Im Unternehmen sollten alle Mitarbeiter Mobilgeräte nutzen können – aber bitte sicher und mit Datenschutz. Für kleine und mittelständische Betriebe ist der Betrieb einer MDM- oder EMM-Lösung (Mobile-Device-Management, Enterprise-Mobility-Management) jedoch häufig zu aufwändig und/oder zu teuer. SecurePIM Office vom deutschen Softwarehaus Virtual Solution bietet sich als Alternative an.

In Unternehmen aller Größen hat die Allgegenwart mobiler Endgeräte längst viele grundlegende Bedenken überrollt: Zahlreiche Mitarbeiter nutzen ihre Smartphones und Tablets, um mit geschäftlichen Daten zu arbeiten. IT-Sicherheitsverantwortliche jedoch verspüren hier ein gehöriges Maß an Unwohlsein: Die Vorstellung, dass gerade im Hinblick auf die drohenden Konsequenzen der EU-DSGVO (Datenschutz-Grundverordnung) nach dem 25. Mai beispielsweise ein Smartphone mit personenbezogenen Kundendaten in einem Taxi oder Café liegenbleibt, taucht nun sicher häufiger in ihren Albträumen auf.

MDM- und die umfassenderen EMM-Lösungen, wie sie unterschiedlichste Anbieter bereitstellen, können diese Probleme gut regeln. Für kleine oder mittelgroße Betriebe stellt dann jedoch häufig die Frage, ob sie wirklich das technische Know-how sowie die finanziellen und technischen Ressourcen haben, um eine solche Lösung einzusetzen. Der Münchner Hersteller Virtual Solution will diesen Unternehmen mit dem Paket SecurePIM Office eine Alternative anbieten, die einfach zu implementieren und einzusetzen ist.

Der Systemverwalter kann per Web-Portal die Benutzer recht einfach einrichten und ihnen die Registrierung zuschicken.

Virtual Solution hat uns für den Test eine Installation zur Verfügung gestellt, mit der wir nicht nur die Apps auf den Endgeräten verwenden, sondern auch Betrieb und Konfiguration des Web-basierten Management-Portals testen konnten. Neben diesen zwei Hauptkomponenten bietet die Lösung die Möglichkeit, ein Gateway zu betreiben, mit dessen Hilfe Administratoren einen sicheren Zugang zu Intranet des Unternehmens etablieren können.

Grundprinzip

Zentraler Bestandteil ist die Container-App SecurePIM. Anwender können sie frei aus den App-Stores von Google und Apple laden und auf ihren Endgeräten installieren. Dieser Container bietet dem Nutzer eine gekapselte Umgebung auf seinem Mobilgerät, aus der heraus er Alltägliches wie E-Mails, Kontakte, Aufgaben sowie Dokumente und Notizen verwalten kann. Auch das Surfen mittels eines eigenen Browsers, der in dieser geschützten Umgebung läuft, und die sichere Anwendung der Kamera ist dann möglich. Die Daten sind dabei laut Aussagen des Anbieters stark verschlüsselt und auf dem Endgerät durch PIN, Passwort oder ID/Fingerprint geschützt. Alle Daten legt die App innerhalb des Containers ab, sodass sie von anderen Daten auf dem mobilen Endgerät streng getrennt sind.

Das Design der Apps hält sich an die verbreiteten Anwendungen, die Nutzung ist dadurch intuitiv.

Die App funktioniert allerdings nur im Zusammenarbeit mit dem Management-Portal. Verwalten lässt sich die Software über ein bereits vorhandenes MDM/EMM-System oder über das Management-Portal der Software, das auch als Cloud-Lösung zur Verfügung steht. Voraussetzung ist, dass die E-Mail-Anwendung des Unternehmens das ActiveSync-Protokoll unterstützt, denn die Endgeräte werden mittels dieses Protokolls angesprochen und überwacht. Dies ist aber beim Einsatz eines Exchange-Servers gegeben, der lokal oder bei einem Dienstleister läuft. Auch einige Provider von Online-E-Mail-Lösungen unterstützen diese Art der Anbindung problemlos. Uns stand online ein vorkonfiguriertes Exchange-System inklusive Testnutzern zur Verfügung, die wir mit unseren zwei Android-Endgeräten in SecurePIM Office einbinden konnten.

Einrichtung und Betrieb

Nach der Anmeldung am Management-Portal findet der Administrator eine übersichtliche Oberfläche samt Dashboard vor, das ihm einen ersten Überblick gibt: Er sieht auf einem Blick, welche Geräte (aufgeschlüsselt nach Android und iOS) sowie Nutzer angemeldet und zugewiesen sind, aber auch, ob Probleme mit Geräten auftraten. Im linken Bereich steht ihm ein Menü mit Konfigurationsmöglichkeiten und Einstellungen zur Verfügung, aufgeteilt in die drei Bereiche „Navigation“ (hier findet sich beispielsweise das Dashboard wieder), „Administration SecurePIM“ und „Administration Portal“.

Das Web-Portal zeigt die mittels ActiveSync gewonnenen Daten zu den Endgeräten der Nutzer übersichtlich an.

Für die meisten Einstellungen wird sich der Systemverwalter wohl im Bereich „Administration SecurePIM“ aufhalten. Hier kann er neue Benutzer und/oder Gruppen anlegen, angebundene Geräte kontrollieren und eventuell vorhandene Zertifikate verwalten. Das Anlegen neuer Nutzer ist schnell erledigt: Nach einem Klick auf den Eintrag „SecurePIM-Nutzer“ zeigt das Browser-Fenster die vorhandenen Nutzer an und erlaubt es, neue anzulegen. Bei Auswahl dieses Punkts muss der Administrator zwingend nur das E-Mail-Konto und die Exchange-Adresse des Nutzers angeben sowie eine Gruppe auswählen. Die Gruppe „Global“ ist vorkonfiguriert, man kann hier aber auch eine neue Gruppe anlegen.

Onboarding neuer Benutzer

Sinnvoll ist es, an dieser Stelle Daten wie Name und Vorname des Nutzers mit einzugeben. Der Systemverwalter kann den Nutzer hier nicht nur anlegen und abspeichern, sondern ihm auch gleich per E-Mail den Registrierungscode zukommen lassen, mit dem dieser seinen Zugang auf dem mobilen Gerät freischalten kann. Der Administrator hat im Bereich „Administration Portal“ Zugriff auf eine Vorlage für diese E-Mails, die er an die Vorgaben und Richtlinien des eigenen Unternehmens anpassen kann.

Im „Administration Portal“ besitzt er unter „Auditierung“ Zugriff auf die Aktionen der Administratoren und Geräte. Er kann den verschiedenen Administratoren Rollen und Rechte zuweisen und wichtige Dinge wie beispielsweise die Passwortrichtlinie des Unternehmens festlegen. Weiterhin bietet ihm das Portal die Möglichkeit, Sicherheitszertifikate zu verwalten und Sicherheitsmerkmale des integrierten Browsers für seine Nutzer zu konfigurieren. So kann er Black- und Whitelists verwalten, den Proxy-Server festlegen oder ein Datei-Gateway einrichten.

Der Endanwender erhält eine E-Mail mit einem Link auf den entsprechenden App Store und kann dann auf die App auf seinem Mobilgerät starten. Dazu muss er neben dem Registrierungscode noch den Kontonamen und das Passwort seines E-Mail-Kontos eingeben. Zudem verlangt die App, dass er den Zugriff auf dieses Programm mit einer zusätzlichen PIN schützt. An dieser Stelle kann auch ein Fingerabdruck-Scanner zum Einsatz kommen, sofern das Endgerät diese Form der Authentifizierung anbietet. Danach sieht der Anwender eine einfache, aber funktionelle Oberfläche, in der er alle wichtigen Aufgaben von E-Mails über die Kontaktpflege bis hin zum Web-Surfen mit dem Browser im Container oder auch das Aufnehmen von Fotos erledigen kann.

Nutzer aus Sicherheitsgründen abmelden

Wählt der Administrator im Bereich „Navigation“ des Portals den Abschnitt „Konfiguration“ aus, so kann er dort eine ganze Reihe von Sicherheitsfeatures für seine Nutzer konfigurieren. Praxisnah schien uns die Möglichkeit, den Nutzer automatisch abzumelden, wenn er eine gewisse Zeit inaktiv ist. Dazu braucht der Administrator nur im Abschnitt „Allgemein“ den Eintrag „SecurePIM-Zeitüberschreitung in Minuten“ auszuwählen, der standardmäßig auf 24 Stunden eingestellt ist. Er kann den Wert bis auf eine Minute verkürzen (was wohl wenig praktisch wäre) oder diese Einstellung ganz abschalten. Das funktionierte in einem kurzen Testlauf zuverlässig. Der Nutzer muss nach dieser automatischen Abmeldung jedes Mal sein Passwort und die PIN eingeben, um wieder mit SecurePIM arbeiten zu können. Die Einstellung greift auch, wenn der Nutzer eine andere App im Vordergrund benutzt oder telefoniert.

Der Container enthält die nötigen Apps. Nutzer können innerhalb der geschützten Umgebung auch sicher im Web surfen.

Der Administrator kann dieses Verhalten der App durch eine zweite Einstellung namens „SecurePIM wenn im Hintergrund abmelden“ modifizieren. Hier greift die Abmeldung bei Inaktivität des Nutzers aus der vorherigen Einstellung nur, wenn SecurePIM im Vordergrund aktiv ist. Uns hat dieses Ineinandergreifen der beiden Einstellungen zunächst etwas verwirrt, und im Test wurde uns erst durch Ausprobieren klar, wann welcher Fall greift.  Wir würden hier eine einzige Einstellung für die „Zwangsabmeldung“ präferieren.

Die App im Einsatz

Wer keine speziellen Unternehmens-Apps nutzt, findet hier alles, was er für die tägliche Arbeit braucht. Die App zeigte sich im Test als stabil und behinderte keine anderen Funktionen auf den von uns eingesetzten Smartphones. Dabei lief sie auch auf einem älteren Modell unter Android 6.x problemlos. Der Nutzer kann die App bis zu einem gewissen Grad konfigurieren und unter anderem die abgespeicherten Schlüssel und Zertifikate verwalten.

Im Test besonders gut gefallen hat die durchgängig gute und übersichtliche Bedienung der App. Störend war lediglich die Farbgebung der Apps mit weißer Schrift auf hellblauem Grund, die wir als Nutzer nicht ändern konnten. Jungen Entwicklern mag es nicht bewusst sein, aber für einen älteren, schon leicht weitsichtigen Anwender stellt diese Farbkombination eine Erschwernis dar: Mag das auf einem 10-Zoll-Tablet noch funktionieren, wird es auf einem Smartphone mit 4,5-Zoll-Display schnell zur Qual.

Insgesamt zeigten sich aber die App ebenso wie das Portal auch im Web-Browser (getestet in allen gängigen Browser-Ausprägungen wie Mozilla Firefox 58, Google Chrome 63 und Microsoft Edge 41) als problemlos. SecurePIM ist ein gutes Beispiel dafür, dass es durchaus möglich ist, ein Web-Portal so zu programmieren, dass der Nutzer keinen spezifischen Browser einsetzen muss.

Schnell und leicht einzusetzen

Unternehmen, die bereits eine MDM- oder EMM-Lösung verwenden, werden wohl eher selten zu SecurePIM Office greifen, obwohl sich die Software auch sehr gut mit diesen „großen“ Lösungen kombinieren lässt. Wer aber eine Kontrolle über die mobilen Endgeräte und die damit genutzten Daten im Unternehmen vermisst, sollte unbedingt einen Blick auf die Lösung von Virtual Solutions werfen.

Abgesehen vom erwähnten subjektiven Problem der Farbgestaltung ist die Oberfläche der Apps und des Web-Portals praktisch, übersichtlich und leicht zu bedienen. Menüs und Erläuterungen stehen durchgängig in deutscher Sprache bereit. Für die Bedienung der Apps sollte kein halbwegs erfahrener Nutzer eine Anleitung brauchen. Auch die Administrationsoberfläche ist so logisch aufgebaut, dass sie kaum einer Erläuterung bedarf. Benötigt der Administrator sie dennoch, stehen ihm die PDF-Handbücher in deutscher und englischer Sprache per Klick bereit. Das würden wir uns bei vielen anderen Anwendungen ebenfalls so wünschen.

Der Preis liegt bei 59 Euro pro Gerät und Jahr; eine Lizenz, die für maximal fünf Geräte pro Nutzer gilt, schlägt mit 69 Euro pro Jahr zu Buche. Hinzu kommen auf jedem Fall 290 Euro pro Jahr für das Management-Portal in der Cloud-Variante. Für manchen IT-Verantwortlichen einer kleinen Firma mit schmalem Budget könnten diese Preise ein K.o.-Kriterium sein. Das wäre schade, denn gerade für diese Zielgruppe würde sich der Einsatz von SecurePIM besonders lohnen – schon weil der Hersteller DSGVO-Konformität garantiert.

 

Firmen-Info
Info: Virtual Solution
Tel.: 089/309057-0
Web: virtual-solution.com/de