Das Management von Windows-PCs, Macs und mobilen Endgeräten ist zum Unified-Endpoint-Management (UEM) zusammengewachsen. Zwar ist der UEM-Markt nach wie vor hochgradig fragmentiert, doch es hat sich eine Gruppe marktführender Lösungen etabliert, die Endpoint-Management-Funktionalität mit Security- und IAM-Features (Identity- und Access-Management) kombinieren. Nun kommt mit der „Generation Z“ eine neue, eigenwillige Nutzerschaft in die Unternehmen. Zugleich machen unsichere IoT-Devices (Internet of Things) der IT das Leben schwer.

Laut der aktuellen „Forrester Wave Unified Endpoint Management, Q4 2018“ [1] vom November letzten Jahres haben international 47 Prozent der IT-Entscheider bereits eine UEM-Lösung implementiert, sind gerade damit befasst oder arbeiten bereits am Update oder der Erweiterung. Zu den Marktführern zählen die Analysten VMware, MobileIron, IBM, Microsoft und Citrix, gefolgt von Sophos, BlackBerry und Matrix42. Weitere Wettbewerber sind Ivanti, Jamf und Cisco, etwas abgeschlagen Kaspersky Lab. Als Kernanforderung für die Einstufung als UEM-Marktführer nennt Forrester die Unterstützung traditioneller (also PC-) wie auch moderner (also Mobile-Device-) Management-Methoden, kontext- und risikobasiertes IAM, Entscheidungsunterstützung durch Analytics (also Machine Learning) sowie Zertifizierung für den Einsatz in regulierten Umgebungen, darunter Common Criteria MDM V2 und ISO 27001.

Allen digitalen Möglichkeiten und Apps zum Trotz: Jüngere Endanwender bevorzugen weiterhin das persönliche Gespräch. Bild: Randstadt

VMwares Workspace One bietet laut dem Analystenhaus starke Digital-Workspace- und insbesondere IAM-Funktionen, Mobile-Irons gleichnamige UEM-Lösung eigne sich – nicht zuletzt dank integrierten Mobile-Threat-Managements – sehr gut für stark regulierte Branchen. IBMs rein Cloud-basierte Lösung MaaS360, so lobt Forrester, biete ein PC-Lifecycle-Management, moderne APIs und breite OS-Unterstützung inklusive ChromeOS und Windows 7. Microsoft ebne mit seinem Azure-basierten Tool-Bundle EMS (Endpoint Mobility and Security) den Weg in die Cloud-basierte Endpunktverwaltung, Citrix Endpoint Management wiederum vereine eine gut integrierte Workspace App, Device-Management und applikationsbezogenes IAM mit risikobasierter Verhaltensanalyse. Als einziger hier aufgeführter deutscher Anbieter – eingestuft als „Strong Performer“ – habe Matrix42 im letzten Jahr seine starken Management-Funktionen deutlich in Richtung Endpoint Security ausgebaut: per Akquisition von EgoSecure für DLP (Data Leakage Prevention) und Partnerschaft mit SyncDog für containerbasiertes PIM (Personal-Information-Management).

Den IT-Organisationen stehen damit diverse Tools zur Wahl, die ein nutzerfreundliches Workspace-Management mit zentraler Kontrolle über Endgeräte, Business-Applikationen, Mobilgeräte-Apps und Nutzerzugriffe vereinen. Es ist also alles in Butter, könnte man meinen. Doch da in der IT nie Stillstand herrscht, rollen bereits die beiden nächsten Wellen von Veränderung auf die IT-Teams zu: ein Tsunami hochgradig vernetzter („hyperconnected“) Alltagsgeräte (IoT-Devices) sowie eine neue und, wie es scheint, zudem sehr anspruchsvolle Nutzergeneration.

Generationswechselpanik

Vor zwanzig Jahren sorgte die „Generation Y“ in den Personal- und IT-Abteilungen für Diskussionen: Die Gruppe der zwischen den frühen 1980ern und späten 1990ern Geborenen (also gegen Ende des Jahrtausends, daher auch „Millennials“ genannt) war als erste Mitarbeitergeneration mit dem Internet aufgewachsen. Dies, so fürchtete man, würde aufgrund ganz anderer Arbeitsweisen (in Kombination mit mangelnden Internet-Kenntnissen der älteren Kollegen und Vorgesetzten) am Unternehmensgefüge rütteln. Inzwischen aber sind Internet-gestützte Abläufe und Geschäftsprozesse Alltag, und die Chefs, die ihre E-Mails doch bitte weiterhin in ausgedruckter Form vorgelegt haben wollen, befinden sich alle im Ruhestand. Na gut: fast alle.

Die beiden jüngsten Nutzergenerationen – Generation Y und Z – wünschen sich eine stärkere Einbindung von Social Media in die Unternehmens-IT. Bild: Randstadt

Doch nun droht sich der Rummel um die Verjüngung der Belegschaft zu wiederholen: Neuerdings drängen – oh Schreck! – die zwischen den späten 1990er- und frühen 2010er-Jahren Geborenen auf den Arbeitsmarkt. Diese Nutzergruppe – mit geradezu bestechender Logik „Generation Z“ (kurz „Gen Z“) genannt – droht nochmals deutlich anders zu „ticken“ als die Stammbelegschaft: Anders als die Generation Y kennen die aktuellen Berufsanfänger gar keine Welt mehr ohne allgegenwärtiges – oder für Deutschland: meistens und mitunter schmalbandig erreichbares – Internet. Angehörige der Generation Y wissen, dass es mal eine Welt vor dem 2004 gegründeten Facebook gab, war man doch einst selbst auf Friendster oder MySpace. Sie erinnern sich an den berühmten Auftritt des Apple-Chefs Steve Jobs, als dieser der Welt ein Mobiltelefon ganz ohne Zahlentasten präsentierte – und damals übrigens zunächst auch noch ohne „Apps für alles“.

Jedes Telefon ist ein Smartphone

Die Generation Z hingegen – und hier lohnt sich für ältere Kollegen ein kurzer Perspektivwechsel – kennt gar keine Mobiltelefone mehr, die nicht „smart“ sind. Das Smartphone ist ein so alltäglicher Begleiter, dass es für ältere Beobachter geradezu an der Hand angewachsen scheint. Dass unendlich viele Video-Clips und Filme auf YouTube und Co. jederzeit abrufbar sind; und dass man aus einer unüberschaubaren Fülle von Apps auswählen kann, um mit jemandem am anderen Ende der Welt per Video zu chatten, Fotos online zu posten oder ein Auto mit oder ohne Chauffeur zu buchen – das alles ist selbstverständlich. Schließlich gilt die alte Faustregel: Was man von klein auf kennt, ist gottgegeben – erst Innovationen, die man vom Teenageralter bis in die frühen 30er kennenlernt, sind neu und aufregend. (Ab Mitte 30 rangieren Neuerungen dann vermehrt irgendwo zwischen den Polen „zu kompliziert“, „ging doch früher auch ohne“ und „Teufelszeug“.)

Diesen durchdigitalisierten soziokulturellen Kontext bringt die Generation Z ganz selbstverständlich ins Berufsleben mit, wie Studienergebnisse von Randstadt belegen. Der Personaldienstleister beschäftigt sich naturbedingt sehr intensiv mit der Zukunft der Arbeit. Darum ließ Randstadt schon 2016 von Morar Consulting über 4.000 Berufstätige in zehn Ländern (darunter Deutschland) befragen, die Hälfte aus der Generation Z, die andere Hälfte Millennials. Die Studie kam zu dem Ergebnis, dass sich die Vorlieben der Gen Z gar nicht so sehr von jenen der vorherigen Generation unterscheiden. Beide Gruppen wünschen sich mehr digitale Tools wie Social Media im Unternehmen, doch zugleich stellte Randstadt fest: „Obwohl sie (die jüngere Generation, d.Red.) technisch versiert und ständig vernetzt ist, bevorzugen beide Generationen das persönliche Gespräch gegenüber E-Mail oder Text-Messages.“ Der Personaldienstleister rät, auf die Bedürnisse jeder Nutzergeneration separat einzugehen – einschließlich Trainings für den Aufbau von Skills zur Personalführung (hier sehen viele Jüngere eigene Schwächen) bis hin zu Mentoring-Programmen, die ein sogenanntes „Reverse Mentoring“ enthalten: Jüngere Teammitglieder unterstützen ältere Kollegen beim Umgang mit neuer digitaler Technik.

Eine aktuelle Umfrage von Dell Technologies von November 2018 unter mehr als 700 deutschen Schülern und Studenten zwischen 16 und 23 Jahren zeigt, dass die Randstadt-Erkenntnisse auch hierzulande gelten. Wenig überraschend: Bei der Berufswahl spielt die IT-Ausstattung eine deutlich größere Rolle als früher. So gaben 86 Prozent der Befragten an, die vom potenziellen Arbeitgeber angebotene Technologie sei für sie ein Faktor, wenn sie sich zwischen mehreren gleichwertigen Jobangeboten entscheiden müssten. 68 Prozent der Befragten schätzten ihre Technologiekompetenz als gut bis exzellent ein, doch nur gut die Hälfte (55 Prozent) sieht sich durch ihre Ausbildung gut bis exzellent auf eine künftige Karriere vorbereitet – eine Ohrfeige für den Bildungs-standort Deutschland.

Auch laut der Dell-Umfrage ist trotz aller digitaler Tools das persönliche Gespräch mit 43 Prozent die beliebteste Kommunikationsform. Auch bevorzugen über die Hälfte (56 Prozent) Büroarbeit gegenüber dem Home Office, 60 Prozent arbeiten lieber im Team denn als Einzelkämpfer. Eine gute Nachricht für die weniger Instagram- und Snapchat-affinen Mitarbeiter: 85 Prozent der Befragten sind – Stichwort „Reverse Mentoring“ – laut eigenen Angaben bereit, ältere Kollegen zu unterstützen, wenn sie Probleme beim Umgang mit moderner Technik haben. „Wir haben keine Roboter großgezogen“, kommentierte Doris Albiez, Senior Vice President und General Manager bei Dell EMC Deutschland. „Bei aller Technikaffinität und trotz eines gesunden Selbstbewusstseins hinsichtlich ihrer technologischen Kompetenzen kennt die Generation Z auch Unsicherheit und legt großen Wert auf menschliche Interaktion.“ Die Tür für eine fruchtbare Zusammenarbeit der verschiedenen Generationen im Unternehmen sei also „weit geöffnet“.

Die IT als Vermittler

Nachdem sich die IT-Organisation in den letzten Jahren unter der ITIL-Flagge als IT-Service-Provider für die hauseigene Mitarbeiterschaft positioniert hat, ist sie nun gefordert, diesen Ansatz weiterzuentwicklen. Denn sie muss heute als Vermittler agieren: zwischen den hohen Ansprüchen einer digitalisierungsverwöhnten Nutzergeneration und den nicht minder hohen Anforderungen des Arbeitgebers an Produktivität, Informationssicherheit und Compliance. Angesichts des akuten Mangels an qualifizierten Fachkräften, der in den meisten Branchen herrscht (nicht zuletzt auch in der IT), wäre es für IT-Leiter wohl riskant, auf Bestandslösungen zu beharren und sich Neuerungs- oder Flexibilisierungswünschen zu verweigern. Denn dann wäre das Risiko groß, dass der begehrte und technisch häufig durchaus versierte Nachwuchs sich gegängelt fühlt und das Unternehmen schnell wieder verlässt.

Das Smartphone spielt dabei eine nicht zu unterschätzende Rolle. Beim Münchner Mobile-Security-Spezialisten Virtual Solution argumentiert man, es habe den Dienstwagen als Statussymbol verdrängt: „Unternehmen sollten Mitarbeitern unbedingt die Wahl des Endgeräts überlassen“, rät Günter Junk, CEO von Virtual Solu­tion. Die Mitarbeiter „sollten selbst entscheiden können, ob sie ihr privates Smartphone oder doch lieber ein Firmenhandy für dienstliche Zwecke nutzen.“ Denn auf Dauer lohne sich die Investition in zufriedene und motivierte Mitarbeiter, die überall erreichbar sind.

Dank aktueller UEM-Lösungen ist die zentrale Verwaltung mobiler Endgeräte – selbst privater im Sinne eines BYOD (Bring Your Own Device) – heute ohne großen technischen Mehraufwand möglich (von rechtlichen und steuerlichen Untiefen abgesehen). Der Vorliebe der mit YouTube aufgewachsenen Gen Z für die Kommunikation von Angesicht zu Angesicht wiederum kann man mit Videokommunikationstechnik begegnen (siehe Beitrag auf Seite 40). Was hingegen tatsächlich Probleme bereiten kann: Besonders ausgeprägt ist bei Angehörigen der Generation Z offenbar die Bereitschaft, Apps ohne Zögern zu wechseln, wenn diese nicht unmittelbar den Erwartungen entsprechen – kein Wunder, sind sie doch aufgewachsen mit Android- und Apple-Devices samt deren enormer Auswahl in den App Stores.

Die Mittel der Wahl sind leider häufig Consumer-Apps mit den bekannten Problemen bezüglich Informationssicherheit, Datenschutz und Compliance. Diese Erfahrung musste man auch bei Citrix machen: CTO Christian Reilly berichtete im Gespräch mit LANline von einem kleinen hausinternen „Gen-Z-Experiment“. Man befragte eine Gruppe junger Neuzugänge zu ihrem Nutzungsverhalten – um zu erfahren, dass sie untereinander statt mit Business-Apps lieber mittels der ihnen vertrauten Consumer-Tools kommunizieren (siehe Beitrag auf Seite 36). Hier kann Containerisierung wie jene von Virtual Solution eine für beide Seiten befriedigende Arbeitsumgebung liefern. Einen Alternativansatz bietet Apples Konzept der Managed Apps – oder man greift gleich zu einer vollumfänglichen Digital-Workspace-Lösung, wie sie Citrix, VMware und andere bereitstellen.

Die private Nutzung von Business-Geräten ist in vielen Unternehmen längst erlaubt. Die Nutzung von Privatanwender-Apps für Geschäftszwecke hingegen ist nach wie vor unerwünscht, hat sich aber bereits vielerorts eingeschlichen. Diese Lage dürfte sich mit der zunehmenden Zahl experimentierfreudiger Gen-Z-Mitarbeiter noch erheblich verschärfen. Deshalb lässt sich die Aufgabe eines für beide Seiten vorteilhaften Brückenschlags zwischen Business- und Consumer-IT wohl nicht mehr auf die lange Bank schieben.

Das Internet der unsicheren Dinge

Ebenso unaufhaltsam wie die nächste Anwendergeneration drängt mit dem Internet of Things die nächste Gerätegeneration in die Unternehmen – und auch hier drohen Verwaltungs-, Sicherheits-, Datenschutz- und Compliance-Probleme erheblichen Ausmaßes. Die IT sieht sich heute drei Arten von IoT-Gerätschaft gegenüber. Erstens gibt es Geräte des Büro- und Unternehmensalltags, die neuerdings vernetzt sind und die es deshalb unter zentrale Verwaltung zu bringen gilt; in diese Kategorie fallen zum Beispiel „smarte“ Beamer ebenso wie Haustechnik, die bis dato alleiniges Hoheitsgebiet des Facility-Managements war (wie einst die Telefonie Hoheitsgebiet der TK-Truppe). Eine zweite Gruppe bilden ans Internet angebundene Consumer-Geräte, die in die Unternehmenswelt Eingang finden, etwa „smarte“ Kaffeemaschinen, Mikrowellen, Staubsauger etc. Zum Risiko wird diese Gerätegruppe beispielsweise, wenn die Kaffeemaschine zwecks Sprachsteuerung mit einem Mikrofon ausgestattet ist und die IT deshalb nicht sicher sein kann, wer die Gespräche in der Kaffeeküche oder im Konferenzraum so alles belauscht. Die dritte IoT-Variante schließlich ist das Industrial IoT (IIoT) – also vernetzte Maschinen und Anlagen, die in die Zuständigkeit der Betriebstechnik (Operational Technology, OT) fallen – und in vielen Unternehmen wohl weiterhin fallen werden. Dieser Bereich kann sich als problematisch erweisen, wenn aus IT-Sicht Maßnahmen etwa zur Informationssicherheit zu treffen sind, dies aber aus OT-Perspektive nachgelagerte Priorität hat.

Aus Sicherheits- und Datenschutzsicht ist das IoT somit eine Büchse der Pandora: eine Quelle zahlloser Übel und Probleme, die man nun, da die Büchse geöffnet ist, nur schwer – wenn überhaupt – in den Griff bekommen kann. In der Office-IT längst beantwortete Fragen stellen sich nun neu, etwa bezüglich der Sicherheitsstrategie, der zentralen Verwaltbarkeit, der Absicherung vor Missbrauch, des Schließens von Sicherheitslücken sowie nicht zuletzt die des Datenschutzes (siehe Kasten „Drei Fragen an das BSI“ auf Seite 30).

„Die Absicherung von IoT-Geräten unterscheidet sich technisch wenig von der Absicherung der Office-IT“, beruhigt Udo Schneider, Security Evangelist DACH beim Sicherheitsanbieter Trend Micro. Eine Herausforderung bestehe aber oft darin, „dass die Geräte selbst nicht verändert werden können. Dementsprechend werden Security-Controls auf nachgelagerten Schichten, beispielsweise im Netzwerk, umso wichtiger.“

Für die Frage des unerwünschten Abfließens von Daten sieht Schneider „zweieinhalb Optionen“: Erstens den Verzicht auf das Gerät; zweitens die Abmilderung des unerwünschten Verhaltens durch externe Kontrollmechanismen, etwa das Filtern der Kommunikation mittels netzbasierter Techniken; drittens bestehe die Möglichkeit, das Gespräch mit dem Hersteller zu suchen. Eine lediglich „halbe“ Option ist dies für Schneider aufgrund der teils mangelnden Kooperationsbereitschaft der Produzenten: „Hersteller sind sich der Problematik oft gar nicht bewusst oder nutzen Komponenten von Drittanbietern, die das eigentliche Problem darstellen. Diese Hersteller reagieren in der Regel schnell und sehr offen auf Anfragen und liefern auch zeitnah Lösungen.“ Eine andere mögliche Reaktion sei aber das Ignorieren oder Abwiegeln der Anfrage. Sein Rat: „Versuchen sollte man es aber allemal!“ Allerdings: Mit steigender Verbreitung hypervernetzter „Dinge“ müsste eigentlich jegliches neu beschaffte Gerät zur Kontrolle der Datensicherheit über den Schreibtisch der IT-Abteilung laufen – doch woher das Personal dafür nehmen?

Einen Sonderfall bildet die Datennutzung zur Fernwartung von IoT-Gerätschaft, etwa gemieteter oder geleaster Geräte: „Um im Zuge von Predictive Maintenance, also der vorausschauenden Instandhaltung, den Datenschutz-Herausforderungen gerecht zu werden, gilt es, geeignete Maßnahmen für die Anonymisierung der Daten zu ergreifen und dies in der Vertragsgestaltung mit dem Gerätehersteller im Vorfeld zu vereinbaren“, so Swen Baumann, Produkt-Manager beim Nürnberger Security-Spezialisten NCP. Zudem müsse man regeln, „inwieweit der Gerätehersteller in den Betrieb des Gerätebetreibers eingreifen darf, wenn Updates oder Steuerbefehle an die Geräte übermittelt werden sollen.“

In diesem Kontext ist das Industrial IoT ein besonders tückisches Terrain. Denn IT und OT sprechen nicht die gleiche Sprache, warnt Baumanns Kollege Benjamin Isak, Account-Manager bei NCP: „Die Office-IT spricht von ‚Security‘, in der Produktion ist von ‚Safety‘ die Rede. Auch wenn beides im Deutschen ‚Sicherheit‘ bedeutet, sind die Unterschiede fundamental: Security will IT-Systeme und Maschinen vor dem Menschen schützen. Safety hingegen schützt den Menschen vor den Maschinen.“

Trend-Micro-Evangelist Schneider sieht ebenfalls großes Konfliktpotenzial zwischen IT und OT. Dieses sei „nicht zuletzt auf die völlig gegensätzliche Bewertung der Schutzziele zurückzuführen“. Denn unter den drei Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit habe in der klassischen IT stets die Vertraulichkeit oberste Priorität, in der OT hingegen die Verfügbarkeit der jeweiligen Maschine oder Anlage. Hier prallen also Welten aufeinander – gemeinsame Anbindung an das Internet hin oder her.

„Im Zeitalter von Industrie 4.0 geht es nur, wenn beide Gruppen das Verständnis für den Bedarf des anderen entwickeln und Lösungen zur Zufriedenheit beider Welten generieren“, so NCP-Mann Isak. Udo Schneider hingegen sieht die IT hier in der Rolle des Dienstleisters: „Ob es den IT-Mitarbeitern gefällt oder nicht: Die Projektführung obliegt in der Regel der Produktion beziehungsweise der OT. Deshalb sollte sich die IT als Know-how-Träger und Dienstleister für die OT verstehen. Ihre Aufgabe ist es, konstruktiv auf die Anforderungen der OT zu reagieren.“ Hier schließt sich der Kreis zwischen Generation Z und IIoT: Die IT sieht sich jeweils einer anderen Sprache, anderen Prioritäten sowie neuen Herausforderungen und Risiken gegenüber – und muss als Dienstleister damit umgehen.

Der weit gefährlichere Bereich ist sicher die Welt der vernetzten Maschinen. Denn, wie Security-Experte Bruce Schneier letztes Jahr in einem Artikel für die New York Times [2] über die Vielzahl an Sicherheitslücken in der IT schrieb: „Wir haben diese unsichere Situation akzeptiert, denn bei der Computersicherheit ging es seit jeher hauptsächlich um Daten. Von Finanzinstituten gespeicherte Bankdaten mögen wichtig sein, aber niemand stirbt, wenn sie gestohlen werden.“ Dies gelte nun nicht mehr: „Ein Kühlschrank ist jetzt ein Computer, der Dinge kühlt; ein Auto ist jetzt ein Computer mit vier Rädern und einem Motor.“ Damit habe sich die Risikolage grundlegend verändert, so Schneier: „Computer versagen anders als die meisten anderen Maschinen: Nicht nur, dass sie aus der Ferne angreifbar sind – sie können auch alle auf einmal angegriffen werden.“ Schneier fordert deshalb eine gesetzliche Regulierung der IoT-Sicherheit.

IT-Organiationen können leider nicht abwarten, bis eines Tages die IT- und IoT-Lösungen „ab Werk“ sicher sind – ebenso wenig, wie sie auf eine künftige Nutzergeneration hoffen können, die sich „von Haus aus“ sicher und datenschutzkonform verhält. Die IT wird ihre Sicherheitsziele mit Nachdruck, aber auch mit Fingerspitzengefühl durchsetzen müssen – gegenüber den neuen Mitarbeitern ebenso wie gegenüber den Kollegen aus der nun vernetzten Produktion.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.