Mobile Device Management (MDM) boomt zur Zeit. Vor der Investition in entsprechende Tools sollte man sich aber die Frage stellen, ob sie die richtige Antwort auf die Herausforderungen rund um Bring Your Own Device (BYOD) ist.
Mobile Device Management (MDM) Tools sind Lösungen, mit denen man mobile Endgeräte verwalten kann. Der Erfolg dieser Applikationen ist nicht überraschend, weil immer mehr mobile Endgeräte im Unternehmenskontext eingesetzt werden. Vor der Investition in MDM sollte man sich aber die Frage stellen, ob solche Tools die richtige und eine ausreichende Antwort auf die Herausforderungen rund um BYOD (Bring Your Own Device) sind.
Diese Frage führt zur nächsten Frage: Was ist eigentlich die Herausforderung? BYOD ist zwar ein populäres Schlagwort, hat aber mit der Realität oft nicht allzu viel zu tun. Einerseits erlauben viele Unternehmen eben kein BYOD, sondern stellen „nur“ eine breitere Palette an mobilen Endgeräten für die Nutzung durch ihre Mitarbeiter bereit.
Diese auch als COD (Corporate Owned Device) oder COPE (Corporate Owned, Personally Enabled) bezeichneten Varianten unterscheiden sich insbesondere bezüglich der rechtlichen und damit technischen Steuerungsmöglichkeiten für mobile Endgeräte doch recht stark von „echtem“ BYOD, bei dem Mitarbeiter eben ihr privat erworbenes Gerät der Wahl nutzen können.
Es geht aber nicht nur um die Frage, wer welche Geräte besitzt. Es geht auch um die Frage, welche Geräte eigentlich verwaltet werden müssen. Mitarbeiter nutzen ja nicht nur mobile Endgeräte, sondern auch Notebooks oder PCs mit „klassischen“ Betriebssystemen wie Windows 7.
Sie könnten aber auch mit dem privaten Notebook oder gar einem PC im Home Office arbeiten – ein eigenes Device, mit dem auf Unternehmensinformationen zugegriffen wird, aber ohne ein „mobiles“ Betriebssystem und noch nicht mal mobil. Und was ist mit dem Zugriff von einem PC in einem Internet-Café, wenn der Mitarbeiter im Urlaub oder auf einer Geschäftsreise kurz mal was erledigen muss und kein anderes mit dem Internet verbundenes Gerät (Roaming-Kosten!) zur Hand ist?
Mobilität von Mitarbeitern bedeutet nicht, dass diese nur noch mit eigenen mobilen Endgeräten im Sinne von Smartphones und Tablet-PCs auf unternehmensinterne IT-Systeme zugreifen.
Man kann noch einen Schritt weitergehen, denn es sind ja nicht nur die Mitarbeiter, die auf diese unternehmensinternen IT-Systeme zugreifen – oder auch auf Systeme, die in der Cloud gehostet werden. Auch Externe oder Kunden greifen mit unterschiedlichsten Systemen zu.
BYOD ist nur eine Facette einer größeren Herausforderung: Es gibt immer mehr Benutzer, die mit unterschiedlichsten Geräten auf Informationen und Informationssysteme der Unternehmen zugreifen, die in unterschiedlichen Modellen – von on-premise bis zur public cloud – betrieben werden. Die dadurch entstehenden Risiken müssen minimiert werden. Es geht um Informationssicherheit in einem offenen und damit komplexeren Umfeld.
Lifecycle Management statt MDM
Es geht um die Frage, wer wie und in welchem Kontext auf welche Informationen zugreifen darf. Zum Kontext gehören dabei beispielsweise das Gerät, der Standort des Benutzers, die Form und Stärke der Authentifizierung, aber auch der Status des Geräts beispielsweise bezüglich der Aktualität von Anti-Malware-Programmen. Diese Frage stellt sich aber eben nicht nur für Zugriffe von Smartphones und Tablets, sondern für alle Zugriffe.
In vergleichbarer Weise sollte der Blick auf das „Device Management“ nicht auf Smartphones und Tablets eingeengt werden. Diese haben zwar immer mehr Gewicht. Aber es gibt eben auch andere Geräte, für die es in den meisten Unternehmen bereits Lösungen für das Device Management, von der Betriebssysteminstallation bis zur Steuerung von Konfigurationseinstellungen und der Softwareverteilung, gibt. Hier ist beispielsweise zu prüfen, ob es nicht viel mehr Sinn macht, etablierte Lösungen im Client/System Lifecycle Management zu erweitern, statt isolierte MDM-Lösungen einzuführen.
Das von den Verfechtern von MDM gerne ins Feld geführte Argument, dass diese Lösungen nun ja zunehmend auch Betriebssysteme wie Apple OS X oder Microsoft Windows 8 unterstützen würden, kann man durchaus damit kontern, dass immer mehr der „traditionellen“ Lösungen für das Lifecycle Management auch mobile Endgeräte unterstützen, dabei aber auch die älteren Client-Betriebssysteme nicht vergessen und oft mit einer deutlich größeren Funktionalität glänzen, insbesondere wenn es um Aspekte wie das Asset- oder License-Management geht.
Mobile Device Management ist nur eine Punktlösung
Das bedeutet nicht, dass MDM keinen Sinn machen würde. MDM ist aber eine Punktlösung, die aus der Not geboren wurde. Sie adressiert nur einen kleinen Teil der Herausforderung von Unternehmen, die darin besteht, Informationen wirksam zu schützen. Deshalb muss man MDM im Kontext von Gesamtlösungen betrachten. Dort kann die Fähigkeit zu einem besseren Management von mobilen Endgeräten durchaus Sinn machen, zusammen mit klassischem Client Lifecycle Management, Lösungen für die flexible, Kontext- und Risiko-basierende Authentifizierung und Autorisierung und anderen Verfahren. Man sollte sich aber nicht dem Glauben hingeben, dass man die Herausforderung von Zugriffen über mobile Endgeräte mit einem technischen MDM-Ansatz gelöst hat.
Nicht unterschätzen sollte man bei MDM dabei insbesondere auch die rechtlichen Aspekte. Wenn auf einem Gerät sowohl private als auch geschäftliche Daten gespeichert werden dürfen, bewegt man sich völlig unabhängig von der Frage nach dem Eigentum am Gerät auf heiklem Terrain. Hier braucht es klare rechtliche Regelungen bis hin zu Betriebsvereinbarungen, um die rechtlichen Risiken für die Unternehmen zu minimieren.
MDM kann Nutzen bringen – aber nur, wenn man es richtig einordnet und nicht überschätzt. Es spricht ohnehin viel dafür, dass MDM schnell mit anderen Ansätzen für Mobile Security auf der einen Seite und Device/Lifecycle Management auf der anderen Seite zusammenwachsen wird, weil es als eigenständiges Marktsegment viel zu spezialisiert ist. Gut möglich also, dass wir in wenigen Jahren nicht mehr über MDM reden, weil es dabei eher um eine Gruppe spezieller Features als um einen eigenständigen Markt geht.