MobileIron: Der Weg in die Mobile IT

MobileIron

MobileIron

Die Herausforderungen der Mobile IT gewinnen in Unternehmen zunehmend an Brisanz. Sicherheit, Apps und Management greifen bei der geschäftlichen Nutzung von Smartphones und Tablets untrennbar ineinander. So müssen sich CSOs und IT-Verantwortliche mit der Sicherheit mobiler Daten, der Trennung zwischen privaten und geschäftlichen Daten (BYOD), einem Mobile App Management und auch geeigneten User SelfService-Funktionen auseinandersetzen.  Der erfahrene IT-Journalist Ingo Steinhaus hat sich diesen zentralen Businessthemen angenommen und den  Country Manager DACH von MobileIron Christof Baumgärtner dazu befragt.

Ingo Steinhaus: Wie schwer (oder leicht) ist es, alle Systeme (iOS, Android, WP7.x, BlackBerry, Symbian) unter einen Hut zu bekommen?

Christof Baumgärtner: „Um die mobile Betriebssystemlandschaft unter einen Hut zu bringen, wie Sie es formulieren, ist in erster Linie entscheidend, dass man gute und enge Geschäftsbeziehungen zu allen Herstellern in der Branche besitzt. Wir pflegen persönliche Kontakte auf allen Ebenen. Das ist der Garant für die erfolgreiche Zusammenarbeit auf internationaler Ebene und vor Ort. Dadurch unterstützt unsere MDM Lösung neue mobile Betriebssysteme wie Apple iOS 5 und Google Android 4 (Ice Cream Sandwich) sofort bei Markteintritt. Player wie etwa HTC, Huawai, Samsung und Motorola können mit unserer Mobile Device Management Lösung ihre neuen Smartphones und Tablets Enterprise Ready auf den Markt bringen. Unsere Kunden schätzen dies, da sie ihre Mitarbeiter nicht vertrösten müssen. Ihre Mitarbeiter haben Wahlfreiheit, wo, wann und womit sie arbeiten.
Eine große Herausforderung für MDM-Lösungsanbieter stellt die Fragmentierung der Android-Plattform dar. Auch vielen App-Entwicklern sind die Kompatibilitätsprobleme  verursacht durch die unterschiedlichen Betriebssystem-Versionen von Android ein Dorn im Auge. Aufgrund unserer engen Zusammenarbeit mit den Herstellern bzgl. Samsung SAFE und 3LM sowie mit Cisco sind wir hier gut aufgestellt. Mit MobileIron 4.5 stellen wir seit November vergangenen Jahres IT-Verantwortlichen eine umfassende Security-Management-Plattform zur Verfügung, mit der sie die Android Betriebssystem-Welt zuverlässig im Griff haben. Mobilitätslösungen von Samsung und Cisco sind integriert.
Weitere Kriterien einer zentralen Multiplattform MDM-Lösung sind einfache IT-Integration, hohe Skalierbarkeit und Usability. Eine modular aufgebaute Lösung wie unsere (MobileIron Sentry  und VSP Appliance) lässt sich einfacher in bestehende IT-Infrastrukturen integrieren. Auch wenn der Fokus auf den neuen mobilen Betriebssystemen wie iOS and Android liegt, unterstützt MobileIron ebenso die Altbestände an Symbian, BlackBerry oder Windows Mobile.
Durch hohe Skalierbarkeit wächst die MDM-Lösung mit den Anforderungen des Unternehmens mit. Das webbasierte Userinterface ist übersichtlich und transparent aufgebaut.“

MobileIron: Übersicht der mobilen Endgeräte

MobileIron: Übersicht der mobilen Endgeräte

Ingo Steinhaus: Wie sieht es mit Selfservice aus? Kann ein Endanwender (Smartphone-Nutzer) bestimmte Optionen selbst verwalten oder ist die Verwaltung via Admin Pflicht?

Christof Baumgärtner: „Der Administrator und auch das mobile Betriebssystem (was der Vendor per MDM anbietet) geben vor, welche Optionen der Smartphone- oder Tablet-Benutzer selbst managen kann. In MyPhone@Work, dem MobileIron Selfservice, können zum Beispiel folgende Managementfunktionen für den Benutzer frei geschaltet werden:

  • Eigenes Gerät ins Management aufnehmen
  • Ortung des eigenen Device
  • Device sperren und löschen sowie
  • Installierte Apps anzeigen“

Ingo Steinhaus: Gibt es spezielle Berichtstools, mit denen das Management einen schnellen Überblick über die Lage bekommt?

Christof Baumgärtner: „In der neuen ATLAS Konsole kann man sich so genannte Dashboards individuell zusammenstellen. Das Auslesen der Daten  ist über LDAP-/AD-Kriterien oder manuell steuerbar. So kann ein Vertriebsleiter für den EMEA-Bereich jederzeit die aktuellen Daten seines Vertriebsteams einsehen. Weiterhin können alle Geräteinformationen über Schnittstellen automatisiert abgefragt und in eigenen Berichtstools weiterverarbeitet werden.“

Ingo Steinhaus: Auf welche Weise garantiert die Anwendung für die Sicherheit der Daten und für den Datenschutz?

Christof Baumgärtner: „MobileIron bietet ein mehrstufiges Security-Management für mobile Endgeräte und Applikationen. Es umfasst granular einstellbare Datenschutz-Richtlinien, ActiveSync-Zugangskontolle sowie zertifikatsbasierte Sicherheit. Hinzu kommen die Erkennung bösartiger Apps (siehe Bild), die Identifizierung kompromittierter Geräte, selektives Fernlöschen (Wipe) von E-Mail- und PIM-Daten sowie von Apps inklusive ihrer Daten.
Am Beispiel von iOS-Geräten lässt sich  anschaulich erklären, wie MobileIron Daten schützt. Unter Apple iOS arbeitet jede App per se abgeschirmt im Container, so lange das Gerät nicht jailbroken ist. Aus Sicherheitsgründen werden Passwörter mit einer Mindestlänge erzwungen und die Daten mit 256 bit AES verschlüsselt. Die iOS Data Protection ist die einzige Verschlüsselung, die den Cryptochip verwendet.
Auf Android-Geräten schützt MobileIron Daten sowohl bei der Übertragung als auch Speicherung. Die IT kann Verschlüsselungsregeln für die Datenspeicherung auf Samsung GALAXY-Geräten und Geräten mit Android 3.0 und späteren Versionen zentral vorgeben. Durch die Integration von Cisco AnyConnect in MobileIron 4.5 wird eine sichere SSL-VPN-Verbindung für die Datenübertragung von und zu Android basierten Geräten hergestellt.
Die MobileIron VSP kann gehostet sein oder beim Kunden in der DMZ stehen. So kann das Unternehmen die Datenverbindungen tracken. Zudem betreiben wir ein Rechenzentrum in Deutschland, so dass deutsche Unternehmen Smartphones und Tablets ohne Compliance-Bedenken verwalten und administrieren können.“

MobileIron iPad App Storefront

MobileIron iPad App Storefront

Ingo Steinhaus: Sperrt die Anwendung Appstores bzw. Apps allgemein oder gibt es Verfahren mit Whitelists/Blacklists?

Christof Baumgärtner: „Man kann den Zugriff auf den Apple AppStore komplett unterbinden. Das macht aber keiner unserer Kunden und wir empfehlen dies auch nicht, da damit die Attraktivität eines iPhones oder iPads verloren geht.
Wir empfehlen unseren Kunden einen Enterprise AppStore einzurichten (Whitelisting), in dem sie ihren Mitarbeitern selbst entwickelte Apps (Inhouse Apps) neben vom Unternehmen empfohlenen AppStore Apps (Featured Apps) anbieten. Darüber hinaus ist unser AppStore schon vorbereitet auf PrePaid Apps, die ein Unternehmen später über das VPP Programm (Volume Purchase Program) von Apple einkauft/bezahlt und seinen Anwendern zur Verfügung stellt. Der IT-Verantwortliche hinterlegt dafür die entsprechende VPP-Datei der gewünschten App in der MobileIron „App Distribution“.
Zusätzlich können Webclips direkt auf die Devices gepushed werden.

MobileIron: App Control Policy violated

MobileIron: App Control Policy violated

Unternehmen können unerwünschte Apps aus dem AppStore (per Anwendungs-ID identifizierbar) auf eine BlackList setzen. Anders als bei den „alten“ mobilen Plattformen kann bei Apple iOS und Google Android nicht verhindert werden, dass der Anwender die Apps trotz Verbots installiert. Aber die IT kann sicherstellen, dass sie sofort informiert wird, um dann zu entscheiden, welche Folge-Aktionen ausgelöst werden. Solch’ eine Aktion kann eine ermahnende E-Mail mit der Bitte um De-Installation sein. Es kann aber genauso gut auch eine Sperre oder die Quarantäne des Geräts sein. Wir empfehlen unseren Kunden selbst im Extremfall, das betreffende Smartphone oder Tablet nicht zu löschen, sondern zuerst für den Benutzer unzugänglich zu machen. Der Vorteil: Das mobile Endgerät bleibt im Management, ist aber für den Besitzer/Benutzer nicht mehr verwendbar. Im Angriffsfall kann die IT das Gerät genauer untersuchen, bevor sie das Gerät dann löscht.“

MobileIron: Apple iPhone in Quarantäne

MobileIron: Apple iPhone in Quarantäne

Ingo Steinhaus: Welche MDM-Methode zur Trennung “Business/Privat” ist (technisch) empfehlenswert? Selektives Wipen? “Sandbox”? Virtualisierung? Andere?

Christof Baumgärtner: „Ein selektives Wipen aller Enterprise Daten inklusive ausgerollter Zertifikate muss eine professionelle Lösung können. Wenn von Anfang an sichergestellt ist, dass alle Unternehmensinformationen über den MDM-Weg auf die Smartphones und Tablets kommen, kann das Unternehmen sie über diesen Weg (Retire, Selektive Wipe) auch wieder entfernen.
Apple hat mit iOS 5 jede Applikation in eine sichere Sandbox gesetzt. Voraussetzung ist ein sicheres Passwort. Diese Sandbox unterstützt  unter anderem die Trennung Business/Privat und schirmt jede Applikation einzeln gegen andere Applikationen ab.
Virtualisierung ist aktuell nicht sonderlich empfehlenswert, da nur der Endgerätehersteller selbst diese sinnvoll implementieren kann. Dies würde vermutlich zu einer weiteren Fragmentierung bei Android führen.“

Veröffentlicht in Anbieter, Betriebssysteme, Mobile Device Management, Mobile IT, Security, Smartphone Verwaltung, Smartphones, Tablet-PC Getagged mit: