MDM/EMM als neuer Management-Ansatz
Paradigmenwechsel bei der Client-Verwaltung
Smartphones und Tablets sind heute schon vielfach die primären Endgeräte im Geschäftsleben. Das hat auch Auswirkungen auf die IT-Systemarchitektur: Das EMM-/MDM-Paradigma (Enterprise-Mobility-Management/Mobile-Device-Management) löst nach und nach das alte Desktop-Betriebssystem-Modell ab.
Der Sicherheits- und Verwaltungsapparat für offene Desktop-Betriebssysteme wie Windows 7 oder auch noch Windows 8 ist gewaltig: Virenschutzwerkzeuge (hoffentlich mit den neuesten Signaturen), Schutz gegen unkontrollierte Datenabflüsse (möglichst mit semantischer Komponente), Verschlüsselung, Firewall, Einbruchsprävention, Verhaltensanalyse. Als würde das alles noch nicht reichen, müssen Anwendungsentwickler und Systemadministratoren nicht zuletzt auch noch mit dem berüchtigten Versionenwirrwarr bei den Objekten aus der Dynamic Link Library (DLL) zurechtkommen. Konflikte waren in dieser "DLL-Hölle" vorprogrammiert: Je mehr alte und neue Programme gemeinsam Verwendung fanden, desto unübersichtlicher wurde die Menge der DLL-Objekte. Irgendwo passte immer irgendeine Version mit irgendeiner anderen Version nicht zusammen, und irgendwann wurde immer eine DLL-Version durch eine neuere Version überschrieben, obwohl ein bestimmtes Programm genau diese gerade überschriebene Version benötigt hätte. Die Folge: Programmabstürze, Arbeitsstillstand, Produktivitätsverluste.
Wahrscheinlich werden wir uns in zwei, drei Jahren nur noch wundern, wie wir es mit dieser Art Betriebssystem-Architektur so lange ausgehalten haben. Und wir haben es sehr lange ausgehalten: Gut zwei Jahrzehnte lang war die IT-Architektur in den Unternehmen durch Desktops und Server mit einem offenen Dateisystem und einem weitgehend ungeschützten Betriebssystemkern à la Windows 7 oder 8 geprägt. Entsprechend musste die IT die oben erwähnte Batterie von Schutzmechanismen auffahren, um dieses letztlich fragile Gebilde vor Angriffen zu schützen. Das gelang eher schlecht als recht, aber man glaubte, keine Wahl zu haben. Um die Sicherheit der Desktops zu gewährleisten, konzentrierte sich die IT auf die Kontrolle des Datenflusses, indem sie beispielsweise das Netzwerk abschottete und eine Unmenge an Sicherheitstechnik einsetzte, sei es zum Schutz vor Schadsoftware, zur Systemverwaltung, zur Virtualisierung, für VPNs oder für Remote Desktops.
Doch nicht nur der Schutz des Systems vor Onlinekriminellen erfordert im Betriebssystem-Paradigma des Desktop-Zeitalters umfangreiche Software-Erweiterungen, die zudem sehr oft die intendierten Zwecke nur unzureichend erfüllen: Auch das Rechte-Management ist relativ unflexibel und hängt vollständig davon ab, dass eine ständige Netzwerkverbindung vorhanden ist. Basis eines solchen Modells sind die Gruppenrichtlinienobjekte (Group Policy Objects, GPOs), mittels derer die IT beispielsweise die Passwort-Syntax festlegt oder einem Benutzer Zugriffsbeschränkungen für bestimmte Ordner auferlegt. In der heutigen Zeit, in der Smartphone und Tablet immer mehr zum primären Endgerät werden und die Benutzer nicht immer eine Netzwerkverbindung zur Unternehmens-IT haben, sind solche GPOs eher unpraktisch.
EMM für Desktops und Laptops
Das Mobile-IT-Zeitalter hat den Endanwendern bisher nicht gekannte Freiheitsgrade gebracht. Oft können sie sich ihr Endgerät selbst aussuchen und sehr oft benutzen sie ein- und dasselbe Gerät sowohl beruflich als auch privat. Die Machtverhältnisse zwischen Unternehmen und Mitarbeitern haben sich zumindest im Bereich der IT stark verändert. Die Mitarbeiter haben heute nicht nur große Freiheiten bei der Bestimmung ihres primären Arbeitsgeräts, sondern sie wählen in der Regel auch selbstständig aus einem Katalog IT-Dienste aus, die sie für ihre Aufgaben benötigen. Zudem aktualisieren sie das Betriebssystem auf ihrem Gerät selbst.
Dies hat deutliche Auswirkungen auf die IT-Systemarchitektur in den Unternehmen. Die Anwender und die von ihnen benutzten Smartphones und Tablets geben mittlerweile die Richtung bei der Gestaltung der IT-Landschaft vor. Desktops und Laptops, bei denen ein bestimmtes System-Image eingebrannt ist und bei denen die gesamte Software und eine definierte Anzahl von Sicherheitsagenten vorinstalliert sind, passen nicht mehr in die mittlerweile entstandene Mobile-IT-Landschaft. Denn sie beschränken die Freiheitsgrade der Mitarbeiter unnötig und bremsen deren Produktivität aus.
In den letzten Jahren wurde unter Bezeichnungen wie Mobile-Device-Manage-ment, Mobile-App-Management, Mobile-Content-Management und (diese drei zusammenfassend) Enterprise-Mobility-Management für die Verwaltung und Absicherung von mobilen Endgeräten ein neues Management- und Sicherheitsmodell entwickelt. Es ist deshalb nur folgerichtig, dass dieses nun auch auf die Verwaltung der verbliebenen Desktop- und Laptop-Geräte angewendet wird. Windows 10 ist beispielgebend für diesen Paradigmenwechsel, der durch fundamentale Veränderungen der IT-Systemarchitektur gekennzeichnet ist, die gerade in den meisten Unternehmen ablaufen. Unternehmen, bei denen diese Veränderungen (noch) nicht im Gange sind, sollten sich erhebliche Sorgen um ihre Wettbewerbsfähigkeit in ein, zwei Jahren machen: Vermutlich verschlafen sie gerade die digitale Transformation der Weltwirtschaft.
Sandbox-Architektur und MDM-/API-Routinen
Die neue Architektur kann man mittels zweier Eckpunkte beschreiben: "Sandbox-Architektur und geschützter Betriebssystem-Kern" sowie "Einsatz von MDM-/API-Routinen". Die Sandbox-Architektur und ein geschützter Betriebssystemkern sind typisch für moderne Betriebssysteme, die sich stark an den Erfordernissen der Mobile IT orientieren. Solche Systeme nutzen für jede App einen isolierten Arbeitsspeicher und isolierten Speicherplatz, sodass die Daten jeder App vor Aktionen anderer Apps auf dem Gerät geschützt sind.
Dieses Modell schützt auch viel besser gegen die üblichen Bedrohungen durch Schadsoftware. Im Grunde gibt es auf mobilen Geräten keine klassischen Viren. Um diese einzuschleusen, müsste man die Sandbox aushebeln. Das ist zwar im Prinzip möglich, aber mit extrem hohem Aufwand verbunden; und natürlich haben die Sandbox-Entwickler Vorkehrungen gegen solche Versuche getroffen. Deshalb gehen Kriminelle im mobilen Bereich in der Regel einen anderen Weg und versuchen, Schadsoftware über infizierte Apps einzuschleusen. Ein umfassendes Risiko-Management für alle Apps in den App-Bezugsquellen (Apple App Store, Google Play, Windows Phone Store etc.) ist dabei die wichtigste Schutzmaßnahme.
MDM-/API-Routinen sind ein weiterer Eckstein der neuen Systemwelt. Solche Routinen stellen sicher, dass nur eine vertrauenswürdige MDM- oder EMM-Plattform Aktionen auf Betriebssystem-Ebene ausführen darf, beispielsweise die Installation und Deinstallation einer App, die Speicherung eines Zertifikats oder der Aufbau von Netzwerkverbindungen. Eine derartige Plattform wird dann beispielsweise Versuche unterbinden, im Unternehmen nicht zugelassene Apps zu installieren; alternativ könnte sie zumindest den Nutzer auf die Unzulässigkeit hinweisen und ihm bei Nichtbeachtung mit Konsequenzen drohen ("Sperren geschäftlicher Inhalte auf dem Gerät oder auch Totalsperrung des Geräts"). Ähnliche (Straf-)Maßnahmen sind bei Nichtbeachtung von Verschlüsselungsvorschriften oder bei der Manipulation des Smartphone-Betriebssystems denkbar (Jailbreak, Rooting).
Die MDM-Plattform übernimmt auch das automatische Zertifikat-Management für gesicherte Netzwerkverbindungen (VPN), WLAN, Activesync oder die Anmeldung am Exchange-Server. Sie beantragt die Zertifikate automatisch über SCEP (Simple Certificate Enrollment Protocol) bei der Zertifizierungsinstanz (CA). Die Zertifikate werden dann heruntergeladen, innerhalb des automatischen Workflows auf die mobilen Endgeräte ausgerollt und mit Konfigurationen und den Sicherheitsrichtlinien des Unternehmens verknüpft.
Die MDM-Plattform mit den entsprechenden Schnittstellen wird damit zum zentralen Mechanismus der Geräteverwaltung. Dadurch können Unternehmen von der traditionellen zeitaufwändigen und kostenintensiven Komplettkonfiguration eines Geräts zu einem verteilten Verwaltungs- und Sicherheitsmodell wechseln. Bei diesem können die Mitarbeiter Unternehmensdaten von beliebigen Speicherorten hochladen und auf mehrere verschiedene Geräte herunterladen. Alle diese Daten lassen sich mit Anwendungs-Sandboxen sowie einem geschützten Betriebssystem-Kern und schnelleren Betriebssystem-Updates sichern und verwalten.
Durch diese Architekturänderungen verliert das alte Modell des Desktop Computings an Bedeutung, das beispielsweise bei Windows bis Version 7 (im Grunde auch noch bis Windows 8) vorherrschte. Das neue Sandbox-orientierte Architekturmodell bietet nicht nur große Produktivitätsvorteile in einer Unternehmenswelt, in der Smartphone und Tablets die bevorzugten Endgeräte sind: Es ist auch deutlich sicherer. Sehr zugespitzt formuliert: Ein System wie Windows 7 gleicht letztlich einem manipulierten Iphone (einem Iphone mit Jailbreak). Microsoft selbst hat mit Windows 10 die Konsequenzen aus dieser Situation gezogen und ein Betriebssystem-Modell gebaut, das weitgehend der oben skizzierten Architektur entspricht.
Bei dieser Architektur sind Management und Sicherheit zwar nicht ein und dasselbe, aber sie liegen viel enger beieinander als bei den traditionellen Desktop-Betriebssystemen. Nur vertrauenswürdige Benutzer mit vertrauenswürdigen Geräten, auf denen vertrauenswürdige Apps in vertrauenswürdigen Sessions laufen, haben Zugriff auf Unternehmensdaten.
Es ist keine triviale Aufgabe, diese vier Elemente im Einzelnen sauber zu halten und dann auch noch sicherzustellen, dass in ihrem Zusammenspiel keine Unregelmäßigkeiten auftreten. Trotzdem: Die erforderliche Struktur ist klar - jedenfalls klarer als im traditionellen Betriebssystem-Modell, hatte man doch bei diesem immer den Eindruck, dass lediglich Löcher gestopft werden. Die Auflösung des Perimeters durch die mobile IT machte endgültig deutlich, dass man mit dem Betriebssystem-Ansatz der Desktop-Welt nicht mehr weiterkommt. Das Paradigma des Mobile-IT-Managements ist da eine echte Hoffnung. Es beginnt nämlich genau dort, wo der Perimeter aufhört.
Lesen Sie mehr zum Thema
