Android braucht Zeit, aber es kommt in Firmen an

Auf den ersten Blick ist der Einsatz von Android als Mobil-Betriebssystem in Firmen ein Albtraum. Doch mittlerweile legitimieren dies ausgereifte Kapselungstechnologien. Der eigentliche Schub wird - wie so oft - von den Mitarbeitern kommen.

von Jürgen Höfling am 15. August 2012 , 10:14 Uhr

BlackBerry ist als Mobilgerät und mobiles Betriebssystem in den Unternehmen vom Bestand her immer noch stark, tendenziell aber im freien Fall. Apple iOS ist gegenwärtig in der Favoritenrolle und Android der Herausforderer mit großem Potenzial. Ganz im Gegensatz zum Privatsektor kann das auf Linux basierende Google-Betriebssystem in den Unternehmen noch nicht wirklich punkten: zu viele Defizite bei Hardware-Verschlüsselung und beim Zertifikatemanagement und zu zersplittert in den einzelnen Ausprägungen, so jedenfalls ist die Wahrnehmung vieler IT-Verantwortlicher.

Diese Wahrnehmung ist aber nicht mehr ganz aktuell, zudem sorgt die Beliebtheit des Linux-Abkömmlings im Consumerbereich auch in den Unternehmen für Druck: Täglich werden rund 850.000 neue Android-Mobilgeräte aktiviert, rund 300 Millionen Geräte sind bereits am Netz, und über 450.000 Android-Apps stehen bei Google Play zur Verfügung. Das sind die Angaben von Google vom Februar 2012. Jetzt, im August 2012, ist sicher noch einiges hinzugekommen.

Anforderungen an ein unternehmenstaugliches Android

In der Consumer-Welt sind Android-Smartphones und -Tablets schon längst ein Renner und könnten durchaus bald den iOS-Geräten den Rang ablaufen. „Nein-Sagen zu Android bei der Mobilisierung des Unternehmens ist keine Option“ heißt es deshalb in einem White Paper des kalifornischen Mobile-IT-Pioniers MobileIron (Five Steps to Android Readiness, Registrierung erfordrlich). In dem Positionspapier werden gleichzeitig sechs Punkte definiert, die für einen Einsatz eines mobilen Betriebssystems im Unternehmensumfeld essenziell sind:

• Löschmöglichkeiten von Daten auf den Endgeräten sowie die Möglichkeit, das Gerät aus der Ferne zu sperren; Durchsetzung von Passwort-Richtlinien auf dem Gerät. Für privat-geschäftlichen Mischbetrieb ist auch selektives Löschen ein Muss, damit geschäftliche Daten gelöscht und private erhalten bleiben können.
• Überwachen und Durchsetzen von Verschlüsselung der Daten auf dem Endgerät
• Push-E-Mail-Client, der die (ActiveSync)-Konfiguration aus der Ferne ermöglicht
• Sichere Transportverbindungen: Konfiguration und Management von Wi-Fi- und VPN-Verbindungen aus der Ferne, da entsprechende Einstellungsoperationen für viele Endnutzer zu kompliziert sind.
• Speichermöglichkeiten von Zertifikaten auf dem Endgerät und deren Verwendung durch autorisierte Anwendungen für Identifizierungszwecke bei E-Mail, Wi-Fi- und VPN-Applikationen. Da Zertifikate eine wichtige Rolle in der Mobile IT spielen, dürfte dieser Punkt ganz entscheidend für den Unternehmenserfolg von Android werden.
• Möglichkeiten für die direkte Speicherung einer hauseigenen Unternehmens-App auf dem Endgerät ohne den Umweg über einen kommerziellen Marktplatz wie Google Play. Da viele Unternehmen noch nicht sehr weit in der Entwicklung und im Einsatz hauseigener Apps sind – es gibt freilich auch Ausnahmen -, kann dieses Feature im Zuge einer Android-Implementierung auch nachträglich hinzugefügt werden.

Sicherheitskapseln für Android

„Im Notfall verfügen Administratoren mit Absolute Manage über verschiedene Optionen, um firmeninterne Daten auf Android-Geräten zu schützen“, sagt Gernot Hacker, Technical Account Manager bei Absolute Software in Deutschland (Bild: Absolute Software).

Mit der Version MobileIron 4.5. beziehungsweise der App Connect für Android setzt zum Beispiel MobileIron die eben beschriebenen Anforderungen für Android-Systeme um. Die Plattform verschlüsselt sowohl Daten während des Transports, also beispielsweise in einer VPN-Verbindung, als auch bei der Speicherung auf dem Endgerät. Auch Zertifikate – etwa zur Konfigurierung von Exchange-Konten – lassen sich auf Geräten wie Samsung Galaxy S II, Galaxy Tab 8.9 / 10.1 und Galaxy Note sicher ablegen.

Auch andere MDM-Anbieter beispielsweise Absolute Software oder McAfee bieten über ihre Mobile Device Management-Systeme den Administratoren Möglichkeiten, Geräte- und Systemeinstellungen sowie Apps so zu kapseln, dass Android-Endgeräte im Unternehmensumfeld sicher eingesetzt werden können.

„Im Notfall verfügen Administratoren mit Absolute Manage über verschiedene Optionen, um firmeninterne Daten auf Android-Geräten zu schützen“, erläutert Gernot Hacker, Technical Account Manager bei Absolute in Deutschland. Darüber hinaus ließen sich Firmennetzwerke zu einer vorab definierten Zeit sperren, sodass der Zugriff auf Einstellungsprofile und Mediendateien von den Mobilgeräten aus befristet sei. Ebenso könnten Dokumente nur für den Zeitraum eines Meetings abrufbar sein. Unmittelbar nach dem Ende der Besprechung würden die Daten automatisch entfernt.

„Mit App Connect for Android sorgen wir unter anderem für eine vollständige Trennung von privaten und geschäftlichen Daten auf Android-Devices“, erklärt Christof Baumgärtner, Country Manager für Deutschland, Österreich und die Schweiz bei MobileIron (Bild: MobileIron).

Container-Verschlüsselung und Sandbox-Apps sind die gängigen Mittel, um die mangelnde Sicherheit bei Android-Geräten in den Griff zu bekommen. So ist bei Absolute Software die Sandbox-App Absolute Safe „demnächst auch für Android-Geräte verfügbar“, wie Gernot Hacker erklärt. Bei McAfee soll eine software-basierte Container-Verschlüsselung mehr Android-Sicherheit bringen und bei MobileIron sorgt App Connect für Android für ein sicheres Umfeld.

Die MobilIron-Lösung besteht aus einer speziellen Technologie, mit der Apps gekapselt werden („App-Wrapping“). Dabei muss nach MobileIron-Angaben in die App-Entwicklung nur geringfügig eingegriffen werden. Die App wird darüber hinaus mit den zentralen Sicherheitsrichtlinien versehen sowie in die Gruppen integriert, die bereits auf der MDM-Plattform beziehungsweise im Active Directory oder dem LDAP-Verzeichnis definiert sind. Last but not least ermöglicht App Connect for Android eine „vollständige Trennung von privaten und geschäftlichen Daten“, erläutert Christof Baumgärtner, Country Manager für Deutschland, Österreich und die Schweiz bei MobileIron.

Die Mitarbeiter drücken Android in die Unternehmen

Die Bewährung derartiger Kapselungstechnologien im Produktivumfeld steht allerdings noch aus. Wer bei den MDM-Herstellern nach größeren mobilen Referenzprojekten unter Android fragt, bekommt in der Regel negative oder ausweichende Antworten. Entsprechende Projekte – so sie denn überhaupt ins Auge gefasst werden – sind zumindest in Deutschland, Österreich und der Schweiz offenbar noch rar beziehungsweise relativ weit von einem Produktiveinsatz entfernt.

Manuel Miseré, IT-Leiter bei der Agentur-Gruppe Serviceplan: „Wir denken im Moment sehr intensiv darüber nach, auch Android-Systeme in unserem Unternehmen zuzulassen“ (Bild: Serviceplan)

An den Rändern größerer Unternehmens-Installationen (meist mit iOS-Geräten) tauchen Android-Smartphones und Tablets aber immer wieder auf. So verwaltet der Dortmunder Versicherungsverbund Continentale über das MDM-System zu 95 Prozent iOS-Geräte. Im Ausschließlichkeitsvertrieb, dessen Mitarbeiter auf selbstständiger Basis arbeiten, sind aber für „die Synchronisierung der Kontaktdaten und Termine auch Android-Geräte erlaubt, allerdings nur unter Einsatz der Spezial-App Touchdown von Nitrodesk“, so Jochen Brünger, Leiter Informatik Produktion bei Continentale. Die Nitrodesk-App stülpt dem Mobilgerät sozusagen einen Sicherheitsmantel über und verhindert dadurch das Absaugen von Daten im E-Mail- und PIM-Verkehr.

Trotz aller Vorbehalte der IT-Verantwortlichen ist mehr als wahrscheinlich, dass Android-Systeme in den Unternehmen zunehmend auch als mobiler Mainstream eingesetzt werden. Dazu ist der Druck durch die Android-Device-Eigentümer in den Unternehmen, die „ihr“ Gerät auch im beruflichen Umfeld nutzen wollen, einfach zu stark. „Wir denken im Moment sehr intensiv darüber nach, auch Android-Systeme in unserem Unternehmen zuzulassen“, sagt beispielsweise Manuel Miseré, IT-Leiter bei der Agentur-Gruppe Serviceplan.

Schließlich habe man motivierte und leistungsbereite Mitarbeiter, die man nur durch Freiräume langfristig binden könne. Miseré vertraut auf die Sicherheitsmechanismen des eingesetzten MDM-Systems, die im Übrigen so kontrolliert und gleichzeitig so ausbalanciert sein müssten, dass man auch „schon mal zu Weihnachten den Mitarbeitern eine Spiele-App schenken kann“.