20091112c Seven Principles Iphone im Unternehmen
|
|
|
»manage
it«
als
|
Das Iphone sicher im Unternehmen nutzen Einfach und sicher Apples Iphone ist aufgrund seiner intuitiv einfachen Bedienung und des Imagewertes auch bei Managern und Vorständen beliebt. Doch stößt der Administrator, der mit der IT-konformen Einbindung des Gerätes in das Unternehmensnetzwerk beauftragt ist, oft auf unvorhergesehen Stolpersteine. Das in der Bedienung einfache Gerät entpuppt sich bei der Übertragung auf Unternehmenserfordernisse als recht widerspenstig. Dennoch ist es möglich.
as Iphone ist in vielerlei Hinsicht ein Exot und von der Idee her nicht für den Business-Einsatz konzipiert. Erst nach einigen Firmwareaktualisierungen war es schließlich fit für die Einbindung in Netzwerkstrukturen. Dennoch ist das Iphone nach wie vor ein seltener Vertreter in Unternehmen, was die Zahl der am Markt erhältlichen Business-Lösungen für das Gerät limitiert. Laut einer aktuellen Gartner Studie ist die Verbreitung des Iphone OS mit 13,3 Prozent im Vergleich zu Symbian als Betriebssystem für Smartphones mit rund 51 Prozent noch eher gering. Die Einbindung von Symbian-Geräten in Firmennetzwerke ist einfach, da es den Device Management Standard der Open Mobile Alliance unterstützt. Die Eingriffsmöglichkeiten sind hier ungleich höher und ermöglichen eine fein abgestimmte Nutzung der Endgeräte mit den IT-Richtlinien des Unternehmens. So können im Gegensatz zum Iphone leicht hardware- wie softwareseitige Restriktionen durchgesetzt werden, die die Integrität des Netzwerks sicherstellen. Unternehmenseigene Anwendungen können ohne Aufwand über das Netzwerk verteilt und auf dem Gerät installiert werden. Und das alles in der Regel over the air. Dennoch ist ein Mobile Device Management, wie man es von anderen Systemen kennt, auch für das Iphone realisierbar. Über eine zentrale Managementkonsole können die Geräte verwaltet und konfiguriert werden. Der Administrator erhält so die Übersicht über den Status jedes einzelnen Iphones im Netzwerk. Lediglich die Funktionsfülle und Restriktionsmöglichkeiten sind aufgrund der herstellerseitig stark beschränkten Eingriffsmöglichkeiten limitiert. Seit der Firmware-Version 2.0 stellt Apple verschiedene Businessfunktionen auf dem Iphone zur Verfügung. So stehen verschiedene Standards für die sichere Datenanbindung und E-Mail-Synchronisation zur Verfügung. Das Iphone unterstützt hierzu geräteseitig Microsoft Exchange, VPN, WPA2 Enterprise/802.1x und IMAP. Für eine zentrale Administration spielen insbesondere die Verwendung von Microsoft Exchange sowie die VPN-Funktionalität eine entscheidende Rolle, denn sie sind essenziell für die Synchronisation mit dem Firmennetzwerk sowie zur Implementierung und Umsetzung verschiedener Sicherheitsrichtlinien. Gerade der letzte Aspekt spielt bei der Verwendung des Iphones im geschäftlichen Umfeld eine entscheidende Rolle. Nur wenn sichergestellt werden kann, dass sowohl die Kommunikation im Netzwerk wie auch die Datensicherheit gewährleistet ist, kommt der Einsatz des Iphones in sensiblen Unternehmensbereichen wie den Führungsetagen überhaupt in Frage. Dreh- und Angelpunkt Itunes
Die zentrale Administrierung ist daher insbesondere in IT-Umgebungen mit Microsoft Exchange das Mittel der Wahl. Dort werden E-Mail- und Kalenderdaten zentral mit dem Exchange-Server synchronisiert und nicht über einen lokalen Rechner. So erhält die IT-Abteilung mehr Kontrolle über die auf dem Gerät befindlichen Daten. Konfigurationsprofile rüsten für den IT-konformen Einsatz Die Konfigurationsmöglichkeiten sind beim Iphone aufgrund der starren Systemstruktur begrenzt. Es ist nicht möglich, wie bei Symbian-- oder Windows-Mobile-Geräten tiefer gehend auf die Gerätefunktionalität zuzugreifen. Bislang kann das Iphone nur mittels Konfigurationsprofilen für den Einsatz im Businessumfeld eingerichtet werden. Über die Profile können Kennwort- und Coderichtlinien, Netzeinstellungen wie WLAN- und VPN-Zugangsdaten und Mail-Accounts konfiguriert und Zertifikate vergeben sowie Access Points für den Internetzugriff vorgeschrieben werden. Die Profile können mit dem Apple eigenen Iphone Configuration Utility erstellt werden und liegen im XML-Format vor. Diese Profile können jedoch nicht einfach über die Luft (over the air) auf das Gerät gespielt werden. Sie werden auf einem Profile-Server gespeichert und einem Nutzer zugewiesen, der anschließend per E-Mail oder SMS einen Link erhält, über den er das Profil auf das Iphone laden kann. Dort angekommen muss es vom Anwender aktiviert werden. Das offenbart jedoch eine Schwäche und gravierende Sicherheitslücke des Gerätes. Solange das Profil nicht vom Nutzer aktiviert wurde, kommen die darin hinterlegten Konfigurationen nicht zur Anwendung. Der Nutzer bürgt für Systemsicherheit Unterwegs muss die Sicherheit vertraulicher Unternehmensdaten sowohl auf dem Gerät als auch im Netzwerk sichergestellt werden. Dabei kommen auf dem Gerät Passwortrichtlinien zum Einsatz, die den unbefugten Zugriff auf das Gerät selbst wie auch auf einzelne Applikationen und Netzwerkressourcen regeln. Es können entweder selbst gewählte Passworte verwendet werden oder von der IT-Abteilung zugewiesene, wobei letztere aufgrund ihrer Unabhängigkeit vom Nutzer eine höhere Sicherheit gewährleisten. Sollte das Gerät verloren gehen oder in falsche Hände geraten, kann es per Remote-Zugriff vollständig zurückgesetzt werden. Alle Einstellungen und darauf befindlichen Daten werden dabei gelöscht. Es werden regelmäßig Backups der Geräte erstellt, mit denen der Status bei Bedarf wieder hergestellt werden kann. Einzelne standardmäßig vorinstallierte Anwendungen wie Itunes, Safari oder Youtube können gesperrt werden. Der Zugriff auf das Netzwerk findet via VPN statt. Das Gerät unterstützt Cisco IPSec, L2TP over IPSec und PPTP. Sofern Unternehmen eines dieser Protokolle unterstützen, kann das Iphone ohne größere zusätzliche Netzwerkkonfigurationen eingebunden werden. Die Konfiguration erfolgt, wie beschrieben, benutzerfreundlich über Profile, die von der IT-Abteilung zentral erstellt und auf einem Unternehmensserver zum Download hinterlegt werden. Einsatz individueller Unternehmensapplikationen Unternehmen können für verschiedene Zwecke eigene Applikationen bereitstellen, über die unterschiedliche Daten aus dem Netzwerk abgerufen und dargestellt sowie in das Netzwerk eingespeist werden können. So kann die Funktionalität der Apple Apps auch im Corporate-Umfeld genutzt werden. Anwendungen können jedoch nicht wie bei anderen Plattformen wie Symbian oder Windows Mobile verteilt und auf dem Gerät direkt installiert werden. Die Distribution erfolgt ausschließlich über den Appstore. Da aber Unternehmen ihre Anwendungen natürlich nicht allen Iphone-Usern zugänglich machen wollen, haben sie die Möglichkeit, von Apple eine Enterprise Developer Lizenz zu erwerben, mit der sie individuelle Applikationen erstellen und über einen internen Server bereitstellen können. Iphone im sicheren Unternehmenseinsatz möglich So einzigartig die Funktionalität des Iphones auch ist, so bedeutet sie für den Unternehmenseinsatz und im Sinne gültiger IT-Richtlinien eine Schwachstelle hinsichtlich Sicherheit und Konformität. Denn viele Funktionen bieten Sicherheitslücken, die unternehmenssensible Daten und den Einsatzfähigkeit des Smartphones gefährden können. Doch mit einem zentralen Iphone-Management kann das Gerät IT-konform im Unternehmensumfeld genutzt werden. Indem kritische Funktionen und Schnittstellen unternehmensseitig restringiert werden, kann eine hohe Systemsicherheit erreicht werden. Dirk Schäfer ____________________________________
|
