Praxistest Android for Work
Sicher mobil arbeiten
Android steht im Ruf, recht unsicher zu sein. Ein spezielles Security-Modell von Google soll dies ändern und sicheres Arbeiten auch auf privaten Geräten ermöglichen. LANline hat sich näher angesehen, was Android 6.0 und das dort enthaltene Android for Work bieten.Bei vielen Anwendern ist es beliebt, ein und dasselbe Gerät für private wie auch berufliche Zwecke zu nutzen. Diese Konstellation bildet die treibende Kraft hinter dem BYOD-Trend (Bring Your Own Device). Doch hier gab es bislang nur vereinzelte Ansätze für mehr Sicherheit, am bekanntesten dürfte Samsung Knox sein. Diese für den Enterprise-Einsatz gedachte Sicherheitserweiterung versucht, durch den kompletten Einbezug von Hardware, Firmware und Software eine durchgängig geschützte Arbeitsumgebung zu schaffen. Android for Work Von Google selbst stammt ein breiter gehaltener Ansatz für mehr Sicherheit, der auch auf Nicht-Samsung-Geräten einsetzbar ist: Er nennt sich "Android for Work" und wurde im Februar 2015 angekündigt. Anders als ursprünglich von beiden Parteien bekannt gegeben, ist Samsungs Knox-Technik aber wohl doch nicht in Android for Work eingeflossen. Oberflächlich gesehen verfolgen beide Ansätze zwar das Prinzip der Containerization (oder Containerisierung), doch beide schlagen dafür unterschiedliche Wege ein. Wer sich für weitere Details zu Samsungs Lösung sowie einen Feature-Vergleich zu Googles Konzept interessiert, kann einen Blick in das englische Whitepaper "Beyond Basic Android: Security with Samsung Knox" werfen [1]. Google baut auf Funktionen auf, die bereits im Betriebssystem vorhanden sind. Die entscheidende Rolle in diesem Zusammenhang spielt die Multi-User-Unterstützung, der sich Android for Work bedient, um persönliche und Unternehmensdaten sicher voneinander zu trennen. Die Funktionsweise unterscheidet sich allerdings von der herkömmlichen Android-Mehrbenutzer-Implementierung der abwechselnden Verwendung mehrerer Benutzerprofile sowie der limitierten Gäste-Sitzungsumgebung. Denn bei Android for Work ist kein Wechsel zwischen verschiedenen Benutzern erforderlich. Vielmehr gibt es ein dediziertes Arbeitsprofil (Work Profile), das parallel zum persönlichen Profil auf dem Smartphone oder Tablet zum Einsatz kommt. Auf transparente Weise isoliert das Betriebssystem die im Arbeitsprofil enthaltenen Daten vom persönlichen Profil und schützt sie so vor Fremdzugriffen. Eine weitere Stärke von Android for Work ist die nahtlose Integration in das Betriebssystem. Da alle Sicherheitsfunktionen systemintern greifen, lässt sich das Konzept auf praktisch alle vorhandenen Android-Anwendungen anwenden, ohne dass eine Veränderung an den jeweiligen Apps erforderlich wird. Davon profitiert nicht nur das Unternehmen, sondern auch der Benutzer: Dieser kann weiterhin mit seinen bevorzugten, gewohnten Apps arbeiten und erhält die Gewissheit, dass sei Arbeitsgeber nicht an seine persönlichen Daten herankommt. Der Mix macht?s Die Krux von Android for Work liegt in der Bedienbarkeit. Denn im Gegensatz zu vielen anderen Merkmalen von Googles Betriebssystem für Mobilgeräte lässt sich diese Funktionalität nicht wie ein reguläres Feature aktivieren. Allerdings ist die Technik in allen neueren Android-Versionen bereits serienmäßig enthalten, denen Google zum Zwecke der Zertifizierung ihres Smartphones oder Tablets durch OEMs und Telekom-Provider seinen offiziellen Kompatibilitätssegen erteilt. Zudem setzt Android for Work eine geeignete Betriebssystem-Version voraus. Infrage kommen Android-Versionen ab Release 4.0. Bis einschließlich Android 5.1.1 ist es noch erforderlich, auf dem Gerät die entsprechende App aus dem Google Play Store zu installieren. Bei Android 6.0 ist Android for Work bereits serienmäßig enthalten. Des Weiteren lässt sich Android for Work nicht auf allen Smartphones und Tablets nutzen. Denn die Verschlüsselung und die parallele Verwendung zweier voneinander abgeschotteter Profile für private und Firmenzwecke mit jeweils eigenen Apps, Daten und Identitäten geht zulasten der Performance. Auf seiner Geräte-Webseite listet Google einige Mobilgeräte auf, die mit Android for Work laufen. Neben High-End-Modellen wie dem Samsung S6 Edge finden sich dort Mittelklasse-Vertreter wie das Google Nexus 5 sowie Einsteigergeräte wie das Motorola Moto E. Einige Benutzer berichten davon, dass Android for Work auch auf Smartphones läuft, die dort nicht aufgeführt sind. Anspruch auf Vollständigkeit scheint Google für diese Übersicht also nicht zu reklamieren. Klarheit besteht allerdings in anderer Hinsicht: Um die Performance nicht zu sehr zu beeinträchtigen, hat Google die Anzahl möglicher Arbeitsprofile momentan auf ein einziges begrenzt. EMM oder nicht, das ist hier keine Frage Der entscheidende Aspekt ist, wie die Kontrolle des auf dem Android-Gerät befindlichen Arbeitsprofils durch das Unternehmen erfolgt. Die Antwort darauf lautet: mit einer EMM-Lösung (Enterprise-Mobility-Management), mitunter auch als MDM (Mobile-Device-Management) bezeichnet (was eine Teilfunktionalität von EMM darstellt, d.Red.). Auf diese Weise ist das Unternehmen imstande, die Android-for-Work-APIs auf den Geräten anzusteuern und so Smartphones und Tablets zentral zu verwalten. Damit kann ein Administrator zum Beispiel detailliert einstellen, welche Apps im Arbeitsprofil erscheinen sollen oder ob die Kamera zu deaktivieren ist. Als EMM-Lieferanten kommen eine Reihe von Anbietern in Betracht. Zunächst ist hier Google selbst zu nennen: mit seinem Angebot Apps for Work. Einschlägige EMM-Provider wie Airwatch und Mobileiron sind auf der Liste der EMM-Partner ebenfalls zu finden. Darüber hinaus gibt Microsoft an, Android als "Mitbürger erster Klasse" zu betrachten und somit auch Android for Work in seiner Cloud-basierten EMM-Lösung Intune unterstützen zu wollen. Erst die Verwendung einer EMM-Lösung durch das Unternehmen - sowie die Einrichtung eines EMM-verwalteten Benutzerkontos auf dem Gerät - erweckt Android for Work zum Leben. Damit stellt sich die Frage nach den Kosten von Android for Work. Google selbst nimmt dafür kein Geld und spricht davon, dass dieses Feature kostenlos sei. Das stimmt zwar, aber für die Lizenzierung der zwingend erforderlichen EMM-Lösung fallen üblicherweise Kosten an. Hinzu kommt, dass manche Unternehmen (vor allem größere) mehrere EMM-Lösungen einsetzen. Android for Work gestattet derzeit jedoch nur die Verknüpfung mit einem EMM-Anbieter für eine Domäne. Im Zweifelsfall muss das Unternehmen also eine Aufteilung in mehrere Subdomänen vornehmen und diese mit jeweils unterschiedlichen EMM-Lösungen verwalten. Dies sollte Google noch einmal überdenken. Administratorisches Um zu erfahren, wie sich Android for Work im Alltag schlägt, haben wir die Software ausprobiert. Als Testgerät diente ein Google Nexus 5, auf dem Android 6 (Marshmallow) den Ton angab. Als EMM-Provider diente Googles Unternehmensangebot Apps for Work. Über dessen Admin-Konsole ist zunächst zu definieren, welcher der vorhandenen Benutzer als Administrator agieren darf. Einer dieser Administratoren muss dann für jeden Benutzer, der Android for Work verwenden soll, ein Konto einrichten - dies ist zur Nutzung der Apps for Work ohnehin erforderlich. In den Einstellungen zur Verwaltung mobiler Geräte ist zudem im Bereich "Require Work Profile" die Option "Enforce Work Profile" zu aktivieren. Diese schreibt die Verwendung von persönlichem und Arbeitsprofil zur Trennung privater und firmeneigener Daten auf den Geräten der Benutzer vor. Welche Apps im Arbeitsprofilkontext laufen können, gibt der Administrator ebenfalls über die Admin-Konsole der Apps for Work vor. Die entsprechende Option in den Untiefen der verschachtelten Menüstruktur zu finden, ist jedoch nicht ganz einfach. Denn sie versteckt sich hinter dem Link zum Whitelisting von Apps im Bereich "Manage Applications for Android Devices", der im "Mobile"-Untermenü des Menüs "Device Management" enthalten ist. Das Vorgehen erscheint ungewöhnlich: Nach Anklicken des dortigen Plus-Zeichens öffnet sich ein Dialogfeld, in das man die URL zur gewünschten App aus dem Google for Work Play Store eintragen muss, der über play.google.com/work erreichbar ist. Zuvor muss dort allerdings ein Super-Admin die betreffende App genehmigen und dafür die entsprechende Anzahl von Lizenzen erwerben. Dies gelingt aber nur dann, wenn der Entwickler der Bulk-Purchase-Option in Googles Developer Distribution Agreement zugestimmt hat. Eindrücke Zur Inbetriebnahme von Android for Work auf dem Smartphone schließlich reicht bereits die Angabe eines Benutzerkontos, das über die EMM-Unternehmenslösung verwaltet wird. Daraufhin erscheint die Aufforderung, ein Arbeitsprofil auf dem Mobilgerät einzurichten, das dafür zunächst verschlüsselt werden muss. Wenige Minuten später erfolgen die Einrichtung des Arbeitsprofils sowie dessen Verknüpfung mit den EMM-Geräterichtlinien des Unternehmens. Automatisch wird die App Divide Productivity heruntergeladen und installiert. Diese stellt E-Mail-Funktionen, Aufgaben- und Kontakteverwaltung sowie eine Kalender- und Notizen-App für das Arbeitsprofil zur Verfügung. Unser Startbildschirm wurde zudem um den Ordner namens "Arbeit" erweitert, über den sich wichtige Apps des beruflichen Profils direkt aufrufen ließen. Da persönliches und Arbeitsprofil Seite an Seite laufen, kann es durchaus vorkommen, dass ein und dieselbe App wie beispielsweise Chrome, Downloads, Gmail, Hangouts und der Play Store auf dem mit Android for Work arbeitenden Gerät zweimal vorhanden sind - einmal für das private, einmal für das berufliche Profil. In der App-Übersicht des Smartphones werden diese Apps daher zusammen mit ihren Kollegen aus dem persönlichen Profil aufgelistet. Der Benutzer muss sich dann je nach Situation entscheiden, ob er sein Smartphone gerade zu privaten oder geschäftlichen Zwecken nutzt und die dafür passende App verwenden. Gleiches gilt für die Installation von Apps: Je nach Zweck ist hier der reguläre App Store oder der des Arbeitsprofils zu verwenden. Dass Android for Work überhaupt auf dem Endgerät werkelt, ist für den Benutzer unter anderem daran erkennbar, dass die zum Arbeitsprofil gehörenden Apps mit einem Aktentaschen-Symbol versehen sind. Außerdem erscheint dieses Icon in der Benachrichtigungszeile am oberen Bildschirmrand, falls die gerade im Vordergrund laufenden App dem Arbeitsprofil zuzurechnen ist. Nach dem Entsperren des Bildschirms erscheint zudem ein entsprechender Hinweis, falls die gerade angezeigte App in diesem Kontext läuft. In unserem Test klappte der simultane Umgang mit beiden Umgebungen gut. Spürbar war allerdings eine kleine Verzögerung etwa beim Aufruf von Apps, sodass unser Smartphone bei alltäglichen Aufgaben etwas langsamer agierte. Subjektiv hinterließ diese Beeinträchtigung der Performance aber keinen störenden Eindruck. Wurde eine in einem Profil installierte App auch im anderen Profil installiert, entfiel der Download der Software, die stattdessen praktisch direkt installiert war. Eine Arbeitsprofil-App gestattete das Senden von Informationen nur an andere Apps aus dem Arbeitsprofil. Aus dem persönlichen Profil heraus wiederum ließen sich Informationen wahlweise mit einer dort vorhandenen oder einer App aus dem Arbeitsprofil teilen. Fazit Android for Work ist ein wichtiger Schritt für mehr Sicherheit beim Einsatz von Android-Smartphones und -Tablets in Unternehmen. Dass dafür keine Änderungen an Apps erforderlich sind, ist ein klarer Pluspunkt. Verbessern sollte Google die Inbetriebnahme: Dafür auf EMM-Partner zu verweisen mag zwar richtig sein, hilft jedoch keinem Unternehmen, das sich mit dieser Materie bislang nicht auskennt. Komplexität und Kosten, die damit verbunden sind, könnten gerade kleinere und mittelständische Firmen, die bislang noch nicht oder nur rudimentär in die Welt des Enterprise-Mobility-Managements eingetaucht sind, eher abschrecken. Quellen [1] www.samsungknox.com/de/system/files/whitepaper/files/Samsung%20Beyond%20basic%20Android%20online_0.pdf
Lesen Sie mehr zum Thema
