Fernzugriff mit mobilen Endgeräten
BYOD zwischen Nutzen, Risiko und Compliance
Flexible Arbeitsmodelle und der externe Zugriff auf die Unternehmens-IT sind in Deutschland Alltag. Rund die Hälfte der deutschen Organisationen hat bereits entsprechende Maßnahmen getroffen, Tendenz rasch steigend. Bis Ende 2013 wollen bereits 92 Prozent der Unternehmen solche Programme realisieren, wie eine von Citrix in Auftrag gegebene Studie von Vanson Bourne im Frühjahr ergab. Doch das Thema Consumerization bereitet IT-Verantwortlichen oft schlaflose Nächte.Die wachsende Vielfalt mobiler Endgeräte wie Smartphones und Tablets macht deren Management immer komplexer. Unterschiedliche Hard- und Softwareplattformen, die in vielen Fällen gar nicht für den Business-Einsatz konzipiert sind, stellen auch ein Risiko für die Sicherheit des Unternehmens dar. Das private Iphone beispielsweise, mit dem der Mitarbeiter unterwegs E-Mails abruft oder auf geschäftliche Daten im Firmennetz zugreift (eine Facette des "Consumerization" genannten Trends), kann zum Einfallstor für Angriffe werden. Wenn diese Mischnutzung dann noch ohne Absprache mit der IT erfolgt, ergeben sich echte Problemherde. Um ihren Mitarbeitern trotzdem einen möglichst sicheren und nahtlosen Zugriff von außerhalb zu ermöglichen, führen Unternehmen umfassende BYOD-Programme (Bring Your Own Device) ein. Dabei stehen Verantwortliche vor der Herausforderung, eine Vielzahl mobiler Endgeräte integrieren und verwalten zu müssen: Der Zugriff auf die Unternehmens-IT von außerhalb des Firmengeländes wandelt sich von der Ausnahme zur Regel. Grundsätzlich ist es durchaus möglich, verschiedenste Plattformen und Geräte in die Unternehmens-IT einzubinden. Mittels Desktop-Virtualisierung zum Beispiel lassen sich dafür Endgerät und Betriebssystem vom Desktop entkoppeln, Anwendungsvirtualisierung ermöglicht maßgeschneiderte, rollenbasierte Softwarepakete für jeden Mitarbeiter - und dies sogar für verschiedene Hardwarekonstellationen einzelner Personen. Allerdings ist nicht alles Machbare auch gleich sinnvoll. Beispielsweise ist es zwar rein technisch durchaus möglich, jedem Mitarbeiter einen virtualisierten Windows-Desktop zur Verfügung zu stellen. Es dürfte aber in Sachen Produktivität wenig bringen, wenn Kollegen von unterwegs über einen kleinen Smartphone-Touchscreen darauf zugreifen. An anderer Stelle ist es zunächst natürlich ein Fortschritt, Laptop-Nutzern mit der entsprechenden Software von überall Zugang zu ihrem Desktop zu ermöglichen. Funktioniert das allerdings ausschließlich im Online-Betrieb, dann ist die Flexibilität des jeweiligen Mitarbeiters bereits wieder eingeschränkt. Hier wird deutlich: Sollen Mitarbeiter von außerhalb mit mobilen Endgeräten Zugriff auf ihre gewohnte IT-Umgebung im Unternehmen erhalten, ist es mit pauschalen Maßnahmen nicht getan. Gleichzeitig ist es nicht ratsam, für jede Problemstellung in diesem Zusammenhang ein separates Tool einzusetzen. Insellösungen können auf lange Sicht zu Kompatibilitätsproblemen führen, vor allem, wenn proprietäre Software verschiedener Anbieter zum Einsatz kommt.
Den App Store selbst betreiben
Im Idealfall implementiert ein CIO also eine End-to-End-Infrastruktur für das Management der mobilen Endgeräte als Ganzes. Eine solche Lösung umfasst den gesamten Bereich der Anwendungsbereitstellung und Datennutzung mit mobilen, aber auch mit stationären Geräten. Damit lässt sich der Zugriff von außen granular regeln und für den Mitarbeiter so weit wie möglich automatisieren. Der Fall, dass für das jeweilige Endgerät unpassende Anwendungen oder Inhalte angezeigt werden und der Anwender selbst dafür sorgen muss, an die richtigen Ressourcen zu gelangen, tritt so gar nicht auf.
Ausgangspunkt einer solchen Lösung ist idealerweise ein Enterprise App Store, also ein unternehmenseigener, zentraler Anlaufpunkt, an dem sämtliche Anwendungen bereitstehen. Der Anwender erhält dort die passenden Programme, und zwar jederzeit und von überall aus. Dazu gehören nicht nur die üblichen Office-Anwendungen, sondern auch Web-Services, SaaS-Dienste oder das unternehmenseigene Intranet. Die IT-Abteilung kann Anwendungen einfach und zentral bereitstellen und auf neue Inhalte im Store hinweisen. Außerdem können Administratoren auf Basis von Rollen, Profilen und internen Regeln genau festlegen, welches Portfolio an Apps ein Mitarbeiter zur Verfügung hat.
Sollte der Mitarbeiter Zugang zu einer App oder anderen Ressourcen brauchen, die nicht für ihn freigegeben sind, kann eine nachträgliche Zuteilung auf Anfrage erfolgen. In jedem Fall hat aber die IT die volle Kontrolle darüber, wer auf welche Ressourcen zugreifen darf, und kann maßgeschneiderte Pakete bereitstellen. Außerdem lassen sich insbesondere bei Spezialanwendungen, die nur für wenige Experten im Unternehmen erforderlich sind, Lizenzen einsparen. Der Vorteil für die Anwender: Der Bedienkomfort steigt, sie haben stets genau das Handwerkszeug verfügbar, das sie brauchen - und das alles im Idealfall abgestimmt auf das gerade benutzte Endgerät.
Automatisiertes Provisioning und mobile Container
Damit sind die Anwender zunächst gut versorgt. Allerdings ist es heute oft Standard, dass Mitarbeiter mit zwei oder mehr unterschiedlichen mobilen Geräten auf Unternehmensanwendungen zugreifen. Soll hier keine Verwirrung entstehen, muss sich die Bereitstellung von Ressourcen auf alle Geräte eines Mitarbeiters beziehen. Hat ein Anwender also beispielsweise per Tablet eine bestimmte Konfiguration an Apps zusammengestellt, die er für seine tägliche Arbeit benötigt, dann sollte diese automatisch auch für seinen Laptop und sein Smartphone verfügbar sein. Idealerweise erkennt das System, welches Gerät zum Einsatz kommt, und stimmt die Oberfläche und den Leistungskatalog für den Mitarbeiter automatisch darauf ab.
Zusätzlich erleichtert wird dieses Verfahren durch Single-Sign-on-Konzepte, bei denen eine einmalige Anmeldung den Zugriff auf alle nötigen Ressourcen gewährt - bereitgestellt im Unternehmens-RZ oder aber bei einem Cloud Provider. Außerdem stellt dieser Ansatz sicher, dass der Mitarbeiter von sämtlichen Endgeräten auf wichtige Daten und Dokumente zugreifen kann.
Häufig gehört mindestens eines der mobilen Devices dem Mitarbeiter selbst. Sei es auch nur der kurze Blick in den Posteingang vom privaten Smartphone aus: Idealerweise ist auch für solche Fälle vorgesorgt und die Anbindung an die Unternehmens-IT nahtlos. Hier bietet sich aus Sicherheits- und Compliance-Gründen der Einsatz von Containertechnik an: Ein Container wird auf den jeweiligen Geräten automatisch erzeugt, sobald sich der Mitarbeiter mit dem Unternehmensnetz verbindet. Er trennt geschäftliche und private Bereiche, sodass selbst sensible Daten geschützt sind. Sollte es erforderlich sein, kann die IT-Abteilung solche Container sperren oder ganz löschen.
Ein gestohlenes Smartphone oder das im Hotel vergessene Tablet ist also kein Grund mehr für einen Sicherheitsalarm. Auch rechtliche Vorschriften sind damit einfacher durchsetzbar. Denn aktuelle Smartphones nehmen bereits für viele Zwecke vom Anwender unbemerkt Verbindung mit einem Server auf, der in den seltensten Fällen in Deutschland steht. Nutzt der Mitarbeiter diese Möglichkeit nun für geschäftliche Zwecke, entstehen bereits Konflikte. Sind die Unternehmensdaten allerdings verschlüsselt in einem separaten, sicheren Container untergebracht und damit vom Gerät entkoppelt, ist dieser Konfliktherd eingedämmt.
Verzeichnissysteme wie Active Directory sind Bestandteil der IT-Infrastruktur und dienen der Verwaltung von Mitarbeiteridentitäten und Zugriffsrechten. Diese häufig LDAP-basierten Dienste lassen sich im Rahmen einer umfassenden Lösung für das Enterprise-Mobility-Management gezielt nutzen, um identitäts- und rollenbasierte Bereitstellungsmodelle zu realisieren. Sobald ein neuer Mitarbeiter beispielsweise im Active Directory angelegt ist, wird damit zugleich der entsprechende Katalog an Apps und Zugriffsrechten für seine mobilen Endgeräte vergeben. Die bereits in den Verzeichnisdiensten angelegten Regeln und Automatismen sorgen dabei für schnelle und einfache Bereitstellung, was sowohl Anwendern wie auch Administratoren Zeit spart.
Bei der Verwaltung von Remote-Zugriffen auf die Unternehmens-IT ist aber nicht allein die Identität beziehungsweise die Rolle des jeweiligen Anwenders ausschlaggebend. Bei reinen Inhouse-Zugriffen ist die aktuelle Situation des Anwenders üblicherweise klar. Durch flexible Arbeitskonzepte mit Remote-Zugriff mittels mobiler Endgeräte ändert sich die Lage: Die IT-Verantwortlichen sind nun mit einer Vielzahl unterschiedlicher Szenarien und Situationen konfrontiert, in denen jeweils ein mobiler Zugriff auf die Unternehmensnetze erfolgt. Die verfügbare Bandbreite, Art des Endgeräts, Sicherheit des genutzten Access-Points oder Benutzerverhalten sind nur einige Punkte, die dabei zu beachten sind. Ein durchgängiges Enterprise-Mobility-Management erlaubt hier die Einrichtung verschiedener Regeln und Optionen, um Mitarbeiter automatisch mit den für ihre aktuelle Situation passenden Ressourcen auszustatten. Zugleich garantiert dies ohne unnötige Einschränkungen die Sicherheit der Unternehmensdaten.
Lesen Sie mehr zum Thema
