Daten und Anwendungen im Container

Eine Technologie, die einen Kompromiss zwischen Kontrolle über die Firmendaten auf Endgeräten und privater Nutzung erlaubt, ist die "Containerization". Auf dem Mobilgerät wird dabei ein verschlüsselter Bereich für Firmenanwendungen und entsprechende Daten angelegt. Dieser Container ist nach Eingabe eines Passwortes zugänglich. "Das hat den Vorteil, dass die IT-Abteilung firmenbezogene Informationen separat verwalten kann und private Daten auf dem System davon unberührt bleiben", erklärt Melzig.

Auch für Atos ist das Konzept der Container ein probates Mittel, speziell in BYOD-Szenarien: "Dadurch ist sichergestellt, dass es zu keinen Problemen mit Datenschutzregelungen kommt", erläutert Thomas Wendt. "Doch auch für Systeme, die ein Unternehmen dem Mitarbeiter zur Verfügung stellt, bietet sich der Einsatz von Containern an. Dadurch sind Anwendungen, Daten und Konfigurationseinstellungen vor dem Zugriff Dritter geschützt, wenn ein System 'verschwinden' sollte."

Container kein Allheilmittel

Verschlüsselte Container lassen sich unabhängig von einem MDM-System einsetzen. Allerdings sprechen nach Angaben von Air-Watch, einem Anbieter von MDM- und Enterprise-Mobility-Management-Lösungen, mehrere Gründe dafür, beide Techniken gemeinsam zu nutzen. Das ist etwa dann der Fall, wenn in einem Unternehmen sowohl private als auch firmeneigene Mobilsysteme eingesetzt werden. Die Firmensysteme werden in diesem Fall via MDM verwaltet, die privaten nicht.

Doch auch Containerization ist kein Garant für die Sicherheit von Daten und Anwendungen, so der deutsche MDM-Spezialist Pretioso. So lassen sich die Passworteingaben von Usern mittels eines Keyloggers abfangen, den Cyberkriminelle auf einem gerooteten oder "gejailbreakten" Mobilgerät platzieren. Daher, so Pretioso, sei es fahrlässig, zugunsten eines Container-Konzepts auf ein Mobile Device Management zu verzichten.

Die große Lösung: Virtualisierung und Desktop als Service

Gleich, ob MDM oder MAM: Wenn auf einem - privaten - Endgerät Geschäftsanwendungen und entsprechende Daten lagern, besteht die Gefahr, dass diese kompromittiert werden. Einen Ansatz, bei dem Unternehmen nicht nur die Kontrolle über Geschäftsdaten behalten, sondern auch über Anwendungen und die gesamte Desktop-Umgebung auf einem Mobilgerät, bieten virtualisierte Desktops. In diesem Fall werden Anwendungen, Daten und die IT-Arbeitsumgebung des Nutzers in einem Rechenzentrum vorgehalten. Dies kann das firmeneigene Data Center sein oder das eines (Cloud-)Service-Providers. Über einen Browser oder einen speziellen Client greift der Nutzer vom Mobilgerät auf "seine" Arbeitsumgebung im Rechenzentrum zu.

Der Vorteil dieses Ansatzes: Die IT-Abteilung kann die Desktop-Images zentral verwalten. Das schließt das Einspielen von Updates und Patches mit ein. Zudem ist es bei diesem Ansatz relativ einfach, Daten zu sichern (Backup) und zu archivieren.

Zu den führenden Anbietern solcher Lösungen zählen Citrix und VMware. Speziell VMware will offenkundig seine Präsenz im Bereich "Mobility" und Management von mobilen Systeme und Anwendungen ausbauen. Zu diesem Zweck hat VMware im Februar die US-Firma AirWatch übernommen, einen etablierten Anbieter von Lösungen für MDM und Enterprise Mobility Management.

DaaS: Kontrolle über eigene Daten behalten

Allerdings stellen sich bei Desktop as a Service mehrere Fragen. So muss sichergestellt sein, dass Mitarbeiter auch dann von ihrem mobilen System aus auf ihre Desktops und Daten zugreifen können, wenn keine Internet-Verbindung oder nur eine langsame Mobilefunk-Connection via Edge oder gar GPRS verfügbar ist. Das lässt sich beispielsweise erreichen, indem die virtualisierte Umgebung lokal von einem Stick oder einer SD-Karte gestartet wird.

Ein zweiter Punkt ist die Oberhoheit über die Daten, wenn ein externer Cloud-Service-Provider die Desktops über seine Rechenzentren bereitstellt. Hier ist beispielsweise zu berücksichtigen, dass amerikanische Anbieter dem Patriot Act unterliegen. Dieses Gesetz verpflichtet US-Firmen dazu, auf Anfrage von Behörden Daten ihrer Kunden herauszugeben, unabhängig davon, welches (Cloud-)Rechenzentrum des Anbieters diese nutzen. Anbieter von gemanagten Desktop-Lösungen wie Fujitsu, aber auch kleinere Anbieter wie etwa Pironet-NDH in Köln, führen dieses Argument ins Feld. Sie verweisen darauf, dass sie als deutsches beziehungsweise deutsch-japanisches Unternehmen nicht dem Patriot Act unterliegen.