Warum MDM immer noch bedeutsam ist…

1 Kommentar Drucken

Mobile Device Management (MDM) ist in aller Munde. Die Verwaltung mobiler Endgeräte durch die Unternehmens-IT hat durch die massive Verbreitung von Endgeräten à la Apple iPhone/iPad und Android rapide an Aufmerksamkeit gewonnen. Die IT-Verantwortlichen der Unternehmen suchen verzweifelt nach Antworten auf die Anforderungen aus Fachabteilungen und insbesondere der Geschäftsführung, mit den liebgewonnenen Smartphones und Tablets auf Ressourcen der Unternehmens-IT zuzugreifen. Das führt zu vielen unüberlegten Schnellschüssen und sichert Herstellern von MDM-Systemen einen Absatz, der noch vor drei Jahren undenkbar gewesen wäre. Laut Gartner wurden 2011 350 Mio. US-Dollar mit MDM-Lizenzen umgesetzt, 2012 werden es schätzungsweise 500 Mio. Dollar sein. Über 100 Anbieter tummeln sich mittlerweile in diesem Markt, Tendenz steigend. Die Unternehmen reißen insbesondere dem „Leaders Quadrant“ die Lizenzen geradezu aus der Hand.

Denn gemanagte Endgeräte sind sichere Endgeräte, oder? Der Bring-your-own-Device (BYOD) Hype, der aus den Staaten zu uns hinüber geschwappt ist, sorgt für zusätzliche Verunsicherung und gießt Öl ins Feuer der Marketingabteilungen. Aber auch wenn BYOD auf jeder Hersteller-Website und in jedem Datenblatt angeführt wird: in Wahrheit war kaum ein MDM-Lieferant auf diesen Hype eingestellt. Und das mit gutem Grund: die Konfiguration des Endgeräts mittels Richtlinien ist der einzige Hebel, mit dem eine reine MDM-Lösung Datensicherheit herstellen kann. Schnittstellen sperren, Passwortschutz und Verschlüsselungsoptionen des Betriebssystems aktivieren – all das leistet MDM. So wird ein „Perimeterschutz“ um das mobile Endgerät errichtet, der in keiner Weise mit der Nutzung von privaten Smartphones und Tablets vereinbar ist. BYOD ist für viele MDM-Hersteller ein reines Marketing-Instrument.

Über Sinn und Unsinn von BYOD lässt sich vortrefflich streiten. Viele der getroffenen Werbeaussagen werden sich so nie erfüllen. Es ist extrem unwahrscheinlich, dass durch BYOD Betriebskosten gespart werden können. Das Gegenteil ist der Fall: alleine die Support-Aufwendungen werden proportional mit der Anzahl der unterstützten Betriebssysteme und Versionsstände steigen. Die rechtlichen Unklarheiten und finanziellen Nachteile werden viele Unternehmen und Mitarbeiter davon abhalten, BYOD überhaupt in Erwägung zu ziehen. Der Beratungsalltag bei unseren Kunden zeigt: das Konzept „Company-owned-Device“ hat noch lange nicht ausgedient! Denn eigentlich wollen Mitarbeiter nicht ihr privates Endgerät dienstlich, sondern ihr dienstliches Endgerät privat nutzen – vorausgesetzt, das Device ist so angesagt, dass man es auch privat kaufen würde.

Und da sind wir beim Kern des Problems: der Konsumentenmarkt treibt den Geschäftskundenmarkt. Die Investitionssicherheit wird – angesichts der extrem kurzen Produktzyklen und wirtschaftlicher Schwierigkeiten alteingesessener Marktteilnehmer – auch in einem Company-owned-Device (CoD) Szenario komplett in Frage gestellt. Daher muss man die Anforderungen, die BYOD an Systeme für mobile Datensicherheit stellt, ernst nehmen. Insbesondere die Unterstützung einer Vielzahl von Plattformen wirft große Probleme auf. Die systematische Härtung nach dem Blackberry-Prinzip stößt bei heterogenen Endgeräte-Landschaften an ihre natürlichen Grenzen. Sicherheit auf dem kleinsten gemeinsamen Nenner ist die Folge.

Also muss eine Antwort auf diese Frage gefunden werden, die nicht primär vom mobilen Endgerät bzw. Betriebssystem abhängt. Weg vom verlängerten Perimeterschutz, hin zu einem Inhaltschutz, der private und dienstliche Daten unterscheiden kann. Die Kontrolle und Kapselung kritischer Daten ist Pflicht – entweder auf Basis von Virtualisierung und Server-based-Computing (SBC), oder mittels DLP-Systemen. Architekturen mit zentralisiertem Internet-Breakout, wie sie ein netzbasiertes DLP-System voraussetzt, setzen die Beschränkung der Netzschnittstellen auf VPN-Tunnel zur zentralen Infrastruktur voraus. Angesichts gleich mehrerer Schnittstellen je Gerät (3G/4G, 802.11a/b/g/n und Bluetooth Tethering, bis hin zu USB-/Cradle-Verbindungen und NFC) mutet der Versuch einer solchen funktionalen Beschneidung geradezu anachronistisch an. Zumindest ist sie komplett unvereinbar mit einer sinnvollen (Privat-)Nutzung.

Das DLP-System muss also Host-basiert sein und Regeln zur Klassifizierung und Kontrolle von Daten lokal durchsetzen. Hierzu gehört die Absicherung des Zugriffs auf Apps ebenso wie die Kontrolle der Schnittstellen zur Datenübergabe zwischen Applikationen. Die Produktverfügbarkeit ist bislang mager. Auch DLP ist zum Marketing-Schlagwort der Mobile Device Management Hersteller verkommen. Meist handelt es sich hierbei um simpelste Sandboxing-Lösungen oder um ausgefeiltere, aber rein Netz-basierte Konzepte. Da ist es zu begrüßen, dass erste Hersteller Host-basierte Ansätze verfolgen. Sobald diese Technologie den Kinderschuhen entwachsen ist, kann sie – wie auch Virtualisierung und Sandboxing – einen sinnvollen Beitrag zur Absicherung der Unternehmensdaten leisten.

Doch auch das würde MDM-Systeme nicht ersetzen. Zwar muss ihr Einfluss auf private Endgeräte in BYOD-Szenarien – sowohl aus Nutzbarkeits- als auch aus Datenschutzgründen – beschränkt bleiben. Sie bieten aber momentan die einzig wirksame Handhabe gegen Malware-kompromittierte Endgeräte. Und auch DLP Agents müssen im Unternehmenskontext von zentraler Stelle provisioniert und konfiguriert werden. Das gilt umso mehr für Company-owned-Devices, wie wir sie auch zukünftig vorfinden werden. Und MDM ist mehr als „nur“ ein Instrument für Datensicherheit. Betriebliche Belange wie Provisionierung, Inventarisierung, Monitoring und Troubleshooting mobiler Endgeräte gehören zu den Kernaufgaben. Auch wenn der Funktionsumfang der MDM-Lösungen sich immer mehr angleicht und zusehends zur „Commodity“ wird – überflüssig ist MDM deshalb noch lange nicht! Hoffentlich erkennen die MDM-Hersteller, dass die Integration von Host-basiertem DLP in ihre Lösungen eine sinnvolle Erweiterung ihres Portfolios ist – und ein Alleinstellungsmerkmal im sich abzeichnenden Verdrängungswettbewerb obendrein…

zugeordnete Kategorien: LAN, UC, Virtualisierung
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Ein Kommentar zu "Warum MDM immer noch bedeutsam ist…":

  1. Detlev Rackow schreibt:

    Ein sehr guter Artikel zum Thema, In Marketingvorträgen von MDM-Anbietern wird BYOD permanent als Grund für MDM vorgeschoben.

    Tatsächlich ist BYOD häufig eher ein Versuch von Anwendern/Kunden, die nicht mehr akzeptierten RIM-Geräte abzulösen und auf ergonomischere Technik zu wechseln.

    BYOD zur Kostenersparnis funktioniert unter Aufrechterhaltung eines akzeptablen Schutzniveaus nicht.

    Ein BYOD-Druck lässt sich am ehesten vermeiden, indem IT-Verantwortliche bei ihren Plattformentscheidungen am Puls der Zeit bleiben und Support für corporate devices auf Basis von iOS oder Android 4 schaffen. Kann die IT Geräte bieten die der Anwender haben will, nimmt er auch gerne das Firmengerät. MDM gehört auf jeden Fall dazu, und auch sichere Infrastrukturen um interne Anwendungen/Daten auf den Geräten ohne hohes Vertraulichkeitsrisiko zu nutzen. Ohne BYOD können diese aber schlanker gestaltet und betrieben werden.

Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.