marktübersichtThin ClientsMobile Device Management in UnternehmenTipps zum sicheren Umgangmit mobilen EndgerätenDie Zeiten, in denen sich Systemadministratoren nur um ihre Server <strong>und</strong> PC-Arbeitsplätzekümmern mussten, sind vorbei. Denn an Smartphones <strong>und</strong> Tablets kommt heute keinUnternehmen mehr vorbei. Doch werden <strong>die</strong>se Geräte nicht so administriert wie derklassische Arbeitsplatzrechner, sind <strong>die</strong> mobilen Arbeitsgeräte doch vor allem eines:ein großes <strong>Sicherheit</strong>srisiko.Denn auf Smartphones <strong>und</strong> iPadsbefinden sich immer mehr sensibleUnternehmensdaten, deren Verlustselten nur ärgerlich ist, oft aber teuerwerden kann. Was Firmen beim Umgangmit mobilen Endgeräten beachtensollten, haben <strong>die</strong> Spezialisten vonAagon Consulting in folgenden zehnTipps zusammengefasst. Hier erklärensie u. a. auch, warum „Bring your owndevice (BYOD)“ für Unternehmen nichtunbedingt der beste Ansatz ist.Wer braucht eigentlich ein MobileDevice Management (MDM)?Eine Faustregel besagt, dass sich derEinsatz eines klassischen Client-Managementsystemszur Administrationvon Arbeitsplatz-PCs irgendwo zwischen20 bis 50 Rechnern anfängt zulohnen. Diese Formel gilt bei Smartphones<strong>und</strong> Tablets nicht mehr, sobaldauf den Geräten vertrauliche Unternehmensdatengespeichert sind. Denn imGegensatz zum PC auf dem Schreibtischsind <strong>die</strong> mobilen Geräte mit ihremBenutzer regelmäßig unterwegs – <strong>und</strong>können dabei verloren gehen, gestohlenoder von Dritten „ausgeliehen“werden. Wer im Fall eines Verlusts dasbetroffene Smartphone oder Tablet ausder Ferne nicht sperren oder besser löschenkann, gibt leichtfertig sensibleDaten in fremde Hände – <strong>und</strong> seien esauch „nur“ firmeninterne E‐Mails. Esgilt daher, dass selbst bei nur einigenwenigen im Einsatz befindlichen Mobilgerätenzumindest ein rudimentäresMDM vorhanden sein sollte.Der Mythos BYODBring your own device – kurz BYOD –ist als Schlagwort in aller M<strong>und</strong>e <strong>und</strong>wird auch gerne von Softwareherstellernals der Gr<strong>und</strong> angeführt, warumUnternehmen unbedingt ein Mobile-Device-Management-System kaufensollten. Doch ist BYOD bei näherer Betrachtungfür Unternehmen nicht unbedingt<strong>die</strong> bessere Alternative. Denn <strong>die</strong>vordergründige Ersparnis bei der Beschaffungder Endgeräte (sofern <strong>die</strong>sewirklich vom Anwender selbst gekauftwerden) wird schnell von einem vielaufwendigeren Management <strong>und</strong> v. a.von rechtlichen <strong>und</strong> administrativenHerausforderungen zunichte gemacht.Besser ist es, wenn das Unternehmenselbst <strong>die</strong> gewünschten Endgeräte beschafft<strong>und</strong> sie seinen Mitarbeitern zurVerfügung stellt – <strong>und</strong> zwar mit ganzgenauen Richtlinien auch für <strong>die</strong> privateNutzung.Geben ist besser als nehmenWer mobile Endgeräte administriert,wird in den allermeisten Fällen bestimmteNutzungsbereiche einschränken.Beispielsweise könnten Unternehmen<strong>die</strong> Funktion der Kamera insicherheitssensiblen Bereichen deaktivieren,<strong>die</strong> Installation unerwünschterAnwendungen verbieten, einen Sperrbildschirmmit Passworteingabe aufdem Smartphone verlangen oder beiVerdacht auf Diebstahl Daten auf demGerät löschen. Wer <strong>die</strong>s als Unternehmenauf dem von einem Mitarbeiter privatbeschafften <strong>und</strong> bezahlten Endgerättun möchte, wird hier sehr schnell aufUnverständnis stoßen. Kauft hingegen<strong>die</strong> Firma ihren Angestellten das neuesteiPhone <strong>und</strong> erlaubt ihnen auch <strong>die</strong>private Nutzung innerhalb bestimmterSpielregeln, ruft <strong>die</strong>s wahrscheinlichvornehmlich positive Reaktionen hervor<strong>und</strong> motiviert <strong>die</strong> Mitarbeiter.Homogenität stattGeräte wildwuchsWenn Unternehmen selber über <strong>die</strong>Auswahl der mobilen Endgeräte entscheiden,haben sie u. a. <strong>die</strong> Kontrolledarüber, welche Devices mit welchenBetriebssystemen zum Einsatz kommen.Auf <strong>die</strong>se Weise lässt sich – analogzu den Arbeitsplatz-PCs – eine relativhomogene mobile Infrastruktur herstellen.Und das wiederum vereinfachtderen Administration deutlich. Werbeispielsweise nur iPhones der viertenGeneration mit iOS 6 verwalten muss,44MIDRANGE MAGAZIN · 02/2013
tut sich deutlich leichter als ein Unternehmen,das verschiedenste Geräte vonHTC, Samsung, Apple <strong>und</strong> Blackberrymit unterschiedlichen Speicherkapazitäten,Bildschirmauflösungen, Prozessoren<strong>und</strong> mit allein 24 verschiedenenAndroid-Versionen seit Android 2.0,mehreren Versionen von iOS sowie diversenVarianten des Blackberry-OSunterstützen muss.Zugang zum FirmennetzkontrollierenWohl jedes Unternehmen mit Internetzugangbetreibt mittlerweile zumindesteine Firewall, um sich vor unerwünschtenBesuchern zu schützen. Doch ummobilen Mitarbeitern zentrale IT-Ressourcenzur Verfügung zu stellen, müssen<strong>die</strong>se auch von unterwegs aus erreichbarsein. Am sichersten ist hierbeiimmer noch der Zugang überein VPN, was jedoch auch mit einemhohen Administrationsaufwandverb<strong>und</strong>en ist. Alternativ kann auch einMobile-Device-Management-System <strong>die</strong>Aufgabe der Zugangskontrolle übernehmen<strong>und</strong> nur ihm bekannten Gerätenden Zugriff auf zentrale Anwendungen<strong>und</strong> Daten gestatten. Dabei arbeitet dasMDM-System als den Anwendungenvorgeschalteter Proxy-Server.Usability gilt als <strong>die</strong>SchlüsselfunktionAlle Hersteller von Lösungen für dasMobile Device Management kochennur mit Wasser. In der Praxis heißt das,dass sich <strong>die</strong> Programme bezüglich ihrerMöglichkeiten zur Administrationder verschiedenen Mobilgeräte nichtgroß voneinander unterscheiden – sofern<strong>die</strong> Hersteller alle von den mobilenBetriebssystemen bereitgestelltenSchnittstellen entsprechend implementierthaben. Denn was aus der Ferneetwa auf einem iPhone an Einstellungen<strong>und</strong> Aktionen möglich ist, entscheidetletztlich nicht der Entwicklereiner MDM-Software, sondern Apple.Android-Geräte beschränken sich analogauf <strong>die</strong> von Google bereitgestelltenManagementfunktionen, mit der Ausnahme,dass Samsung erst kürzlichzusätzliche Administrationsmöglichkeitenfür MDM-Systeme auf seinenAndroid-Smartphones implementierthat. Umso wichtiger ist es, dass einMobile-Device-Management-System eineeinfach zu benutzende Oberflächebereitstellt, <strong>die</strong> auch unerfahrenerenAdministratoren eine schnelle Nutzungdes Systems ermöglicht. Ist <strong>die</strong> Benutzerschnittstellezu komplex, wird dasMDM nicht genutzt – mit allen negativenAuswirkungen auf <strong>die</strong> <strong>Sicherheit</strong>des Unternehmens.Jailbreak <strong>und</strong> Rootmüssen draußen bleibenBei der Auswahl eines MDM-Systemsist es wichtig, dass es sowohl Jailbreaksauf iOS-Geräten als auch „gerootete“Android-Devices erkennt – <strong>und</strong> perEinstellung am besten gleich abweist.Denn Geräte, bei denen sich der Benutzeran den <strong>Sicherheit</strong>smaßnahmen derHersteller vorbei den Vollzugriff auf Betriebssystem<strong>und</strong> Hardware verschaffthat, können auf keinen Fall mehr als sicherbetrachtet werden. Für den Einsatzin Unternehmen gibt es zudem – dankentsprechender Enterprise App Stores– keinen Gr<strong>und</strong> mehr, ein Mobiltelefonmit Jailbreak einzusetzen, um eigeneAnwendungen auf dem Gerät betreibenzu können. Anders gesagt: Wer trotzdemTelefone mit Jailbreak oder Root-Zugriff in seinem Netz erlaubt, kannseinen Anwendern auch gleich dasAdministratorpasswort für den Firmenserverübergeben.Restriktionen nicht übertreibenAuch wenn moderne MDM-Systemeunzählige Möglichkeiten bieten, Funktionenauf den damit verwalteten mobilenEndgeräten einzuschränken, solltenUnternehmen hier Augenmaß waltenlassen. Denn ein „komplett sicheres“iPhone, auf dem nicht einmal ein privatesSpiel installiert werden darf, wirdMitarbeiter sicher nicht motivieren. Beiden Einschränkungen sollte daher gelten:So viel wie nötig <strong>und</strong> so wenig wiemöglich. Ein Beispiel für eine in denmeisten Fällen zu strenge Regel wäreetwa, alle Inhalte auf einem Smartphonenach dreimalig falscher Eingabeder PIN komplett zu löschen. Auch <strong>die</strong>Vorgabe von zehnstelligen Passwörternmit Sonderzeichen sowie Groß- <strong>und</strong>Kleinschreibung wird spätestens dannwütende Anrufe beim Support auslösen,wenn der erste Mitarbeiter versucht,sein Gerät einhändig im Auto zube<strong>die</strong>nen.Rechtzeitig mit Mobile DeviceManagement beginnenWer zu spät mit der Einführung einesMobile-Device-Management-Systemsbeginnt, der riskiert, dass sich <strong>die</strong> Mitarbeiterbereits an ihre grenzenloseFreiheit bei der Nutzung von Smartphones<strong>und</strong> Tablets mit firmeneigenen Datengewöhnt haben. Jede Beschränkungder Nutzer – sei sie auch noch so sinnvoll– wird dann schnell als Schikanewahrgenommen. Besser ist es, so frühwie möglich <strong>die</strong> Spielregeln für denEinsatz mobiler Endgeräte im Unternehmenfestzulegen <strong>und</strong> den Mitarbeiternklar zu kommunizieren.Kommunikation ist allesUmfangreiche Kommunikation imVorfeld sollte dabei nicht nur <strong>die</strong> eigenenMitarbeiter betreffen, sondernauch deren Vertretung im Betriebsratin entsprechende MDM-Projekte miteinbinden. Denn da auf Smartphones<strong>und</strong> Tablets neben Firmendaten auchpersönliche Informationen gespeichertsein können, ist es ratsam, etwaigeBedenken gleich von Anfang an auszuräumen.Und auch hier empfiehlt essich, durch klare Richtlinien – in <strong>die</strong>semFall für <strong>die</strong> Administratoren – einemissbräuchliche Nutzung des MDM zuunterbinden. Sebastian Weber ówww.aagon.de02/2013 · MIDRANGE MAGAZIN45