Remote-Desktop-Services für mehr Sicherheit
Virtual Desktops erleichtern BYOD
Bring Your Own Device ist ein Thema, das viele Unternehmen bewegt und mit dessen Umsetzung sich viele große Herausforderungen verbinden. Die Vorteile liegen auf der Hand, und auch der Mitbewerber denkt unter Umständen darüber nach. Womöglich ist auch der künftig knappe Markt an qualifizierten Arbeitskräften ein Grund, sich hier innovativ zu positionieren. Wie aber lassen sich die Form der Gerätewahl des Nutzers flexibel handhaben und zugleich der Fokus auf die unternehmerischen Aspekte beibehalten?Bei der Integration privater Endgeräte ins Unternehmen ist es wichtig, zwei Gerätetypen zu unterscheiden, die für BYOD in Frage kommen: telefonartige (Smartphones) und computerartige Devices (Tablets). Wo genau die Grenze zu ziehen ist, hängt von der Betrachtung (Ausstattung, Funktion, Nutzung, Größe) ab, sicher ist eine Unterteilung in Kategorien wie "Eignet sich für diese oder jene Tätigkeit" möglich. Die telefonartigen Geräte sind mit kleinem Bildschirm in der Regel gut zu benutzen, um (schriftliche) Informationen zu konsumieren. Die Geräte mit größerem Bildschirm wie Ipad und Co. sind zusätzlich geeignet, um diese Art von Informationen zu erzeugen und zu bearbeiten. Je nach Anwendung geht das Erzeugen besser oder schlechter. Schon ein Ipad eignet sich unter Umständen trotz vergleichsweise großen Bildschirms und per Bluetooth verbundener Tastatur nicht mehr zur Bearbeitung einer Powerpoint-Präsentation oder einer umfangreicheren Excel-Tabelle, da in diesem Szenario die Maus fehlt (die Jailbreak-Option mal außer Acht gelassen). Es ist sinnvoll, verschiedene Geräteklassen unterschiedlich zu behandeln, da die Anwendungs- oder Informationsbereitstellung auf diesen Endgeräten unterschiedlich sein kann, womöglich sogar sein soll. Auf dem Smartphone sollen Informationen wie E-Mails, Kalendereinträge oder Kontaktinformationen so bald wie möglich ankommen. Auf dem Tablet ist dies womöglich nicht zwingend erforderlich - neben dem Konsumieren steht hier auch das Erzeugen und Bearbeiten von Informationen im Vordergrund. Smartphones besitzen daher sinnvollerweise eine Konfiguration, um E-Mails, Kalenderinformationen und Ähnliches abrufen und diese Informationen lokal vorhalten zu können. Bei Tablets kann dies auch um Fachanwendungen angereichert sein. Die Integration und das Management der Geräte im BYOD-Szenario sollte man daher differenziert betrachten. Umfragen etwa von Gartner ("Field Research: Mobility in the Age of Consumerization? Michael Disabato, Gartner, 2012) verdeutlichen, dass Management und Integration von Smartphones komplex sind und diese Anforderung in Zukunft weiter zunehmen wird. Zusätzlich ist anzunehmen, dass die Diversifikation der Geräte und Plattformen steigt, ebenso die Anzahl an Anwendungen in den verschiedenen App Stores. Verwaltungshürden Eine effektive Lösung für das Management von Smartphones liegt in dessen Auslagerung in die Cloud (Outtasking). Denn die rasante Entwicklung in allen Bereichen (Geräte, Plattformen wie auch Anwendungen) sprechen gegen ein Management im Unternehmen. Der hier zu betreibende Aufwand, um die Geräte verwendbar und "sicher" zu gestalten, ist immens und birgt Arbeit für Jahre. Das Auslagern hat den Vorteil, dass sich die Kosten pro Gerät messen und damit auch relativ einfach an Rollen oder Funktionen knüpfen lassen. Die Alternativen bilden spezielle MDM-Software (Mobile-Device-Management), die im eigenen Unternehmen gehostet wird (Mobileiron, Good, Airwatch etc.), oder Erweiterungen der bestehenden Software- und Geräte-Management-Lösung im Unternehmen. Diverse System-Management-Anbieter haben bereits entsprechende Ergänzungen oder planen diese. Beide Lösungen, die im eigenen Unternehmen gehostet werden, haben den Nachteil, dass man sich ständig einer Fülle an Herausforderungen stellen muss. Vergleicht man die Aufwände für das Management unternehmenseigener Computer (bekannte Geräte, bekannte Plattformen, bekannte Prozesse und Kosten) mit dem Verwalten fremder Smartphones (unbekannte Geräte, unbekannte Plattformen, neue Prozesse und Kosten), kommt man schnell zu dem Schluss, dass Letzteres nicht günstig sein kann - besonders nicht im laufenden Betrieb. Generell ist es zudem wichtig, die Anwender zu schulen und sie in die Pflicht zu nehmen. Die unendlichen Möglichkeiten, Fehler zu machen, setzen wie bei der normalen Arbeit am PC einen verantwortungsvollen Umgang mit diesen Geräten voraus. Ist dieser verantwortungsvolle Umgang gewährleistet, ist es womöglich gar nicht mehr notwendig, diese Geräte mit hohem Detaillierungsgrad zu managen: Eventuell reicht eine rudimentäre Konfiguration (um Mails empfangen zu können, Kontakte und Kalenderinformationen zu synchronisieren) in Verbindung mit einer vierstelligen PIN und einer automatischen Gerätesprerrung dann schon aus. Lösungsansatz Beim Management von Tablets kann dies schon anders aussehen: Das Sicherstellen eines mit aktuellen Virendefinitionen versehenen Endgeräts und die Installation einer Remote-Access-Software sind hier Lösungsansätze, um das Management zu gering wie möglich zu halten. Lediglich einen Client zur Verbindung auf einen Remote-Desktop-Server benötigt man, um sich im Unternehmensnetzwerk mit allen notwendigen Programmen und Daten zu verbinden. Auf einem Windows-Server sind dazu lediglich die RDS (Remote Desktop Services) zu installieren, um die Enterprise-Anwendungen auf dem Server überall verfügbar zu machen. Um von Mitarbeitern mitgebrachte Tablets ins Unternehmen zu integrieren und hier Mehrwerte zu schaffen, lässt sich oft eine bereits vorhandene RDS-Umgebung nutzen. Nötig sind dazu eine Zugriffslizenz (Client Access License, CAL), um Zugriff und Nutzung lizenzrechtlich einwandfrei zu gestalten, sowie ein Zugangssystem zur Prüfung des "ankommenden" Geräts auf Virenscanner und aktuelle Virendefinitionen. Mit dieser Lösung kann jeden Benutzer mit jedem beliebigen Endgerät und jeder beliebiger Plattform auf die für ihn notwenigen Daten zugreifen. Da nur Bildschirminhalte übertragen werden, bleiben die Daten innerhalb des Unternehmens und es gibt auch im Verlustfall des Endgeräts keine Notwendigkeit, Daten zu löschen. Der BYOD-Nutzer muss dazu nur einen Client installieren, den es für nahezu alle Geräte und Plattformen gibt, und die IP-Adresse des Interfaces - zum Beispiel einer Intranet-Seite - eingeben, um die RDS-Server erreichen zu können. Diese Konfiguration kann ein Unternehmen je nach Verwendung auch vorkonfigurieren, um die Endanwender zu entlasten und Fehlkonfigurationen zu vermeiden. Ebenso ist es möglich, statt der Anwendungen einen ganzen Desktop zu erreichen. Besonders in Unternehmen, bei denen im Rahmen einer VDI-Initiative (Virtual Desktop Infrastructure) bereits Hosted Virtual Desktops (HVDs) im Einsatz sind, bietet dies eine einfache Erweiterung des Zugriffszenarios. Sowohl im RDS- als auch im HVD-Szenario ist der Mitarbeiter nach dem Verbindungsaufbau im Unternehmensnetzwerk und kann sich dort wie an seinem lokalen Desktop-Arbeitsplatz bewegen, wobei die Zentralisierungslösung immer nur Bildschirminhalte auf das mobile Endgerät überträgt und keine Daten dort ablegt. Ein Beenden der Verbindung bedeutet auch das komplette Lösen vom Unternehmensnetzwerk. Die Überprüfung sicherheitsrelevanter Bedingungen wie des Virenscanners lässt nur Geräte mit einer entsprechenden Konfiguration zu. Hier kann es sogar dem Anwender überlassen sein, wie er diese Sicherheitsanforderungen erfüllt. Eine solche Lösung bietet mehrere Vorteile: Erstens ist die Veränderung am Gerät minimal (Installation eines Clients). Zweitens ist nur wenig Support für das Endgerät zu leisten (URL bekanntmachen, einige Artikel im Helpdesk hinterlegen). Drittens ist die erforderliche Infrastruktur im Unternehmen häufig schon vorhanden. Viertens benötigt man keine weitere MDM-Software - die Sicherheitsanforderungen im Unternehmen können durch Anwendungen im App Store erfüllt werden, die der Anwender selbst installieren kann. Und schließlich fällt damit die BYOD-Unternehmensrichtlinie verhältnismäßig einfach und kurz aus. Wichtig ist die Beschreibung der Regeln (Richtlinien), um Bedingungen für BYOD festzulegen und einen Rahmen abzustecken. Diese Richtlinien regeln die Art der Informationsbereitstellung wie auch die minimalen Sicherheitsanforderungen an fremde Geräte. Zudem beschreiben sie, welche Funktion oder Rolle im Unternehmen im BYOD-Szenario wie behandelt wird und wie der Support aussieht.
Lesen Sie mehr zum Thema
