„Uncle Sam hört nicht mit“

Auf eigener Infrastruktur oder unterstützt von den IT-Riesen und vielen anderen Firmen, hören die Geheimdienste alles ab: Telefone, Mobilfunkverbindungen, Internet- und andere Datenverbindungen, Endgeräte, Firmenserver, Rechenzentren. Dabei hilft ihnen, dass die Big Six durch jahrelange Data-Mining-Aktivitäten und massenhafte Speicherung von anwenderbezogenen Daten ihre eigenen internen Geheimdienste aufgebaut haben. Und dass unzählige Unternehmensanwendungen weltweit in ihren Rechenzentren laufen – großenteils unbemerkt von den eigentlichen Anwendern, denen sie von ihren Dienstleistern als „Managed Cloud Services“ verkauft wurden. Die hässliche Kehrseite der Cloud zeigte sich erstmals und zog das Vertrauen in diese Technologie herunter: laut der Bitkom-Umfrage “Cloud Monitor 2014“ unter 403 deutschen Unternehmen haben 13 Prozent konkret geplante Cloud-Projekte zurückgestellt und 11 Prozent sogar bestehende Cloud-Lösungen aufgegeben.

Ein schwerer Schlag für die Informationstechnik und für die deutsche Wirtschaft insgesamt, denn Cloud-Services können die Produktivität und Wirtschaftlichkeit von IT-Infrastrukturen enorm erhöhen. Besonders im Mobile Computing geht ohne die Cloud gar nichts – die Cloud ist Voraussetzung für mobile Datenverarbeitung. Gleichzeitig wird Firmen-IT immer mobiler: Vertreter, Servicepersonal, Führungskräfte – sie alle verarbeiten Applikationsdaten auf Smartphones und Tablets. Diese Gerätekategorien sind eigentlich Consumer Products, und ihre Nutzer behandeln sie wie Consumer Products. Sie registrieren sich bei Google oder Apple. Sie installieren und deinstallieren bedenkenlos Apps, wie sie kommen und gehen. Auch CEOs handeln so, wenn sie etwa auf Betriebskosten ihre Segelzeitschrift auf dem iPad lesen und nicht von ihrem CIO hören wollen, dass die Sicherheitsrichtlinien nur Windows Phone vorsehen. Innovation vollzieht sich mobil um eine Zehnerpotenz schneller als im Desktop-Bereich: in der Bundestagsverwaltung etwa laufen drei Viertel der PC-Arbeitsplätze mit dem 13 Jahre alten Betriebssystem Windows XP, während das kaum vier Jahre alte Android 2.0 „Éclair“ mitsamt den entsprechenden Geräten aus den Taschen ihrer Besitzer praktisch verschwunden ist. In herkömmliche Client-Server-Sicherheitsarchitekturen sind Smartphones und Tablets damit nur äußerst mühsam einzubinden. Und ihre Betriebssysteme und Anwendungen haben eines gemeinsam: die US-IT-Riesen haben ihre Spionage-Features tief und auf kaum nachvollziehbare Weise in ihnen verwurzelt.

So wurde die NSA-Krise zur Krise des Mobile Computing und zeigte IT-Verantwortlichen ihre Abhängigkeit von US-Technologie. Das war die Stunde der German Cloud: deutschen Rechenzentren in der Hand deutscher Firmen mit deutschen Investoren. Mit übertriebenem Patriotismus hat das nichts zu tun: German-Cloud-Lösungen reduzieren die Zahl der Angriffsziele. Sie erlauben, wenn richtig gemanagt, nur den Zugriff auf den Übertragungsvorgang als solchen. Dieser ist zeitlich begrenzt und erschwert es, die komplette Kommunikation „mitzuschneiden“ und mit brutaler Rechenkraft gleichzeitig Metadaten und Inhalte zu extrahieren. Da Cloud-Rechenzentren als Spezialisten meist mehr in die Sicherheit investieren als andere Firmen, bietet die Private German Cloud sogar ein Extra-Plus an Sicherheit, denn die Applikationsdaten kommen nur dann ins Firmennetzwerk, wenn sie gerade gebraucht werden.

Worin sich Lösungsanbieter unterscheiden

Auch die technologisch führenden und weitest verbreiteten Hersteller von Mobile Device Management Software (MDM) sind amerikanisch. Je nach Art der Installation jedoch können die Risiken ausgeschlossen werden. Dies gilt für die Risiken aus „PRISM“ & Co. ebenso wie für die allgemeinen Gefahren aus Geräteverlust und dem alltäglichen Datenklau.

Am unteren Ende der Sicherheitsskala – und der Funktionsbreite – stehen die Privatkunden-Lösungen der Geräteanbieter und Netzbetreiber selbst. Besteht die MDM-Policy eines Unternehmens lediglich darin, die mobilen Mitarbeiter zu verpflichten, in ihrem Handy-Betriebssystem die entsprechenden Häkchen zu setzen, dann ist das keine Administration – Kontrolle, zentraler Zugriff und Durchsetzung betrieblicher Regeln sind nicht gegeben. Lässt der Anwender sein Smartphone in der Flughafentoilette liegen und lautet seine PIN 1234, kann jeder in wenigen Minuten sein Mailfile auslesen und jede Menge wertvoller oder kompromittierender Dokumente und Massen von Kontaktdaten extrahieren. Dieses „Management“ von Mobilität sollten nur Kleinstfirmen ernsthaft in Erwägung ziehen, da es immerhin besser als gar nichts ist. Besser ist eine zentrale Small-Business-Lösung wie die, die auch Apple anbietet – wenn man denn iOS nutzt.

Für große Unternehmen ab etwa 500 Devices dürfte es interessant sein, MDM-Technologie zu lizenzieren und selbst zu implementieren und zu betreiben – entweder on Premise, also im eigenen Hosting, oder in der Private Cloud. Die benötigten Personalkapazitäten im leergefegten IT-Fachkräftemarkt sind dabei nicht unerheblich: Sanitärspezialist Geberit etwa verlässt sich beim Rollout seiner bis zu 1,4 GByte „schweren“ Kundendienst-App auf 850 Tablets auf Citrix XenMobile, das er durch drei Mann administrieren lässt.

Dazwischen steht der Mittelstand, für den zwei Lösungstypen besonders interessant sind:

 1. genuin deutsche Hersteller, die sowohl Technologie wie Implementierung und Customizing anbieten und auf Kundenwunsch in Deutschland hosten. Anbieter wie M-Way oder datomo, das mit dem TüV-Zertifikat für sich wirbt, gehören in diese Kategorie. Hier lohnt es sich, die Funktionsbreite genau mit dem Bedarf abzugleichen und – bedingt durch die superschnellen Innovationszyklen im Mobile-Bereich – die Service-Level strikt festzuschreiben.

2. Dienstleister, die amerikanische Premium-Technologie implementieren, an den Firmenbedarf anpassen und auf Kundenwunsch in Deutschland hosten. Der Sicherheitsstandard ist dem der „nationalen“ Lösungen vergleichbar. In diese Kategorie fallen zum Beispiel Netzbetreiber wie die Telekom, die Lizenzen von MobileIron nutzt, aber auch spezialisierte Veredler wie etwa amagu, das komplexeste Kunden-Policies auf XenMobile-Basis umsetzt und die Komplexität durch ein laientaugliches User-Frontend reduziert.

Lösungsbeispiele im Vergleich

Die Good Dynamics Secure Mobility Platform den US-Anbieters Good Technology bietet für die Verwaltung mobiler Anwendungen (Mobile Application Management) einen individuell gestaltbaren unternehmenseigenen App-Store für die Verteilung und Verwaltung mobiler Apps. Die IT-Abteilung kann steuern, wie sich die Anwendungen auf dem Gerät verhalten – ohne die Privatsphäre des Benutzers zu beeinträchtigen. Daneben ist eine native Umgebung für mobile Zusammenarbeit im Einsatz. Beratungsleistungen rund um Unternehmens-Mobility runden das Angebot ab. Die Unternehmensberatung Ernst & Young nutzt Good Technology MDM.

Beim Apple iOS Device Management für den Businessbereich können MDM-Hersteller über eine API auf die MDM-Funktionen zugreifen und ihre Lösung in das gerätebezogene MDM integrieren. Auf diese Weise können sie die Administration  von iPhones und iPads veredeln und im Idealfall zusammen mit anderen Geräteklassen in ein einheitliches Verwaltungssystem bringen. Systemlandschaft und Policies der einzelnen Anwender-Unternehmen müssen dann noch implementiert werden. Schließlich gilt es, ein User-Frontend über das gesamte Konstrukt zu legen. Für die Kommunikation mit dem individuellen iPhone oder iPad wird der Apple Push Notification Service genutzt.

Das Leistungsversprechen von amagu aus Garching bei München ist denkbar einfach: Gib mir Deine Policy – egal wie komplex –, und Du bekommst ein Frontend, das man anders als sonstwo ohne alle IT-Kenntnisse bedienen kann. Es richtet sich an Mittelständler mit 10 bis 500 Devices. Gründer Armin Kobler ist seit 1999 auf Dienstleistungen und Systeme im Bereich Mobility spezialisiert. Er veredelt Zenprise, das Citrix jetzt unter dem Namen XenMobile vermarktet. Einen Kunden-Schwerpunkt hat amagu im sicherheitssensiblen Healthcare- und Finanzsektor. Die technische Besonderheit von amagu besteht in der jeweiligen Kapselung betrieblicher und privater Apps. Der Administrator beim Kunden managt nur die betrieblichen Apps. Dieses Konzept trägt sowohl der Sicherheit als auch dem Datenschutz und nicht zuletzt dem immer wichtigeren „Bring your own Device“ Rechnung.

Nicht in die „Eh-da-Falle“ tappen!

Für CIOs ist es auch im PRISM-Zeitalter nicht leicht, MDM-Budgets lockerzumachen. Es mag daran liegen, dass für Nicht-IT-ler ein kleines Device sich nicht so komplex „anfühlt“ wie ein „richtiger“ Computer und dass die Zahl der MDM-Grundfunktionen beschränkt ist. So tendieren Entscheider dazu, MDM in die Hände der „Eh-da“-Mitarbeiter zu legen. Aber aufgepasst: der Aufwand guter MDM-Dienstleister liegt nicht in der Implementierung der Policy oder im An- und Ausklicken von Geräten, sondern im verzögerungsfreien Management der Komplexität von unterschiedlichen Betriebssystemen, Releases und Geräte-Spezifikationen, wofür Spezialwissen vorhanden sein muss; es darf ja keine Produktivitätsverluste geben. Gute CEOs lenken die Kapazitäten der „Eh da“-IT-Kräfte ins Kerngeschäft – ihre CIOs sollten ihnen dafür gute Anregungen geben. (ak)

Michael Lemster, Inhaber der alVoloConsult und freier Journalist in Augsburg