Markt-Update Mobile-Device-Management
Beweglichkeit unter Kontrolle
Bezüglich Iphone, Ipad und Co. im Unternehmen setzt sich immer stärker die Erkenntnis durch, dass es mit der zentralen Verwaltung mobiler Endgeräte (Mobile-Device-Management, MDM) allein nicht getan ist. Insbesondere wenn man die Nutzung privater Geräte (BYOD) erlauben will, ist eine Kontrolle auf Applikationsebene (Mobile-Application-Management, MAM) unerlässlich. Zudem etabliert sich das Mobile-Information-Management (MIM) als separate Disziplin.Die Bestände an Iphones, Ipads sowie Android-Smartphones und -Tablets - alles für den Consumer-Markt konzipierte Geräte - sind in den Unternehmen rasant gewachsen. Dies liegt teils an veränderten Beschaffungswünschen der Fachabteilungen, teils an der mal vom Management gewünschten, oft aber auch eigenmächtigen Verwendung von Privatgeräten im Berufsalltag, auf Neudeutsch BYOD (Bring Your Own Device) genannt. Damit müssen IT-Organisationen nun den Wunsch der Endanwender nach modernen, zeitgemäßen und auch privat nutzbaren Mobilgeräten mit der Notwendigkeit zentraler Kontrolle im Hinblick auf Netzwerk- und Informationssicherheit sowie Compliance vereinen. "Die derzeit größte Herausforderung im Mobile Computing ist, die Balance zwischen Sicherheit, Komplexität und Produktivität zu finden ", bringt es Carsten Mickeleit, CEO des Berliner Softwarehauses Cortado, auf den Punkt. Vor diesem Hintergrund wächst und gedeiht unter der Überschrift MDM ein Markt mit Herstellern, die eine Bändigung jener widerspenstigen Consumer Devices versprechen. Er beheimatet eine Reihe von Spezialanbietern wie Mobileiron, Airwatch oder Good Technology neben bekannten Schwergewichten wie IBM und SAP sowie Security-Playern wie Check Point, McAfee, Sophos, Symantec oder Trend Micro. Zwar gab es in diesem Segment bereits die eine oder andere Übernahme, etwa die des namhaften MDM-Spezialisten Zenprise durch Citrix Anfang des Jahres, doch von einer Konsolidierung ist dieser junge, unübersichtliche Markt noch weit entfernt. Entsprechend schwer ist es hier, die Spreu vom Weizen zu trennen - zumal, wie die seit 2012 laufende MDM-Testserie der LANline zeigte, selbst die Lösungen der Marktführer durchaus Funktionslücken oder Bedienbarkeitsmängel aufweisen. Neben der Evaluierung der MDM-Funktionsbreite und -tiefe kommt angesichts der immensen Dynamik in diesem Markt der Frage nach der strategischen Ausrichtung der Hersteller große Bedeutung zu. Diverse Anbieter haben zum Glück bereits erkannt, dass insbesondere im Hinblick auf eine mögliche Nutzung von Privatgeräten im Unternehmen ein reiner Device-Management-Ansatz nicht zielführend ist - und das Analystenhaus Gartner prophezeit auf der Basis einer internationalen CIO-Umfrage, dass in fünf Jahren die Hälfte der Arbeitgeber die Nutzung privater Endgeräte nicht nur erlauben, sondern sogar einfordern werden (siehe gtnr.it/ZxK6KV). Bring Your Own Device BYOD - aber auch die zunehmende Verwendung mobiler Clients im Unternehmen generell - stellt für IT-Verantwortliche vor allem ein Sicherheitsproblem dar: "Einen Verlust oder Diebstahl von Smartphones, Laptops und Tablets muss jedes Unternehmen mit einkalkulieren", warnt Sergej Schlotthauer, CEO des Endpoint-Security-Spezialisten Egosecure. Zudem bemängelt er technische Lücken wie das Fehlen effizienter Zugangskontrollen, das Risiko von Datenverlust und -missbrauch sei omnipräsent. Laut Michael Goedeker, Director Sales Engineering beim Security-Spezialisten Sophos, gilt es deshalb, "mit transparenten Sicherheitslösungen sämtliche Kommunikationsgeräte eines Unternehmens abzusichern und dabei gleichzeitig die Produktivität der Mitarbeiter so wenig wie möglich einzuschränken." Wichtig ist dabei laut Christiane Schönig, Technical Managerin bei Check Point, die Verknüpfung der Mobile-Device-Sicherheit mit dem Identity- und Access-Management: "Immer mehr Unternehmen wollen Anwender und Gerät erkennen, nicht nur IP-Adressen." Zu den Software-Tools gesellt sich eine Reihe organisatorischer Maßnahmen, etwa die Einführung von Unternehmensrichtlinien für den korrekten Umgang mit (unternehmenseigenen oder privaten) Mobile Devices. Will man BYOD nicht nur für Apple-, sondern auch für Android-Geräte erlauben, empfiehlt Christiane Schönig angesichts kaum überschaubarer Geräte- und Softwarevielfalt die Vorauswahl erlaubter Android-Geräte per Whitelist. "IT-Manager müssen hier einen Drahtseilakt meistern zwischen Vorschriften und Kontrolle auf der einen Seite versus Komfort und Flexibilität für den Anwender auf der anderen", ergänzt Stefan Hoelzl, Area Vice President bei Appsense. MDM vs. MAM Mobile-Device-Management-Lösungen sind nützlich, wenn die IT die Endgeräte selbst bereitstellt und damit Anspruch auf deren vollständige Kontrolle erheben kann. Selbst dann aber ist MDM nicht unproblematisch. Ein Beispiel: Zum Wiederauffinden eines verlorenen Endgeräts ist am Gerät die Aktivierung der Geolokation erforderlich - jedoch als Mittel zur dauerhaften Überwachung der Angestellten vom Betriebsrat oft nicht gern gesehen. Konfliktstoff bergen auch Situationen, in denen der Mitarbeiter zwar sein Firmen-Iphone auch privat nutzen darf, der IT-Abteilung aber das Recht einräumen muss, das Gerät aus der Ferne komplett zu löschen (Remote Wipe). So wichtig Remote Wipe, Remote Lock (Fernsperrung des Geräts) oder die Lokationskontrolle auch sein mögen, richtet sich deshalb der Blick verstärkt auf die angrenzende Disziplin des Mobile-Application-Managements. Hier setzt die zentrale Kontrolle weiter oben im Software-Stack an und lässt damit eine präzisere Steuerung der Management-Eingriffe zu, steht doch hier die Kontrolle des Zugriffs auf Business-Applikationen sowie der App-Kommunikation zur Vermeidung des Abfließens interner Informationen im Vordergrund. Im MAM-Segment konkurrieren zwei Ansätze: Anbieter wie Good oder Citrix packen Business-Apps in gesicherte, verschlüsselte Container, die auf einem beliebigen - firmeneigenen oder privaten - Endgerät laufen und sich von zentraler Stelle aus verwalten oder löschen lassen, ohne die restliche Softwareumgebung auf dem Device zu beeinflussen. Die Alternative dazu stellt der so genannte Dual-Persona-Ansatz dar, den zum Beispiel Blackberry oder VMware verfolgen: Wie beim Dual Boot eines PCs entscheidet der Anwender schon beim Login, ob er sein Device als Unternehmens- oder Privatgerät nutzen will. Beide Ansätzen vereint, dass sie dem Anwender die Bedienung etwas erschweren, etwa durch die Trennung privater und beruflicher Kontaktlisten ohne Möglichkeit, zwischen den beiden Adressbüchern zu wechseln. Die umständlichere Bedienbarkeit ist der saure Apfel, in den der Endanwender wohl oder übel beißen muss, um das Gerät seiner Wahl beruflich wie auch privat sicher verwenden zu können. Eine weitere Hürde im MAM ist der Umstand, dass Apps für den Betrieb in geschützten Containern zunächst per Wrapping anzupassen sind. Entsprechend arbeiten die MAM-Player daran, Ökosysteme mit passenden Partnerlösungen aufzubauen. Für die Anbieter von Business-Apps bedeutet dies, dass sie ihre Apps für die Nutzung in verschiedenen MAM-Umgebungen bereitstellen müssen. Zwar berichtete das Branchen-Blog brianmadden.com im April, Mobileiron bereite eine "Open App Alliance" vor, doch bislang ist ein einheitlicher Standard für Apps in MAM-Containern nicht in Sicht. Vielmehr geht Smartphone-Gigant Samsung den Sonderweg, mit seiner Android-Erweiterung Knox eine eigene sichere App-Umgebung "ab Werk" zu liefern (siehe Link). Mobile Dateizugriffe kontrollieren Ein dritter wichtiger Baustein für die sichere Nutzung mobiler Endgeräte im Unternehmen ist die Kontrolle der mobilen Zugriffe auf unternehmensinterne Informationen und Datenbestände. MIM-Lösungen sollen den Unternehmen hier eine durch die hauseigene IT kontrollierte Alternative zu den verbreiteten, aber bei IT-Profis unbeliebten Cloud-Services wie Box oder Dropbox bieten. Zwar hat der wohl bekannteste Filesharing-Dienst Dropbox nach anfänglichen Patzern sein Security-Niveau beträchtlich nach oben geschraubt, doch aus Sicherheits- und Compliance-Gründen wollen IT-Organisationen die möglicherweise vertraulichen Dateien ihres Hauses nach wie vor lieber nicht "irgendwo in der Wolke" gespeichert sehen. Deshalb hat sich eine stetig wachsende Schar von Anbietern aufgemacht, unternehmenstaugliche Dropbox-Alternativen zu liefern. Neben den MDM- und MAM-Anbietern zählen dazu auch Spezialisten wie etwa Acronis oder Appsense (siehe Beitrag auf Seite 59). SAP hat seine MDM-Suite Afaria um die Lösung Mobile Documents ergänzt, die ebenfalls diesem Zweck dient. Neuerdings hat zudem Netzwerk-Urgestein Novell seine Liebe zum MIM entdeckt und mit Filr eine entsprechende Lösung vorgestellt. Nur die wenigsten Anbieter gehen allerdings so weit wie die Branchengrößen Citrix wie auch VMware mit ihren umfassenden Enterprise-Mobility-Management- oder kurz EMM-Suiten. Citrix? Mobile Solutions Bundle und VMwares Horizon Suite zielen darauf ab, sämtliche Aspekte der Verwaltung mobiler Endgeräte mit einem Enterprise App Store, der Einbindung von Cloud-Ressourcen und dem Fernzugriff auf zentral gehostete Desktops und Applikationen zu verbinden. Citrix wird sein Bundle sicher zur Suite ausbauen, VMware will die Horizon Suite dieses Jahr um MAM-Funktionen ergänzen (siehe Link). EMM-Konzepte haben nicht nur Marktgrößen wie IBM und neuerdings CA (siehe Bericht von der CA World auf Seite 6) ins Visier genommen, sondern auch kleinere Anbieter wie Appsense oder Cortado (Test folgt in LANline 7/2013). Marktneuheiten Der Markt entwickelt sich äußerst dynamisch. Deshalb folgen hier einige interessante News im Schnelldurchlauf, was angesichts der Hersteller- und Produktfülle nur eine kleine Auswahl sein kann. Mobileiron - laut Gartner-Report vom Mai 2012 einer der fünf Marktführer neben Airwatch, Good, Citrix (damals noch Zenprise) und dem US-SaaS-Anbieter Fiberlink - hat sein MDM-Flaggschiff VSP längst um MAM-Lösungen der Appsatwork-Familie ergänzt. Support für Samsung Knox hat Mobileiron - wie auch Konkurrent Airwatch - bereits angekündigt. Airwatch positioniert sich heute als Anbieter von Lösungen für MDM, MAM, Mobile Security sowie Mobile-Content- und -E-Mail-Management. Das Softwarehaus hat kürzlich eine 200-Millionen-Dollar-Finanzspritze von Insight Venture Partners erhalten und dürfte damit sein Portfolio ebenso ausbauen wie seine geografische Präsenz. Industriegigant IBM hat jüngst mit der Mobilefirst-Initiative sein Engagement im Mobility-Bereich verstärkt. Zum Portfolio zählen Lösungen für die mobile Sicherheit und Analytik ebenso wie Software zur Anwendungsentwicklung. Damit sollen Unternehmen ihre Prozesse "mobilisieren" können - vom Management mobiler Endgeräte bis hin zur Entwicklung von Business-Apps. IBM betont, man verfüge über tausende Experten, die Unternehmen auf dem Weg zum mobilen Business unterstützen können. Zahlreiche MDM-Anbieter haben einen Security-Hintergrund, so zum Beispiel McAfee, Sophos, Symantec oder Trend Micro. McAfee EMM kombiniert die Absicherung des Zugangs zu mobilen Anwendungen mit Malware-Schutz und starker Authentifizierung. Dank integriertem Epolicy Orchestrator (McAfee EPO), so der Hersteller, könne die IT-Abteilung Richtlinien durchsetzen und das Compliance-Management vereinfachen. Sophos liefert mit Mobile Control eine Kombination von MDM, MAM, MIM und Mobile Security. Mobile Control, aktuell in Version 3.0, unterstützt laut Hersteller neben den Standardplattformen Apple IOS und Android auch Windows Mobile und Blackberry. Eine Add-on-App für Android dient dem Schutz vor Malware, mit Safeguard Enterprise gibt es ein Tool für die Verschlüsselung von Daten auf Endgeräten und in der Cloud. Einen ähnlichen Ansatz wie Sophos verfolgt auch Trend Micro mit Mobile Security 8.0. Auch hier steht die Kombination von MDM, Richtlinien-Management und Malware-Abwehr im Vordergrund. Symantecs Mobile Management Suite wiederum, vorgestellt im Oktober letzten Jahres, beherrscht nun Single Sign-on (SSO), sodass alle per Symantec-Wrapping gesicherten Apps mit einem einzigen Login zugänglich sind. Dem Thema Mobile Security widmet sich auch Wireless-Spezialist Aruba Networks. Das erweiterte Clearpass Access Management System ermöglicht es, Network Access Control (NAC), MDM und MAM mit einer übergreifenden Lösung zu verwalten. Egosecure bietet eine Endpoint-Security-Lösung sowohl für das stationäre Netzwerk als auch für mobile Endgeräte mit integriertem Schutz vor Viren, Ordner-Verschlüsselung und MDM-Funktionen. Zu den Security-Spezialisten gesellen sich Anbieter mit CLM-Background (Client-Lifecycle-Management) wie Landesk oder Baramundi. Mit dem Mobility Manager hat Landesk seinen CLM-Ansatz auf mobile Endgeräte ausgedehnt. Das Tool unterstützt Prozesse von der Discovery über die Absicherung bis zur rollenbasierten Content-Verteilung. Der deutsche Client-Management-Spezialist Baramundi hat zur CeBIT die Lösung Baramundi Mobile Devices mit Support für IOS, Android und Windows Phone 8 angekündigt. Die Verwaltung der Mobilgeräte sei dabei komplett in das Client- und Server-Management der hauseigenen Management Suite integriert. MDM als Managed Service aus der Cloud Der SAP-Spezialist Realtech bietet - in Deutschland noch recht ungewöhnlich - einen Managed-MDM-Service aus der Cloud an. Mit der ebenfalls Cloud-basierenden MDM-Lösung Enterprise Mobile Manager 2013 des Schweizer Softwarehauses Apptec können Unternehmen laut Hersteller ihre mobilen Devices zentral verwalten, Unternehmens-Apps auf den Geräten installieren und unerwünschte Applikationen per White- oder Blacklisting blockieren. Die Lösung, so Apptec, sei skalierbar, mandandenfähig und biete Alerts wie auch aussagekräftige Reports. Im Bereich MIM hat Check Point seinen Fokus auf Mobile Information Protection gerichtet: Verschiedene Tools für Geräte vom Smartphone bis zum Laptop sorgen mittels Verschlüsselung für Informationssicherheit. Die Mobile Productivity Suite von Accellion schließlich dient dazu, die mobile Erstellung und Bearbeitung von Content mit sicherer Synchronisation und Sharing der Daten zu verbinden. Mit der neuen Lösung Kitepoint können Anwender laut Accellion auch ohne separaten VPN-Aufbau auf Content-Management-Systeme und Sharepoint-Ressourcen zugreifen und die Dateien unterwegs bearbeiten.
Der Autor auf LANline.de: wgreiner
Lesen Sie mehr zum Thema
