BYOD in der Praxis: Kontrollmöglichkeiten der aktuellen Mobilplattformen im Unternehmenseinsatz

Eine „saubere“ Trennung zwischen privaten und geschäftlichen Daten ist die zentrale Forderung, die es innerhalb einer BYOD-Strategie zu lösen gilt (siehe hierzu auch Beitrag „BYOD: Datenschutz-Empfehlungen und technische Umsetzungsmöglichkeiten“ beim Institut für IT-Recht). Alle heute verbreiteten und aktiv fortentwickelten Smartphone-Plattformen wie Apple iPhone (iOS), Google Android, RIM BlackBerry und Microsoft Windows Phone bieten zumindest die Möglichkeit, mehrere Mail-Konten „getrennt“ voneinander auf einem Gerät zu verwalten. Ohne weitere Maßnahmen kann allerdings hierbei kaum von einer effektiven, aus Datenschutzsicht unbedenklichen Datentrennung die Rede sein.

Beide Bereiche werden zunächst gleichberechtigt auf den Geräten behandelt. Kommt ein ungeschütztes Privatgerät mit geschäftlichen Daten in fremde Hände, liegen daher beide Bereiche gleichermaßen offen. Werden private Mails über das Firmen-Mail-Konto weitergeleitet, geraten sie in das Kontrollsystem des Messaging Systems im Unternehmen (z.B. gesetzliche Mail-Archivierung). Umgekehrt besteht ebenso das Risiko Firmendaten unkontrolliert über das Privatkonto weiterzuleiten. Privat installierte Apps auf den Smartphones können (je nach Mobilplattform) vom Anwender unbemerkt Zugriff auf Mail-Konten erhalten und leiten vertrauliche Information selbsttätig nach außen

Sobald ein Privatgerät mit der Unternehmens-IT verbunden wird, gilt es diese Risiken zu kontrollieren, zu minimieren und möglichst ganz zu unterbinden. iPhones, BlackBerries, wie auch Geräte unter Android und Windows Phone bringen dazu von Haus aus bereits unterschiedliche Voraussetzungen mit, auf die verschiedene Ansätze zum „Mobile Device Management“ (MDM) aufsetzen.

BlackBerry: mächtig, aber immer weniger relevant

Als Maß der Dinge gelten in dieser Disziplin auch weiterhin die BlackBerries des kanadischen Anbieters Research In Motion. Von Grund auf für den Business-Einsatz konzipiert, erlaubt die BlackBerry Enterprise Solution mit ihren zentral durch die IT kontrollierten umfangreichen Sicherheitseinstellungen die genannten Risiken zuverlässig zu unterbinden. Dabei helfen vorallem die unter dem Marketingbegriff „BlackBerry Balance“ zusammengefassten Möglichkeiten, private Daten und Apps wirksam vom geschäftlichen Bereich zu trennen, ohne eine private Nutzung soweit einschränken zu müssen, wie sie von rein geschäftlichen BlackBerry-Nutzern oftmals beklagt wird. Die Lösung leidet aber unter einem zentralem Problem: Im privaten Bereich und damit unter dem Gesichtspunkt BYOD spielen BlackBerries eine immer geringere Rolle. Auch im Geschäftsbereich ist die Zukunft von RIM ungewiss: Erst im ersten Quartal nächsten Jahres soll eine komplett neue Gerätegeneration unter dem komplett neu entwickelten Betriebssystem BlackBerry 10 vorgestellt werden. Auch bei der heutigen BlackBerry Enterprise Solution bleibt in diesem Zuge dann kaum noch ein Stein auf dem alten.

iPhone / iPad: Treibende Kraft des BYOD-Trends

iPhones gehören dagegen zu den treibenden Kräften des BYOD-Trends, der bei genauem Hinsehen für viele Unternehmen daher auch eher als „Bring-Your-Own-iDevice“ ausfällt. Unabhängig von der Beliebtheit des iPhones im privaten Sektor hat Apple bisher nach RIM die größten Anstrengungen unternommen, um seine Geräte auch für den Unternehmenseinsatz fit zu machen. Seit der iOS-Version 5 kann beispielsweise die Weiterleitung von Geschäfts-Mails über ein privates Mail-Konto oder Weiterreichung von Dateianhängen an Dritt-Apps unterbunden werden, das kommende iOS 6 soll ab Herbst auch ein unkontrolliertes Auslesen von Kontaktdaten durch Apps verhindern.

Um diese und andere Sicherheitsrichtlinien wie eine zwingende Geräteverschlüsselung (ab iPhone 3gs) oder die Aktivierung eines Gerätezugangskennwort vordefinierter Güte für private iPhones im Unternehmenskontext verbindlich festzusetzen, ist der Einsatz einer Mobile Device Management Lösung (MDM) erforderlich. Apple hat dazu eine verbindliche MDM-Spezifikation definiert, an die sich alle Anbieter von iOS-konformen MDM-Lösungen orientieren müssen.

Apples MDM-Spezifikation erlaubt Herstellern nicht nur die Verteilung von individuellen Exchange-Konfigurationsdaten „Over-the-Air“ (OTA) an bestimmte Bedingungen zu knüpfen, wie die auf dem Privatgerät vorzufindende iOS-Version („>= 5“) oder vom Unternehmen als Risiko eingestufte privat installierte Apps („Blacklists“), sondern bei Bedarf auch gleich wieder alle per MDM-verteilten Daten inklusive einem Exchange Mail-Konto vom Gerät des Mitarbeiters per Fernbefehl zu entfernen. Dies tangiert nicht den privaten Bereich. Eine solche Maßnahme kann aufgrund von Verstößen des Besitzers gegen Unternehmensrichtlinien oder auch schlicht bei Beendigung des Arbeitsverhältnisses ausgelöst werden.

Das nahezu unübersichtliche Angebot an MDM-Lösungen für iPhones, das  zudem stetig wächst, unterscheidet sich in Möglichkeiten zur Integration in die bestehende Infrastruktur (Mac-lastig, Microsoft-orientiert, Domino-integriert usw.), Unterstützung der administrativen Arbeit zur Vermeidung unerkannter Sicherheitslücken (Stichwort App-Management) und insbesondere auch in der Kontrolle des Mail-Zugriffs. MDM-Lösungen wie beispielsweise AirWatch und MobileIron können durch verschiedene Mechanismen gezielt die weitere Exchange-Synchronisation unterbinden, solange der Gerätebesitzer nicht einen unternehmenskonformen Zustand auf seinem Gerät herstellt. Dies stellt eine etwas weniger instrusive Reaktionsmöglichkeit dar, als gleich zum Mittel „Löschen aller Firmendaten“ greifen zu müssen.

Aber auch das mittlerweile relativ weit gediehene MDM von Apples Gnaden erlaubt keine vollständige Trennung von privaten und geschäftlichen Mail-Daten. Letztlich liegen beide auf gleicher Sicherheitsebene: Wer Zugriff auf die eine Seite hat, weil das Gerätekennwort nicht aktiv war oder im Extremfall die Geräteverschlüsselung gebrochen wurde, dem steht auch die andere Seite offen. Höhere Sicherheitsanforderungen, wie sie beispielsweise im Bankensektor oder Gesundheitswesen vorzufinden sind, addressiert die von ehemaligen RIM-Mitarbeitern gegründete Firma Good Technologies mit ihrem Produkt Good for Enterprise, das sehr stark dem BlackBerry-Modell ähnelt. Die Lösung basiert auf der Good App, die unabhängig von den iOS Standard-Apps eigene Funktionen zur Mail-. Kalender-, Kontakt- und Dateianhangsverwaltung in einem eigenen Sicherheitscontainer („Sandbox-System“) bereitstellt. Dieser kommunizieren über einen verschlüsselten Kanal mit korrespondierenden Serverkomponenten im Unternehmen. Alle Daten im Sicherheitscontainer werden unabhängig verschlüsselt, der Zugang über Passcode und der Datenaustausch mit anderen Apps exakt durch zentral verwaltete Richtlinien gesteuert. Natürlich hat auch diese konsequenteste Umsetzung des BYOD-Modells eine Schattenseite: Die Arbeit mit geschäftlichen Daten in der Good-App erreicht nicht ganz den gewohnten iPhone-Komfort.

Google Android : beliebt, bei der BYOD-Umsetzung aber durchaus problematisch

Googles Android hat mit seiner Smartphone-Vielfalt von billig bis leistungsstark weltweit mittlerweile die meisten Herzen von Privatanwendern und Herstellern gewonnen. Gerade diese Vielfalt sorgt bei verantwortlichen Vertretern der Unternehmens-IT aber genau für Unbehagen bis hin zu entschiedener Ablehnung. Die Möglichkeiten zur kontrollierten Integration von Privatgeräten ins Unternehmen unterscheidet sich nicht nur zwischen den im Umlauf befindlichen Android-Version von 2.2 bis 4.0.4 („Ice Cream Sandwich“) sondern – wie unsere Tests zeigen – auch zwischen Herstellern wie Samsung, HTC und Huawei und selbst zwischen Modellen eines Herstellers mit graduell unterschiedlicher Firmware. Um Sicherheits- und Datenschutzvorgaben durchgängig umzusetzen, müsste sich daher die IT mit allen Gerätemodellen der Mitarbeiter auseinandersetzen. Dies ist wirtschaftlich kaum tragbar. Im Ergebnis finden daher meist allenfalls ausgewählte Modelle in privater Hand Einlaß ins Unternehmen.

Grundsätzlich wären die Möglichkeiten der Android-Welt ganz ähnlich zu denen der Apple-Welt: Google hat seiner jüngsten Betriebssystemversion „Ice Cream Sandwich“ einige Managementfunktionen mit auf den Weg gegeben, die von Gerätehersteller wie Samsung und HTC erweitert und zu „Business-fähigen“ Smartphones veredelt werden. MDM-Hersteller wie AirWatch, MobileIron und Soti stimmen ihre Lösungen unteranderem darauf ab, um die Einhaltung von Unternehmensrichtlinien zu prüfen und auf dem Ergebnis geschäftliche Mail-Konten einzurichten oder auch wieder zu entfernen. Leider funktioniert aber genau das noch nicht zuverlässig, wie unsere Tests z.B. mit Samsung-Geräten in Verbindung mit MobileIron und AirWatch zeigen. Dabei hat sich Google eigentlich schon einige Gedanken zum Thema Sicherheit gemacht: Android sieht im Gegensatz zu iOS bereits heute vor, daß für jede App zunächst Rechte für den Zugriff auf bestimmte Funktionen wie Netzwerk, Telefonbuch oder Speicherkarte explizit erteilt werden. Ein Verfahren, wie es auch vom BlackBerry OS bekannt ist. Während Anwender bei der App-Installation dabei nur allzu gerne großzügig verfahren, erlauben Lösungen wie MobileIron die zugesprochenen Rechte zentral vom Administrator in einer App-Inventarliste einzusehen und daraus entsprechende Massnahmen abzuleiten. Bei der App-Inflation im privaten Bereich artet dies aber schnell zur Sisyphusarbeit aus und ist bisher kaum Bestandteil der Stellenbeschreibung der neuen Generation von Mobiladministratoren. Trotz vielversprechender Ansätze hinterlässt Android hier insgesamt eher noch einen experimentellen Eindruck, da es die MDM-Anbieter noch nicht zuverlässig schaffen, Betriebssystemmöglichkeiten, Geräteherstellerimplementation und eigene Software zuverlässig aufeinander abzustimmen. In Folge wird dann z.B. das Fernlöschen der Geschäfts-Mails auf einem Gerät nicht ausgeführt, obwohl eine angeblich ergfolgreiche Ausführung gemeldet wird. „Rettung“ aus dem derzeitigen BYOD-Dilemma verspricht derzeit nur der Ansatz von Good Technology, das mit seiner Lösung auch Android unterstützt.

Windows Phone: Nischenprodukt vom Desktop-Marktführer

Die BYOD-Eigenschaften von Windows Phone sind schnell umrissen: Microsoft hat den Nachfolger von Windows Mobile bis zur aktuellen Version 7.5 („Mango“) auf die Bedürfnisse von Endanwendern ausgerichtet. Es gibt vo m Hersteller keine Geräteverschlüsselung oder VPN-Anbindung zum Unternehmen. Eine Trennung von privaten und geschäftlichen Daten bietet auch hier wieder nur Good, wenn auch mit reduziertem Funktionsumfang gegenüber Android und iOS.

Datentrennung und Geschäfts-Apps jenseits von Mail: Ein eigenes Kapitel…

Heute beschäftigen sich Unternehmen, die sich Gedanken über eine BYOD-Strategie machen primär noch um die Bereitstellung von geschäftlichen Mails, Kontakten und Kalender auf privaten Geräten. Dies ist natürlich nur der Anfang. Sollen Mail-Anhänge auf dem Privatgerät abzulegen sein, SharePoint-, CRM-, ERP- oder BI-Daten ebenfalls mobil und sicher bereitgestellt werden? Lösungsansätze für diese weiterführende Aufgabenstellung versprechen unteranderem MobileIron AppConnect und Good Dynamics. Aber dies ist Bestandteil eines weiteren Kapitels hier bei iTlab…

Schlagworte: , , , , , , , , , , , , , ,

2 Kommentare zu „BYOD in der Praxis: Kontrollmöglichkeiten der aktuellen Mobilplattformen im Unternehmenseinsatz“

  1. […] Sobald ein Privatgerät mit der Unternehmens-IT verbunden wird, gilt es diese Risiken zu kontrollieren, minimieren und möglichst zu unterbinden. iPhones, BlackBerries, wie auch Geräte unter Android und Windows Phone bringen dazu von Haus aus bereits unterschiedliche Voraussetzungen mit, auf die verschiedene Ansätze zum “Mobile Device Management” (MDM) aufsetzen (Vertiefend: Kontrollmöglichkeiten der aktuellen Mobilplattformen im Unternehmenseinsatz). […]

  2. k'ed by tnt sagt:

    Sims Freeplay

    blog topic