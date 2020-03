Mit dem Schritt vom Enterprise-Mobility-Management (EMM) zum Unified-Endpoint-Management (UEM) stehen der IT-Abteilung Werkzeuge zur Verfügung, um zusammen mit Smartphones und Tablets auch Windows-10-Rechner und Macs aus einer gemeinsamen Oberfläche heraus zu verwalten. Dennoch bleiben diverse Probleme. Diese reichen von der Verwaltung des Windows-Altbestands über das Management von IoT-Equipment (Internet of Things) bis hin zur Garantie benutzerfreundlicher Bedienbarkeit und der Integration in Security-Management-Werkzeuge für die schnellere Reaktion auf Sicherheitsvorfälle wie zum Beispiel die allseits gefürchteten Erpresserangriffe mit Ransomware.

Die IT-Organisation des EU-Parlaments erlebte letzthin eine ungewöhnliche Fluktuation in der Endanwenderschaft: 73 UK-Abgeordnete verließen nach dreieinhalb Jahren Polit-Hickhack samt ihren jeweiligen Mitarbeiterstäben das Parlament, 27 Abgeordnete aus anderen EU-Staaten rückten nach. So hat nun die EU seit 1. Februar ein Mitgliedsland weniger, und eine Kommission soll sämtliche Fragen des künftigen Miteinanders von A wie Arbeitsrecht bis Z wie Zölle vertraglich festzurren – in nur elf Monaten.

Größere Veränderungen bei Endanwendern ist in Parlamenten (in der Regel nach Wahlen) ebenso wenig ungewöhnlich wie für IT-Organisationen in Unternehmen, hier etwa nach Mergern, Akquisitionen, Spin-offs, bei der „Reduktion von Redundanzen im Humankapital“ (sprich: Entlassungswellen) oder Standortschließungen. „Ein bisschen Brexit“ ist damit für IT-Organisationen sozusagen Alltag. Das Hinzufügen oder Entfernen von Mitarbeitern (On-/Offboarding) lässt sich heute zum Glück hochgradig automatisieren, dank des Zusammenspiels von HR-System (Human Resources, Personalwesen), Active Directory (für die Abteilungs- und Rollenzugehörigkeit), Service-Desk- und weiteren Backend-Systemen. Auch die Ausstattung der Belegschaft mit Hard- und Software kann automatisiert und teils sogar per Self-Service erfolgen. Dafür sorgen Endpoint-Management-Tools: Ist der neue Mitarbeiter einmal im System angelegt, ergeben sich aus seiner Rolle die Hardware- und Software-Optionen. Im Idealfall kann der Neuzugang das bevorzugte Equipment aus einem Enterprise Resource Store selbst auswählen und erhält es – personalisiert und mit der gesamten für die jeweilige Rolle vorgesehenen und/oder selbst selektierten Software – bereits ab Werk vorkonfiguriert ins Büro oder nach Hause geliefert (siehe dazu den Beitrag auf Seite 34).

Die Verwaltung der Endgeräte über deren Nutzungsdauer hinweg kann ebenfalls weitgehend automatisch ablaufen. Denn die aktuellen Management-Tools haben sich längst weit entfernt von den simplen Verwaltungswerkzeugen früherer Tage. Die älteren unter den LANline-Lesern werden sich vielleicht noch dunkel erinnern: Auf die PC- oder allgemeiner Client-Management-Tools des ausgehenden 20. Jahrhunderts folgten zunächst Lösungen für das Client-Lifecycle-Management (CLM). Der Zusatz „Lifecycle“ sollte verdeutlichen, dass das Werkzeug die Endgeräte – damals vor allem Desktop-Rechner und Notebooks – quasi „von der Wiege bis zur Bahre“ verwalten konnte, genauer: von der Inbetriebnahme bis zur Dekommissionierung, und dies meist einschließlich Lizenz- und Asset-Management. Das Aufkommen der „smarten“ Mobilgeräte wie iPhone, iPad und deren Android-Pendants erforderte dann eine zusätzliche Verwaltungslösung, da diese Endgeräte für den Consumer-Markt konzipiert sind und damit deutlich endanwenderzentrierter funktionieren als in der Unternehmens-IT üblich. Lösungen für das Mobile-Device-, Mobile-Application- und Mobile-was-auch-immer-Management schossen wie Pilze aus dem Boden und fanden als ergänzende Parallelwelt zur den CLM-Suiten Eingang in zahlreiche IT-Abteilungen. Wenig später wuchsen diese Mobilgeräte-Management-Tools zum Enterprise-Mobility-Management (EMM) zusammen.

Dessen aktueller Nachfolger wiederum nennt sich UEM (Unified-Endpoint-Management). UEM führt die Verwaltung mobiler und aktueller stationärer Clients unter einer einheitlichen Oberfläche und mit gemeinsamer Workflow-Engine zusammen. Der Hintergrund dieses Schritts: Moderne Client-Betriebssysteme wie Windows 10 und macOS erlauben ein zentrales Management mittels der gleichen APIs, die auch die iOS- und Android-Welt nutzt – Microsoft spricht deshalb auch von „Modern Management“. Mit zunehmender Verbreitung von Windows 10 wie auch von macOS in den Unternehmen könnte also der Parallelbetrieb zweier Verwaltungssuiten für stationäre und mobile Endgeräte künftig an Bedeutung verlieren. In der Tat skizzieren einschlägige Hersteller gerne eine Endpoint-Management-Zukunft mit zentraler UEM-Konsole, benutzerfreundlichen Self-Service-Prozessen inklusive KI-gestützter Assistenzfunktionen sowie automatisierter, ML-getriebener (Machine Learning) Kontrolle von Geräte-Soll-Zustand, Sicherheit und Compliance. Dieser schönen neuen Management-Welt stehen allerdings diverse Hindernisse im Weg.

Hürden auf dem Weg zu UEM

Zunächst ist da der Umstand, dass viele Unternehmen längst nicht alle Windows-Endpunkte in naher Zukunft auf Windows 10 migrieren können oder wollen. Mal ist man mit Legacy-Versionen von Windows samt der zugehörigen eingespielten Verwaltungsprozesse wie schnellem Imaging zufrieden („Never touch a running system“), mal erfordern Spezialanwendungen einen bestimmten älteren Release-Stand, mal hat man gerade jüngst erst auf Windows 7 gewechselt, mal verzögern Abschreibungszyklen, Kostenerwägungen oder andere Prioritäten den schnellen Wechsel auf das aktuelle Client-OS aus Redmond. Die Migration zu UEM, so schreibt Gartner in seinem „Magic Quadrant for Unified Endpoint Management Tools“ vom August 2019, „ist erheblich komplizierter, wenn Legacy-Anwendungen und -Prozesse vorhanden sind und für die Verwendung in einem UEM-Modell mit einer einzigen Konsole zur Verwaltung aller Endpunkte modernisiert werden müssen.“ In solchen Fällen sei vorerst eine Koexistenz klassischer Client-Management-Tools (CMTs) mit UEM-Lösungen nötig.

Aus diesem Grund hat Gartner die Unterstützung einer Migration vom klassischen CMT zum Modern Management als neue Kernanforderung an UEM-Lösungen definiert – und hier, so die Analysten, trenne sich die Spreu vom Weizen: „Während alle Tools in diesem Markt einen MDM-Anwendungsfall für mobile Geräte relativ ähnlich bedienen können, zeigen sich die Unterschiede zwischen den Anbietern in der großen Variabilität der Tools zur Unterstützung der Migration von Richtlinien, Anwendungen und Endpunkten von CMTs zu UEM.“ Bei der dieser Migration mahnt Gartner ein umsichtiges Vorgehen an: „Das Erreichen eines wirklich vereinfachten Ansatzes mit einer einheitlichen Konsole für das Endpunkt-Management verspricht viele Betriebsvorteile, aber Gartner rät Unternehmen, die Durchführbarkeit dieses Ansatzes auf der Grundlage der vorhandenen Infrastruktur, der Endpunktvielfalt, der Prozesse und des App-Katalogs sorgfältig zu prüfen.“

EX und (I)IoT

Der oben skizzierte Brexit-Ablauf bestätigt: Ein Problem kommt selten allein. Und so hat auch ein Endpoint-Manager mit weit mehr Herausforderungen zu kämpfen als nur mit der Migration von Legacy-Windows-Systemen – er steht zeitgleich an mehreren Fronten unter Druck. So gilt es in immer mehr Unternehmen, Endpunkte aus dem (Industrial) Internet of Things (IoT/IIoT) mit unter zentrale Verwaltung zu nehmen, von der „smarten“ Glühbirne über andere Bestandteile des Facility-Managements bis hin zu Rechnern, Systemen und Anlagen der vernetzten Produktion, Stichwort: IT/OT-Konvergenz (OT: Operational Technology, industrielle Betriebstechnik). Zwar unterstützen immer mehr „Smart Home“- oder „Smart Office“-Systeme die IT-üblichen APIs und Protokolle, doch insbesondere in der industriellen Produktion gesellen sich zur Protokollvielfalt diverse weitere Herausforderungen: Steuerungsrechner mit antiken OS-Versionen (Windows 95 ist hier, wie Fachleute beklagen, keine Seltenheit) oder auch ein Verständnis von Betriebsprozessen, die der Hochverfügbarkeit der Anlagen einen deutlich höheren Stellenwert beimisst als zeitnahen Security-Patches – bis das IIoT-Kind dann in den Malware-Brunnen gefallen ist.

Weitere Komplexität für das IT-Team bringt der neuerdings verstärkte Fokus auf die sogenannte „Employee Experience“ (EX). Dieser Begriff steht für die Art und Weise, wie ein Mitarbeiter sein (zunehmend digital gestütztes) Arbeitsumfeld wahrnimmt und mit ihm interagiert. In vielen Unternehmen bemüht man sich schon längst um ein arbeitsnehmerfreundliches Umfeld und benutzergerechte Applikationen, von ergonomischen Büros über Gleitzeit bis zum Home Office oder Lebensarbeitszeitkonten. Jedoch: Bei der Digitalisierung setzen längst Consumer-Produkte, -Apps und -Cloud-Services den Referenzwert – und die Schere zwischen Consumer- und Enterprise-IT-Welt dürfte sich künftig eher vergrößern als schließen, investieren doch große Konzerne im Rahmen immer kürzerer Innovationszyklen Unsummen in den Massenmarkt „smarter“ Privatanwender-Produkte. Das Problem: Vorbei sind die Zeiten, in denen der IT-Leiter forsch postulieren konnte: „Bei uns im Haus machen wir das so, wie die IT es vorgibt, und basta!“ Denn angesichts des eklatanten Fachkräftemangels, der heute in praktisch allen Branchen herrscht, müssen die Unternehmen auf die Wünsche der begehrten Spezialisten und Nachwuchskräfte Rücksicht nehmen – und diese Klientel ist im privaten Alltag eben umgeben von den neuesten Apps und Cloud-Angeboten. Das erschwert es der Unternehmens-IT, „konkurrenzfähig“ zu sein – umso mehr, als diese Anwender in der Regel mehrere Endgeräte nutzen, die es allein schon aus Sicherheitsaspekten einheitlich nutzerbezogen zu verwalten gilt.

„Kunden sehen UEM zunehmend als einen kritischen Teil ihrer digitalen Employee-Experience-Strategien, da sie einen sicheren Zugang zu aufgabenkritischen Informationen unabhängig von Gerät, Anwendung oder Standort bereitstellen müssen“, schreibt das Analystenhaus Forrester in seinem „Forrester Wave“-Report „Unified Endpoint Management, Q4 2019“. „Reagiert haben die Anbieter auf diesen neuen EX-Fokus mit erweiterter Flexibilität bei Betriebssystemen und Anwendungen, verbesserten Authentifizierungs-Tools und Funktionen zur Produktivitätssteigerung wie zum Beispiel Micro-Apps.“ Deshalb sieht Forrester drei Kernanforderungen an UEM-Tools: eine bessere digitale Employee Experience zu ermöglichen, einen Pfad hin zum modernen Management zu eröffnen (wie dies auch Gartner fordert) sowie native Unterstützung von Security-Funktionalität zu gewährleisten.

Denn wenn man von Legacy-IT, IoT und EX spricht, dann war noch nicht von den ewigen Reizwörtern Security und Compliance die Rede. Schließlich erfordern aktuelle Sicherheitskonzepte wie Zero Trust eine Integration von Security- und Endpoint-Management, bedeutet doch Zero Trust: Sicherheitssoftware überwacht laufend das Endpunkt- und Endanwenderverhalten, um bei auffälligen Abweichungen vom Normalzustand zu reagieren – sei es per Aufforderung, sich erneut oder mittels eines zweiten Faktors zu authentifizieren, sei es, indem man Zugriffsrechte auf Ressourcen blockt oder Endgeräte in Quarantäne setzt. Eine unerwünschte Abweichung vom Soll-Zustand kann es zum Beispiel darstellen, dass eine App auf dem Endgerät nicht den geforderten Versions- oder Patch-Stand aufweist. Dann heißt es, dem Endgerät so lange den Zugriff auf kritische Ressourcen – nicht jedoch auf den Update-Server – zu verwehren, bis der Soll-Zustand erreicht ist. Dies erfordert das Zusammenspiel von Security-, Netzwerk- sowie Endpoint-Management-Mechanismen. All dies will natürlich Compliance-gerecht dokumentiert sein, ohne aber die Privatshäre des Endanwenders zu verletzen – ein Rückbezug auf den individuellen Nutzer ist hier dem Audit mit Vier-Augen-Prinzip im Fall eines Verstoßes vorbehalten. Dieses dynamische Endpoint-Management findet zudem unter Kostendruck statt – und in aller Regel mit dünner Personaldecke, macht doch der Fachkräftemangel auch vor der Unternehmens-IT nicht halt.

Hohe Messlatte

Die Anforderungen an UEM-Lösungen sind deshalb heute umfangreich, die Messlatte liegt hoch. Vor diesem Hintergrund stuft Gartner VMware, Microsoft, IBM, BlackBerry, Citrix und MobileIron als UEM-Marktführer ein. Forrester sieht das ähnlich, lediglich BlackBerry erscheint in Forresters UEM-Wave nicht als Marktführer, sondern nur als „Strong Performer“. Da die beiden Analystenhäuser ihr Augenmerk vorrangig auf Softwarelösungen für international tätige Konzerne richten und teils einen recht stark USA-lastigen Blickwinkel pflegen, tauchen deutsche Anbieter relativ selten in den Magic Quadrants und Waves auf. Bei Gartner ist hier jedoch immerhin das Frankfurter Softwarehaus Matrix42 vertreten (wenn auch nur als Nischen-Player). In Forresters Wave findet man neben Matrix42 (als „Strong Performer“) auch den Augsburger Endpoint-Management-Spezialisten Baramundi (etwas abgeschlagen als „Challenger“, aber immerhin).

Andere Lokalmatadoren wie Aagon oder DeskCenter sucht man in den Reports der US-Analystenhäuser vergeblich. Denn diese Softwarehäuser entwickeln ihre Lösungen im Wesentlichen für den deutschen Mittelstand. Damit sind sie aus Sicht der US-Analysten erstens auf ein Marktsegment spezialisiert, das in den USA in dieser Form praktisch nicht existiert, und zweitens bedienen sie einen regionalen Markt, der sehr, sehr weit weg ist vom US-Alltag – irgendwo da drüben, in der Nähe von Paris, Vatikan und Brexit (ja nee, is‘ klar). Deshalb kann für deutsche Mittelständler neben den Empfehlungen der US-Analysten durchaus auch ein einheimischer Anbieter wie Matrix42, Baramundi, DeskCenter (für CLM plus MDM), Aagon (für CLM und ein Basis-MDM) oder Cortado (für reine EMM-Szenarien) die geeignete Wahl ein. Dies gilt insbesondere für Projekte, bei denen das IT-Team für das Anlegen neuer Benutzer und das Stilllegen alter Konten keine dreieinhalb Jahre Vorlauf hat – und auch keine elf Monate für die Nachbereitung.