Vergleich von Mobile Device Management: Citrix, Microsoft, Symantec

Aus der Sicht des traditionellen Client-Managements geht es darum, bekannte Funktionen aus dem PC-Umfeld auch für mobile Geräte anzubieten. Darunter fallen besonders Inventarisierung, Software-Verteilung oder Security-Richtlinien wie etwa für die Verschlüsselung oder für die Passwortkomplexität.

Hinzu kommen aber auch spezifische Funktionen für Smartphones und Tablets, die verhindern sollen, dass interne Daten unkontrolliert das Unternehmen verlassen. Im Gegensatz zum herkömmlichen Desktop-PC kommen werden mobile Geräte vor allem außerhalb des Firmennetzwerks verwendet, so dass sie besonders gegen Verlust und Diebstahl abgesichert werden müssen. Neben der Datenverschlüsselung benötigt man dafür Funktionen wie das Remote-Löschen oder das Orten der Geräte.

Große Client-Heterogenität

Während das PC-Management aufgrund der Marktdominanz von Microsoft mit einer weitgehend homogenen Umgebung zu tun hat, herrscht bei mobilen Geräten eine größere Vielfalt an Betriebssystemen. Die Update-Zyklen sind zudem kürzer und im Fall von Android liegt das Betriebssystem in verschiedenen Derivaten vor.

Alle Systeme haben ihre eigenen Management-APIs und bieten einen unterschiedlichen Grad der Administrierbarkeit. Daher haben sich mehrere neue Hersteller etabliert, die nicht aus dem Client-Management kommen und sich auf die sich schneller auf diese Gegebenheiten einstellen konnten.

Beginnende Konsolidierung des Marktes

Solche Spezialisten wie beispielsweise Airwatch ergänzen im Rahmen von Partnerschaften diverse Client-Management-Lösungen um MDM-Funktionen. So beruht etwa das Mobile Device Management von Matrix42 auf Airwatch.

Gleichzeitig lässt sich bereits eine gewisse Konsolidierung des Marktes erkennen, weil einzelne der spezialisierten Anbieter bereits aufgekauft wurden. So übernahm Citrix mit Zenprise eines der führenden Unternehmen aus diesem Segment, und LANDesk verstärkte sich mit Wavelink.

MDM für die Verwaltung firmeneigener Geräte

Wie schon seine Bezeichnung nahelegt, geht es bei Mobile Device Management um die Verwaltung der Geräte. Seine Möglichkeiten hängen von der Client-Plattform ab, so dass sich die Anbieter von MDM-Software kaum von ihren Wettbewerbern abgrenzen können.

Ein solches Geräte-Management eignet sich für Unternehmen, die Smartphones oder Tablets selbst zur Verfügung stellen und die daher die volle Kontrolle über dieses Equipment haben. Wenn jedoch Mitarbeiter ihre eigene Hardware nutzen möchten, um auf Anwendungen in der Firma zuzugreifen, dann dürfen die Geräte von der IT-Abteilung nicht nach Belieben konfiguriert werden.

Mobile Application Management

Für solche BYOD-Szenarien gibt es mittlerweile alternative Lösungen, bei denen Unternehmen ihre Anwendungen und Daten innerhalb eines abgeschotteten Bereichs auf unsicheren und nicht verwalteten Endgeräten bereitstellen können. Die Rede ist dabei von Mobile Application Management (MAM).

Ein solcher Container für Firmen-Apps und ihre Daten lässt sich nicht nur durch Verschlüsselung schützen. Darüber hinaus kann die Ausführung der Anwendungen über Richtlinien gesteuert werden. So kann der Administrator zum Beispiel bestimmen, unter welchen Bedingungen eine Firmen-App gestartet werden darf, beispielsweise nur über WLAN-Verbindungen oder wenn das Passwort bestimmten Vorgaben gehorcht. Außerdem können solche verwalteten Apps mitsamt ihrer Daten gezielt gelöscht werden, ohne die privaten Daten eines Benutzers zu beeinträchtigen.

Angepasste Apps für MAM erforderlich

Voraussetzung für ein solches Management von Apps ist jedoch, dass sie für eine bestimmte MAM-Umgebung angepasst wurden. Sie müssen auf eine spezifische Weise verpackt werden bzw. die APIs der Management-Umgebung nutzen.

Normale Apps, die über einen Store oder ein MDM-System auf das Gerät gelangen, lassen sich nicht auf diese Weise steuern. Das liegt auch an den Restriktionen der mobilen Betriebssysteme, die es einem MAM-Agent nicht gestatten, Apps außerhalb des Containers zu manipulieren. Aus diesem Grund verfügen MAM-Tools über eigene Kanäle der Software-Distribution.

Sichere Browser und Mail-Clients

Einen Sonderfall für MAM repräsentieren Web-Browser und Mail-Clients. Während etwa eine App für ein CRM- oder ERP-System ihr Eigenleben innerhalb des Containers führen kann, ohne der sonstigen Nutzung von mobilen Geräten in die Quere zu kommen, gehören Browser und Mail-Programme zu den wichtigsten Anwendungen aller Clients.

Hier stehen Anbieter und Anwender vor der Frage, ob sie private und Firmen-Mails mit einem einzigen Programm verarbeiten oder dem Benutzer den ständigen Wechsel zwischen zwei Mail-Apps zumuten wollen. Das Gleiche gilt für den Browser beim Aufruf von internen und externen Websites.

Während die Benutzer in der Regel die im System vorhandenen Apps für diesen Zweck bevorzugen, sind deren Möglichkeiten zur Absicherung der Daten aber beschränkt. Ein Ansatz besteht darin, die Anhänge von Mails zu verschlüsseln, so dass sie nur mit einer vom MAM-System verwalteten Applikation gelesen werden kann. Die eigentliche Nachricht bleibt dabei aber ungeschützt. Aus diesem Grund gehören separate und verwaltete Mail-Clients sowie Web-Browser zur Ausstattung vieler MAM-Produkte.

Separate verwaltete Web-Browser bieten den Vorteil, dass für sie der Zugriff auf alle externen Sites unterbunden werden kann. Damit reduziert sich das Risiko von Angriffen weitgehend. Außerdem muss den mobilen Geräten aus dem Internet kein direkter Zugang zum Firmennetzwerk gewährt werden. Vielmehr dient das MAM-Gateway, das auch für die Verteilung der sicheren Apps zuständig ist, als Proxy für interne Web-Anwendungen.

Enterprise Mobility Management = MDM + MAM

Wenn Unternehmen beide Szenarien unterstützen, also den Mitarbeitern eigene mobile Clients zur Verfügung stellen und zusätzlich den Einsatz privater Geräte erlauben, dann benötigen sie eine Lösung, die MDM und MAM abdeckt. Für die Kombination beider Ansätze hat sich der Begriff Enterprise Mobility Management eingebürgert.

Zu einem solchen umfassenden Management-Konzept gehört als weiterer Aspekt zunehmend die Synchronisierung von Daten. Der Bedarf dafür entsteht, weil mobile Clients fast nie als primäre Arbeitsgeräte dienen, sondern den Firmen-PC nur in bestimmten Situationen ergänzen. Beim Wechsel zwischen den Endgeräten möchten die User stets ihre Dateien in der aktuellen Version vorfinden.

Enterprise Dropbox

Bieten Unternehmen für diesen Zweck keine Lösung an, dann greifen die Benutzer häufig auf Consumer-Dienste wie Dropbox zurück. In der Regel ist jedoch nicht erwünscht, dass Daten unkontrolliert und ungesichert in die Cloud repliziert werden.

Gleich mehrere Hersteller springen hier ein, um IT-Abteilungen mit Produkten für eine sichere Synchronisierung von Daten zu versorgen. Zur Beschreibung für solche Software hat sich der Begriff Enterprise-Dropbox eingebürgert. Ein Merkmal der meisten Lösungen besteht darin, dass sie in den Unternehmen gehostet werden und keine Daten in die Cloud gelangen.

Marktübersicht von PQR

Das breite Spektrum von Enterprise Mobility Management, das MDM, MAM und Datensynchronisierung umfasst, können derzeit nur weniger Anbieter abdecken. Das holländische Beratungsunternehmen PQR hat in seinem Enterprise Mobility Management Smackdown (PDF) 7 Hersteller unter die Lupe genommen und ihre Produkte einem detaillierten Funktionsvergleich unterzogen.

Berücksichtigt wurden AirWatch EMM Suite, AppSense MobileNow, Citrix XenMobile, Good for Enterprise, Microsoft Intune, Mobile Iron und Symantec MM Suite. Auffällig an dieser Auswahl ist die Tatsache, dass mit Ausnahme von Microsoft und Symantec keine Anbieter von herkömmlichen Client-Management-Lösungen vertreten sind, und dass die Mobility-Spezialisten dominieren.

Als Check-Liste für andere Produkte geeignet

In der 88 Seiten starken Übersicht ist der umfangreiche Funktionsvergleich (ab Seite 70) von besonderem Nutzen, weil er alle relevanten Kriterien anlegt, die beim Kauf einer derartigen Lösung beachtetet werden sollten.

Diese lassen sich auch auf Produkte anderer Anbieter anwenden, die im Vergleich von PQR nicht berücksichtigt wurden. Er nimmt vor allem jene auf, die ein möglichst breites Spektrum im Rahmen des Enterprise Mobility Management abdecken können. Einzige Ausnahme ist hier Microsoft Intune, das in puncto MAM wenig vorweisen kann.

Vergleich von 18 Anbietern im Gartner-Quadranten

Eine breitere Übersicht über den Markt für das Mobile Device Management bietet der aktuelle Magic Quadrant von Gartner. Die Analysten definieren MDM nicht nur als Policy- und Konfigurations-Management, sondern zählen auch das Absichern von Daten und Benutzern dazu. In jedem Fall fasst Gartner aber MDM enger als das Enterprise Mobility Management.

Insgesamt sortiert der Quadrant 18 Anbieter in die üblichen 4 Kategorien ein. Interessant dabei ist die relativ starke Präsenz von klassischen Security-Anbietern wie Kaspersky Lab, McAfee, Sophos oder Trend Micro. Aus dem traditionellen Client-Management sind Absolute Software, IBM, LANDesk und Symantec vertreten, wobei Letzteres natürlich auch ein Player im Security-Markt ist.

Citrix und SAP unter den führenden Herstellern

Unter den Leaders sind indes weder die Security-Spezialisten noch die Hersteller von Client-Management-Lösungen vertreten. Vielmehr dominieren hier Spezialisten wie Airwatch und Mobile Iron, und Citrix ist nach der Akquisition von Zenprise ebenfalls vorne dabei (siehe dazu meinen Beitrag zum Citrix Mobile Solution Bundle). Kaum jemand hätte hier wohl die SAP auf der Rechnung, die ebenfalls unter den führenden Anbietern rangiert.

Angesichts des reichhaltigen Angebots standen auch die Gartner-Analysten vor der Aufgabe, eine größere Zahl von Herstellern auszuschließen, weil sie ihren Anforderungen nicht genügten. Diese Liste ist sogar länger als jene der untersuchten Firmen. Darunter fällt etwa Appsense, das von PQR im detaillierten Funktionsvergleich berücksichtigt wurde. Außerdem genügten Cisco, Microsoft, Novell und VMware nicht den Ansprüchen von Gartner.