Foto: Research in Motion
Wenn auch nicht über alle Zweifel (z. B. NOC in UK) erhaben, gilt die Kombination aus Blackberry-Geräten und Blackberry Enterprise Server sowie -Infrastruktur in vielerlei Hinsicht als Musterbeispiel für Mobile Security beziehungsweise das klassische Mobile Device Management. Entsprechend schwierig wird es für Organisationen, wenn sie ihre Blackberry-Landschaft ersetzen wollen, respektive müssen. Die technische Umsetzung ist dabei allerdings das geringere Problem, schwieriger fällt mitunter der Umdenkprozess.
Der Grund: Obwohl die Funktion "Blackberry Balance" eine scharfe Trennung von Privatem und Beruflichem auf dem Blackberry-Smartphone und damit im Prinzip auch ByoD-Szenarien ermöglicht, ist das klassische Szenario bei der Blackberry-Nutzung eher rigide: Im Zentrum stehen Business-Geräte, die zentral über den BES verwaltet und relativ strikt kontrolliert werden können. Unterstützt werden rund 500 IT-Policies, von denen in der Regel auch fleißig Gebrauch gemacht wird.
Sicherer Container
Beim Wechsel auf eine andere Mobility-Plattform ist es entsprechend schwer, den gewohnten Sicherheitsstandard beizubehalten - allerdings nicht unmöglich. So nutzen bereits viele Unternehmen sogenannte Container-Lösungen, um auch auf nicht verwalteten Geräten (z.B. dem iPhone oder iPad des Chefs) eine abgesicherte Umgebung für E-Mails und andere geschäftskritische Business-Inhalte und -Anwendungen (Secure Browser) bereitzustellen. Ist das Gerät unsicher oder geht abhanden, wird der Zugriff verweigert und der Administrator kann die Inhalte remote löschen.
Auf diesem Gebiet führend war lange Zeit der Anbieter Good Technology, der schon seit längerem Blackberry-Shops mit seinen "Platform Transition Services" nicht ganz selbstlos Hilfe beim Wechsel auf Android, iOS oder Windows Phone 8 offeriert. Good betreibt dabei eine ähnliche Architektur wie Blackberry (inklusive NOC), zudem unterstützt die Lösung "Good for Enterprise" Common Criteria EAL+ sowie FIBS-140-2-Verschlüsselung. Inzwischen bieten aber nahezu alle großen MDM-Player entsprechende Produkte an, wer seine Bedenken hinsichtlich Patriot Act etc. hat, findet beispielsweise mit dem dänischen Unternehmen Exitor auch einen europäischen Anbieter.
Von der Sicherheitsstufe weitgehend gleichzusetzen mit Containern sind App-Wrapping- oder Mobile-Application-Management- (MAM-)Lösungen - zu finden bei den üblichen Verdächtigen. Der wesentliche Unterschied zu Containern besteht im Grunde darin, dass die gesicherte Business-Umgebung hier über einzelne, besonders verpackte Apps verteilt ist. Dabei kann es sich um bereits angepasste Anwendungen aus dem AppStore oder aber Eigenentwicklungen handeln, die über ein SDK mit einer Hülle und den gewünschten Funktionen versehen werden. Single-Sign-on und sichere Tunnel zwischen den Anwendungen und zum Unternehmensnetz erleichtern die Bedienbarkeit.
Hochsicherheitssmartphones
Ein noch höheres Sicherheitsniveau bieten die beiden Smartphone-Lösungen, die T-Systems und Secusmart im Auftrag des Bundesinnenministeriums (BMI) entwickelt haben. So setzt die Telekom-Tochter als Basis für ihr Hochsicherheits-Handy SiMKo 3 auf handelsübliche Android-Smartphones von Samsung. Anstatt die herkömmliche und schwer überprüfbare Software zu verwenden, wird ein von Trust2Core (ehemals T-Labs) entwickelter Mikrokernel mit nur 50.000 Zeilen Quellcode als Virtualisierungsschicht eingesetzt. Darüber laufen jeweils eine offene und eine gesicherte Android-Umgebung sowie ein Mini-BSD und einen Linux-Kern für Verschlüsselungsaufgaben. Auf diese Weise werden auf dem Gerät eine private und eine sichere geschäftliche Welt abgebildet. Der Mikrokernel fungiert dabei als Wächtersoftware, die den Datenaustausch und den Zugriff auf Hardware und Speicher einer strengen Kontrolle unterwirft.
Foto: T-Systems
Secusmart wiederum verwendet bei "Secusuite for Blackberry 10" herkömmliche Blackberry-10-Geräte und die Dua-Persona-Lösung Blackberry Balance zur Trennung von Beruflichem und Privatem. Dabei wird der geschäftliche Bereich des Blackberry-Balance-Systems mithilfe der Secusmart Security Card zusätzlich abgesichert. Die Karte wird in den MicroSD-Card-Slot gesteckt und sorgt über einen integrierten Krypto-Controller von NXP mit PKI-Coprozessor für die Authentifizierung. Ein zusätzlicher Highspeed-Coprozessor verschlüsselt Daten und Sprache mit 128 Bit AES. Die Lösung eignet sich trotz Verwendung von Blackberry-Geräten als Blackberry-Alternative, da sie nicht auf die Netzinfrastruktur der Kanadier samt NOCs aufsetzt. Sind die Geräte einmal eingerichtet, muss auch die Management-Plattform BES 10 nicht ständig angeschlossen sein.
Beide Lösungen sind sehr rigoros und mit 1700 (SiMKo 3) beziehungsweise 2500 Euro (Secusuite) pro Gerät (Infrastruktur extra) sehr teuer - vermutlich zu teuer, um damit neben den obersten Geheimnisträgern auch die anderen Blackberry-Nutzer im Unternehmen auszustatten. Allerdings bietet sich mit der Suche nach einer geeigneten Blackberry-Alternative ohnehin eine günstige Gelegenheit für IT-Entscheider, um über die Mobility-Strategie ihres Unternehmens nachzudenken. Bei der klassischen Blackberry-Installation - den mit dem Upgrade auf Blackberry 10 verbundenen Paradigmenwechsel haben ja erst wenige Unternehmen vollzogen - gab es ja eine mehr oder weniger exklusive Basis, die Geräte wurden meist an Manager verteilt, um sie unterwegs hinsichtlich E-Mails und Kalender- oder Kontaktdaten auf dem Laufenden zu halten. Inzwischen hat sich die Situation allerdings geändert: Mobility greift weit über das Thema Kommunikation hinaus - dank zahlreicher Apps sind Smartphones zu einem Werkzeug geworden, das einer viel breiteren Basis von Mitarbeitern zu einer höheren Produktivität verhilft.
Mut zur Vielfalt
Ein Lösungsvorschlag bei der damit verbundenen Plattformfrage ist möglicherweise das Konzept "Managed Diversity", das Gartner seit Jahren als Mantra ausgibt. Es mache keinen Sinn, sich auf eine einzelne Plattform beschränken, erklärt Gartner-Analystin Annette Zimmermann dazu. Vielmehr sollte man Anwendergruppen definieren und für diese das jeweils passende Szenario auswählen. Im Detail kann man etwa bei Mitarbeitern mit niedriger Sicherheitsstufe die Zügel etwas lockerer lassen und verschiedene Optionen bis hin zur Verwendung der privaten Geräte anbieten. Anwender, die auf sensible Kundeninformationen und andere geschäftskritische Daten Zugriff haben, benötigen dagegen allein schon aus Compliance-Gründen mehr Schutz.
Diese Unterteilung macht schon allein aus dem Grund Sinn, dass es sich bei den im Markt verfügbaren Alternativen Android, iOS und Windows Phone in erster Linie um Plattformen für Endkundengeräte handelt. Die Devices funktionieren in dem einen oder anderen beruflichen Nutzungsszenario genauso gut oder gar besser wie ein Blackberry, allerdings sind Dinge wie Verschlüsselung und allgemeine Datensicherheit keine Standard-Features, sondern Optionen, die mit mehr oder weniger hohem Aufwand erreicht werden können.
Die gute Nachricht dabei: Wegen der mittlerweile weiten Verbreitung im Business-Umfeld haben MDM-Anbieter schon zahlreiche Sicherheits- und Verwaltungslücken geschlossen. Von den bereits beschriebenen Container- und MAM-Lösungen einmal abgesehen, können diese Spezialisten aber nur auf die Funktionen zugreifen, für die Plattformbetreiber Apple, Google und Microsoft APIs bereitgestellt haben. Anders als Blackberry, so klagt AirWatch-CEO John Marshall gegenüber der CW, erlaube dabei aber selbst Microsoft Drittanbietern Zugang zu ihrem geschlossenen System Windows Phone, und dies, obwohl der Softwarekonzern mit "Windows Intune" eine eigene Verwaltungslösung am Markt habe. Da die über hundert MDM-Lösungen am Markt im Großen und Ganzen die gleichen Hebel nutzen, ist es müßig, ins Detail zu gehen. Wichtig ist auf jedem Fall, die Nutzungsszenarien festzulegen und die versprochenen Funktionen der MDM-Lösung in der Praxis zu testen.
Plattformen und ihre Eigenheiten
Foto: RIM, Apple
Zur Plattformfrage: Sieht man von Blackberry einmal ab, ist iOS das derzeit sicherste mobile Betriebssystem. Wichtig dabei zu wissen ist allerdings, dass sich der Nutzer eines mobilen Apple-Geräts nicht zwingend an Sicherheitsvorgaben halten muss - allerdings wird allen Geräten der Zugang zu sensiblen Daten, Mails etc. verweigert, die die Policies verletzen. Bei Android ist die Situation ähnlich, das Management ist allerdings wegen der verschiedenen Versionen und Hersteller noch etwas komplizierter. Wenn man ByoD oder eine Spielform davon zulässt, kommt man allerdings wegen der weiten Verbreitung nicht um die Google-Plattform herum. Hier empfiehlt es sich, mit Containern zu arbeiten oder die Auswahl der zugelassenen Modelle einzuschränken. Mit Geräten aus Googles hauseigener "Nexus"-Reihe oder Samsungs SAFE-Modellen (Samsung Approved For Enterprise) liegt man auch hier weitgehend auf der sicheren Seite. Der Vollständigkeit halber soll auch Windows Phone 8 nicht unerwähnt bleiben - auch hier bieten die einschlägigen Hersteller Container-Lösungen an und es gibt Unterstützung durch verschiedene MDM-Systeme. Allerdings ist die Verwaltung durch die geringe Anzahl an unterstützten Policies etwas - ähm - rudimentär.