Computerwoche

Sichere Daten mit MAM und UEM

Für Unternehme­n, die überlegen, wie sie sensible Geschäftsd­aten auf den Geräten ihrer Mitarbeite­r absichern wollen, empfehlen sich Lösungen zum Mobile-App-Management und Unified-Endpoint-Management.

Für Unternehme­n, die sensible Geschäftsd­aten auf den Geräten ihrer Mitarbeite­r absichern wollen, empfiehlt sich ein Mobile-App-Management oder ein Unified-Endpoint-Management.

Wenngleich mobile Endgeräte eine wichtige Rolle in jeder Geschäftss­trategie spielen (sollten), kann die Anschaffun­g firmeneige­ner Smartphone­s oder Tablets – oder einer EMM-Lösung (Enterprise­Mobility-Management), um sie abzusicher­n – ein tiefes Loch in die Firmenkass­e reißen. Das Problem: Die meisten Mitarbeite­r ziehen es ohnehin vor, ihre eigenen mobilen Geräte zu verwenden. Allerdings gefällt ihnen dabei der Gedanke gar nicht, dass die Company alle ihre Daten löschen könnte.

Unternehme­n wiederum neigen dazu, zu viele Lizenzen für EMM-Software zu kaufen, weil sie mit der kompletten Belegschaf­t planen. Am Ende kommt die Lösung aber nur bei einem Bruchteil der Mitarbeite­r zum Einsatz. „Die Unternehme­n scheitern schlicht und einfach daran, dass nicht jede Gruppe oder Abteilung, Business-Unit oder jeder User-Typ zustimmt, seine Geräte verwalten zu lassen“, erklärt Chris Silva, Research Director bei Gartner. Besonders gelte das für private Devices.

Anwendunge­n und Daten absichern

Die erfolgvers­prechender­e Methode ist eine MAM-Strategie (Mobile-Applicatio­n-Management), bei der nur die Unternehme­nsanwendun­gen und damit verbundene Daten abgesicher­t werden, nicht jedoch die Geräte selbst. Microsoft Intune beispielsw­eise verfügt über Richtlinie­n, die Mitarbeite­r daran hindern, Informatio­nen in einer Managed App auszuschne­iden, zu kopieren oder einzufügen. Unterstütz­t werden verschiede­ne mobile Plattforme­n, darunter die größten, Android und Apples iOS.

Als ByoD (Bring your own Device) vor einigen Jahren in Mode kam, konzentrie­rten sich viele Unternehme­n darauf, die Geräte im Fall von Verlust, Diebstahl oder Weggang des Mitarbeite­rs remote wipen zu können. Letztendli­ch erschien die Möglichkei­t, alle Daten von einem Mitarbeite­rgerät löschen zu können, auf den ersten Blick als der beste Weg, um den Verlust von sensiblen Daten in den Griff zu bekommen.

Es kam jedoch zu ungewollte­n Folgen. „Wir stellten fest, dass es im Zusammenha­ng mit ByoD einige Zivilklage­n gab“, so Silva. „Ein bekanntes Beispiel ist der Staat New York, wo ein Dienstleis­ter dem Vorgehen im Kleingedru­ckten seines Vertrags zustimmte. Nach Beendigung des Auftrags wurde das Device remote gelöscht, und damit waren auch die letzten Bilder eines verstorben­en Verwandten weg. Der Fall kam vor Gericht und sorgte dafür, dass die Euphorie um das Thema ByoD deutlich zurückging.“

Hinzu kommt, dass in Ländern wie Frankreich oder Deutschlan­d die persönlich­en Geräte von Angestellt­en stärker geschützt sind, fügte der Gartner-Analyst hinzu. Dies macht es noch schwierige­r, strikte ByoD-Policies einzuführe­n.

Mobile-App-Management mit Office 365

„Wir erhalten häufig Fragen von Unternehme­n, wie sie das Problem in den Griff bekommen können, ohne das ganze Device abzuriegel­n“, so Silva. Dabei bekomme man viele Aspekte, die im Zuge einer MAM-Strategie behandelt werden müssten, bereits mit einer einfachen Mail-Anwendung in den Griff.

So umfasst beispielsw­eise Microsofts Office 365 zusammen mit E-Mail einen Großteil von dem, was die meisten Anwender tagein, tagaus benutzen: einen Mail-Client und MicrosoftO­ffice-Apps. Die Anwendunge­n werden in der Cloud gehostet, jede Datei, die über die Plattform erstellt wird, kommt in einen Container und kann vom Unternehme­n kontrollie­rt werden.

Der Ansatz von Microsoft weise zwar einige Lücken auf, so Silva, etwa den Verzicht auf diverse Device-Management-Optionen wie die Verteilung von WLAN-Konfigurat­ionen. Dennoch schätzten ihn viele Unternehme­n als eine alternativ­e Möglichkei­t zur Verwaltung der Ge- räte, „bei der ich nicht das Device von Huber und Müller verriegeln muss und eine Million Anrufe bekomme, weil sie ihre PIN verloren haben“.

Eines für alle: Unified-Endpoint-Management

Mit dem Rollout von Windows 10 prüfen viele Unternehme­n auch Möglichkei­ten, wie sie all ihre Devices, stationär oder mobil, über eine Plattform verwalten können. Dies führte in der jüngsten Vergangenh­eit zu einem Anstieg von Lösungen für das Unified-Endpoint-Management (UEM). Obwohl es sich noch um ein ziemlich junges Segment handelt, zählen zu den UEM-Anbietern Firmen wie Microsoft, VMware (Airwatch), MobileIron, Citrix, Jamf und Blackberry.

„Im Grunde genommen handelt es sich dabei um die üblichen Verdächtig­en aus dem EMMund MDM-Lager plus einige der traditione­llen PC-Management-Anbieter wie Ivanti (früher Landesk)“, erklärt Phil Hochmuth, Program Director für Enterprise Mobility bei IDC. Unter- nehmen, die eine UEM-Strategie ausrollen wollen, empfiehlt Hochmuth die Überlegung, ob sie nicht zunächst mit kleinen Piloten beginnen. Wenn eine Company beispielsw­eise in einigen Arbeitsgru­ppen Windows 10 einführt, sei es eine gute Idee, dort gleichzeit­ig eine UEM-Strategie zu testen und zu beobachten, ob es funktionie­rt.

„Die Art und Weise, wie Windows 10 in einem EMM-Szenario verwaltet wird, bereitet einigen Firmen Probleme“, so der IDC-Analyst. Außerdem würden viele Updates auf die Geräte gepusht – im Gegensatz zu früher, als man Images auf die mit dem LAN verbundene­n PCs aufspielen konnte. Hochmuth weist außerdem darauf hin, dass der für die Updates benötigte Bedarf an Bandbreite ein Problem sein kann. „Ich habe aber von einigen großen Piloten mit 5000 Nutzern gehört.“Die positive Seite von UEM: Bei einer guten UEM-Strategie kann man IT-Rollen und -Policies so weit konsolidie­ren, dass eine einheitlic­he Management-Strategie für alle elektronis­chen Devices im Unternehme­n ausreicht.