Mobile · 25. Februar 2016 0

MDM-Erweiterungen von Geräteherstellern

Nicht nur Unternehmen aus verschiedenen IT-Branchen bieten MDM-Lösungen an, sondern auch Gerätehersteller, wie Apple, Samsung oder Google. Schließlich gehört der Markt zu denen, die sich am rasantesten weiterentwickeln. Ein Grund hierfür ist die weite Verbreitung von Smartphones. Fast jährlich stellen Gerätehersteller neue Absatzrekorde auf. Ein weiterer Grund ist die Tatsache, dass Smartphones nicht nur ein ständiger Begleiter sind, sondern auch durch die Anzahl der verfügbaren Apps nützliche Tätigkeiten im privaten sowie beruflichen Alltag verrichten. In diesem Artikel geht es daher um die Lösungen, welche Apple, Samsung und Google bereitstellen.

Apple DEP und VPP
Apple bietet mit dem Device Enrollment Program (DEP) eine Erleichterung bei der Verteilung von Geräten an. Das Programm ist jedoch nur in ausgewählten Ländern verfügbar und setzt die Verwendung von Apple Mac OS X und iOS Geräte voraus, die entweder bei Apple direkt oder einem autorisierten Händler gekauft wurden. Für die Teilnahme wird eine Registrierung des Unternehmens sowie die Integration eines eigenen MDM-Systems eines Drittanbieters vorausgesetzt. Hat ein Unternehmen iOS Geräte erworben, im DEP hinterlegt und einem MDM-System sowie Benutzer zugewiesen, melden sich die Geräte bei der Aktivierung automatisch am MDM-System an und bekommen die Profile und somit die Konfigurationen sowie Einschränkungen automatisch zugewiesen. Zudem kann das Gerät OTA in den Supervised Mode versetzt werden, so dass u.a. Profile vom Gerät durch den Besitzer nicht gelöscht werden können. Hierfür wird keine Verbindung mit einem Apple Mac über USB und dem Tool Apple Configurator mehr nötig sein. Dadurch lassen sich Geräte nach dem Kauf direkt an die Mitarbeiter verteilen, ohne vorherige Vorbereitung. Die Einbindung des DEP in ein MDM-System eines Drittanbieters muss durch diesen unterstützt werden.

Mit dem Volume Purchase Program (VPP) bietet Apple ein spezielles Lizenzierungsprogramm von Apps in ausgewählten Ländern an. Dazu kann ein Unternehmen mehrere Lizenzen einer App aus dem App Store oder dem VPP-Store kaufen und diese Benutzern zuweisen. Im VPP-Store gibt es spezielle Business to Business (B2B) Apps für den Einsatz in Unternehmen, jedoch können auch Apps aus dem allgemeinen App Store für iOS und Mac OS X lizenziert werden. Dabei gibt es zum einen die Möglichkeit, einen Gutscheincode für Apps zu kaufen und diesen direkt oder über ein MDM-System an Benutzer zu verteilen. Diese Variante hat den Nachteil, dass ein benutzter Gutscheincode nicht wiederverwendet werden kann und die App dem registrierten Benutzer, der diesen eingelöst hat, gutgeschrieben wird. Zum anderen gibt es die Möglichkeit, eine Volumenlizenz einer App zu kaufen und über ein MDM-System an Benutzer zu verteilen. Das hat den Vorteil, dass Apps Benutzern entzogen und anderer Benutzern zugeteilt werden können. Verlässt ein Mitarbeiter ein Unternehmen, kann die Zuweisung der benutzten Apps an einen anderen Mitarbeiter erfolgen. Für das VPP ist die Registrierung des Unternehmens nötig, ähnlich wie beim DEP. Die Einbindung in ein MDM-System eines Drittanbieters ist wiederum abhängig von der eingesetzten MDM-Lösung, welche das VPP unterstützen muss.

Samsung SAFE und KNOX
Samsung Approved for Enterprise (SAFE) ist eine MDM-Erweiterung für ausgewählte mobile Geräte von Samsung und ermöglicht, z.B. die Einschränkung und Konfiguration für Anwendungen, Funktionen, die Geräteverschlüsselung, Netzwerkeinstellungen, wie WLAN und VPN, verhindert Firmware Updates oder erlaubt die Fernverwaltung des Gerätes. Dazu hat Samsung eigene APIs in Android integriert, die sich über eine MDM-Lösung ansprechen lassen. Ein Grund für diese Erweiterungen ist die Tatsache, dass Samsung die meisten Android Geräte verkauft und Unternehmen mehr auf BYOD bzw. COPE-Ansätze setzen. Doch nicht nur Samsung, sondern auch andere Hersteller im Android Umfeld haben ihre Geräte um MDM-Funktionalitäten erweitert.

Samsung KNOX hingegen erweitert mobile Geräte von Samsung um eine eigene Container Lösung, mit der es möglich ist, private sowie geschäftliche Daten und Anwendungen zu trennen, baut aber auf SAFE auf und ist zudem kostenpflichtig. Die Abrechnung erfolgt monatlich nach der Anzahl von lizenzierten Geräten. Während MDM-Anbieter ähnliche Lösungen im Portfolio haben, bietet Samsung eine vollständige Implementation in die Hard- und Software an. Allerdings wird hierfür Android 4.4 bzw. 5 und ein Samsung zertifiziertes KNOX-Gerät benötigt. Als Grundlage für die Sicherheitsfunktionen dient Security Enhanced Android (SEAndroid), eine angepasste Version des Sicherheitsframeworks SELinux, für die Trennung der Daten sowie ein gesicherter Bootloader, der in die Hardware integriert wurde. Der Secure Boot stellt beim Starten des Gerätes sicher, dass keine Schadsoftware und nur verifizierte Apps geladen werden. Als weiteres Modul verwendet Samsung das auf ARM TrustZone basierende Integrity Measurement Architecture (TIMA), welches einen manipulationssicheren Sektor eines ARM-Prozessors verwendet und sicherstellt, dass der Kernel nicht kompromittiert wurde. Ist Samsung KNOX aktiviert, stehen zwei eigene Arbeitsbereiche zur Verfügung, die voneinander über einen verschlüsselten KNOX-Container (AES 256-bit) abgeschottet sind und über ein MDM-System verwaltet werden können. Alle Daten, Bilder, E-Mails, Kontakte und Apps innerhalb des Containers sind von außen nicht zugänglich. Eine weitere Besonderheit ist, dass unter KNOX ein spezieller App Store bereitsteht, in dem nur für KNOX freigegebene Apps verfügbar sind. Doch darüber hinaus gibt es die Option eigene Apps hinzuzufügen sowie Single Sign On (SSO) oder VPN-Verbindungen für einzelne Apps zu aktivieren. Ein Vorteil bei der täglichen Arbeit ist, dass bspw. im geschäftlichen Kalender die privaten Termine auf Wunsch angezeigt werden können, jedoch umgekehrt der Zugriff verweigert wird. Außerdem kann z.B. die Kamera beim Betreten des Firmengeländes automatisch deaktiviert werden. Somit lässt sich das mobile Gerät privat und geschäftlich gleichzeitig nutzen und ist für Unternehmen besonders interessant. Samsung KNOX-Geräte sind für die Verwaltung über ein MDM-System eines Drittanbieters geeignet, wenn dieser die Technologie unterstützt.

Android for Work
Auch Google bzw. die Open Handset Alliance hat die Notwendigkeit einer Container Lösung zur Trennung privater sowie geschäftlicher Daten und Anwendungen erkannt und in Android integriert. Unter dem Namen „Android for Work“ (AFW) steht eine im Gegensatz zu Samsung KNOX eine unentgeltliche, aber ähnliche Alternative bereit, welche außerdem unabhängig vom Gerätehersteller ist. Als Voraussetzung wird Android 5 als native Integration benötigt, jedoch steht für das ältere Android 4 bis 4.4 eine App im Google Play-Store bereit. Für die Aktivierung wird ein Google Firmenkonto benötigt sowie die Unterstützung durch ein MDM-System. AFW bringt standardmäßig verschiedene vorinstallierte Google Apps mit, wie z.B. einen Mail-Client, einen Kalender, eine Kontakteverwaltung, eine Aufgabenverwaltung, eine Dokumentenverwaltung oder einen Browser. Außerdem steht ein eigener App Store bereit, in dem speziell angepasste Apps von Drittanbietern angeboten werden. Die Verwaltung erfolgt hierbei über ein MDM-System mit den gewohnten Funktionen. So lassen sich Apps auf dem Gerät installieren, Profile ausbringen, bei Verlust das ganze Gerät löschen oder VPN-Verbindungen für Apps einrichten. Die Installation von Apps aus dem öffentlichen App Store in den AFW-Container durch einen Gerätebenutzer ist nicht zulässig. Zusätzlich ist die Geräte-Verschlüsselung unter nativen Android 5-Geräten automatisch aktiviert, unter Android 4.x ist nur der AFW-Container geschützt. Google drängt damit auch in die Unternehmenswelt, um BYOD oder COPE-Konzepte zu unterstützen. Die Fragmentierung innerhalb der Android Versionen spielt dabei nur eine untergeordnete Rolle, da die Verfügbarkeit weitreichend ist. Auch die Sicherheit und der Wunsch, Daten je nach Einsatzzweck zu trennen, werden erfüllt.

Vergleich der Lösungen
War es in der Vergangenheit nötig, für die Trennung von Daten und Apps von mobilen Geräten auf Lösungen von MDM-Anbieter zurückzugreifen, haben Plattform und Gerätehersteller zunehmend erkannt, was in der Geschäftswelt benötigt wird. Samsung KNOX oder Android for Work sind nicht die ersten, aber auch nicht die letzten Ansätze, bieten aber innerhalb der erfolgreichsten, mobilen Plattform Android gute Ansätze, um Anforderungen zu erfüllen. Ob Apple dem in Zukunft auch nachkommt, oder andere Lösungen präsentiert, ist nicht abzuschätzen. Doch mit dem DEP oder dem VPP geht Apple andere, aber durchaus sinnvolle Wege. VPP schafft mehr Flexibilität in der Verwaltung von Apps, DEP hingegen in der Verteilung, aber auch in der Verwaltung von mobilen Geräten. So lassen sich neue mobile Geräte direkt an Mitarbeiter schicken, ohne dass diese durch die Unternehmens-IT ausgepackt und vorkonfiguriert werden müssen. Diese Lösungsansätze kommen aber nicht von ungefähr und sind nur Erweiterungen, die ein MDM-System benötigen. Durch BYOD und COPE steigen die Anforderung an mobile Plattformen oder Management-Lösungen. Doch auch Anbieter von MDM-Systemen lassen sich immer wieder Neues einfallen. Unabhängig davon, wie die Lösung bezogen wird (Cloud oder On Premise), ist eine nahtlose Integration in nahezu jede Infrastruktur eines Unternehmens möglich. Ob Mail-System, Directory-Service, Filesystem, Zertifizierungsstelle oder VPN-Verbindungen für einzelne Apps spielt dabei keine Rolle. Selbst Container Lösungen stehen bereit. Außerdem können über solche Systeme Unternehmensrichtlinien durchgesetzt und mobile Geräte zentral verwaltet werden. So haben Unternehmen ein Überblick über das Geschehen und können aktiv eingreifen. Der Vielfalt an Verwaltungsmöglichkeiten sind fast keine Grenzen gesetzt. Mobile Geräte lassen sich sehr individuell und umfassend Einschränken und Anpassen, auch mit der Hilfe von Agents. Das gilt ebenso für die Verwendung von Apps. Mobile Browser lassen sich bspw. so konfigurieren, dass sie nur freigegebene Webseiten aufrufen können oder über ein VPN den unternehmenseigenen Proxy und dessen Reglementierung benutzen. Zudem ist der Markt von MDM-Anbietern und MDM-Lösungen riesig.