Integration von Smartphones und Tablets in die ... - ucm.de
Integration von Smartphones und Tablets in die ... - ucm.de
Integration von Smartphones und Tablets in die ... - ucm.de
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
White Paper:<br />
<strong>Integration</strong> <strong>von</strong><br />
<strong>Smartphones</strong> <strong>und</strong> <strong>Tablets</strong><br />
<strong>in</strong> <strong>die</strong> Unternehmens-IT
2<br />
<strong>Integration</strong> <strong>von</strong> <strong>Smartphones</strong> <strong>und</strong><br />
<strong>Tablets</strong> <strong>in</strong> <strong>die</strong> Unternehmens-IT<br />
1 E<strong>in</strong>führung<br />
2 Chancen <strong>und</strong> Herausfor<strong>de</strong>rungen <strong>von</strong> Enterprise Mobility 4<br />
2.1 <strong>Smartphones</strong> <strong>und</strong> <strong>Tablets</strong>: Bestandsaufnahme<br />
2.2 Die Nutzenpotenziale mobiler Geräte im Unternehmense<strong>in</strong>satz<br />
2.3 Die Herausfor<strong>de</strong>rungen beim E<strong>in</strong>satz mobiler Geräte <strong>in</strong> Unternehmen<br />
3 Mobile Konzepte <strong>und</strong> <strong>Integration</strong>sstrategien 9<br />
3.1 Gr<strong>und</strong>sätzliche Überlegungen<br />
3.2 Device-Strategie<br />
3.3 Mobile Desktop-Konzepte<br />
3.3.1 Geschlossene Lösungen: Der Desktop im Conta<strong>in</strong>er<br />
3.3.2 Die offene Lösung: Der Desktop als App<br />
4 Sicherheit 15<br />
4.1 Mobilgeräte absichern<br />
4.2 Kommunikation <strong>und</strong> Applikationssicherheit<br />
4.3 Sichere <strong>Integration</strong> <strong>in</strong>s Backend
1 E<strong>in</strong>führung<br />
<strong>Smartphones</strong> <strong>und</strong> Tablet-PCs s<strong>in</strong>d auf <strong>de</strong>m Vormarsch <strong>und</strong> laufen PC <strong>und</strong> Note-<br />
books <strong>de</strong>n Rang ab. CIOs stehen heute nicht vor <strong>de</strong>r Entscheidung, ob <strong>in</strong> ihrem<br />
Unternehmen Mobilgeräte e<strong>in</strong>gesetzt wer<strong>de</strong>n sollen – <strong>die</strong>se Entscheidung ist längst<br />
gefallen o<strong>de</strong>r wur<strong>de</strong> ihnen <strong>von</strong> ihren Mitarbeiter abgenommen, <strong>die</strong> ihre privaten<br />
Geräte oft auch für <strong>die</strong>nstliche Belange nutzen. E<strong>in</strong>er Umfrage <strong>von</strong> PAC bei 169<br />
CIOs <strong>de</strong>utscher Unternehmen mit mehr als 50 Mitarbeitern im April 2011 zufolge<br />
gehört <strong>de</strong>r mobile Zugriff auf E-Mail, Kalen<strong>de</strong>rsysteme <strong>und</strong> Kontaktverzeichnisse<br />
mittlerweile <strong>in</strong> r<strong>und</strong> 80 Prozent <strong>de</strong>r befragten Unternehmen zum Standard.<br />
Trotz<strong>de</strong>m steckt <strong>die</strong> systematische Nutzung mobiler Geräte für <strong>de</strong>n Zugriff auf<br />
Unternehmensdaten <strong>und</strong> -anwendungen noch <strong>in</strong> <strong>de</strong>n K<strong>in</strong><strong>de</strong>rschuhen. So nutzten<br />
nur ca. 20 Prozent <strong>de</strong>r befragten Unternehmen mobile Lösungen zur Optimierung<br />
<strong>von</strong> Geschäftsprozessen wie zum Beispiel mobile ERP- o<strong>de</strong>r CRM-Applikationen.<br />
Grün<strong>de</strong> dafür s<strong>in</strong>d nicht zuletzt e<strong>in</strong> unübersichtlicher Mobilgerätemarkt, fehlen<strong>de</strong>s<br />
Know-how zur Umsetzung mobiler Prozesse, Unsicherheiten <strong>in</strong> Bezug auf <strong>die</strong><br />
Auswahl <strong>de</strong>r passen<strong>de</strong>n Technologie sowie berechtigte Sicherheitsbe<strong>de</strong>nken. Das<br />
vorliegen<strong>de</strong> Whitepaper adressiert genau <strong>die</strong>se Punkte, um Unternehmen dabei<br />
zu unterstützen, <strong>die</strong> Potenziale <strong>de</strong>s mobilen Comput<strong>in</strong>gs optimal <strong>und</strong> sicher zu<br />
nutzen.<br />
3
4<br />
Mobile Betriebssysteme<br />
mit Zukunft<br />
dürften <strong>in</strong> erster L<strong>in</strong>ie<br />
Android <strong>und</strong> iOS se<strong>in</strong>,<br />
<strong>die</strong> zu<strong>de</strong>m sowohl im<br />
Smartphone- als auch<br />
im Tablet-Segment <strong>die</strong><br />
erfolgreichsten s<strong>in</strong>d.<br />
2 Chancen <strong>und</strong> Herausfor<strong>de</strong>rungen <strong>von</strong> Enterprise Mobility<br />
2.1 <strong>Smartphones</strong> <strong>und</strong> <strong>Tablets</strong>: Bestandsaufnahme<br />
Die Zahl <strong>de</strong>r weltweit verkauften <strong>Smartphones</strong> wird sich laut Gartner <strong>von</strong> e<strong>in</strong>er<br />
geschätzten halben Milliar<strong>de</strong> <strong>in</strong> 2011 voraussichtlich bis 2015 auf 1,1 Milliar<strong>de</strong>n<br />
verdoppelt haben. Schon jetzt gibt es e<strong>in</strong>e kaum überschaubare Fülle <strong>von</strong><br />
Gerätetypen <strong>von</strong> zahlreichen Herstellern, <strong>und</strong> auch bei <strong>de</strong>n Betriebssystemen für<br />
Mobilgeräte ist Bewegung im Markt. Der langjährige Marktführer Symbian hat<br />
nach <strong>de</strong>m Umstieg <strong>von</strong> Nokia auf W<strong>in</strong>dows Phone <strong>in</strong> 2011 mehr als 50 Prozent<br />
Marktanteile e<strong>in</strong>gebüßt. Für <strong>de</strong>n Palm-OS-Nachfolger WebOS <strong>von</strong> HP wer<strong>de</strong>n seit<br />
2011 ke<strong>in</strong>e mobilen Geräte mehr entwickelt.<br />
Laut Gartner s<strong>in</strong>d <strong>die</strong> <strong>in</strong> nächster Zukunft relevantesten Betriebssysteme für<br />
<strong>Smartphones</strong> Android <strong>von</strong> Google, iOS <strong>von</strong> Apple, BlackBerry OS <strong>von</strong> Research <strong>in</strong><br />
Motion (RIM) <strong>und</strong> W<strong>in</strong>dows Phone <strong>von</strong> Microsoft. Dabei sieht Gartner bis 2015<br />
Android als <strong>de</strong>n unangefochtenen Marktführer mit knapp 50 Prozent Marktanteil,<br />
zunächst gefolgt <strong>von</strong> iOS <strong>und</strong> BlackBerry OS, <strong>die</strong> ger<strong>in</strong>gfügig Marktanteile abgeben,<br />
<strong>und</strong> e<strong>in</strong>em – Nokias Erfolg vorausgesetzt – sich bis 2015 auf 19 Prozent<br />
(Platz 2) steigern<strong>de</strong>n Microsoft W<strong>in</strong>dows Phone.<br />
Bei <strong>de</strong>n <strong>Tablets</strong> dagegen wird Apples iOS wohl se<strong>in</strong>e souveräne Marktführerschaft<br />
(mit über 70 Prozent Marktanteil <strong>in</strong> 2011) bis 2015 behaupten können, gefolgt<br />
<strong>von</strong> Android <strong>und</strong> Microsoft W<strong>in</strong>dows. Auch RIM, das <strong>in</strong> 2010 das Embed<strong>de</strong>d-<br />
Betriebssystem QNX zugekauft hat, spricht Gartner mit <strong>die</strong>ser Plattform Chancen<br />
im Tablet-Markt zu. Mittelfristig sollen BlackBerry OS <strong>und</strong> QNX zu <strong>de</strong>m neuen<br />
Betriebssystem „BlackBerry 10“ verschmolzen wer<strong>de</strong>n.<br />
Bewertung <strong>und</strong> E<strong>in</strong>ordnung<br />
Android ist e<strong>in</strong> offenes System, dass auf zahlreichen Geräten <strong>von</strong> verschie<strong>de</strong>nen<br />
Herstellern <strong>und</strong> <strong>in</strong> unterschiedlichen Preisregionen läuft. Aufgr<strong>und</strong> <strong>de</strong>r Offenheit<br />
<strong>de</strong>r Plattform ist allerd<strong>in</strong>gs <strong>die</strong> Abstimmung <strong>von</strong> Betriebssystem <strong>und</strong> Hardware<br />
nicht immer optimal, so dass gute Android-Kenntnisse bei <strong>de</strong>r Adm<strong>in</strong>istration <strong>von</strong><br />
Vorteil s<strong>in</strong>d.<br />
IOS ist dagegen e<strong>in</strong> geschlossenes System. Bei iPhones <strong>und</strong> iPads stimmt <strong>de</strong>r<br />
Hersteller Hardware <strong>und</strong> Betriebssystem selbst aufe<strong>in</strong>an<strong>de</strong>r ab. Auch bei <strong>de</strong>n<br />
Applikationen („Apps“) behält sich Apple e<strong>in</strong> hohes Maß an Kontrolle vor. Die Individualisierungsmöglichkeiten<br />
s<strong>in</strong>d daher ger<strong>in</strong>ger. Auf <strong>de</strong>r Habenseite steht e<strong>in</strong>e<br />
sehr hohe Nutzerakzeptanz <strong>und</strong> <strong>die</strong> verlässliche E<strong>in</strong>haltung <strong>de</strong>r <strong>von</strong> Apple vorgegebenen<br />
Qualitätsstandards.
BlackBerry OS (ebenfalls geschlossen) ist noch immer <strong>die</strong> führen<strong>de</strong> Plattform<br />
für <strong>Smartphones</strong> im Unternehmense<strong>in</strong>satz, nicht zuletzt wegen se<strong>in</strong>er flexiblen<br />
Adm<strong>in</strong>istrierbarkeit <strong>und</strong> Sicherheit. Abzuwarten bleibt <strong>die</strong> weitere Entwicklung im<br />
Zusammenhang mit BlackBerry 10.<br />
Ähnliches gilt <strong>de</strong>rzeit auch für Microsoft W<strong>in</strong>dows Mobile / W<strong>in</strong>dow Phone: E<strong>in</strong><br />
nachhaltiger Erfolg ist noch ungewiss (<strong>und</strong> hängt <strong>de</strong>rzeit noch zu großen Teilen <strong>von</strong><br />
Nokia ab). Abwarten heißt es auch bei e<strong>in</strong>igen bisher nicht genannten Plattformen<br />
mit <strong>in</strong>teressanten Ansätzen, darunter Bada <strong>von</strong> Samsung <strong>und</strong> das l<strong>in</strong>uxbasierte<br />
Tizen (früher MeeGo).<br />
Letztlich sollten allerd<strong>in</strong>gs <strong>in</strong> strategischer H<strong>in</strong>sicht e<strong>in</strong>zelne Plattformen ke<strong>in</strong>e entschei<strong>de</strong>n<strong>de</strong><br />
Rolle spielen (wenn nicht – etwa aus Sicherheitsgrün<strong>de</strong>n – e<strong>in</strong> streng<br />
homogener Bestand firmeneigener Mobilgeräte benötigt wird). Denn niemand<br />
kann heute mit Sicherheit sagen, was <strong>die</strong> Zukunft br<strong>in</strong>gt. Deshalb fahren Unternehmen<br />
im Regelfall besser, wenn sie dafür sorgen, dass ihre mobile Infrastruktur<br />
verschie<strong>de</strong>ne Geräte <strong>und</strong> Plattformen unterstützt <strong>und</strong> sicher <strong>in</strong>tegrieren kann (vgl.<br />
auch Kap. 3.2.).<br />
2.2 Die Nutzenpotenziale mobiler Geräte im Unternehmense<strong>in</strong>satz<br />
Der Nutzen e<strong>in</strong>es effizienten E<strong>in</strong>satzes mobiler Geräte im Unternehmen lässt sich<br />
folgen<strong>de</strong>rmaßen zusammenfassen:<br />
● Mehr Leistungsfähigkeit <strong>und</strong> Produktivität<br />
● Mehr Sicherheit<br />
● Weniger Kosten<br />
Verbesserte Leistungsfähigkeit<br />
Wenn mobile Anwen<strong>de</strong>r viele ihrer Aufgaben auch <strong>von</strong> unterwegs direkt auf <strong>de</strong>m<br />
Smartphone o<strong>de</strong>r Tablet-PC bearbeiten können, führt das zu beschleunigten <strong>und</strong><br />
flexibleren Prozessen <strong>und</strong> verbesserter Unternehmensleistung: schnellere Entscheidungen,<br />
mehr Abschlüsse, kürzere Rechnungsprozesse <strong>und</strong> weniger Backoffice-Tätigkeiten.<br />
Dabei ist das Ausmaß realisierbarer Nutzenpotenziale stark abhängig <strong>von</strong> <strong>de</strong>n<br />
konkret auf <strong>de</strong>m Mobilgerät verfügbaren Funktionen <strong>und</strong> Daten. Projekte mit<br />
Enterprise-Applikationen wie CRM, ERP <strong>und</strong> Supply Cha<strong>in</strong> Management s<strong>in</strong>d jedoch<br />
sehr umfangreich <strong>und</strong> erfor<strong>de</strong>rn sorgfältige Planung meist mit Unterstützung<br />
5
6<br />
E<strong>in</strong> wichtiger<br />
Nutzenaspekt mobilen<br />
Arbeitens ist <strong>die</strong><br />
Geschw<strong>in</strong>digkeit!<br />
E<strong>in</strong> weiterer Vorteil<br />
besteht <strong>in</strong> <strong>de</strong>r<br />
effizienteren Nutzung<br />
<strong>von</strong> Warte- <strong>und</strong><br />
Reisezeiten.<br />
externer Berater. E<strong>in</strong>facher, aber ebenfalls effektiv s<strong>in</strong>d Maßnahmen, <strong>die</strong> dafür<br />
sorgen, dass Mitarbeiter so viele ihrer alltäglichen Office-Aufgaben wie möglich<br />
auch mobil mit ihrem Smartphone o<strong>de</strong>r Tablet-PC erledigen können.<br />
Dies erfor<strong>de</strong>rt <strong>in</strong>sbeson<strong>de</strong>re e<strong>in</strong>en sicheren Zugriff auf Dateien im Unternehmensnetzwerk<br />
sowie auf wichtige Office-Funktionen wie Datenbankberichte, PDF-<br />
Erzeugung, Bearbeitungsfunktionen, Faxen o<strong>de</strong>r Drucken. Optimal ist es, wenn<br />
das bestehen<strong>de</strong>, unternehmenseigene Rechtesystem <strong>in</strong>tegriert wird – mit <strong>de</strong>r<br />
Möglichkeit, <strong>die</strong> Rechte <strong>de</strong>r Nutzer für mobile Geräte e<strong>in</strong>zuschränken.<br />
Verbesserte Reaktionsfähigkeit<br />
Viele, wenn nicht <strong>de</strong>r größte Teil <strong>de</strong>r anfallen<strong>de</strong>n Aufgaben im Unternehmen, zum<br />
Beispiel <strong>die</strong> Beantwortung <strong>von</strong> Anfragen, Auftragsbestätigungen o<strong>de</strong>r <strong>die</strong> geme<strong>in</strong>same<br />
Arbeit an Projekten, erfor<strong>de</strong>rn Zugang zu Informationen <strong>und</strong> Ressourcen<br />
im Unternehmensnetzwerk. Wenn Mitarbeiter über ihr Mobilgerät auf <strong>die</strong>se Informationen<br />
zugreifen können, s<strong>in</strong>d sie <strong>in</strong> <strong>de</strong>r Lage, wesentlich schneller auf neue<br />
Aufgabenstellungen zu reagieren.<br />
Nach e<strong>in</strong>er Stu<strong>die</strong> <strong>von</strong> IpsosReid (2007) empfangen beispielsweise BlackBerry-<br />
Nutzer über 2500 zeitkritische E-Mails im Jahr. Wenn lediglich 10 Prozent <strong>die</strong>ser<br />
E-Mails nur mit Zugriff auf das Unternehmensnetzwerk <strong>und</strong> weitere 10 Prozent<br />
dadurch zum<strong>in</strong><strong>de</strong>st qualitativ besser beantwortet wer<strong>de</strong>n können, ergibt sich daraus<br />
bereits e<strong>in</strong>e Verbesserung <strong>de</strong>r Reaktionsfähigkeit <strong>de</strong>s Unternehmens bei 500<br />
Mails pro Mitarbeiter – <strong>und</strong> damit zufrie<strong>de</strong>nere K<strong>und</strong>en, mehr Abschlüsse o<strong>de</strong>r<br />
auch rechtzeitige Scha<strong>de</strong>nsbegrenzungen.<br />
Mehr Produktivität<br />
Mitarbeiter mit mobilem Zugriff auf aktuelle Informationen s<strong>in</strong>d fast genauso produktiv,<br />
als wenn sie gera<strong>de</strong> im Büro arbeiten wür<strong>de</strong>n. Nimmt man an, dass sich<br />
dadurch monatlich nur zwei St<strong>und</strong>en zusätzlicher produktiver Zeit pro Mitarbeiter<br />
ergeben, entspräche das bei durchschnittlichen Gehaltskosten pro Mitarbeiter/Jahr<br />
<strong>von</strong> 60.000 Euro e<strong>in</strong>er jährlichen Kostenersparnis <strong>von</strong> ca. 800 Euro je Mitarbeiter.<br />
Bessere Zusammenarbeit<br />
Der Zuwachs an Flexibilität durch mobile Prozesse führt zu<strong>de</strong>m zu e<strong>in</strong>er optimierten<br />
Zusammenarbeit, etwa bei <strong>de</strong>r geme<strong>in</strong>samen Arbeit an Projekten. So muss <strong>die</strong><br />
Teamarbeit nicht ruhen, bis wie<strong>de</strong>r alle im Büro s<strong>in</strong>d. Ob <strong>in</strong> <strong>de</strong>r Flughafenlounge,<br />
im Zug, bei K<strong>und</strong>enterm<strong>in</strong>en o<strong>de</strong>r beim Geschäftspartner: Je<strong>de</strong>r Mitarbeiter kann<br />
<strong>von</strong> se<strong>in</strong>em Standort aus auf <strong>die</strong>selben Informationen zugreifen <strong>und</strong> auch selbst<br />
Dokumente im Projektordner ablegen. So haben alle Beteiligten Zugang zu <strong>de</strong>n
aktuellsten Dateiversionen <strong>und</strong> können schneller auf verän<strong>de</strong>rte Bed<strong>in</strong>gungen<br />
reagieren. Das ist auch bei e<strong>in</strong>zuhalten<strong>de</strong>n Freigabe-Workflows <strong>von</strong> Be<strong>de</strong>utung:<br />
Auch wenn <strong>de</strong>r Abteilungsleiter auf Dienstreise ist, kann er <strong>de</strong>n Bericht abzeichnen<br />
<strong>und</strong> an <strong>die</strong> Chefetage weiterleiten.<br />
Mehr Sicherheit<br />
Mehr Sicherheit? Br<strong>in</strong>gt nicht <strong>die</strong> Nutzung mobiler Geräte eher zusätzliche Sicherheitsprobleme<br />
mit sich? Das ist richtig – <strong>und</strong> genau <strong>die</strong>se Sicherheitsprobleme<br />
s<strong>in</strong>d <strong>in</strong> <strong>de</strong>n meisten Unternehmen längst Realität, nämlich überall da, wo Mitarbeiter<br />
ihre mobilen Geräte ohne sichere E<strong>in</strong>b<strong>in</strong>dung <strong>in</strong> e<strong>in</strong>e verlässliche Backend-Infrastruktur<br />
nutzen <strong>und</strong> zum Beispiel Unternehmensdaten bei unsicheren<br />
(womöglich privaten) Cloud-Diensten speichern, um sie mobil nutzen zu können.<br />
Deshalb sorgt <strong>de</strong>r planmäßige, durchdachte E<strong>in</strong>satz mobiler Geräte mit e<strong>in</strong>er<br />
tragfähigen technologischen Basis <strong>und</strong> e<strong>in</strong>er str<strong>in</strong>genten Mobilstrategie für mehr<br />
Sicherheit <strong>von</strong> Daten <strong>und</strong> Systemen. Bestandteile e<strong>in</strong>es elementaren mobilen<br />
Sicherheitskonzepts s<strong>in</strong>d <strong>die</strong> gesicherte Datenübertragung, e<strong>in</strong>e zentrale Datenhaltung<br />
<strong>und</strong> <strong>die</strong> <strong>Integration</strong> <strong>in</strong> vorhan<strong>de</strong>ne Berechtigungskonzepte (siehe unten<br />
Kapitel 4).<br />
E<strong>in</strong>sparpotenziale<br />
Zusätzlich zu <strong>de</strong>n Kostene<strong>in</strong>sparungen durch e<strong>in</strong>e höhere Produktivität ergeben<br />
sich weitere E<strong>in</strong>sparpotenziale durch <strong>die</strong> wesentlich kostengünstigere Infrastruktur<br />
mobiler Geräte. In Anschaffung <strong>und</strong> Wartung verursachen Mobilgeräte ger<strong>in</strong>gere<br />
Kosten als etwa Notebooks <strong>und</strong> s<strong>in</strong>d auch schneller <strong>und</strong> günstiger ersetzbar. Mit<br />
<strong>de</strong>r geeigneten technologischen Plattform kann zu<strong>de</strong>m <strong>die</strong> vorhan<strong>de</strong>ne IT-Infrastruktur<br />
ohne zusätzliche Investitionen für <strong>die</strong> <strong>Integration</strong> <strong>und</strong> e<strong>in</strong>fache Adm<strong>in</strong>istration<br />
sämtlicher mobiler Geräte genutzt wer<strong>de</strong>n.<br />
2.3 Die Herausfor<strong>de</strong>rungen beim E<strong>in</strong>satz mobiler Geräte <strong>in</strong> Unternehmen<br />
E<strong>in</strong>stiegsbarrieren<br />
Unternehmen, <strong>die</strong> das Nutzenpotenzial mobilen Arbeitens ausschöpfen möchten,<br />
sehen sich e<strong>in</strong>er Reihe <strong>von</strong> Herausfor<strong>de</strong>rungen gegenüber. Zunächst stellt sich <strong>die</strong><br />
Frage, wie mobile Geräte möglichst effektiv – aber bei vertretbarem Aufwand –<br />
konkrete Unternehmensprozesse unterstützen können. Wenn etwa IDC for<strong>de</strong>rt, vor<br />
<strong>de</strong>r Implementierung mobiler Lösungen zunächst <strong>die</strong> Geschäftsprozesse gründlich<br />
zu analysieren, erzeugt das für viele Unternehmen e<strong>in</strong>e Barriere, <strong>die</strong> sie h<strong>in</strong><strong>de</strong>rt,<br />
<strong>die</strong> Mobilisierung überhaupt zu beg<strong>in</strong>nen. Unternehmen können <strong>die</strong> E<strong>in</strong>stiegsbar-<br />
Der E<strong>in</strong>satz mobiler<br />
Geräte <strong>in</strong> Unternehmen<br />
setzt e<strong>in</strong>e str<strong>in</strong>gente<br />
Sicherheitsstrategie<br />
vorraus.<br />
7
8<br />
Wichtiger als <strong>die</strong><br />
Technik aber ist <strong>de</strong>r<br />
Anwen<strong>de</strong>r – er ist<br />
es schließlich, <strong>de</strong>r<br />
unterstützt wer<strong>de</strong>n soll.<br />
rieren niedrig halten, <strong>in</strong><strong>de</strong>m sie zunächst gezielt ihre täglichen Desktop-Prozesse<br />
mobilisieren, was weniger Planung <strong>und</strong> auch e<strong>in</strong> niedrigeres Budget erfor<strong>de</strong>rt.<br />
Gerätevielfalt<br />
E<strong>in</strong>e weitere Herausfor<strong>de</strong>rung, aber auch Chance ist <strong>die</strong> Vielfalt mobiler Geräte auf<br />
<strong>de</strong>m Markt. In vielen Unternehmen nutzen <strong>die</strong> Mitarbeiter <strong>Smartphones</strong> verschie<strong>de</strong>ner<br />
Anbieter mit unterschiedlichen Betriebssystemen. E<strong>in</strong>e Vere<strong>in</strong>heitlichung <strong>de</strong>r<br />
Geräte ist für <strong>die</strong> meisten Unternehmen schon aus f<strong>in</strong>anziellen Grün<strong>de</strong>n, aber auch<br />
aus Grün<strong>de</strong>n <strong>de</strong>r Nutzerakzeptanz ke<strong>in</strong>e Option. Deshalb muss <strong>die</strong> IT-Abteilung<br />
wohl o<strong>de</strong>r übel verschie<strong>de</strong>ne Plattformen unterstützen.<br />
Sichere <strong>Integration</strong><br />
Als nächstes stellen sich Fragen <strong>de</strong>r zweckmäßigen <strong>und</strong> sicheren <strong>Integration</strong> <strong>de</strong>r<br />
mobilen Geräte <strong>in</strong> <strong>die</strong> Unternehmens-IT: Wie wird <strong>de</strong>r Netzwerkzugriff realisiert?<br />
Wie erfolgt <strong>die</strong> Anb<strong>in</strong>dung an Unternehmensanwendungen? Ist e<strong>in</strong> Datenabgleich<br />
erfor<strong>de</strong>rlich? Wie können <strong>die</strong> Geräte zentral verwaltet wer<strong>de</strong>n? Wie kann ich bei<br />
Verlust o<strong>de</strong>r Diebstahl e<strong>in</strong>es Mobilgerätes Missbrauch verh<strong>in</strong><strong>de</strong>rn? Auf <strong>Integration</strong>skonzepte<br />
<strong>und</strong> Sicherheitsaspekte gehen wir unten <strong>in</strong> <strong>de</strong>n Kapiteln 3 <strong>und</strong> 4<br />
näher e<strong>in</strong>.<br />
Mitarbeiterakzeptanz <strong>und</strong> Compliance<br />
Die Herausfor<strong>de</strong>rung, <strong>die</strong> Mitarbeiter zur <strong>in</strong>ten<strong>die</strong>rten Nutzung <strong>de</strong>r Unternehmensanwendungen<br />
zu motivieren, ihre Anwendungsbedürfnisse zu antizipieren <strong>und</strong> sie<br />
zur E<strong>in</strong>haltung <strong>von</strong> entsprechen<strong>de</strong>n Richtl<strong>in</strong>ien zu bewegen, wird oft unterschätzt.<br />
Gr<strong>und</strong>voraussetzung für <strong>de</strong>n Erfolg <strong>de</strong>r Mobilisierung ist es, dass <strong>die</strong> mobilen Anwendungen<br />
zu <strong>de</strong>n Arbeitsrout<strong>in</strong>en <strong>de</strong>r Mitarbeiter passen <strong>und</strong> dass sie komfortabel<br />
<strong>und</strong> entsprechend <strong>de</strong>r Nutzergewohnheiten zu be<strong>die</strong>nen s<strong>in</strong>d.<br />
Im Zusammenhang mit <strong>de</strong>n Mitarbeitern fällt oft das Schlagwort <strong>von</strong> <strong>de</strong>r „Consumerization“<br />
<strong>de</strong>r IT: Mitarbeiter nutzen ihre privaten Geräte („personally owned <strong>de</strong>vices“,<br />
POD), Mail-Accounts o<strong>de</strong>r Cloud-Services zunehmend auch für <strong>die</strong>nstliche<br />
Aufgaben, <strong>und</strong> sie äußern entsprechen<strong>de</strong> Wünsche auch für <strong>die</strong> Unternehmens-IT.<br />
Laut e<strong>in</strong>er Stu<strong>die</strong> <strong>de</strong>r Carnegie Mellon Universität <strong>in</strong> Pittsburgh, Pennsylvania, im<br />
Auftrag <strong>von</strong> McAfee (2011) nimmt nicht nur <strong>die</strong> Nutzung <strong>von</strong> <strong>Tablets</strong> <strong>und</strong> <strong>Smartphones</strong><br />
<strong>in</strong> Unternehmen stark zu – ca. 63 Prozent <strong>die</strong>ser Geräte wer<strong>de</strong>n dabei<br />
sowohl beruflich als auch privat genutzt <strong>und</strong> e<strong>in</strong> Drittel <strong>de</strong>r Nutzer speichert auch<br />
vertrauliche geschäftliche Daten auf <strong>de</strong>m Mobilgerät. CIOs sehen <strong>die</strong>s natürlich<br />
als Problem: Unternehmensdaten lan<strong>de</strong>n auf frem<strong>de</strong>n Servern <strong>und</strong> auf Geräten,<br />
<strong>die</strong> man nicht selbst adm<strong>in</strong>istrieren <strong>und</strong> sichern kann. Sie machen aber auch <strong>die</strong><br />
Erfahrung, dass Verbote wenig helfen <strong>und</strong> Vorgaben umgangen wer<strong>de</strong>n, wenn <strong>die</strong>
Mitarbeiter das als notwendig ansehen. Consumerization kann kaum verh<strong>in</strong><strong>de</strong>rt<br />
wer<strong>de</strong>n <strong>und</strong> ist an<strong>de</strong>rerseits auch e<strong>in</strong> Zeichen <strong>von</strong> Motivation – Unternehmen sollten<br />
also mit ihren Mitarbeitern nach optimalen Nutzungsmöglichkeiten auch <strong>von</strong><br />
Consumer-Technologie suchen <strong>und</strong> dabei, wie bereits betont, ihre Anwendungsbedürfnisse<br />
antizipieren.<br />
3 Mobile Konzepte <strong>und</strong> <strong>Integration</strong>sstrategien<br />
3.1 Gr<strong>und</strong>sätzliche Überlegungen<br />
Bevor e<strong>in</strong> Unternehmen <strong>de</strong>n Ausbau mobiler Prozesse <strong>und</strong> <strong>die</strong> <strong>Integration</strong> geeigneter<br />
Mobilgeräte angeht, s<strong>in</strong>d e<strong>in</strong>ige gr<strong>und</strong>sätzliche Überlegungen notwendig,<br />
um sicherzustellen, dass man maximalen Nutzen aus <strong>de</strong>r Mobilisierung zieht <strong>und</strong><br />
dabei nicht an <strong>de</strong>n falschen Stellen o<strong>de</strong>r <strong>in</strong> <strong>die</strong> falsche Technologie <strong>in</strong>vestiert. Am<br />
Anfang je<strong>de</strong>r Mobilisierung steht e<strong>in</strong>e Bestandsaufnahme: Wer hat schon welche<br />
mobilen Geräte im E<strong>in</strong>satz? Welche me<strong>in</strong>er Mitarbeiter s<strong>in</strong>d geeignete mobile Nutzer?<br />
In Frage kommen bei weitem nicht nur Außen<strong>die</strong>nstler, son<strong>de</strong>rn auch etwa<br />
solche Mitarbeiter, <strong>die</strong> viel Zeit <strong>in</strong> öffentlichen Verkehrsmitteln verbr<strong>in</strong>gen.<br />
Nötig s<strong>in</strong>d <strong>de</strong>s Weiteren Überlegungen dazu, welche Device-Strategie zu <strong>de</strong>n Zielen<br />
<strong>und</strong> Möglichkeiten <strong>de</strong>s Unternehmens passt, welche mobilen Applikationen<br />
benötigt wer<strong>de</strong>n, wie tief <strong>die</strong> Mobilgeräte <strong>in</strong> <strong>die</strong> eigene IT-Infrastruktur <strong>in</strong>tegriert<br />
wer<strong>de</strong>n sollen <strong>und</strong> ob e<strong>in</strong>e Host<strong>in</strong>g-Lösung o<strong>de</strong>r e<strong>in</strong>e selbst betriebene Plattform<br />
<strong>die</strong> bessere Wahl ist. Die jeweilige Entscheidung wird nicht nur <strong>von</strong> <strong>de</strong>n Vor- <strong>und</strong><br />
Nachteilen e<strong>in</strong>zelner Konzepte, son<strong>de</strong>rn vor allem auch <strong>von</strong> <strong>de</strong>n verfügbaren Ressourcen<br />
e<strong>in</strong>es Unternehmens (Budget, eigene IT-Abteilung, Know-how, Manpower)<br />
abhängen. Angesichts <strong>de</strong>r rasanten Entwicklung mobiler Technologien sollten<br />
allerd<strong>in</strong>gs Bestandsaufnahme <strong>und</strong> strategische Überlegungen auch nicht zu übermäßigen<br />
Verzögerungen führen <strong>und</strong> damit <strong>de</strong>n Erfolg <strong>de</strong>s Projektes gefähr<strong>de</strong>n.<br />
Schnelle Ergebnisse durch Desktop-Mobilisierung<br />
Nach <strong>de</strong>r bereits erwähnten PAC / Berlecon-Stu<strong>die</strong> vom April 2011 haben zwei<br />
Drittel <strong>de</strong>r <strong>de</strong>utschen Unternehmen ke<strong>in</strong>e langfristige Mobilstrategie. Gr<strong>und</strong> s<strong>in</strong>d<br />
(neben <strong>de</strong>n gera<strong>de</strong> beschriebenen Herausfor<strong>de</strong>rungen) nicht zuletzt Bug<strong>de</strong>t-<br />
Fragen: Fast <strong>die</strong> Hälfte <strong>de</strong>r befragten CIOs konnte ke<strong>in</strong> Budget für mobile Technologien<br />
beziffern, <strong>die</strong> meisten an<strong>de</strong>ren nur e<strong>in</strong> sehr begrenztes. Auch aus <strong>die</strong>sem<br />
Gr<strong>und</strong> empfiehlt Cortado, <strong>in</strong> e<strong>in</strong>em solchen Fall mit <strong>de</strong>r Mobilisierung häufig<br />
genutzter Desktop-Prozesse zu beg<strong>in</strong>nen – darauf wird <strong>in</strong> <strong>die</strong>sem Kapitel auch <strong>de</strong>r<br />
Schwerpunkt liegen.<br />
Am Anfang je<strong>de</strong>r<br />
Mobilisierung<br />
steht e<strong>in</strong>e<br />
Bestandsaufnahme.<br />
9
10<br />
Der Cortado Corporate<br />
Server b<strong>in</strong><strong>de</strong>t Geräte<br />
unterschiedlicher Plattformen<br />
sicher <strong>in</strong> <strong>die</strong><br />
Unternehmens-IT e<strong>in</strong>.<br />
Mit <strong>de</strong>r Mobilisierung typischer täglicher Arbeitsabläufe <strong>und</strong> Aktionen lassen sich<br />
– abhängig <strong>von</strong> <strong>de</strong>r genutzten Technologie – ohne große Investitionen <strong>und</strong> mit<br />
verhältnismäßig ger<strong>in</strong>gem Aufwand sofortige Produktivitätssteigerungen erzielen.<br />
Zum Beispiel ergibt e<strong>in</strong>e ROI-Betrachtung <strong>de</strong>s Cortado Corporate Server, dass<br />
sich <strong>de</strong>r E<strong>in</strong>satz <strong>die</strong>ser Plattform durch Produktivitätssteigerungen <strong>und</strong> Prozessoptimierungen<br />
bereits nach 24 Tagen rentiert (selbst wenn direkte E<strong>in</strong>sparungen<br />
gegenüber Notebooks etwa bei WLAN- <strong>und</strong> Infrastrukturkosten, Support <strong>und</strong> Versicherung<br />
gar nicht e<strong>in</strong>bezogen wer<strong>de</strong>n). Schnelle <strong>und</strong> nachweisbare Nutzwerte<br />
s<strong>in</strong>d auch hilfreich bei späteren Budgetverhandlungen für umfangreichere Projekte.<br />
Zu<strong>de</strong>m können so frühzeitig Erfahrungen gesammelt <strong>und</strong> Möglichkeiten ausgelotet<br />
wer<strong>de</strong>n, <strong>die</strong> <strong>de</strong>r Mobilisierung weiterer Prozesse zugute kommen.<br />
3.2 Device-Strategie<br />
Unterstützung <strong>de</strong>r wichtigsten Plattformen<br />
Die erste Frage im H<strong>in</strong>blick auf <strong>die</strong> Device-Strategie richtet sich auf <strong>die</strong> Alternative<br />
„private Geräte vs. unternehmenseigene Geräte“. Der Ansatz Br<strong>in</strong>g-Your-Own-<br />
Computer (BYOC) ist für Unternehmen vergleichsweise kostengünstig, br<strong>in</strong>gt aber<br />
e<strong>in</strong> <strong>de</strong>utliches Mehr an Komplexität mit sich. Dennoch sollte <strong>die</strong> gewählte Device-<br />
Strategie im Regelfall darauf abzielen, m<strong>in</strong><strong>de</strong>stens <strong>die</strong> wichtigsten Plattformen<br />
(Android, iOS, Black Berry) zu unterstützen. Gr<strong>und</strong>sätzlich ist auch im Unterneh-<br />
mense<strong>in</strong>satz e<strong>in</strong>e gewisse Gerätevielfalt zu begrüßen: Viele Mitarbeiter bevorzugen<br />
e<strong>in</strong> bestimmtes Mobilgerät, <strong>de</strong>ssen Be<strong>die</strong>nung sie gut beherrschen, o<strong>de</strong>r besitzen<br />
bereits e<strong>in</strong> geeignetes Gerät (Akzeptanz). Zu<strong>de</strong>m eignen sich Mobilgeräte durch<br />
ihre unterschiedliche Ausstattung zum Teil für verschie<strong>de</strong>ne E<strong>in</strong>satzzwecke verschie<strong>de</strong>n<br />
gut, <strong>und</strong> oft gibt es auch regionale Unterschie<strong>de</strong> <strong>in</strong> bestimmten Features<br />
o<strong>de</strong>r Verbreitung. Technisch ist <strong>die</strong> Nutzung heterogener Mobilgeräte heute ke<strong>in</strong><br />
Problem mehr: Der Cortado Corporate Server zum Beispiel b<strong>in</strong><strong>de</strong>t nicht nur Geräte<br />
unterschiedlicher Plattformen sicher <strong>in</strong> <strong>die</strong> IT e<strong>in</strong>, son<strong>de</strong>rn passt sich <strong>in</strong> <strong>de</strong>r<br />
Be<strong>die</strong>nung auch <strong>de</strong>m jeweiligen mobilen Gerät an <strong>und</strong> nutzt se<strong>in</strong>e spezifischen<br />
Fähigkeiten <strong>und</strong> lokalen Ressourcen.<br />
Mobile Device Management<br />
Allerd<strong>in</strong>gs bietet <strong>de</strong>rzeit nur RIM beim BlackBerry bereits e<strong>in</strong>igermaßen umfangreiche<br />
Möglichkeiten für e<strong>in</strong>e zentrale Geräteverwaltung. Bei Google <strong>und</strong> Apple<br />
(ebenso wie bei Microsoft) lassen <strong>die</strong> Adm<strong>in</strong>istrationsmöglichkeiten <strong>die</strong>sbezüglich<br />
noch zu wünschen übrig, weshalb etwa PAC <strong>und</strong> <strong>die</strong> Fraunhofer ESK (2011) bei<br />
<strong>die</strong>sen Plattformen zum E<strong>in</strong>satz zusätzlicher Mobile-Device-Management-Lösungen<br />
raten. Bevor Unternehmen allerd<strong>in</strong>gs beg<strong>in</strong>nen, <strong>die</strong> Fülle am Markt bef<strong>in</strong>dlicher
MDM-Lösungen mit ihren sehr unterschiedlichen Funktionsumfängen (AetherPal,<br />
AirWatch, BoxTone, CommonTime, Excitor, FancyFon, Good Technology, Inno-<br />
Path, Juniper Networks, McAfee, MobileIron, Motorola, Odyssey, Sybase, Symantec,<br />
Tangoe, Zenprise …) zu analysieren, sollten sie erwägen, ob nicht Microsoft<br />
Exchange mit <strong>de</strong>n durchaus leistungsfähigen Konfigurations- <strong>und</strong> Sicherheitswerkzeugen<br />
<strong>von</strong> ActiveSync ihren Ansprüchen bereits genügt. Da viele Unternehmen<br />
ohneh<strong>in</strong> Microsoft Exchange e<strong>in</strong>setzen, ist <strong>die</strong>s <strong>in</strong> vielen Fällen <strong>die</strong> günstigste<br />
Lösung für das Mobile Device Management.<br />
<strong>Tablets</strong> im Unternehmense<strong>in</strong>satz<br />
Angesichts <strong>de</strong>s starken Wachstums im Tablet-Markt sollten Unternehmen auch<br />
<strong>de</strong>n E<strong>in</strong>satz <strong>von</strong> <strong>Tablets</strong> <strong>in</strong> Erwägung ziehen. Dabei geht es nicht um <strong>die</strong> Frage<br />
„Smartphone o<strong>de</strong>r Tablet?“, son<strong>de</strong>rn um <strong>die</strong> Eignung verschie<strong>de</strong>ner Geräteklassen<br />
für unterschiedliche Aufgaben. Zum Beispiel för<strong>de</strong>rt <strong>de</strong>r geme<strong>in</strong>same Blick auf das<br />
Tablet-Display <strong>die</strong> persönliche Interaktion – i<strong>de</strong>al im Vertriebsgespräch. <strong>Tablets</strong><br />
können überall dort e<strong>in</strong>gesetzt wer<strong>de</strong>n, wo PCs o<strong>de</strong>r Notebooks zu groß o<strong>de</strong>r zu<br />
sperrig <strong>und</strong> <strong>Smartphones</strong> schon zu kle<strong>in</strong> s<strong>in</strong>d. Dokumente etwa lassen sich mit<br />
<strong>Tablets</strong> wesentlich besser lesen <strong>und</strong> handhaben als mit <strong>Smartphones</strong>. <strong>Tablets</strong> s<strong>in</strong>d<br />
vergleichsweise günstig, leicht <strong>und</strong> schnell e<strong>in</strong>satzbereit, bieten e<strong>in</strong>e hohe Leistung,<br />
lange Akkulaufzeiten <strong>und</strong> e<strong>in</strong>fache Be<strong>die</strong>nung <strong>und</strong> s<strong>in</strong>d nahezu wartungsfrei.<br />
Außer<strong>de</strong>m können sie auf e<strong>in</strong> riesiges Ökosystem <strong>von</strong> kostengünstigen Apps zugreifen<br />
– <strong>und</strong> sie genießen nicht zuletzt e<strong>in</strong> ausgezeichnetes Image.<br />
3.3 Mobile Desktop-Konzepte<br />
Ziel <strong>de</strong>r Desktop-Mobilisierung ist es, Funktionen <strong>und</strong> Daten, welche Mitarbeiter<br />
auf ihren Firmen-PCs nutzen, auch auf Mobilgeräten zur Verfügung zu stellen. Dies<br />
kann auf verschie<strong>de</strong>nem Wege passieren. Bei Notebooks etwa ist es immer noch<br />
üblich, <strong>die</strong> Desktop-Ausstattung zu replizieren, also benötigte Anwendungen direkt<br />
auf <strong>de</strong>m Gerät zu <strong>in</strong>stallieren.<br />
Auch bei <strong>Tablets</strong> o<strong>de</strong>r <strong>Smartphones</strong> ist das gr<strong>und</strong>sätzlich möglich – bei e<strong>in</strong>igen<br />
Geräten s<strong>in</strong>d zum Beispiel Office-Anwendungen bereits vor<strong>in</strong>stalliert. Allerd<strong>in</strong>gs<br />
s<strong>in</strong>d <strong>die</strong> Möglichkeiten limitiert: durch Ausstattung <strong>und</strong> Ressourcen <strong>de</strong>r Geräte,<br />
durch sicherheitsbed<strong>in</strong>gte E<strong>in</strong>schränkungen – lokale Apps können oft nur e<strong>in</strong>geschränkt<br />
mite<strong>in</strong>an<strong>de</strong>r <strong>in</strong>teragieren <strong>und</strong> auf das Dateisystem zugreifen (Sandbox-<br />
Pr<strong>in</strong>zip) – o<strong>de</strong>r auch durch <strong>die</strong> Tatsache, dass <strong>die</strong> gewünschten Funktionen auf<br />
verschie<strong>de</strong>nen Geräten ganz unterschiedlich (o<strong>de</strong>r auch gar nicht) implementiert<br />
s<strong>in</strong>d. Gesicherte Netzwerkzugriffe über VPN s<strong>in</strong>d mit <strong>Smartphones</strong> zwar möglich,<br />
gewohnte Netzwerkfunktionen wie Laufwerks-Mapp<strong>in</strong>g o<strong>de</strong>r Drucken s<strong>in</strong>d aber<br />
Aufgr<strong>und</strong> ihrer<br />
e<strong>in</strong>zigartigen Möglichkeiten<br />
s<strong>in</strong>d <strong>Tablets</strong> e<strong>in</strong>e<br />
wertvolle Ergänzung<br />
zu Notebooks <strong>und</strong><br />
<strong>Smartphones</strong>.<br />
11
12<br />
Offene Konzepte<br />
realisieren <strong>die</strong><br />
Datensicherheit über<br />
lokale Verschlüsselung<br />
<strong>und</strong> <strong>die</strong> <strong>Integration</strong><br />
<strong>in</strong> <strong>die</strong> IT.<br />
dann auf <strong>de</strong>n Mobilgeräten nicht verfügbar. Inhalte wären nur über Intranet-Seiten<br />
<strong>de</strong>s Unternehmens (z.B. Microsoft Sharepo<strong>in</strong>t) zugänglich. Zwar könnten benötigte<br />
Daten (mit mehr o<strong>de</strong>r weniger E<strong>in</strong>schränkungen) auch lokal auf <strong>de</strong>n Mobilgeräten<br />
gespeichert se<strong>in</strong>. Das wäre allerd<strong>in</strong>gs ebenfalls mit erheblichen Problemen<br />
verb<strong>und</strong>en – Stichworte s<strong>in</strong>d hier vor allem Datenabgleich <strong>und</strong> Datensicherheit,<br />
<strong>in</strong>sbeson<strong>de</strong>re <strong>die</strong> Absicherung gegen Missbrauch bei Verlust <strong>de</strong>s Gerätes.<br />
Daher s<strong>in</strong>d Ansätze vorzuziehen, bei <strong>de</strong>nen das Smartphone per Mobilfunk auf<br />
extern bereitgestellte Desktop-Funktionen bzw. Ressourcen zugreift. Insbeson<strong>de</strong>re<br />
bei e<strong>in</strong>er <strong>in</strong>ten<strong>die</strong>rten gleichzeitigen Nutzung für private <strong>und</strong> <strong>die</strong>nstliche Zwecke<br />
gibt es dafür zwei gr<strong>und</strong>sätzlich verschie<strong>de</strong>ne Herangehensweisen: geschlossene<br />
Conta<strong>in</strong>erlösungen, zum Beispiel Remote-Desktop- bzw. Virtual Desktop-Infrastrukturen,<br />
o<strong>de</strong>r offene Konzepte, zum Beispiel Cortados Ansatz <strong>de</strong>s Desktop als<br />
mobile App. Geschlossenen Konzepten ist geme<strong>in</strong>sam, dass sie <strong>die</strong> Unternehmensanwendungen<br />
<strong>von</strong> <strong>de</strong>n übrigen Anwendungen auf <strong>de</strong>m Mobilgerät isolieren<br />
<strong>und</strong> sie sozusagen <strong>in</strong> e<strong>in</strong>en Conta<strong>in</strong>er „e<strong>in</strong>sperren“, um so e<strong>in</strong>e Gefährdung vertraulicher<br />
Daten durch <strong>die</strong> auch private Nutzung <strong>de</strong>s Gerätes auszuschließen. Offene<br />
Konzepte dagegen verzichten auf <strong>die</strong>se E<strong>in</strong>schränkungen <strong>und</strong> realisieren <strong>die</strong><br />
Datensicherheit über lokale Verschlüsselung <strong>und</strong> <strong>die</strong> <strong>Integration</strong> <strong>in</strong> <strong>die</strong> IT.<br />
3.3.1 Geschlossene Lösungen: Der Desktop im Conta<strong>in</strong>er<br />
Remote-Desktop- <strong>und</strong> Virtual-Desktop-Lösungen haben sich beim stationären<br />
Comput<strong>in</strong>g im Unternehmensumfeld vielfach bewährt. Ihr Gr<strong>und</strong>pr<strong>in</strong>zip ist das <strong>de</strong>s<br />
Server-based Comput<strong>in</strong>gs: Anwendungen laufen nicht lokal auf <strong>de</strong>m Gerät, das<br />
<strong>de</strong>r Benutzer be<strong>die</strong>nt, son<strong>de</strong>rn auf e<strong>in</strong>em zentralen Server. Das Endgerät – <strong>de</strong>r Client<br />
– muss im Pr<strong>in</strong>zip lediglich E<strong>in</strong>- <strong>und</strong> Ausgaben <strong>von</strong> Daten übertragen können<br />
<strong>und</strong> <strong>de</strong>shalb auch nicht sehr leistungsfähig se<strong>in</strong> (vgl. sogenannte „Th<strong>in</strong> Clients“).<br />
Beim Remote Desktop wird e<strong>in</strong>e komplette Desktop-Umgebung auf <strong>die</strong>se Weise<br />
genutzt, wobei spezielle Remote-Display-Protokolle (RDP, PC-over-IP, ICA HDX)<br />
zur Anwendung kommen. Heute ist vor allem <strong>die</strong> sogenannte Desktop-Virtualisierung<br />
gebräuchlich, wobei <strong>die</strong> Desktop-Umgebung samt Rechnerressourcen, Betriebssystem<br />
<strong>und</strong> Anwendungen als virtuelle Masch<strong>in</strong>en bereitgestellt wer<strong>de</strong>n <strong>und</strong><br />
je<strong>de</strong>r Remote-Nutzer daher auf se<strong>in</strong>e eigene (virtuelle) Systemumgebung zugreift.<br />
Gera<strong>de</strong> wenn Unternehmen bereits Lösungen für <strong>die</strong> Desktop-Virtualisierung im<br />
E<strong>in</strong>satz haben, sche<strong>in</strong>t es nahezuliegen, <strong>die</strong>se auch für <strong>die</strong> Anb<strong>in</strong>dung <strong>von</strong> <strong>Tablets</strong><br />
o<strong>de</strong>r <strong>Smartphones</strong> zu nutzen. Theoretisch steht damit auf <strong>de</strong>m Mobilgerät <strong>die</strong><br />
Benutzeroberfläche e<strong>in</strong>es klassischen Desktops mit sämtlichen Funktionen zur<br />
Verfügung. In <strong>de</strong>r Praxis allerd<strong>in</strong>gs kolli<strong>die</strong>ren dabei zwei völlig unterschiedliche<br />
Nutzungsphilosophien. Bei klassischen PCs stehen <strong>die</strong> <strong>in</strong>tensive Bearbeitung <strong>von</strong>
Dokumenten mit oft komplexen Funktionen im Vor<strong>de</strong>rgr<strong>und</strong>; ihre Be<strong>die</strong>nung ist<br />
an e<strong>in</strong>e große Displayfläche <strong>und</strong> <strong>die</strong> Nutzung <strong>von</strong> Tastatur <strong>und</strong> Maus angepasst.<br />
<strong>Tablets</strong> <strong>und</strong> <strong>Smartphones</strong> s<strong>in</strong>d dagegen auf Mobilität <strong>und</strong> e<strong>in</strong>fache Be<strong>die</strong>nung<br />
ausgerichtet; wichtigstes E<strong>in</strong>gabemedium ist <strong>de</strong>r Touchscreen. Für <strong>die</strong> Be<strong>die</strong>nung<br />
klassischer Desktop-Anwendungen s<strong>in</strong>d <strong>die</strong>se Geräte wenig geeignet <strong>und</strong> können<br />
dabei auch ihre Vorteile nicht ausspielen. Außer<strong>de</strong>m können <strong>die</strong> Desktop-<br />
Anwendungen nicht <strong>in</strong> lokale Apps auf <strong>de</strong>m Mobilgerät <strong>in</strong>tegriert wer<strong>de</strong>n, <strong>und</strong><br />
es stehen we<strong>de</strong>r MDM-Funktionen noch gerätespezifische Sicherheitsfeatures zur<br />
Verfügung. Nicht zuletzt erfor<strong>de</strong>rt ihre Nutzung aufgr<strong>und</strong> <strong>de</strong>r zu übertragen<strong>de</strong>n<br />
Datenmengen recht hohe Bandbreiten <strong>und</strong> setzt stets e<strong>in</strong>e e<strong>in</strong>igermaßen stabile<br />
Internetanb<strong>in</strong>dung voraus, was bei schwanken<strong>de</strong>r Netzab<strong>de</strong>ckung <strong>in</strong> vielen Gebieten<br />
(Stichwort „Funkloch“) zu Problemen führt.<br />
E<strong>in</strong> an<strong>de</strong>rer geschlossener Ansatz vermei<strong>de</strong>t e<strong>in</strong>ige <strong>die</strong>ser Nachteile <strong>und</strong> versucht<br />
Funktionalität <strong>und</strong> Be<strong>die</strong>nung an <strong>die</strong> Eigenheiten <strong>von</strong> <strong>Smartphones</strong> anzupassen:<br />
Anbieter <strong>die</strong>ses Ansatzes realisieren Geschäftsanwendungen als Anwendungen<br />
direkt auf <strong>de</strong>m Mobilgerät selbst (mit entsprechen<strong>de</strong>m Zugriff aufs Backend),<br />
sperren aber aus Sicherheitsgrün<strong>de</strong>n <strong>die</strong> geschäftlichen Applikationen <strong>und</strong> Daten<br />
<strong>in</strong> e<strong>in</strong>en separaten Bereich e<strong>in</strong> („Corporate Bubble“). Dieser Bereich ist nach<br />
<strong>de</strong>m „Sandkasten“-Pr<strong>in</strong>zip <strong>von</strong> sämtlichen an<strong>de</strong>ren Anwendungen auf <strong>de</strong>m Gerät<br />
komplett abgeschirmt. Interaktionen mit lokalen Apps o<strong>de</strong>r Ressourcen außerhalb<br />
<strong>de</strong>r Unternehmenskapsel s<strong>in</strong>d unmöglich. Der Ansatz wird bei vielen Anbietern<br />
ergänzt durch Management-Funktionen für <strong>die</strong> mobilen Geräte, darunter auch <strong>die</strong><br />
Möglichkeit zum zentral gesteuerten Löschen <strong>de</strong>r Geschäftsdaten etwa bei Verlust<br />
o<strong>de</strong>r Diebstahl <strong>de</strong>s <strong>Smartphones</strong> („Remote Wipe“). Aber auch <strong>die</strong>ses Konzept<br />
hat gravieren<strong>de</strong> Nachteile. Zugriff auf Dateien als wesentlicher Bestandteil <strong>de</strong>r<br />
täglichen Arbeit wird <strong>von</strong> <strong>die</strong>sen Anbietern weitgehend ignoriert. Vor allem fehlt<br />
<strong>die</strong> Möglichkeit, <strong>de</strong>n Funktionsumfang <strong>de</strong>s Gerätes durch Apps zu erweitern <strong>und</strong><br />
<strong>in</strong>dividuell an <strong>de</strong>n eigenen Bedarf anzupassen. Sollen mitgelieferte Anwendungen<br />
<strong>de</strong>r <strong>Smartphones</strong>, zum Beispiel <strong>de</strong>r E-Mail-Client, genutzt wer<strong>de</strong>n können, muss<br />
<strong>de</strong>r Anbieter <strong>die</strong>se nachprogrammieren, so dass Neuerungen bei <strong>de</strong>r Smartphone-<br />
Plattform nur teilweise <strong>und</strong> mit oft großen Verzögerungen genutzt wer<strong>de</strong>n können.<br />
E<strong>in</strong> weiteres potenzielles Problem ist <strong>die</strong> weitgehen<strong>de</strong> Abhängigkeit vom MDM-<br />
Anbieter <strong>in</strong> Bezug auf Sicherheitsaspekte – hier ist e<strong>in</strong>e sorgfältige Prüfung <strong>de</strong>s<br />
Anbieters <strong>und</strong> se<strong>in</strong>es Sicherheitskonzeptes wichtig. Letztendlich ist vor allem fraglich,<br />
ob <strong>die</strong> durch <strong>die</strong> beschriebenen E<strong>in</strong>schränkungen erkaufte Sicherheit überhaupt<br />
erreicht wird: Wenn <strong>die</strong>se E<strong>in</strong>schränkungen <strong>die</strong> tägliche Arbeit bee<strong>in</strong>trächtigen,<br />
wer<strong>de</strong>n Nutzer nach Wegen suchen, sie zu umgehen– <strong>und</strong> sie wer<strong>de</strong>n <strong>die</strong>se<br />
Wege f<strong>in</strong><strong>de</strong>n (vgl. Kap 4.2).<br />
In <strong>de</strong>r Kapsel<br />
e<strong>in</strong>gesperrte<br />
Anwen<strong>de</strong>r können nur<br />
<strong>die</strong> Funktionen<br />
nutzen, <strong>die</strong> <strong>de</strong>r<br />
Anbieter bereitstellt.<br />
13
14<br />
Der Desktop als App<br />
macht ausgewählte<br />
Unternehmensressourcen<br />
<strong>in</strong> e<strong>in</strong>er für <strong>die</strong><br />
Nutzung auf e<strong>in</strong>em<br />
Smartphone o<strong>de</strong>r<br />
Tablet optimierten<br />
Form zugänglich.<br />
3.3.2 Die offene Lösung: Der Desktop als App<br />
Aus <strong>die</strong>sem Gr<strong>und</strong> s<strong>in</strong>d offene Lösungen, <strong>die</strong> auf das E<strong>in</strong>sperren geschäftlicher Anwendungen<br />
<strong>und</strong> Daten <strong>in</strong> e<strong>in</strong>en Conta<strong>in</strong>er verzichten, <strong>de</strong>shalb nicht weniger sicher<br />
als geschlossene Konzepte – ganz im Gegenteil (siehe unten Kapitel 4). E<strong>in</strong>e solche<br />
offene Lösung ist <strong>de</strong>r „Desktop als App“ – das Zusammenspiel e<strong>in</strong>er speziellen<br />
App auf <strong>de</strong>m Mobilgerät, <strong>die</strong> <strong>de</strong>m Nutzer Zugang zu <strong>de</strong>n wesentlichen Desktop-<br />
Prozessen verschafft, mit e<strong>in</strong>er mehr o<strong>de</strong>r weniger direkt <strong>in</strong> <strong>die</strong> Unternehmens-IT<br />
<strong>in</strong>tegrierten Server-Komponente. Letztere stellt nicht <strong>de</strong>n kompletten PC-Desktop,<br />
son<strong>de</strong>rn ausgewählte Desktop-Funktionen – z.B. Dokumentenzugriff <strong>und</strong> -ablage,<br />
Dateiversand per E-Mail, Dateikonvertierung (PDF, ZIP), Datenbankberichte,<br />
Drucken, Faxen etc. – als „virtuelle Desktop-Prozesse“ zur Verfügung. Dieses Konzept,<br />
auf das <strong>die</strong> Lösungen <strong>von</strong> Cortado zurückgreifen, nutzt <strong>die</strong> wesentlichen Vorteile<br />
<strong>de</strong>r bisher beschriebenen Konzepte <strong>und</strong> vermei<strong>de</strong>t ihre Nachteile:<br />
● Volle <strong>Integration</strong> <strong>in</strong> <strong>die</strong> IT-Infrastruktur <strong>in</strong>kl. Berechtigungskonzept<br />
● Zugriff auf Dateisystem <strong>und</strong> Netzwerkdrucker<br />
● Geräteoptimierte Be<strong>die</strong>nung<br />
● Onl<strong>in</strong>e-Speicherung <strong>von</strong> Daten<br />
● Onl<strong>in</strong>e Preview <strong>von</strong> Dateien<br />
● Offl<strong>in</strong>e-Speicherung <strong>und</strong> Bearbeitung <strong>von</strong> Dokumenten mit „Bordmitteln“<br />
● Möglichkeit je Nutzer Rechte flexibel managen/e<strong>in</strong>schränken zu können<br />
● Nutzung lokaler Ressourcen (z. B. Drucker, Kameras, Adressbuch)<br />
Der Desktop als App ermöglicht e<strong>in</strong>e echte <strong>Integration</strong> <strong>in</strong> <strong>die</strong> <strong>in</strong>dividuelle IT-Landschaft<br />
<strong>de</strong>s Unternehmens e<strong>in</strong>schließlich verwen<strong>de</strong>ter Richtl<strong>in</strong>ien <strong>und</strong> Berechtigungskonzepte,<br />
anstatt lediglich <strong>die</strong> Infrastruktur um zusätzlich angeb<strong>und</strong>ene Komponenten<br />
zu erweitern. Die Server-Komponente (z.B. <strong>de</strong>r Cortado Corporate Server)<br />
übernimmt im Unternehmen <strong>die</strong> <strong>Integration</strong> <strong>in</strong> das Microsoft Active Directory (<strong>und</strong><br />
ggfls. E-Directory). Sie greift für <strong>de</strong>n mobilen Client auf das Dateisystem zu, so dass<br />
<strong>die</strong>ser <strong>die</strong> gewohnte Verzeichnisstruktur <strong>in</strong>kl. Laufwerksnamen <strong>und</strong> -buchstaben<br />
darstellt, <strong>und</strong> sie übernimmt <strong>die</strong> Kommunikation mit weiteren Komponenten im<br />
Backend wie beispielsweise Netzwerkdruckern, Datenbankreports <strong>und</strong> <strong>de</strong>m Faxsystem.<br />
Dabei agiert <strong>de</strong>r Benutzer mit se<strong>in</strong>en Rechten, wie sie im Active Directory<br />
<strong>de</strong>f<strong>in</strong>iert s<strong>in</strong>d. Bestimmte Szenarien können nur auf <strong>die</strong>se Weise ohne Me<strong>die</strong>nbrüche<br />
o<strong>de</strong>r späteres Abarbeiten im Backoffice abgebil<strong>de</strong>t wer<strong>de</strong>n. Will zum Beispiel<br />
e<strong>in</strong> Kollege im Außen<strong>die</strong>nst Informationen erfassen, kann er das mit Zugriff auf das<br />
Unternehmensnetzwerk direkt <strong>in</strong> <strong>de</strong>m Dokument tun, <strong>in</strong> das <strong>die</strong>se Informationen<br />
gehören. Ohne <strong>Integration</strong> <strong>in</strong> das Unternehmens-Netz müsste er <strong>die</strong> Daten doppelt<br />
erfassen – oft auf Papier – <strong>und</strong> sie später an se<strong>in</strong>em Arbeitsplatz e<strong>in</strong>arbeiten.
Zum an<strong>de</strong>ren können – im Gegensatz zur Desktop-Virtualisierung – <strong>die</strong> Benutzer-<br />
oberfläche <strong>de</strong>r mobilen App an das mobile Gerät <strong>und</strong> auch an <strong>die</strong> Eigenheiten <strong>de</strong>r<br />
jeweiligen Plattform angepasst <strong>und</strong> so <strong>die</strong> <strong>in</strong>dividuellen Vorteile <strong>de</strong>s verwen<strong>de</strong>ten<br />
Gerätes optimal genutzt wer<strong>de</strong>n. Cortado stellt dafür Clients für <strong>die</strong> Betriebssysteme<br />
Google Android, Apple iOS <strong>und</strong> BlackBerry OS zur Verfügung. Der Client kann<br />
auch an<strong>de</strong>re Apps auf <strong>de</strong>m Gerät aufrufen (etwa Quick Office auf Android o<strong>de</strong>r Keynote<br />
auf <strong>de</strong>m iPad) o<strong>de</strong>r <strong>von</strong> ihnen aufgerufen wer<strong>de</strong>n. Damit ist es <strong>de</strong>m mobilen<br />
Nutzer z. B. möglich, e<strong>in</strong>en Mail-Anhang direkt im Unternehmensnetzwerk abzulegen<br />
o<strong>de</strong>r auch e<strong>in</strong> Dokument aus <strong>de</strong>m Netzwerk direkt auf se<strong>in</strong>em Gerät zu bearbeiten.<br />
Beim Herunterla<strong>de</strong>n <strong>von</strong> Dokumenten wer<strong>de</strong>n <strong>die</strong>se komprimiert, um das<br />
übertragene Datenvolumen zu reduzieren <strong>und</strong> Kosten zu sparen. Dateioperationen<br />
wie<strong>de</strong>rum s<strong>in</strong>d auf allen Geräten e<strong>in</strong>heitlich möglich, obwohl iOS <strong>in</strong>tern dabei nach<br />
ganz an<strong>de</strong>ren, restriktiveren Pr<strong>in</strong>zipien arbeitet als Android <strong>und</strong> BlackBerry OS.<br />
4 Sicherheit<br />
Die IT-Sicherheit wird durch Entwicklungen wie Cloud-Comput<strong>in</strong>g, Consumerization<br />
<strong>und</strong> <strong>de</strong>n zunehmen<strong>de</strong>n E<strong>in</strong>satz mobiler Geräte vor große Herausfor<strong>de</strong>rungen<br />
gestellt. Wie bereits ange<strong>de</strong>utet, reicht es nicht, technische Sicherheitsmaßnahmen<br />
zu ergreifen, wenn nicht gleichzeitig <strong>de</strong>r Anwen<strong>de</strong>r <strong>und</strong> se<strong>in</strong>e Nutzungsgewohnheiten<br />
berücksichtigt wer<strong>de</strong>n. Die sicherste Lösung nützt nichts, wenn <strong>de</strong>r<br />
Anwen<strong>de</strong>r sie umgeht <strong>und</strong> e<strong>in</strong>e bequemere wählt, bei <strong>de</strong>r vertrauliche Daten <strong>in</strong><br />
unsicheren Systemen lan<strong>de</strong>n. Dennoch ist es natürlich unbed<strong>in</strong>gt notwendig, <strong>die</strong><br />
wesentlichen Angriffspunkte <strong>de</strong>r mobilen IT-Infrastruktur auch technisch abzusichern:<br />
das Mobilgerät selbst, mobile Applikationen <strong>und</strong> Datenübertragung sowie<br />
<strong>die</strong> <strong>Integration</strong> <strong>in</strong>s Backend.<br />
4.1 Mobilgeräte absichern<br />
Mobile Geräte können verloren gehen o<strong>de</strong>r gestohlen wer<strong>de</strong>n. Für e<strong>in</strong>en solchen<br />
Fall muss sichergestellt se<strong>in</strong>, dass vertrauliche Unternehmensdaten nicht <strong>in</strong> <strong>die</strong><br />
falschen Hän<strong>de</strong> fallen. Die Geräte selbst bieten dafür unterschiedliche Möglichkeiten,<br />
um <strong>die</strong> <strong>de</strong>f<strong>in</strong>ierten Sicherheitsrichtl<strong>in</strong>ien e<strong>in</strong>es Unternehmens zu unterstützen.<br />
Wichtigste Vorkehrung ist <strong>die</strong> Nutzung e<strong>in</strong>es sicheren Kennworts – <strong>die</strong>s ist mit<br />
je<strong>de</strong>m Gerät möglich. Ist <strong>de</strong>r Zugang zum Gerät auf <strong>die</strong>se Weise abgesichert,<br />
so gew<strong>in</strong>nt das Unternehmen zum<strong>in</strong><strong>de</strong>st Zeit für weitere Maßnahmen. Darüber<br />
h<strong>in</strong>aus ist e<strong>in</strong>e Verschlüsselung <strong>de</strong>r gespeicherten Daten ratsam. Apples iOS 4.x<br />
bietet e<strong>in</strong> durchaus ausgefeiltes Sicherheitssystem mit e<strong>in</strong>er auf e<strong>in</strong>er Hierarchie<br />
<strong>von</strong> Schlüsseln basieren<strong>de</strong>n Verschlüsselung, komplexen alphanumerischen Pass-<br />
Cloud-Comput<strong>in</strong>g,<br />
Consumerization <strong>und</strong><br />
<strong>de</strong>r E<strong>in</strong>satz mobiler<br />
Geräte stellt <strong>die</strong><br />
IT-Sicherheit vor große<br />
Herausfor<strong>de</strong>rungen.<br />
15
16<br />
Das Passwort <strong>de</strong>r<br />
Cortado-Lösung kann<br />
beim Jailbreak nicht<br />
<strong>in</strong> <strong>die</strong> falschen Hän<strong>de</strong><br />
geraten, weil Cortado<br />
Kennwörter nicht<br />
lokal speichert.<br />
wörtern <strong>und</strong> automatischer Selbstlöschung bei wie<strong>de</strong>rholten falschen E<strong>in</strong>gaben.<br />
Allerd<strong>in</strong>gs wird <strong>von</strong> <strong>die</strong>sen Möglichkeiten (mit Ausnahme <strong>von</strong> Apples Mail-Client)<br />
noch kaum Gebrauch gemacht. Es ist daher wichtig, darauf zu achten, dass eventuell<br />
e<strong>in</strong>gesetzte mobile Apps, so wie es auch <strong>die</strong> Cortado-Lösung tut, ihre Daten<br />
gemäß <strong>de</strong>r Apple-Sicherheitsarchitektur vollständig verschlüsseln.<br />
Noch immer erfreut sich zu<strong>de</strong>m <strong>de</strong>r sogenannte Jailbreak großer Beliebtheit, mit<br />
<strong>de</strong>m <strong>die</strong> Software-Sperre <strong>de</strong>s iPhone umgangen wird, so dass <strong>de</strong>r Nutzer Anwendungen<br />
aus an<strong>de</strong>ren Quellen als <strong>de</strong>m App Store <strong>in</strong>stallieren kann. Anfang 2011<br />
<strong>de</strong>monstrierte das Fraunhofer-Institut, dass sich e<strong>in</strong> Angreifer bei e<strong>in</strong>em aktuellen<br />
iOS mit <strong>in</strong>stalliertem Jailbreak <strong>in</strong>nerhalb <strong>von</strong> nur sechs M<strong>in</strong>uten <strong>und</strong> ohne beson<strong>de</strong>re<br />
Fachkenntnisse Zugang zu Passwörtern für E-Mail, W-Lan <strong>und</strong> VPN verschaffen<br />
kann, auch bei Geräten mit hohen Sicherheitse<strong>in</strong>stellungen. Bei Verlust e<strong>in</strong>es<br />
iPhones sollte e<strong>in</strong> Unternehmen daher umgehend reagieren, da gera<strong>de</strong> über <strong>de</strong>n<br />
E-Mail-Account oft zahlreiche weitere Passwörter erbeutet wer<strong>de</strong>n können. Das<br />
Passwort <strong>de</strong>r Cortado-Lösung kann allerd<strong>in</strong>gs auch beim Jailbreak nicht <strong>in</strong> <strong>die</strong><br />
falschen Hän<strong>de</strong> geraten, weil Cortado Kennwörter nicht lokal speichert.<br />
BlackBerry-Nutzern steht schon länger e<strong>in</strong>e hohe Verschlüsselung auf Betriebssystemebene<br />
zur Verfügung, während Android erst seit <strong>de</strong>r Version 3.0 e<strong>in</strong>e solche<br />
mitbr<strong>in</strong>gt. BlackBerry offeriert mit <strong>de</strong>m BlackBerry Enterprise Service (BES) auch<br />
<strong>die</strong> umfangreichsten Möglichkeiten, Sicherheitsrichtl<strong>in</strong>ien umzusetzen. Google bietet<br />
dafür <strong>die</strong> Google Apps Device Policy Adm<strong>in</strong>istration an, Apple das Apple Mobile<br />
Device Management, welches allerd<strong>in</strong>gs nur durch <strong>die</strong> Nutzung <strong>von</strong> Third-Party-<br />
Zusatzsoftware zur Verfügung steht. Für alle drei Plattformen s<strong>in</strong>d <strong>in</strong>zwischen<br />
<strong>in</strong>sbeson<strong>de</strong>re Funktionen zum Fernzugriff auf <strong>die</strong> Geräte verfügbar, um bei Verlust<br />
Zugangsco<strong>de</strong>s zurückzusetzen <strong>und</strong> Daten zu löschen.<br />
Zusätzliche Lösungen zum Mobile Device Management bieten plattformübergreifend<br />
ebenfalls <strong>die</strong>se Möglichkeit, zum Beispiel Sybase Afaria, Good for Enterprise<br />
<strong>von</strong> Good Technologie o<strong>de</strong>r AirWatch. Aber auch Microsoft Exchange Active Sync<br />
erlaubt bereits Remote Wipe, das Erzw<strong>in</strong>gen <strong>de</strong>r Geräteverschlüsselung sowie <strong>von</strong><br />
Passwortrichtl<strong>in</strong>ien wie beispielsweise <strong>von</strong> alphanumerischen Passwörtern ausreichen<strong>de</strong>r<br />
Komplexität.<br />
4.2 Kommunikation <strong>und</strong> Applikationssicherheit<br />
Die Datenübertragung zwischen Mobilgerät <strong>und</strong> Unternehmensnetzwerk sollte<br />
gr<strong>und</strong>sätzlich verschlüsselt erfolgen. Bei erhöhten Sicherheitsanfor<strong>de</strong>rungen können<br />
vertrauliche Daten zusätzlich auch via VPN getunnelt wer<strong>de</strong>n. Android <strong>und</strong>
iOS unterstützen dafür Standard-VPN-Verb<strong>in</strong>dungen, während BlackBerry e<strong>in</strong>en<br />
proprietären VPN-Tunnel namens Mobile Data Service (MDS) nutzt. Anwendungen<br />
<strong>von</strong> offiziellen Partnern <strong>de</strong>r RIM Alliance – zum Beispiel <strong>von</strong> Cortado – nutzen<br />
ebenfalls <strong>die</strong>sen sicheren Tunnel. Ansonsten erfolgt <strong>die</strong> Kommunikation zwischen<br />
Client <strong>und</strong> Server beim Cortado Corporate Server ausschließlich über HTTPS, e<strong>in</strong>e<br />
Tunnelung über VPN o<strong>de</strong>r <strong>die</strong> Nutzung <strong>von</strong> Zwei-Faktor-Authentifizierung ist optional<br />
möglich.<br />
Geschlossene Lösungen scheitern am Anwen<strong>de</strong>r<br />
Häufig wer<strong>de</strong>n Mobilgeräte sowohl für private als auch für <strong>die</strong>nstliche Zwecke genutzt.<br />
In <strong>die</strong>sen Fällen hat <strong>die</strong> IT-Abteilung kaum Kontrolle darüber, ob neben <strong>de</strong>n<br />
mobilen Unternehmensapplikationen an<strong>de</strong>re, potenziell unsichere o<strong>de</strong>r bösartige<br />
Software <strong>in</strong>stalliert wird. Um auszuschließen, dass auf <strong>de</strong>m Mobilgerät selbst e<strong>in</strong><br />
erfolgreicher Angriff auf <strong>die</strong> Unternehmens-App bzw. vertrauliche Daten stattf<strong>in</strong><strong>de</strong>n<br />
kann, setzen viele Unternehmen auf das „E<strong>in</strong>sperren“ ihrer Anwendung <strong>in</strong><br />
e<strong>in</strong>en Conta<strong>in</strong>er (vgl. Kap. 3.3.1). Geschlossene Lösungen haben allerd<strong>in</strong>gs <strong>de</strong>n<br />
Nachteil, dass sie nur funktionieren können, wenn sie gleichzeitig <strong>de</strong>m Nutzer <strong>de</strong>n<br />
Komfort <strong>und</strong> sämtliche Funktionen bieten, <strong>die</strong> er benötigt. Neben <strong>de</strong>n <strong>in</strong> Kap.<br />
3.3.1 besprochenen Nachteilen fehlt <strong>de</strong>m Nutzer dabei <strong>in</strong>sbeson<strong>de</strong>re <strong>die</strong> Möglichkeit,<br />
auch offl<strong>in</strong>e – direkt auf <strong>de</strong>m Gerät – auf Dateien zuzugreifen. Dies ist aber<br />
<strong>in</strong> vielen Fällen gewünscht (bspw. wenn er Funktionen o<strong>de</strong>r <strong>de</strong>n Be<strong>die</strong>nkomfort<br />
bestimmter Apps nutzen möchte), wenn nicht sogar nötig, beispielsweise wenn<br />
er Dokumente im Flugzeug bearbeiten will o<strong>de</strong>r sich bei <strong>de</strong>r Präsentation beim<br />
K<strong>und</strong>en nicht auf <strong>die</strong> Netzab<strong>de</strong>ckung vor Ort verlassen kann.<br />
Wenn <strong>de</strong>r Anwen<strong>de</strong>r so an <strong>die</strong> Grenzen se<strong>in</strong>er Unternehmensanwendungen stößt,<br />
wird er e<strong>in</strong>en Weg aus <strong>de</strong>m Conta<strong>in</strong>er f<strong>in</strong><strong>de</strong>n. Er kann sich zum Beispiel Firmendokumente<br />
an <strong>die</strong> private E-Mail-Adresse sen<strong>de</strong>n o<strong>de</strong>r sie mit Hilfe unsicherer<br />
Cloud-Dienste wie Dropbox auf das Gerät br<strong>in</strong>gen. Dann lan<strong>de</strong>n vertrauliche Daten<br />
doch wie<strong>de</strong>r <strong>in</strong> privaten E-Mail-Accounts, unsicheren Cloud-Services <strong>und</strong> unverschlüsselt<br />
auf <strong>de</strong>n Geräten, wo sie dann auch <strong>de</strong>m Zugriff durch das MDM <strong>und</strong><br />
je<strong>de</strong>r Nachvollziehbarkeit entzogen s<strong>in</strong>d.<br />
Das Konzept <strong>von</strong> Cortado gestattet daher explizit <strong>die</strong> Nutzung lokaler Apps <strong>und</strong><br />
ermöglicht <strong>die</strong> Offl<strong>in</strong>e-Verfügbarkeit <strong>von</strong> Dateien. Unabd<strong>in</strong>gbare Voraussetzung dafür<br />
ist wie schon erwähnt <strong>die</strong> Nutzung <strong>de</strong>r lokalen Verschlüsselungsfunktionen, <strong>die</strong><br />
heute lei<strong>de</strong>r noch immer ke<strong>in</strong>e Selbstverständlichkeit ist. Das Beispiel zeigt, dass<br />
offene Konzepte, <strong>die</strong> solche Aktionen explizit erlauben <strong>und</strong> dafür sichere Wege<br />
anbieten, aufgr<strong>und</strong> ihrer höheren Flexibilität für <strong>de</strong>n Nutzer letztlich sicherer s<strong>in</strong>d<br />
als Conta<strong>in</strong>er-Lösungen.<br />
Auch bei <strong>de</strong>r<br />
<strong>Integration</strong> <strong>de</strong>r<br />
Mobilgeräte <strong>in</strong> <strong>die</strong><br />
IT-Infrastruktur e<strong>in</strong>es<br />
Unternehmens gilt es<br />
Sicherheitsaspekte zu<br />
beachten.<br />
Je<strong>de</strong> Lösung muss<br />
sowohl <strong>in</strong> Bezug<br />
auf <strong>die</strong> gebotene<br />
technische Sicherheit<br />
als auch auf ihre<br />
Akzeptanz h<strong>in</strong> geprüft<br />
wer<strong>de</strong>n – optimal s<strong>in</strong>d<br />
Lösungen, <strong>die</strong> bei<strong>de</strong>s<br />
vere<strong>in</strong>en.<br />
17
18<br />
4.3 Sichere <strong>Integration</strong> <strong>in</strong>s Backend<br />
Die verfügbaren Möglichkeiten e<strong>in</strong>er Absicherung <strong>de</strong>r Backend-<strong>Integration</strong> ist ab-<br />
hängig vom gewählten <strong>Integration</strong>skonzept (siehe Kapitel 3). Die folgen<strong>de</strong>n Pr<strong>in</strong>-<br />
zipien haben sich als beson<strong>de</strong>rs vorteilhaft erwiesen – <strong>in</strong>sbeson<strong>de</strong>re wenn das<br />
Verhältnis <strong>von</strong> Funktionalität, Komfort <strong>und</strong> Sicherheit beurteilt wird.<br />
1. <strong>Integration</strong> <strong>in</strong>s Active Directory:<br />
E<strong>in</strong>e möglichst vollständige <strong>Integration</strong> <strong>in</strong>s Active Directory ermöglicht es, sämtliche<br />
<strong>von</strong> e<strong>in</strong>em Mobilgerät <strong>in</strong>itiierten Prozesse ausschließlich als angemel<strong>de</strong>ter<br />
Benutzer <strong>und</strong> im Kontext se<strong>in</strong>er <strong>de</strong>f<strong>in</strong>ierten Berechtigungen auszuführen.<br />
Der Cortado Corporate Server erlaubt darüber h<strong>in</strong>aus auch noch weitere Festlegungen,<br />
zum Beispiel, welche Laufwerke, Ordner o<strong>de</strong>r Netzwerkdrucker <strong>de</strong>r jeweilige<br />
Anwen<strong>de</strong>r auch vom mobilen Gerät sehen kann, ob er Dateien im Unternehmensnetz<br />
löschen darf <strong>und</strong> ob <strong>de</strong>r Up- <strong>und</strong> Download <strong>von</strong> Dateien für ihn erlaubt<br />
se<strong>in</strong> soll.<br />
2. Zentrale Datenhaltung:<br />
Die Datenhaltung auf <strong>de</strong>m mobilen Gerät sollte e<strong>in</strong>geschränkt wer<strong>de</strong>n. Dadurch<br />
verr<strong>in</strong>gern sich nicht nur das Risiko e<strong>in</strong>es Datenverlustes <strong>und</strong> <strong>de</strong>r Aufwand für <strong>die</strong><br />
Synchronisation, son<strong>de</strong>rn auch <strong>die</strong> Gefahr, dass Anwen<strong>de</strong>r unterwegs alte Dateiversionen<br />
nutzen. Deshalb sorgt <strong>die</strong> Cortado-Lösung für <strong>die</strong> sichere Verfügbarkeit<br />
<strong>de</strong>r zentral im Unternehmensnetzwerk gespeicherten Daten für <strong>de</strong>n mobilen<br />
Gebrauch <strong>und</strong> macht dadurch <strong>die</strong> <strong>de</strong>zentrale Datenhaltung auf <strong>de</strong>m Mobilgerät<br />
weitgehend überflüssig.<br />
3. Möglichst wenig Ports öffnen:<br />
Je nach<strong>de</strong>m, welche Systeme bzw. Applikationen mit <strong>de</strong>m Mobilgerät kommunizieren<br />
sollen, müssen Ports geöffnet wer<strong>de</strong>n, <strong>die</strong> zum E<strong>in</strong>fallstor für Angreifer<br />
wer<strong>de</strong>n können. Daher sollte e<strong>in</strong>e Lösung gewählt wer<strong>de</strong>n, bei <strong>de</strong>nen möglichst<br />
wenig Ports genutzt wer<strong>de</strong>n. Für <strong>die</strong> Cortado-Lösung z.B. muss nur e<strong>in</strong> e<strong>in</strong>ziger<br />
Port (443) geöffnet wer<strong>de</strong>n.<br />
4. Spezielle Anfor<strong>de</strong>rungen:<br />
Bei <strong>de</strong>r Wahl e<strong>in</strong>er <strong>Integration</strong>slösung müssen eventuell bestehen<strong>de</strong> beson<strong>de</strong>re Sicherheitsanfor<strong>de</strong>rungen<br />
berücksichtigt wer<strong>de</strong>n, etwa <strong>die</strong> Unterstützung <strong>von</strong> Hochverfügbarkeit<br />
o<strong>de</strong>r <strong>die</strong> Möglichkeit <strong>de</strong>s Track<strong>in</strong>gs <strong>von</strong> Geräten <strong>und</strong> <strong>de</strong>s Audit<strong>in</strong>gs,<br />
also <strong>de</strong>s Protokollierens <strong>de</strong>r Nutzeraktivitäten auf <strong>de</strong>n Systemen. Letzteres erhöht<br />
nicht nur Nachvollziehbarkeit <strong>und</strong> Sicherheit (z.B. durch frühzeitiges Erkennen<br />
e<strong>in</strong>es Missbrauchs), son<strong>de</strong>rn kann auch zur Kostensenkung beitragen (z.B. Druck-
kostenkontrolle). E<strong>in</strong>e an<strong>de</strong>re, für viele nicht unwichtige Frage ist <strong>die</strong> nach <strong>de</strong>n<br />
Datenschutzbed<strong>in</strong>gungen <strong>de</strong>r Plattformanbieter: Apple etwa behält sich <strong>in</strong> se<strong>in</strong>en<br />
AGBs vor, e<strong>in</strong>e Reihe <strong>von</strong> Nutzerdaten zu erheben.<br />
Es ist <strong>in</strong> je<strong>de</strong>m Fall empfehlenswert, bereits vor <strong>de</strong>r Implementierung mobiler<br />
Prozesse e<strong>in</strong>e konkrete Risiko- <strong>und</strong> Schwachstellenanalyse für das eigene Unternehmen<br />
durchzuführen. Dabei wer<strong>de</strong>n nicht nur mögliche Bedrohungen i<strong>de</strong>ntifiziert,<br />
son<strong>de</strong>rn auch <strong>die</strong> Ressourcen <strong>de</strong>s Unternehmens daraufh<strong>in</strong> beurteilt, ob sie<br />
ausreichen, <strong>die</strong>sen Bedrohungen wirksam zu begegnen. Wer nicht selbst über das<br />
notwendige Know-how <strong>und</strong> Personal verfügt, sollte sich <strong>in</strong> je<strong>de</strong>m Fall Unterstützung<br />
<strong>von</strong> erfahrenen IT-Experten holen. Klar jedoch sollte e<strong>in</strong>es se<strong>in</strong>: Vollständige<br />
Sicherheit gibt es nicht – je<strong>de</strong>s Unternehmen muss Risiken <strong>und</strong> Chancen, mögliche<br />
Sicherheitsbedrohungen, <strong>de</strong>n Aufwand ihrer Abwehr <strong>und</strong> <strong>die</strong> zu erwarten<strong>de</strong>n<br />
Vorteile durch mehr Produktivität <strong>und</strong> Flexibilität für sich abwägen.<br />
19
Hauptnie<strong>de</strong>rlassung<br />
USA (Ohio) Nie<strong>de</strong>rlassung<br />
Cortado AG<br />
Alt-Moabit 91a/b<br />
10559 Berl<strong>in</strong>, Germany<br />
Tel.: +49 (0)30-39 49 31-0<br />
Fax: +49 (0)30-39 49 31-99<br />
E-Mail: <strong>in</strong>fo@team.cortado.<strong>de</strong><br />
www.cortado.<strong>de</strong><br />
Cortado, Inc.<br />
20006 Detroit Rd<br />
Cleveland, OH 44146, USA<br />
Tel: +1-440-331-8446<br />
Fax: +1-303-942-7500<br />
E-mail: <strong>in</strong>fo@cortado.team.com<br />
www.cortado.com<br />
Cortado, Inc.<br />
7600 Grandview Avenue, Suite 200<br />
Denver, CO 80002, USA<br />
Tel.: +1-303-487-1302<br />
ax: +1-303-942-7500<br />
Cortado Pty Ltd.<br />
Level 20, The Zenith Centre, Tower A,<br />
821 Pacific Highway<br />
Chatswood, NSW 2067, Australien<br />
Tel.: +61-(0)2-84 48 20 91<br />
Cortado Japan<br />
B1 AIG build<strong>in</strong>g · 1-1-3 Marunouchi<br />
Chiyoda-ku, Tokyo 100-0005<br />
Tel.: +81-(0)3-52 88 53 80<br />
Fa x: +81-(0)3-52 88 53 81<br />
A Brand of<br />
Alle Namen <strong>und</strong> Warenzeichen s<strong>in</strong>d Namen <strong>und</strong> Warenzeichen <strong>de</strong>r jeweiligen Hersteller · Text: unlimited communications market<strong>in</strong>g gmbh berl<strong>in</strong>, Dr. Michael Richter, Rosenthaler Str. 40-41, 10178 Berl<strong>in</strong><br />
USA (Colorado) Nie<strong>de</strong>rlassung<br />
Australien Nie<strong>de</strong>rlassung<br />
Japan Nie<strong>de</strong>rlassung