Zahlreiche ihrer geschäftlichen Anwendungen betreiben Unternehmen mittlerweile in der Cloud. In diesem Zuge verschwinden klassische VPN-Tunnel. Für die Kommunikation zu mobilen Geräten, seien es Smartphones oder Laptops, wird ein solcher Tunnel schlichtweg nicht mehr benötigt. Anders als fest installierte Rechner, die durch die Unternehmens-IT geschützt sind (Firewalls, Intrusion Prevention Systeme), zeigen sich Geräte im Home Office oder in freien WLANs jedoch deutlich anfälliger. Ihre Hardware muss angesichts des fehlenden Schutzes permanent auf aktuellem Stand sein und die Software muss eng getaktet jeweils die neuesten Patches erhalten. Und all dies, ohne Anwender dadurch in ihrer täglichen Arbeit zu stören.

Solche Aktualisierungen lassen sich für Android- und iOS-Geräte über ein Enterprise-Mobility-Management durchführen. Auch die CSP-(Configuration Service Provider)-Schnittstelle zwischen Konfigurationseinstellungen in einem Bereitstellungsdokument und denen, die sich auf dem Gerät befinden (verfügbar ab Windows 10), erlaubt im gewissen Rahmen eine Verwaltung mobiler Geräte. Dies ist funktional jedoch nicht mit einem zentralen und automatisierten Update- und Patchmanagement gleichzusetzen, wie es Clientmanagement-Systeme ermöglichen. Ein reines Enterprise Mobility Management (EMM) kennt nämlich nur den jeweiligen Stand der Patches bei Android- oder iOS-Geräten. Der vollständige zentrale Überblick über alle mobilen Geräte in einer einheitlichen Konsole fehlt.

EMM und Clientmanagement sind mit jeweils eigenen Schwerpunkten als Produktgattungen mehr oder weniger parallel entstanden. EMM-Plattformen wie etwa VMware Workspace One sollen mobile Endgeräte in Firmen sicher und wirtschaftlich betreiben. So wichtig diese im Unternehmenskontext mittlerweile sind, bleibt EMM jedoch auf Android und iOS fokussiert. An den Umfang eines originären Clientmanagement-Systems kommen solche Ansätze nicht heran – dieses dient der zentralen Verwaltung und Steuerung von Arbeitsplatzrechnern und Servern (Clientcomputern) in einem Unternehmensnetzwerk – hier geht es also um die zentrale Verwaltung der Windows-Welt.

Beide Produktgattungen haben demnach eine ähnlich gelagerte Thematik: Im Zuge mobiler Arbeitsplätze und Homeoffice-Pflicht ergibt eine Trennung allerdings künftig immer weniger Sinn. Als Ausprägungen der gleichen Grundidee wachsen EMM und Clientmanagement folglich im sogenannten "Unified Endpoint Management" (UEM) zusammen. Solche Produkte umfassen dann Enterprise Mobility Management, Desktoprechner sowie gegebenenfalls IoT-Devices.

Mit einem UEM-System kann die Administrationsabteilung an zentraler Stelle Softwareupdates planen und automatisieren, ohne sich täglich darum kümmern zu müssen, welche Patches gerade zur Installation anstehen. Sobald sich ein Rechner mit dsem Hinweis meldet, dass ein Patch fehlt, wird dieser heruntergeladen und zentral für alle Rechner bereitgestellt. Benötigte Updates werden zeitnah und auf sichere Art und Weise über automatische Freigaberinge verteilt. Üblich ist das Ausspielen zunächst an den Testring "IT" und anschließend an eine Auswahl von Key-Usern. Erst wenn auch dort alles glatt läuft, wird das Update automatisch an alle Arbeitsplatzstationen ausgerollt. Mit dieser automatisierten Verteilung über ein UEM-System gelingt es, der riesigen Menge an Patches von Microsoft und Third-Party-Herstellern gleichermaßen Herr zu werden.

Das Management von mobilen Devices dagegen ist in der Regel komplexer als bei herkömmlichen Clients, insbesondere bei Smartphones oder Notebooks. Softwareaktualisierungen müssen daher in der Regel weitgehend manuell erfolgen. Die Komplexität steigt allein dadurch, dass die Clients zunächst ihren Managementserver erreichen müssen. Bei Android- und iOS-Smartphones wurde von Beginn an daran gedacht, bei Windows-Clients ist dies jedoch nicht automatisiert gegeben.

Eine sichere Kommunikation lässt sich hier über ein Gateway herstellen, das in der DMZ oder in der Cloud steht. Es nimmt Anfragen von Agenten entgegen, die sich über vom Administrator ausgestellte Clientzertifikate authentifizieren, und leitet den Datenstrom verschlüsselt an den Server weiter. So ist sichergestellt, dass alle Updates zum vorgeschriebenen Zeitpunkt ihre Ziele erreichen. Außerdem sieht die Administrationsabteilung immer, welcher Patchstand wo gegeben ist und wo etwas schiefgelaufen ist.

Die Arbeitszeiten von Mobilgeräten sind außerdem wesentlich dynamischer als jene von Desktops. Befinden sich alle Rechner im Unternehmen, lässt sich leicht einrichten, dass Updates nur nach Betriebsschluss aufgespielt werden. Bei Mobilgeräten ist dies nicht der Fall, denn ihr Einsatz bleibt nicht auf die Kernarbeitszeit beschränkt. Daher sollten Updates auf Zeiten gelegt werden, in denen das Gerät weniger genutzt wird beziehungsweise durch Monitoring erkennbar ist, ob es gerade unter Last arbeitet oder nicht.

Trotz Auslagerung in die Cloud sind Virtual Privat Networks natürlich nach wie vor flächendeckend in den Unternehmen im Einsatz. Notebooks verbinden sich per VPN mit dem Firmennetz und holen sich dort die benötigten Daten. Dies ändert sich allerdings derzeit, denn vermehrt kommen Cloud- oder Onlinespeicher zum Einsatz, auf denen ein UEM die Update- und Patchpakete bereits synchronisiert. Der Client entscheidet abhängig davon, wo er sich befindet (Firmennetz, WLAN, verbunden über LTE-Karte), wie und wann er Dateien vom Onlinespeicher verschlüsselt herunterlädt. In den meisten UEM-Werkzeugen lässt sich auch einstellen, dass größere Updates nur im WLAN oder in externen Netzwerken heruntergeladen werden und nicht über eine getaktete mobile Verbindung.

Während im angelsächsischen Raum EMM-Funktionen immer stärker in UEM aufgehen, findet sich hierzulande noch häufig ein paralleles Miteinander beider Systeme. In diesem Falle sollte das UEM in der Lage sein, die wichtigsten Informationen aus EMM-Systemen zusammenzufassen und in Echtzeit auszulesen.

Der Import von etwa MobileIron in die Managementplattform funktioniert beispielsweise bei Aagon automatisch über einen "Mobile Devices Connector". Erfasst werden alle wichtigen Gerätedaten wie Name, Manufacturer, Model, SerialNumber, TotalCapacity, AvailableCapacity, username, email, status, lastConnected, phoneNumber, currentCarrier, simCarrierNetwork, mmc, iccid, isRoamingEnabled, isRoaming, mobileDeviceType und IMEI. Zusätzlich werden Name und Version des Betriebssystems und die installierten Apps mit Namen, Version und Identifier im UEM aufgeführt. Geht es nur um das Gerätemodell, die IMEI-Nummer und das Betriebssystem, so lassen sich über den Exchange-Connector auch ActiveSync-Geräte erfassen und importieren.

Der Remote-Zugriff gestaltet sich im Vergleich zum Zugriff auf mobile Geräte im internen Netz unterschiedlich. Von den Protokollen her eröffnen sich hier andere Möglichkeiten als über das Internet auf den Rechnern im Home Office. Turnschuh-Administration ist im herkömmlichen Clientmanagement von Remote-Arbeitsplätzen noch immer Alltag. Natürlich kommt für den Support von der Ferne aus zumeist der Windows-eigene Zugriff über RDP zum Einsatz. Dazu ist die IP-Adresse des betreffenden Rechners erforderlich, weshalb dies bei Devices im Home Office nicht mehr ohne weiteres funktioniert.

Zugriff über Fernwartungssoftware ist eine Möglichkeit, für den Endanwender jedoch oftmals noch immer zu kompliziert. Dieses Szenario spielt bei Rechnern im Firmennetzwerk allerdings ohnehin keine Rolle, es tritt nur bei mobilen Geräten auf. Um es zu umgehen, bietet sich UEM an. Darin wird per rechtem Mausklick der Rechner über "Remote control" angetriggert. Der User muss nur noch zustimmen und schon ist der Zugriff ohne weiteres Zutun hergestellt.

Mobile Geräte sind grundsätzlich gefährdeter als fest im Firmennetz integrierte Clients, da sie sich außerhalb der Firmen-Firewall befinden. Ob im Home Office oder in öffentlichen Netzen – das dort vorherrschende Gefahrenpotenzial dürfte in jedem Fall größer sein als innerhalb des Firmennetzwerkes. Durch manipulierte WLANs beziehungsweise Hardware in Cafés oder an Flughäfen drohen Datenverlust beziehungsweise -diebstahl.

Ein weiterer Faktor ist das Abhandenkommen von Geräten. Mittlerweile berichten verschiedene Studien von EMM-Anbietern von weltweit tausenden mobilen Devices, die täglich etwa in öffentlichen Verkehrsmitteln verlorengehen. In solchen Fällen müssen die Geräte gesperrt werden. Auch dies ist via UEM über deren Schnittstellen zum EMM machbar. Per Mausklick lässt sich in einer zentralen Oberfläche jedes Gerät sperren oder wipen.

Die klassischen Sicherheitsmaßnahmen im Windows-Umfeld sind durch den Microsoft Defender abgedeckt. Es geht jedoch zusätzlich darum, dass diese Geräte nicht frei über das Netz mit dem jeweiligen Managementserver kommunizieren. Vielmehr muss auch dies verschlüsselt und zertifikatbasiert stattfinden. Ein weiterer Punkt ist das Schwachstellenmanagement: In einer zentralen Datenbank gilt es, möglichst viele Schwachstellen zu pflegen.

Damit funktioniert Sicherheit nicht mehr nur über das Aufspielen von Patches, sondern auch über das Sperren bestimmter Ports in der Defender-Firewall. Darüber hinaus lässt sich über das Anpassen von Registry-Einträgen verhindern, dass bestimmte Dateien, etwa befallene Word-Dokumente oder Excel-Tabellen, zur Ausführung kommen.

Notebooks stellen noch immer einen Großteil der mobilen Geräte in Unternehmen dar, nur zehn bis 20 Prozent sind gemanagte Smartphones. Das zeigt: Bring your own Device oder Unternehmensgeräte sind in Deutschland nie so richtig angekommen. Viele wünschen kein zweites Telefon, folglich gibt es nur wenige Firmenhandys. Allein deshalb lassen sich mit EMM nur wenige der mobilen Geräte im Unternehmen erfassen. Ohne UEM geht es also nicht mehr. Zu beobachten ist zu guter Letzt eine wachsende Zahl an Android-Devices im lokalen Netz, zum Beispiel im Bereich mobiler Erfassungsgeräte (Lagerterminals, Tablets auf Gabelstaplern). Die bislang dort eingesetzten Geräte lassen sich längst nicht so gut warten wie Android-Rechner und sie sind zudem in der Regel noch wesentlich teurer.

Enterprise Mobility Management zum Betrieb mobiler Android- und iOS-Endgeräte auf der einen Seite, Clientmanagement-Systeme für die Verwaltung des Windows-basierten Unternehmensnetzwerks auf der anderen – diese bisherige Trennung löst sich im Zuge mobiler Arbeitsplätze und von Home-Office-Betrieb zunehmend auf. Gefragt ist ein einheitliches Unified Endpoint Management, das EMM, Desktoprechner sowie IoT-Devices in einer Konsole vereint.