´Für welche Unternehmen rechnet es sich überhaupt, den Mitarbeiterm mobile Geräte zur Verfügung zu stellen und wenn ja, welche Voraussetzungen müssen geschaffen werden? Diese und weitere Fragen zum Thema Mobile Device Management (MDM) beantwortet Matthias Juchoff, Channel Manager bei dem Beratungsunternehmen Aagon Consulting.
Wer braucht eigentlich ein Mobile Device Management (MDM)?
Eine Faustregel besagt, dass sich der Einsatz eines klassischen Clientmanagement-Systems zur Administration von Arbeitsplatz-PCs irgendwo zwischen 20 bis 50 Rechnern anfängt zu lohnen. Diese Formel gilt bei Smartphones und Tablets nicht mehr, sobald auf den Geräten vertrauliche Unternehmensdaten gespeichert sind. Denn im Gegensatz zum PC auf dem Schreibtisch sind die mobilen Geräte mit ihrem Benutzer regelmäßig unterwegs - und gehen dabei verloren, werden gestohlen oder von Dritten "ausgeliehen". Wer im Fall eines Verlusts das betroffene Smartphone oder Tablet aus der Ferne nicht sperren oder besser löschen kann, gibt leichtfertig sensible Daten in fremde Hände - und seien es auch "nur" firmeninterne E-Mails. Für mobile Geräte gilt daher, dass selbst bei nur einigen wenigen Mobilgeräten zumindest ein rudimentäres MDM vorhanden sein sollte.
Der Mythos BYOD
Bring your own device - kurz BYOD - ist als Schlagwort in aller Munde und wird auch gerne von Softwareherstellern als der Grund angeführt, warum Unternehmen unbedingt ein Mobile-Device-Management-System kaufen sollten. Doch ist BYOD bei näherer Betrachtung für Unternehmen nicht unbedingt die bessere Alternative. Denn die vordergründige Ersparnis bei der Beschaffung der Endgeräte (sofern diese wirklich vom Anwender selbst gekauft werden) wird schnell von einem viel aufwändigeren Management und vor allem von rechtlichen und administrativen Herausforderungen zunichte gemacht. Besser ist es, wenn das Unternehmen selbst die gewünschten Endgeräte beschafft und diese seinen Mitarbeitern zur Verfügung stellt - und zwar mit ganz genauen Richtlinien auch für die private Nutzung.
Geben ist besser als nehmen
Wer mobile Endgeräte administriert, wird in den allermeisten Fällen bestimmte Nutzungsbereiche einschränken. Beispielsweise könnten Unternehmen die Funktion der Kamera in sicherheitssensiblen Bereichen deaktivieren, die Installation unerwünschter Anwendungen verbieten, einen Sperrbildschirm mit Passworteingabe auf dem Smartphone verlangen oder bei Verdacht auf Diebstahl Daten auf dem Gerät löschen. Wer dies als Unternehmen auf dem, von einem Mitarbeiter privat beschafften und bezahltem Endgerät tun möchte, wird hier sehr schnell auf Unverständnis stoßen. Kauft hingegen die Firma ihren Angestellten das neueste iPhone und erlaubt ihnen auch die private Nutzung innerhalb bestimmter Spielregeln, ruft dies wahrscheinlich vornehmlich positive Reaktion hervor und motiviert die Mitarbeiter.
Homogenität statt Gerätewildwuchs
Wenn Unternehmen selber über die Auswahl der mobilen Endgeräte entscheiden, haben sie unter anderem die Kontrolle darüber, welche Devices mit welchen Betriebssystemen zum Einsatz kommen. Auf diese Weise lässt sich - analog zu den Arbeitsplatz-PCs - eine relativ homogene mobile Infrastruktur herstellen. Und das wiederum vereinfacht deren Administration deutlich. Wer beispielsweise nur iPhones der vierten Generation mit iOS 6 verwalten muss, tut sich deutlich leichter als ein Unternehmen, das verschiedenste Geräte von HTC, Samsung, Apple und Blackberry mit unterschiedlichen Speicherkapazitäten, Bildschirmauflösungen, Prozessoren und mit allein 24 verschiedenen Android-Versionen seit Android 2.0, mehreren Versionen von iOS sowie diversen Varianten des Blackberry-OS unterstützen muss.
Zugang zum Firmennetz kontrollieren
Wohl jedes Unternehmen mit Internetzugang betreibt mittlerweile zumindest eine Firewall, um sich vor unerwünschten Besuchern zu schützen. Doch um mobilen Mitarbeitern zentrale IT-Ressourcen zur Verfügung zu stellen, müssen diese auch von unterwegs aus erreichbar sein. Am sichersten ist hierbei immer noch der Zugang über ein VPN, was jedoch auch mit einem hohen Administrationsaufwand verbunden ist. Alternativ kann auch ein Mobile-Device-Management-System die Aufgabe der Zugangskontrolle übernehmen und nur ihm bekannten Geräten den Zugriff auf zentrale Anwendungen und Daten gestatten. Dabei arbeitet das MDM-System als den Anwendungen vorgeschalteter Proxy-Server.
Usability ist Schlüsselfunktion
Alle Hersteller von Lösungen für das Mobile Device Management kochen nur mit Wasser. In der Praxis heißt das, dass sich die Programme bezüglich ihrer Möglichkeiten zur Administration der verschiedenen Mobilgeräte, nicht groß voneinander unterscheiden - sofern die Hersteller alle von den mobilen Betriebssystemen bereitgestellten Schnittstellen entsprechend implementiert haben. Denn was aus der Ferne etwa auf einem iPhone an Einstellungen und Aktionen möglich ist, entscheidet letztlich nicht der Entwickler einer MDM-Software, sondern Apple. Android-Geräte beschränken sich analog auf die von Google bereitgestellten Managementfunktionen mit der Ausnahme von Samsung, das erst kürzlich zusätzliche Administrationsmöglichkeiten für MDM-Systeme auf seinen Android-Smartphones implementiert hat. Umso wichtiger ist es, dass ein Mobile-Device-Management-System eine einfach zu benutzende Oberfläche bereitstellt, die auch unerfahreneren Administratoren eine schnelle Nutzung des Systems ermöglicht. Ist die Benutzerschnittstelle zu komplex, wird das MDM nicht genutzt - mit allen Auswirkungen auf die Sicherheit des Unternehmens.
Jailbreak und Root müssen draußen bleiben
Bei der Auswahl eines MDM-Systems ist es wichtig, dass dieses sowohl Jailbreaks auf iOS-Geräten als auch "gerootete" Android-Devices erkennt - und per Einstellung am besten gleich abweist. Denn Geräte, bei denen sich der Benutzer an den Sicherheitsmaßnahmen der Hersteller vorbei den Vollzugriff auf Betriebssystem und Hardware verschafft hat, können auf keinen Fall mehr als sicher betrachtet werden. Für den Einsatz in Unternehmen gibt es zudem - dank entsprechender Enterprise App Stores - keinen Grund mehr, ein Mobiltelefon mit Jailbreak einzusetzen, um eigene Anwendungen auf dem Gerät betreiben zu können. Anders gesagt: Wer trotzdem Telefone mit Jailbreak oder Root-Zugriff in seinem Netz erlaubt, kann seinen Anwendern auch gleich das Administratorpasswort für den Firmenserver übergeben.
Restriktionen nicht übertreiben
Auch wenn moderne MDM-Systeme unzählige Möglichkeiten bieten, Funktionen auf den damit verwalteten mobilen Endgeräten einzuschränken, sollten Unternehmen dies mit Augenmaß einsetzen. Denn ein "komplett sicheres" iPhone, auf dem nicht einmal ein privates Spiel installiert werden darf, wird Mitarbeiter sicher nicht unbedingt motivieren. Bei den Einschränkungen sollte daher gelten: So viel wie nötig und so wenig wie möglich. Ein Beispiel für eine in den meisten Fällen zu strenge Regel wäre etwa, alle Inhalte auf einem Smartphone nach dreimalig falscher Eingabe der PIN komplett zu löschen. Auch die Vorgabe von zehnstelligen Passwörtern mit Sonderzeichen sowie Groß- und Kleinschreibung wird spätestens dann wütende Anrufe beim Support auslösen, wenn der erste Mitarbeiter versucht, sein Gerät einhändig im Auto zu bedienen.
Rechtzeitig mit MDM beginnen
Wer zu spät mit der Einführung eines Mobile-Device-Management-Systems beginnt, der riskiert, dass sich die Mitarbeiter bereits an ihre grenzenlose Freiheit bei der Nutzung von Smartphones und Tablets mit firmeneigenen Daten gewöhnt haben. Jede, wenn auch so sinnvolle, Beschränkung der Nutzer wird dann schnell als Schikane wahrgenommen. Besser ist es, so früh wie möglich die Spielregeln für den Einsatz mobiler Endgeräte im Unternehmen festzulegen und den Mitarbeitern klar zu kommunizieren.
Kommunikation ist alles
Umfangreiche Kommunikation im Vorfeld sollte dabei nicht nur die eigenen Mitarbeiter betreffen. Auch deren Vertretung im Betriebsrat sollte in entsprechende MDM-Projekte mit eingebunden werden. Denn da auf Smartphones und Tablets neben Firmendaten auch persönliche Informationen gespeichert sein können, ist es ratsam, etwaige Bedenken gleich von Anfang an auszuräumen. Und auch hier empfiehlt es sich, durch klare Richtlinien - in diesem Fall für die Administratoren - eine missbräuchliche Nutzung des MDM zu unterbinden. (bw)