab es kaum einen Anbieter von Enterprise-Lösungen, der nicht ein Add-on für Iphone oder Ipad vorführte. Die eigentliche App-Welle in der Unternehmenswelt steht aber erst noch an: Sie entsteht im eigenen Haus. Toolkits wie Phonegap von Adobe, Sencha Touch und Appcelerator Titanium ermöglichen die geräteunabhängige App-Entwicklung auf Basis der Standards HTML5, CSS und Javascript. Dies erleichtert die Schaffung unternehmensspezifischer Mobillösungen erheblich.

Während Blackberries traditionell eine IT-gesteuerte, automatische Push-Installation von Apps über den Blackberry Enterprise Server erlauben, gelangen Apps für IOS und Android nur benutzergesteuert auf die Endgeräte. Im Unternehmen ist dafür ein individueller App-Katalog bereitzustellen, der sowohl Empfehlungen für öffentlich zugängliche Apps in den jeweilen App-Märkten (Apple App Store und Google Play) wie auch den direkten Download von In-House-Entwicklungen umfasst. Da sich einzelne Apps auf beiden Mobilplattformen standardmäßig weder zentral installieren noch löschen lassen, muss die IT-Abteilung eine gewünschte Benutzeraktivität auf anderem Weg herbeiführen. Dazu eignet sich beispielsweise die gezielte Zugriffsblockierung auf Unternehmensressourcen wie Exchange Activesync, bis Unternehmensvorgaben – zum Beispiel das Löschen der privat installierten Facebook-App – eingehalten sind. MDM-Lösungen erhalten damit die Aufgabe, App-Kataloge individuell bereitzustellen, App-Inventarlisten der verwalteten Endgeräte zu führen sowie App-Richtlinien zu definieren und ein geeignetes Instrumentarium gegen Verstöße bereitzustellen.

Mit dem Einsatz von Mobilgeräten unter IOS, Android und Windows Phone – eventuell sogar gemischt mit Blackberry OS – ergeben sich für IT-Verantwortliche in den Unternehmen viele neue thematische Beschäftigungsfelder, aber auch Möglichkeiten. Im Vergleich zur Enterprise-Mobility-Lösung aus einer Hand à la Blackberry Solution wächst zweifellos die Herausforderung mit der Integration und Abstimmung aller beteiligten Komponenten unterschiedlicher Hersteller.

Auf LANline.de: pmeuser

????

MDM-Lösungen klinken sich in IOS über Konfigurationsprofile ein. Seit IOS 5 bietet das Betriebssystem die Möglichkeit, alle Arbeits-Apps aus dem Unternehmen zum Beispiel in einer Quarantänesituation zu löschen.

Der Richtlinienreichtum der Blackberry Solution ist zwar legendär, wird aber weniger von den Anwendern, als vielmehr von der sicherheitsbewussten IT geschätzt.

Die Geräterichtlinien, die Exchange für Activesync standardmäßig zur Verfügung stellt, sind stark limitiert und für die heutige Funktionsvielfallt der aktuellen Mobilplattformen alleine unzureichend.

LANline.