SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

BetriebssystemWorauf es bei der Auswahl von mobilen Betriebssystemen ankommt: Gartner-Analysten und andere empfehlen derzeit eine Blackberry-Migration, weil sie den einstigen Marktführer des Enterprise-Telefons nicht mehr für zukunftssicher halten. 

Folglich beschäftigen sich viele Unternehmen mit der Frage, welches mobile Betriebssystem ihren Anforderungen heute und in Zukunft genügt; eine eingehende Betrachtung der Technologien lohnt sich. Dabei geht es nicht nur um Systeme, die sich in den letzten zwei Jahren durchgesetzt haben und zahlreich zum Einsatz kommen, sondern auch um neue Technologien, die in den Fokus rücken werden.

Experten sprechen es einigen mobilen Betriebssystemen strikt ab, dass sie wirklich sicher sind. Aus diesem Grund müssen Firmen von Anfang an zwischen mobilen Betriebssystemen unterscheiden, die schon nativ über Einschränkungsfunktionen und ein eingebautes Container-Prinzip verfügen und solchen, die diese Sicherheitsprinzipen nicht bieten. Gleichzeitig existiert ein breites Angebot von Drittanbietern, die Container-Lösungen als Anwendungen „on top“ anbieten: Deshalb gibt es mittlerweile auch vielfältige Möglichkeiten, die Sicherheit von Mobilgeräten in Firmenumgebungen zu gewährleisten. In einer mobilen Geschäftswelt, in die zunehmend Consumer-Produkte Einzug halten, sind diese Einstellungsmöglichkeiten sowohl für Firmen- als auch für BYOD-Endgeräte zwingend notwendig. 

iOS

iOS hat sich mittlerweile in der Geschäftswelt etabliert und mehr als die Hälfte der Firmenanwender in MDM-Umgebungen arbeitet auf iOS-Geräten. Das liegt unter anderem daran, dass diese Devices schon seit 2010 mit iOS 4 über einen weitreichenden MDM-Funktionsumfang verfügen, der auf allen Apple iOS-Produkten einheitlich und zuverlässig arbeitet; die MDM-Schnittstellen sind offen für Dritte. An dieser Stelle hat Apple Pionierarbeit geleistet und mit jeder weiteren iOS Version den Funktionsumfang kontinuierlich ausgebaut. Mit dem aktuellen iOS 7 ist dieses Spektrum noch einmal signifikant erweitert worden. Zum einen wurde das iOS Container-Prinzip (Sandbox) ausgebaut. Jetzt kann noch genauer gesteuert werden, wie Anwendungen, Email-Konten und Dokumente zwischen „Privat“ und „Geschäftlich“ abgeschottet werden beziehungsweise miteinander interagieren dürfen. Zum anderen verfügt iOS 7 über ein neues, lizenzbasiertes Volume Purchase Programm (VPP), mit dem es erstmals möglich ist, kostenpflichtige Apps aus dem App Store an die Anwender zu verteilen. Einzigartig ist dabei vor allem die Möglichkeit, dass die Lizenz-Apps, die bei einem Anwender gelöscht werden, einem anderen Lizenznehmer wieder neu zugeordnet werden können. 

Im Herbst 2014 wird es bei iOS 8 zahlreiche Erweiterungen und Neuerungen in den Bereichen Sicherheit, Produktivität, Gerätemanagement, Anwendungsentwicklung sowie beim Dokumentenmanagement geben. Unter anderem stehen dann 'VPN Always-on’ mit ‚Content Filtering’ Funktion, zahlreiche Verbesserungen für die native iOS Mail und Kalender App zur Verfügung, wie beispielsweise die Meeting-Verfügbarkeit Dritter oder die Markierung privater Termine.

Das Apple DEP (Device Enrollment Program) erlaubt derzeit den Kunden in USA und Kanada, iOS Devices fest ans Unternehmen zu binden. Selbst nach einem ‚Device Wipe’ verbindet sich das iOS Gerät automatisch mit dem MDM Server und kann erst nach erneuter Benutzerregistrierung wieder verwendet werden. Es wird erwartet, dass das DEP-Programm in den nächsten Quartalen auch in Europa zur Verfügung stehen wird; derzeit ist das Programm allerdings nur für iOS Geräte verfügbar, die bei Apple direkt gekauft werden. Es bleibt spannend zu beobachten, ob Apple das Programm für die Geräte, die über Mobilefunkanbieter und Service Dienstleister in die Unternehmen Einzug finden, erweitern wird.

Neben diesen iOS nativen Bordmitteln können Unternehmen optional Container-Anwendungen von Drittanbietern einsetzen, die mit einem eigenen Email Client, Web Browser, Dokumentenzugriff und einer Integration von selbstentwickelten Unternehmensanwendungen aufwarten. Neben dem alternativen Sicherheitskonzept steht hier auch eine betriebssystemübergreifende, einheitliche Bedienung im Vordergrund, um Benutzern den Wechsel auf andere Smartphone-Hersteller zu vereinfachen und Supportkosten zu optimieren.

Fazit: iOS wird in den kommenden Jahren weiterhin eine wichtige Rolle bei den Unternehmen spielen und die Nachfrage seitens der Anwender an die IT wird weiter steigen. Deshalb müssen sich die IT-Verantwortlichen mit iOS beschäftigen – ob sie wollen oder nicht.

Android (Google)

Quantitativ wie qualitativ sind die MDM-Funktionen beim nativen Android Betriebssystem von Google im Vergleich zu iOS überschaubar. Es fehlen zahlreiche Einstellungsmöglichkeiten und einigen Unternehmen und deren Sicherheitsanforderungen entspricht dieses Betriebssystem aufgrund der offenen Architektur und den vielen Meldungen über Malware nur teilweise. Da die Anzahl der Android-Geräte in den Unternehmen in 2013 allerdings merklich zugenommen hat, kommt die IT auch hier nicht daran vorbei, sich mit diesem Betriebssystem zu beschäftigen. Android ist aber nicht gleich Android. Wichtig ist zwischen dem nativen Android (Google) und Android mit herstellerspezifischen Erweiterungen (zum Beispiel Samsung SAFE) zu unterscheiden. 

Wer dennoch mit dem nativen Android Betriebssystem arbeitet, kann Container-Lösungen von Drittanbietern einsetzen und so einen sichereren und steuerbaren Zugriff etwa auf Emails, Browsing oder Unternehmensdokumente umsetzen. Sind diese Herausforderungen gemeistert, geht es noch um die Akzeptanz bei den Anwendern: sie bevorzugen in der Regel die nativen Email-Accounts, Kalender und Kontakte Anwendungen von Android und können sich oft mit der Container-Alternative nur schwer anfreunden. Ein Vorteil aus Sicht der IT ist es aber, dass Android (Google) in Kombination mit einer Container-Lösung die einheitliche, herstellerunabhängige Steuerung sämtlicher Mobilgeräte ermöglicht. Allerdings ist es ein Trugschluss zu glauben, dass Container-Apps zu 100 Prozent den Sicherheitsanforderungen der Unternehmen genügen: Container-Kontakte müssen zum Android OS freigegeben werden, damit die Telefonnummer bei einem einkommenden Anruf einem Kontakt zugeordnet werden kann, und der Name im Display erscheint. Ein weiteres Defizit bleibt: Anders als bei iOS 7 lassen sich keine kostenpflichtigen Apps ausrollen, zurücknehmen und neuen Anwendern zuordnen - ein lizenzbasiertes Konzept sieht Google derzeit nicht vor.

Aber es gibt ein Licht am Horizont: Auf der Google I/O Konferenz im Juni 2014 wurde das „Android for Work“ Framework vorgestellt, das auf jedem Gerät mit dem zukünftigen Android L Betriebssystem enthalten sein soll. Android for Work wird umfangreiche Verwaltungsmöglichkeiten für Unternehmen bieten, etwa eine strikte Trennung von privaten und beruflichen Daten, für die Google Teile des Samsung Knox Security Frameworks verwenden wird. Anwendungen bzw. Objekte können damit als „beruflich“ gekennzeichnet und mit Richtlinien versehen werden. Für die maximale Kontrolle – sowohl über das Gerät als auch über die Anwendungen und Daten - können Android Geräte als „Corporate Devices“ festgelegt werden. Persönliche Daten kann der Benutzer selbst einfach über einen „Kill Switch“ löschen. Anwendungen vom Google Play Store können gezielt verteilt und aktualisiert werden und kostenpflichtige Google-Play-Store-Anwendungen können von Unternehmen im „Bulk“-Verfahren eingekauft und verwaltet werden.

Erste Geräte mit Android L werden für die erste Jahreshälfte 2015 erwartet. Alle Android for Work Funktionen stehen als APIs den MDM- beziehungsweise EMM-Anbietern zur Verfügung, um die neuen Managementfunktionen in die Administratorkonsole zu integrieren.

Fazit: Noch sind nicht sämtliche Neuerungen bis ins Detail bekannt, dennoch kann Android for Work als ernsthafter Versuch von Google betrachtet werden, in der Unternehmens-IT Fuß zu fassen. Interessant dabei ist das herstellerübergreifende und einheitliche Konzept, dass mehr Freiheit bei der Wahl der Endgeräte zu lassen wird. Bis diese neuen Möglichkeiten aber zur Verfügung stehen, müssen Unternehmen eine übergeordnete Container-Lösung für Android Geräte in Erwägung ziehen, um zumindest einen sicheren Umgang mit E-Mails, Dokumenten und Browsing zu garantieren. Schwierig bleibt bis dahin auch die Tatsache, dass es im Android-Bereich viele verschiedene Betriebssystemvarianten und –versionen gibt, die gemanagt und im Help Desk unterstützt werden müssen.

Samsung SAFE

2011 war Samsung der erste Hersteller weltweit, der das bestehende Android Betriebssystem um zahlreiche MDM-Funktionen erweitert hat. Das war eine weitreichende Neuerung und heute sind diese Samsung SAFE Funktionen auf einer Vielzahl der Business-Geräte zu finden. Inzwischen haben auch andere Hersteller (HTC, LG, Motorola, Lenovo) ihre MDM-Funktionalität erweitert – aber Samsung verfügt nach wie vor über das größte Funktionsspektrum. Samsung SAFE ermöglicht beispielsweise das Verbot von Screenshots, unterstützt die Konfiguration des nativen Android Email-Clients, verhindert den Zugriff auf die Systemeinstellungen, verfügt über erweiterte VPN und WiFi-Einstellungen, ermöglicht die Konfiguration der Mobilfunk APN, erlaubt die Einschränkung von Roaming und Tethering, erlaubt Remote Control des Gerätes, setzt Limits auf das Datenvolumen und verhindert Firmware-Updates – um nur einige zu nennen. Diese Vielfalt ist mit ein Grund, warum Samsung SAFE Geräte inzwischen im großen Ausmaß bei MDM-Projekten in Firmenumgebungen vorzufinden sind. Außerdem verfügt Samsung über eine eigene, zusätzliche, kostenpflichtige Container-Lösung: Samsung Knox. 

Samsung Knox

Samsung Knox ist seit dem 4. Quartal 2013 verfügbar, die Version 2.0 wurde im Mai veröffentlicht und ist ein interessanter Lösungsansatz. Das Besondere: Das Container-System Samsung Knox ist eine autarke, stark abgeschottete Umgebung auf Android, die mit ihrem „Dual Persona-Prinzip“ den Wechsel zwischen zwei strikt getrennten Benutzeroberflächen - geschäftlich und privat - auf ein und demselben Gerät ermöglicht. Der Umgang mit privaten und geschäftlichen Kalendereinträgen, Kontakten, Emails, Notizen, Aufgaben und Fotos kann granular eingestellt werden. So können zum Beispiel private Termine im Geschäftskalender sichtbar sein, umgekehrt natürlich nicht. Das ist für viele Mitarbeiter und Manager ein Segen, weil sie nicht andauernd zwischen zwei Kalendern zu wechseln müssen und trotzdem Compliance-Anforderungen eingehalten werden können. Browsing, Email und Dokumentenzugriff genügen dank der strikten Abschottung der geschäftlichen Daten, die von der Applikationsebene bis hin zu den genutzten CPU-Kernen reicht, größten Sicherheitsanforderungen. Lediglich ein Defizit bleibt: Auch wenn Samsung schon in den Startlöchern steht – derzeit ist es noch kein weitreichendes App-Lizenzmanagement möglich. Jedoch positioniert Samsung einen eigenen Samsung Knox App Store, in denen Drittanbietern wie beispielsweise Citrix, Evernote oder Dropbox ihre Programme anbieten. Dabei können die Software-Anbieter Samsung Knox Funktionen wie zum Beispiel Single Sign-on integrieren, die über MDM-Lösungen von Drittanbietern gesteuert werden können. Samsung hat zahlreiche etablierte MDM-Anbieter seit dem Entwicklungsprozess mit einbezogen. Somit sind die Kunden nicht von einem Samsung eignen MDM-Verwaltungstool abhängig.

Bleibt zu hoffen, dass viele Software-Anbieter Samsung Knox Funktionen in ihre Lösungen integrieren, und im Samsung App Store anbieten werden. Mit der Version Knox 2.0 hat Samsung die Applikationsvielfalt überaus stark erweitert: Eine vom IT-Administrator vordefinierte, beliebige Anwendung aus dem normalen Google Play Store direkt in dem Knox Container installieren lassen. Somit stehen den Firmen alle notwendigen Android Applikationen in einer stark geschützten Umgebung zur Verfügung.

Fazit: Samsung hat sich im letzten Jahr im Geschäftsumfeld sehr stark etabliert und wird auch 2014 ein Platzhirsch sein, wenn es darum geht Android-Geräte firmentauglich zu verwalten. Samsung Knox gibt es unter anderem für Samsung Galaxy S4 + S5 und eine Auswahl anderer Mobilgeräte. Spannend wird hier der Wettbewerb zu den Container-Lösungen von Drittanbietern sein, die betriebssystemübergreifende Lösungen anbieten.

Microsoft

Seit jeher gibt es ein großes Interesse seitens der Anwender und IT-Verantwortlichen an mobilen Lösungen von Microsoft; das hängt vor allen damit zusammen, dass die Administratoren unter Windows gute und über Jahre ausgereifte Werkzeuge zur sicheren Betreuung und Verwaltung der Geräte besitzen. Im Jahr 2013 hat Microsoft im MDM-Umfeld eine Vielzahl an Aktivitäten bei Windows 8.1 Endgeräten und Windows Phone 8 umgesetzt. Das Jahr 2014 wiederum zeichnet sich durch eine plattformübergreifende Vereinheitlichung von MDM-Funktionen und -Prozessen für alle Windows (Phone) 8.1 Geräte aus.

Windows Phone 8.x

Mit dem Windows Phone 8 ist im Oktober 2012 ein Betriebssystem eingeführt worden, das ein Basis-Set an MDM-Funktionen mit offenen Schnittstellen beinhaltet, die durch MDM-Lösungen Dritter ansteuerbar sind. Zwar wurden damit Features wie Gerätepasswort, Verschlüsselung und Exchange Konto Konfiguration eingeführt, aber andere wichtige Komponenten, wie etwa die VPN & WiFi-Konfiguration oder aber die Möglichkeit (kostenpflichtige) Apps zu verteilen, fehlten noch. Entsprechend reagierten viele Firmen bisher sehr zurückhaltend mit der Einführung dieser Geräte. Mit Windows Phone 8.1 wurde im Juni 2014 diese fehlenden Funktionen eingeführt, sowie das Installieren, Updaten und Löschen von Apps, das Black- & Whitelisting von Anwendungen und das Steuern vom Microsoft App Store, App Sideloading, Apps auf SD card und dem Internet Explorer. Der Registrierungsprozess ist nun einheitlich zu Windows 8.1. Unabhängig davon ist zu beobachten, dass es in 2014 zudem Container-Lösungen von Drittanbietern für Windows Phone 8.x geben wird, beispielsweise für die Bereiche Content-Management und Browsersicherheit. Was die Sicherheit betrifft, hat Microsoft das bewährte Sandboxing-Verfahren „Chambers“ für Anwendungen aus Windows Phone 7 weiter entwickelt. 

Hochinteressant ist für viele Unternehmen die Angleichung der Entwicklungsplattform für Windows 8.1 und Windows Phone 8.1. Grundsätzlich können Desktop Unternehmensanwendungen auf mobile Endgeräte 1:1 übernommen werden. In der Realität entstehen Aufwendungen zur Anpassung auf das Smartphone und Tablet User Interface. Dennoch kann ein Großteil der Anwendung einfach portiert werden. 

Windows 8.1

Seit Anfang 2014 ist Microsoft Windows 8.1 auf einer Vielzahl von Geräten wie Ultrabooks und Tablets verfügbar. Viele Unternehmen planen - beziehungsweise evaluieren - derzeit mit diesen Geräten die klassischen Laptops im Außendienst zu ersetzen: Erstens, weil hierauf selbstentwickelte Unternehmensanwendungen im „klassischen Desktop Modus“ von Windows 8.1 sich leichter portieren lassen und zweitens, weil hierfür neue und offene MDM-Funktionen zur Verfügung stehen. Wichtig dabei ist jedoch zu erwähnen, dass es sich beim Gerätemanagement um eine Art Zwitter handelt: Windows 8.1 hat zwar die neue MDM-Verwaltungsebene, erfordert aber nach wie vor die Nutzung der klassischen Schnittstellen für das Gerätemanagement (OS Installation, Patchmanagement, Paketierung). Somit sind die neuen MDM-Funktionen eine Ergänzung, aber kein Ersatz für bewährte und etablierte CLM Produkte im Markt. Weiterhin ist der MDM-Funktionsumfang ähnlich wie bei Windows Phone 8.1, bietet aber zum Beispiel keine Remote-Konfiguration eines Outlook Exchange Postfaches oder des nativen Windows Email Clients an. Die Anzahl der Windows Store Unternehmensanwendungen für das neue Modern UI ist noch überschaubar beziehungsweise nicht mit gleichem Funktionsumfang verfügbar wie für die klassischen Desktopvarianten oder im Vergleich zu anderen, mobilen Betriebssystemen. Ebenso fehlt die Möglichkeit zum lizenzbasierten Einkaufen und zentralen Verwalten von Windows Store Apps.

Fazit: 2014 wird es zahlreiche Projekte geben, die mobile Geräte mit Windows (Phone) 8.1 nutzen. Wer sich dafür entscheidet, sollte aber bedenken, dass für Windows 8.1 die Anforderungen an MDM und CLM abgedeckt werden müssen. Generell hat Microsoft mit einigen neuen MDM-Funktionen in das Betriebssystem eingeführt – aber im Vergleich zu Apple oder Samsung sind noch weitere Hausaufgaben zu erledigen. Es wird interessant sein zu sehen, ob und wie die neue Windows Plattform von Firmen genutzt wird, um bestehende Unternehmensanwendungen langfristig auf das Windows 8.1 Modern UI und Windows Phone 8.1 Geräte zu portieren. Die Kundennachfrage der letzten Monate lässt klar erkennen, dass viele Unternehmen Windows Phone 8.1 als Alternative oder Ergänzung von iOS und Android auf dem Zettel haben.

Zusammenfassung

Im Mobility-Bereich werden sich 2014 und 2015 voraussichtlich diese OS Technologien durchsetzen: iOS, Android, Samsung und Microsoft Windows (Phone) 8.1. Um grundlegende Entscheidungen zu fällen, kommen IT- Verantwortliche nicht umhin, ihre eigene Mobility-Strategie zu entwickeln und der Dynamik im Markt regelmäßig anzupassen. In vielen Fällen wird es so sein, dass die Mobility-Strategie offen gestaltet ist, weil der Markt und die Zielgruppen im Unternehmen vor allem durch eines geprägt sind: Heterogenität. Firmen sollten daher bei der Auswahl einer Verwaltungslösung auf die Unterstützung der wichtigsten mobilen Betriebssysteme beziehungsweise der schnellen Adaption von Erweiterungen achten. In Bezug auf die Sicherheit ist zu bedenken, dass die Container-Lösungen von Drittanbietern kein Alleinstellungsmerkmal mehr sind, denn einige mobile Betriebssysteme haben das Sandboxing-Prinzip als Sicherheitsmechanismus schon integriert. Darüber hinaus ist es wichtig zu reflektieren, wie mobile Endgeräte in die bestehenden IT Service Management Prozesse und Tools integriert werden können, um ein einheitliches Management für alle Arten von Arbeitsgeräten zu gewährleisten.

www.matrix42.com


Über den Autor: Oliver Klünter ist Product Manager Mobile bei Matrix42. Er ist bei Matrix42 für die Themen Mobility-Strategie und für die Matrix42 Mobile Lösung verantwortlich. Klünter hat langjährige Erfahrung hinsichtlich der Implementierung von Mobility-Projekten und Strategien. Zwischen 1993 und 2007 war er in der technischen Vertriebsunterstützung und im Consulting in den Bereichen WANs und Speicherlösungen tätig (General Electric, Orange Business Services, EMC). 

GRID LIST
 Android-Malware

Bedrohungslage für Android verschärft sich

Die Gefahrenlage für Android-Mobilgeräte spitzt sich weiter zu: 810.965 neue Schaddateien…
Hacked Smartphone

Hybrid-Apps als Einfallstor für Angriffe

Immer mehr Hybrid-Apps im Einsatz – diese bringen Risiken der Webtechnologie auf…
USB

Unternehmen kommen an ein USB-Device-Management nicht vorbei

Optische und magnetische Wechselmedien (beispielsweise CD, DVD, MO-Disk usw.) wurden in…
Mobile Mitarbeiter

Standortvernetzung und sichere Anbindung von mobilen Mitarbeitern | Case Study

Infotecs, Cyber Security und Threat Intelligence Anbieter realisiert ein Projekt zusammen…
Authentifizierung

App sichert Online-Transaktionen und digitale Zugriffe

HID Global, weltweiter Anbieter von vertrauenswürdigen Identitätslösungen, präsentiert…
Mobile Security Tablet

AV-TEST: Perfekter Schutz mit G DATA Mobile Internet Security

Das Test-Institut AV-TEST hat im neuen Vergleichstest 20 Sicherheitslösungen für das…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet