Auf der Suche nach einer BYOD-StrategieDer Begriff Mobile Device Management (MDM) hat derzeit Hochkonjunktur. Die entsprechenden Lösungen unterschiedlicher Anbieter sollen Mitarbeitern ersparen, zwei Geräte – für den privaten und den geschäftlichen Einsatz – herumschleppen zu müssen. IT-Leiter wiederum könnten Dank MDM den Überblick behalten, nicht nur über den Geräte-Zoo sondern vor allem auch über den direkt damit verbundenen App-Wildwuchs. Zu den neusten Produkten in diesem Bereich gehören die kürzlich vorgestellten Lösungen von MobileIron. "AppConnect" etwa kapselt Apps – sowohl für iOS als auch Android – in Container, was eine Trennung der Daten und Schutz vor unautorisiertem Zugriff sichern soll. Dabei können die App-Container untereinander verbunden werden, um die gemeinsame Nutzung von Daten auf eine sichere Basis stellen. "Das native Nutzererlebnis der App wird dadurch nicht beeinträchtigt" betont Christof Baumgärtner, Country Manager DACH bei MobileIron, im Gespräch mit silicon.de. "Der Nutzer darf sich also weiter jede App herunterladen, beispielsweise kann er dann aber in seine Dropbox-App keine Firmendaten speichern, wenn dies der Administrator nicht zugelassen hat", beschreibt Baumgärtner das Prinzip der "Containerization". Möglich wird das durch zwei technische Implementierungen. "Beim so genannten App-Wrapping etwa wird Software quasi um eine App herumgepackt." Derart geschützt seien solche Apps keine Gefahr mehr für Compliance-Vorgaben. App-Wrapping funktioniert allerdings nur für Android-Apps. In Apples App Store ist Wrapping nicht erlaubt – um das Container-Prinzip umzusetzen, arbeitet MobileIron hier deshalb mit einem Software Development Kit (SDK). Doch es sind nicht nur konkrete IT-Lösungen, die das Thema Mobile Device Management derzeit vorantreiben. "Bring Your Own Device ist kein Security-Problem, in Wirklichkeit haben CIOs keine Strategie", bringt es etwas provokant Christoph Rau, Deutschlandchef von CA Technologies auf den Punkt. Er fordert in diesem Zusammenhang von IT-Leitern unter anderem mehr Kreativität (http://www.silicon.de/41574934/ca-expo-cios-mussen-aus-ihrem-mauseloch-kommen/). MobileIron-Chef Baumgärtner sieht das ähnlich: "Vielen Kunden fällt es schwer, zu entscheiden, was genau zu tun ist. Das liegt auch daran, weil es mit das erste Mal ist, dass man für die Entwicklung einer IT-Strategie Entscheider abteilungsübergreifend an einen Tisch bringen muss." Es scheint viel Beratungsarbeit nötig zu sein. Aagon Consulting aus Soest versucht es für den Anfang mit einem Zehn-Punkte-Plan, der hier in einer Kurzübersicht dargestellt werden soll. 1. Wer braucht eigentlich ein Mobile Device Management (MDM)? Eine Faustregel besagt, dass sich der Einsatz eines klassischen Clientmanagement-Systems zur Administration von Arbeitsplatz-PCs ab 20 bis 50 Rechnern anfängt zu lohnen. Diese Formel gelte bei Smartphones und Tablets nicht mehr, sobald auf den Geräten vertrauliche Unternehmensdaten gespeichert sind. Aagon rät deshalb, dass selbst bei nur einigen wenigen Mobilgeräten zumindest ein rudimentäres MDM vorhanden sein sollte. 2. Der Mythos BYOD BYOD werde von Softwareherstellern gerne als der Grund angeführt, warum Unternehmen unbedingt ein MDM-System kaufen sollten. Doch sei BYOD bei näherer Betrachtung für Unternehmen nicht unbedingt die bessere Alternative, sagt Aagon mit Blick auf rechtliche und administrative Herausforderungen. Besser sei deshalb, wenn ein Unternehmen selbst die gewünschten Endgeräte beschafft und diese seinen Mitarbeitern zur Verfügung stelle – und zwar mit ganz genauen Richtlinien auch für die private Nutzung. 3. Geben ist besser als nehmen Wer mobile Endgeräte administriert, werde in den allermeisten Fällen bestimmte Nutzungsbereiche einschränken. Wer dies als Unternehmen auf dem, von einem Mitarbeiter privat beschafften und bezahltem Endgerät tun möchte, werde hier sehr schnell auf Unverständnis stoßen. Kaufe hingegen die Firma ihren Angestellten das neueste iPhone und erlaubt ihnen auch die private Nutzung innerhalb bestimmter Spielregeln, rufe dies wahrscheinlich vornehmlich positive Reaktion hervor und motiviert die Mitarbeiter. 4. Homogenität statt Gerätewildwuchs Wenn Unternehmen selber über die Auswahl der mobilen Endgeräte entscheiden, haben sie unter anderem die Kontrolle darüber, welche Devices mit welchen Betriebssystemen zum Einsatz kommen. Wer beispielsweise nur iPhones der vierten Generation mit iOS 6 verwalten muss, tue sich deutlich leichter als ein Unternehmen, das verschiedenste Geräte mit unterschiedlichen Speicherkapazitäten, Bildschirmauflösungen, Prozessoren und Betriebssystemen unterstützen muss. 5. Zugang zum Firmennetz kontrollieren Am sichersten sei hierbei immer noch der Zugang über ein VPN, was jedoch auch mit einem hohen Administrationsaufwand verbunden ist. Alternativ könne auch ein MDM-System die Aufgabe der Zugangskontrolle übernehmen und nur ihm bekannten Geräten den Zugriff auf zentrale Anwendungen und Daten gestatten. 6. Usability ist Schlüsselfunktion Alle Hersteller von Lösungen für das Mobile Device Management kochten nur mit Wasser, so Aagon. In der Praxis heiße das, dass sich die Programme bezüglich ihrer Möglichkeiten zur Administration der verschiedenen Mobilgeräte, nicht groß voneinander unterscheiden. Umso wichtiger sei, dass ein MDM-System eine einfach zu benutzende Oberfläche bereitstelle, die auch unerfahreneren Administratoren eine schnelle Nutzung des Systems ermögliche. 7. Jailbreak und Root müssen draußen bleiben Bei der Auswahl eines MDM-Systems sei es wichtig, dass dieses sowohl Jailbreaks auf iOS-Geräten als auch "gerootete" Android-Devices erkennt – und per Einstellung am besten gleich abweist. "Wer trotzdem Telefone mit Jailbreak oder Root-Zugriff in seinem Netz erlaubt, kann seinen Anwendern auch gleich das Administratorpasswort für den Firmenserver übergeben", so die Aaron-Berater. 8. Restriktionen nicht übertreiben Auch wenn MDM-Systeme unzählige Möglichkeiten bieten, Funktionen auf den mobilen Endgeräten einzuschränken, sollten Unternehmen dies mit Augenmaß einsetzen, um Mitarbeiter nicht zu demotivieren. Ein Beispiel für eine in den meisten Fällen zu strenge Regel wäre etwa, alle Inhalte auf einem Smartphone nach dreimalig falscher Eingabe der PIN komplett zu löschen. Die Experten raten deshalb zum Prinzip, so viel wie nötig und so wenig wie möglich. 9. Rechtzeitig mit MDM beginnen Wer sich zu spät mit MDM beschäftige, riskiere, dass sich die Mitarbeiter bereits an ihre grenzenlose Freiheit bei der Nutzung von Smartphones und Tablets mit firmeneigenen Daten gewöhnt haben. Besser sei deshalb, so früh wie möglich die Spielregeln für den Einsatz mobiler Endgeräte im Unternehmen festzulegen und klar zu kommunizieren. 10. Kommunikation ist alles Da auf Smartphones und Tablets neben Firmendaten auch persönliche Informationen gespeichert sein können, sei es ratsam, etwaige Bedenken gleich von Anfang an auszuräumen. Auch hier empfehle es sich, durch klare Richtlinien – in diesem Fall für die Administratoren – eine missbräuchliche Nutzung des MDM zu unterbinden.

Lange haben IT-Abteilungen versucht, den ungeliebten Trend zu ‘Bring Your Own Device’ von den eigenen Mitarbeitern fern zu halten. 2012 wurden sie von der Realität eingeholt. Im Mittelpunkt der Diskussion inzwischen die Suche nach der richtigen Strategie. Ein Beratungshaus hat jetzt eine Liste mit 10 Tipps veröffentlicht.

Christof Baumgaertner_Portrait — **Christof Baumgärtner. Quelle: MobileIron.**

Der Begriff Mobile Device Management (MDM) hat derzeit Hochkonjunktur. Die entsprechenden Lösungen unterschiedlicher Anbieter sollen Mitarbeitern ersparen, zwei Geräte – für den privaten und den geschäftlichen Einsatz – herumschleppen zu müssen. IT-Leiter wiederum könnten Dank MDM den Überblick behalten, nicht nur über den Geräte-Zoo sondern vor allem auch über den direkt damit verbundenen App-Wildwuchs.

Zu den neusten Produkten in diesem Bereich gehören die kürzlich vorgestellten Lösungen von MobileIron. “AppConnect” etwa kapselt Apps – sowohl für iOS als auch Android – in Container, was eine Trennung der Daten und Schutz vor unautorisiertem Zugriff sichern soll. Dabei können die App-Container untereinander verbunden werden, um die gemeinsame Nutzung von Daten auf eine sichere Basis stellen.

“Das native Nutzererlebnis der App wird dadurch nicht beeinträchtigt” betont Christof Baumgärtner, Country Manager DACH bei MobileIron, im Gespräch mit silicon.de. “Der Nutzer darf sich also weiter jede App herunterladen, beispielsweise kann er dann aber in seine Dropbox-App keine Firmendaten speichern, wenn dies der Administrator nicht zugelassen hat”, beschreibt Baumgärtner das Prinzip der “Containerization”.

Möglich wird das durch zwei technische Implementierungen. “Beim so genannten App-Wrapping etwa wird Software quasi um eine App herumgepackt.” Derart geschützt seien solche Apps keine Gefahr mehr für Compliance-Vorgaben. App-Wrapping funktioniert allerdings nur für Android-Apps. In Apples App Store ist Wrapping nicht erlaubt – um das Container-Prinzip umzusetzen, arbeitet MobileIron hier deshalb mit einem Software Development Kit (SDK).

Doch es sind nicht nur konkrete IT-Lösungen, die das Thema Mobile Device Management derzeit vorantreiben. “Bring Your Own Device ist kein Security-Problem, in Wirklichkeit haben CIOs keine Strategie”, bringt es etwas provokant Christoph Rau, Deutschlandchef von CA Technologies auf den Punkt. Er fordert in diesem Zusammenhang von IT-Leitern unter anderem mehr Kreativität.

MobileIron-Chef Baumgärtner sieht das ähnlich: “Vielen Kunden fällt es schwer, zu entscheiden, was genau zu tun ist. Das liegt auch daran, weil es mit das erste Mal ist, dass man für die Entwicklung einer IT-Strategie Entscheider abteilungsübergreifend an einen Tisch bringen muss.”

Es scheint viel Beratungsarbeit nötig zu sein. Aagon Consulting aus Soest versucht es für den Anfang mit einem Zehn-Punkte-Plan, der hier in einer Kurzübersicht dargestellt werden soll.

1. Wer braucht eigentlich ein Mobile Device Management (MDM)?
Eine Faustregel besagt, dass sich der Einsatz eines klassischen Clientmanagement-Systems zur Administration von Arbeitsplatz-PCs ab 20 bis 50 Rechnern anfängt zu lohnen. Diese Formel gelte bei Smartphones und Tablets nicht mehr, sobald auf den Geräten vertrauliche Unternehmensdaten gespeichert sind. Aagon rät deshalb, dass selbst bei nur einigen wenigen Mobilgeräten zumindest ein rudimentäres MDM vorhanden sein sollte.

2. Der Mythos BYOD
BYOD werde von Softwareherstellern gerne als der Grund angeführt, warum Unternehmen unbedingt ein MDM-System kaufen sollten. Doch sei BYOD bei näherer Betrachtung für Unternehmen nicht unbedingt die bessere Alternative, sagt Aagon mit Blick auf rechtliche und administrative Herausforderungen. Besser sei deshalb, wenn ein Unternehmen selbst die gewünschten Endgeräte beschafft und diese seinen Mitarbeitern zur Verfügung stelle – und zwar mit ganz genauen Richtlinien auch für die private Nutzung.

3. Geben ist besser als nehmen
Wer mobile Endgeräte administriert, werde in den allermeisten Fällen bestimmte Nutzungsbereiche einschränken. Wer dies als Unternehmen auf dem, von einem Mitarbeiter privat beschafften und bezahltem Endgerät tun möchte, werde hier sehr schnell auf Unverständnis stoßen. Kaufe hingegen die Firma ihren Angestellten das neueste iPhone und erlaubt ihnen auch die private Nutzung innerhalb bestimmter Spielregeln, rufe dies wahrscheinlich vornehmlich positive Reaktion hervor und motiviert die Mitarbeiter.

4. Homogenität statt Gerätewildwuchs
Wenn Unternehmen selber über die Auswahl der mobilen Endgeräte entscheiden, haben sie unter anderem die Kontrolle darüber, welche Devices mit welchen Betriebssystemen zum Einsatz kommen. Wer beispielsweise nur iPhones der vierten Generation mit iOS 6 verwalten muss, tue sich deutlich leichter als ein Unternehmen, das verschiedenste Geräte mit unterschiedlichen Speicherkapazitäten, Bildschirmauflösungen, Prozessoren und Betriebssystemen unterstützen muss.

5. Zugang zum Firmennetz kontrollieren
Am sichersten sei hierbei immer noch der Zugang über ein VPN, was jedoch auch mit einem hohen Administrationsaufwand verbunden ist. Alternativ könne auch ein MDM-System die Aufgabe der Zugangskontrolle übernehmen und nur ihm bekannten Geräten den Zugriff auf zentrale Anwendungen und Daten gestatten.

6. Usability ist Schlüsselfunktion
Alle Hersteller von Lösungen für das Mobile Device Management kochten nur mit Wasser, so Aagon. In der Praxis heiße das, dass sich die Programme bezüglich ihrer Möglichkeiten zur Administration der verschiedenen Mobilgeräte, nicht groß voneinander unterscheiden. Umso wichtiger sei, dass ein MDM-System eine einfach zu benutzende Oberfläche bereitstelle, die auch unerfahreneren Administratoren eine schnelle Nutzung des Systems ermögliche.

7. Jailbreak und Root müssen draußen bleiben
Bei der Auswahl eines MDM-Systems sei es wichtig, dass dieses sowohl Jailbreaks auf iOS-Geräten als auch “gerootete” Android-Devices erkennt – und per Einstellung am besten gleich abweist. “Wer trotzdem Telefone mit Jailbreak oder Root-Zugriff in seinem Netz erlaubt, kann seinen Anwendern auch gleich das Administratorpasswort für den Firmenserver übergeben”, so die Aaron-Berater.

8. Restriktionen nicht übertreiben
Auch wenn MDM-Systeme unzählige Möglichkeiten bieten, Funktionen auf den mobilen Endgeräten einzuschränken, sollten Unternehmen dies mit Augenmaß einsetzen, um Mitarbeiter nicht zu demotivieren. Ein Beispiel für eine in den meisten Fällen zu strenge Regel wäre etwa, alle Inhalte auf einem Smartphone nach dreimalig falscher Eingabe der PIN komplett zu löschen. Die Experten raten deshalb zum Prinzip, so viel wie nötig und so wenig wie möglich.

9. Rechtzeitig mit MDM beginnen
Wer sich zu spät mit MDM beschäftige, riskiere, dass sich die Mitarbeiter bereits an ihre grenzenlose Freiheit bei der Nutzung von Smartphones und Tablets mit firmeneigenen Daten gewöhnt haben. Besser sei deshalb, so früh wie möglich die Spielregeln für den Einsatz mobiler Endgeräte im Unternehmen festzulegen und klar zu kommunizieren.

10. Kommunikation ist alles
Da auf Smartphones und Tablets neben Firmendaten auch persönliche Informationen gespeichert sein können, sei es ratsam, etwaige Bedenken gleich von Anfang an auszuräumen. Auch hier empfehle es sich, durch klare Richtlinien – in diesem Fall für die Administratoren – eine missbräuchliche Nutzung des MDM zu unterbinden.

Wie gehen Sie mit der mobilen Revolution um? Genau diese Frage steht derzeit im Mittelpunkt einer Umfrage, die unser Kooperationspartner CIONET in Zusammenarbeit mit dem renommierten Beratungshaus Deloitte durchführt. Helfen Sie anderen IT-Entscheidern bei der Entwicklung ihrer Mobil-Strategie und nehmen Sie sich fünf Minuten Zeit für die “2012 Mobility Survey”. Wir sind gespannt auf das Ergebnis, das Sie natürlich unter anderem hier auf silicon.de nachlesen können.

Lesen Sie auch : Android: Google arbeitet an vollständiger Fernlöschung