Damit Mitarbeiter im Unternehmen ihre Aufgaben auch mobil erledigen können, müssen ihre Geräte mit einer entsprechenden Software bzw. mit geeigneten Apps ausgestattet sein. Für die Administration der Apps über das Mobile Application Management (MAM) gibt es – abhängig von den Zielen und Systemen – mehrere Lösungen. Bereits im letzten Teil der Serie zum Thema Mobile Enterprise Computing haben wir die Fragen zur Bereitstellung von Software auf den mobilen Geräten kurz angesprochen. In diesem Artikel wollen wir diesen wichtigen Teil des Mobile Computing für Unternehmen noch genauer beleuchten.

Der Einsatz von mobilen Geräten in Unternehmen erfordert es, dass man die notwendige Software auf den Smartphones und Tablets seitens des Unternehmens bereitstellt. Welches Vorgehen dabei gewählt wird, ist von mehreren Faktoren abhängig. Entscheidend ist zum Beispiel das gewählte Einsatzszenario der mobilen Geräte. Das Spektrum der Verwendung ist sehr breit und reicht von der Nutzung als mobile Infostationen in den Geschäften, um zum Beispiel aktuelle Werbeanzeigen zu platzieren, bis hin zum Ersatz des Personal Computers für den mobil arbeitenden Mitarbeiter. Das Deployment der Apps auf den Geräten muss diese Anforderungen berücksichtigen. Ebenso sind die zu unterstützenden Systeme festzulegen. Für Smartphones und Tablets sind es die Betriebssysteme iOS (Apple) und Android (Google). Auf Tablets und kleinen Notebooks kommen noch Apps für die Universal Windows Platform (UWP) hinzu. Für alle drei Systeme gilt eine ähnliche Vorgehensweise, dennoch unterscheiden sich die Möglichkeiten der Softwarebereitstellung für Unternehmen im Detail.

Grundsätzlich: Store-Zwang

Grundsätzlich verlangen die Systeme iOS, Android und UWP die Nutzung der hauseigenen App-Stores für die Verteilung der Apps. Apple, Google und Microsoft stellen zur Verteilung von Apps jeweils eine eigene Infrastruktur zur Verfügung. Der Zugang zu den Stores erfolgt über eigene Apps auf den Geräten, die jeweils vorinstalliert sind. Hersteller der Software können ihre Apps über die Developerportale der Betreiber bereitstellen und müssen dazu einen individuellen Prüf- und Zertifizierungsvorgang für die jeweilige App durchlaufen. Das Ausmaß der Prüfung für die Aufnahme in den Store unterscheidet die Plattformen. Es eint sie dagegen das Bemühen, dem Endanwender nur Software mit einem bestimmten Nutzen und einem Mindestmaß an Qualität zur Verfügung zu stellen. Ebenso soll damit die Verbreitung von Schadsoftware eingedämmt werden. Für die Verteilung von Apps für iOS ist zusätzlich eine kostenpflichtige Mitgliedschaft im Developerprogramm notwendig. Diese Art der Softwareverteilung richtet sich an Endkunden und ist für die unternehmerische Nutzung von Apps in der Regel alles andere als praktikabel (Tabelle 1). Zum einen sollten Apps für Unternehmen nicht der Öffentlichkeit zugänglich gemacht werden, zum anderen ist der Zertifizierungs- und Prüfprozess aus Sicht der Unternehmen nicht nur unnötig, sondern sogar hinderlich. Dabei auftretende Verzögerungen führen zu Behinderungen. Auch aus Gründen des Datenschutzes und der Datensicherheit ist ein öffentliches Verteilen von Enterprise-Apps nicht wünschenswert.

Vorteile Nachteile Apps stehen für Endanwender über einen Standardmechanismus von Apple zur Verfügung

Apps müssen nicht nach einem Jahr mit einem aktualisierten Provisioning Profile neu signiert und bereitgestellt werden (iOS)

Apps können selektiv für einzelne Länder freigeschaltet bzw. gesperrt werden

Apps können kostenpflichtig angeboten werden; der Storebetreiber verlangt eine Provisionsgebühr

Nutzung der Infrastruktur des Stores (Abwicklung der Zahlung, Versionsverwaltung, technische Bereitstellung, Informationen, …) Nutzer benötigen einen Zugang, um auf den Store zugreifen zu können (Apple-ID, Google-Account, Microsoft-Konto)

App-Store-Zugang kann beim Einsatz einer Mobile-Device-Management-Lösung gesperrt sein

Vorgaben der Systeme und die Bedingungen zur Aufnahme in den Store müssen eingehalten werden

Storebetreiber können Apps für die Aufnahme in den Store ablehnen

Review- und Zertifizierungsprozesse führen zu Verzögerungen

Auswahl individueller Nutzergruppen nicht oder nur eingeschränkt möglich

ggf. bedenklich oder unmöglich aus Sicht des Datenschutzes

Tabelle 1: Vor- und Nachteile der Nutzung der zentralen App-Stores aus Sicht der Unternehmen

Um Apps für Unternehmen bereitzustellen, gibt es – je nach Plattform – unterschiedliche Ansätze, die ihre individuellen Vor- und Nachteile aufweisen. Dazu zählen:

Bereitstellung der Apps für die Zwecke der Entwicklung und zum Test: Auf allen Plattformen kann man Apps während der Entwicklung auf Developergeräten bereitstellen. Das ist jedoch für ein professionelles Deployment ungeeignet. Die Signierung der App als Voraussetzung für die Nutzung läuft nach wenigen Tagen ab (iOS) oder das Endgerät ist für einen speziellen Entwicklermodus freizuschalten (Windows 10).

Alpha- und Betaprogramme: Diese Form der Verteilung dient eigentlich dem Deployment der Apps vor der finalen Veröffentlichung. Die Apps können dazu über die Developerplattformen bereitgestellt und auf diesem Weg nur einem eingeschränkten Nutzerkreis zugänglich gemacht werden. Ansonsten gelten die oben genannten Vor- und Nachteile der Storenutzung. Auch die Richtlinien der Stores und Systeme – mit der Gefahr, dass die App bei Nichteinhaltung nicht akzeptiert wird – sind einzuhalten.

Nutzung der Enterprise Apps Stores: Apple, Google und Microsoft bieten für das Bereitstellen von Apps für Unternehmen jeweils eigene Lösungen an. Dabei handelt es sich um spezielle Lösungen in Form von Enterprise Apps Stores.

Mobile Application Management: Es erfolgt der Einsatz einer eigenen bzw. externen Infrastruktur (Hardware, Software) für eine zentrale Bereitstellung und Administration der Apps auf den mobilen Geräten.

Bei der Betrachtung dieser Optionen bleiben eigentlich nur die beiden letztgenannten Punkte (Enterprise Store, Mobile Application Management) als geeignete Formen der Bereitstellung. Wir gehen jetzt darauf genauer – spezifisch für jede Plattform – ein.



Android

Unternehmen können eine verwaltete Version von Google Play verwenden, um Apps exklusiv für die eigene Verwendung bereitzustellen. Für Geräte, die sowohl privat als auch geschäftlich genutzt werden, können separate geschäftliche und private Profile verwaltet werden. Apps in der verwalteten Version von Google Play werden im Arbeitsprofil installiert. Der Administrator hat die vollständige Kontrolle über die App und die verarbeiteten Daten. Jegliche Apps außerhalb des Arbeitsprofils bleiben privat. Google Play bietet hier also rudimentäre Funktionen eines Mobile Application Managements. Die verwaltete Form von Google Play richtet sich damit sowohl an externe Softwareentwickler, die im Kundenauftrag für Unternehmen Apps erstellen und bereitstellen, als auch an die eigene IT-Abteilung des Unternehmens, die ihre mobil arbeitenden Mitarbeiter mit der passenden Software ausstatten möchte. Über die verwaltete Form des Google Play Store können externe Entwickler explizit Apps für Unternehmen erstellen und deployen. Die werden dann von den Unternehmen schneller gefunden und können für die Mitarbeiter bereitgestellt werden. Darüber hinaus lässt sich leichter auch eine große Stückzahl von Lizenzen der betreffenden App erwerben.

Unternehmen können auch sogenannte private Apps einsetzen. Private Apps werden nur im Unternehmen veröffentlicht, nicht aber im öffentlichen Play-Store. Mit privaten Apps kann ein Unternehmen die Vorteile von Google Play nutzen, aber dennoch die Apps vor der Öffentlichkeit verbergen. Das Hosting der privaten App kann bei Google Play erfolgen oder auf dem eigenen Server. Einen Einstieg in die Nutzung des Android-Systems für Unternehmen findet man im Enterprise-Portal. Unter anderem findet man auch Hinweise, wie man eine externe Enterprise Mobility Management (EMM) Lösung einbindet. Über ein Portal kann man nach bestimmten Kriterien die passende EMM-Software auswählen und sich darüber informieren (Abb. 1).

Die hauseigene Lösung von Google basiert auf der Trennung in Profile (privates Profil und Arbeitsprofil) und setzt den Einsatz von Android Oreo (Android Version 8.0) voraus. Die Nutzung von Arbeitsprofilen für Android-Geräte ermöglicht dem Administrator die folgenden Funktionen:

Einstellungen und anwendungsspezifische Beschränkungen für Geräte erzwingen

Daten im Arbeitsprofil erstellen, darauf zugreifen und diese löschen

Apps und Zertifikate automatisch installieren und entfernen

Liste der Apps anfordern, die im Arbeitsprofil auf Daten zugreifen

Daten des Arbeitsprofils aus der Ferne löschen

Einschränken, welche Daten zwischen privaten und Arbeitsprofilen ausgetauscht werden dürfen

Bildschirmaufnahme im Arbeitsprofil blockieren

Statistiken zum verwalteten Konto aufrufen

Unternehmenszugriff auf E-Mail-Server und interne Daten verwalten

Kontopasswort ändern

Netzwerkaktivitäten und Standortinformationen überwachen

Der Administrator bekommt auch automatisch Zugriff auf ausgewählte Daten des mobilen Gerätes. Es handelt sich um Metadaten:

Modell, Seriennummer und ID

Telefonnummer

Mobilfunkanbieter

Betriebssystem

Build-Nummer

Kernel-Version

Baseband-Version

MAC-Adresse

Sprache

Android unterstützt auch das Szenario, dass ein mobiles Gerät, vorzugsweise ein Tablet, zum Beispiel für die direkte Kundenkommunikation genutzt wird und damit eine zweckgerichtete Beschränkung und Steuerung der Funktionen via Remote genutzt werden soll. Dabei können sich der Sperrbildschirm, die Statusleiste, die Tastatur und der Bildschirm von der IT steuern lassen. Apps und Updates werden per Remotezugriff geladen, während das Hochfahren im abgesicherten Modus eingeschränkt ist. Eine Lösung für eine mobile Kioskstation mit Hilfe einer externen EMM-Software beschreibt die nebenstehende Fallstudie (Kasten „Mobile Kioskfunktionen bei Dosenbach-Ochsner AG – Händler für Sportartikel“). Fazit: Android bietet ab Version 8 eigene Lösungen, um die Anforderungen an das Mobile Computing in Unternehmen zu gestalten. Es gibt sich aber auch offen, externe Softwarelösungen zur Verwaltung zu nutzen.

Mobile Kioskfunktionen bei Dosenbach-Ochsner AG – Händler für Sportartikel

Es bestand der Bedarf an einer mobilen Kiosklösung für den direkten Kundenkontakt. Wichtige Anforderungen: URL-basiert, um den Datenschutz zu gewährleisten und nicht autorisierte Webseiten zu blockieren. Die Daten sollten automatisch gelöscht werden können. Dosenbach-Ochsner hat sich für Samsung Galaxy Tab 12.2 entschieden. Verwendet wurde ein Es bestand der Bedarf an einer mobilen Kiosklösung für den direkten Kundenkontakt. Wichtige Anforderungen: URL-basiert, um den Datenschutz zu gewährleisten und nicht autorisierte Webseiten zu blockieren. Die Daten sollten automatisch gelöscht werden können. Dosenbach-Ochsner hat sich für Samsung Galaxy Tab 12.2 entschieden. Verwendet wurde ein Enterprise-Mobile-Management-(EMM-)System von AppTec . Eine cloudbasierte Lösung erlaubt die sichere mobile Fernverwaltung von Anzeigen auf den benutzerfreundlichen Tablets. Nicht erwünschte URLs können blockiert werden. Kundenformulare werden zur Einhaltung des Datenschutzes automatisch gelöscht. Die Nutzung einer EMM-Lösung – hier von AppTec – reduzierte die IT-Kosten und den Aufwand.

Universal Windows Platform

Über den Microsoft Store für Unternehmen können Sie Apps, die für die Universal Windows Platform erstellt wurden, veröffentlichen. Der erste Schritt beim exklusiven Veröffentlichen von branchenspezifischen Apps für ein Unternehmen besteht darin, eine Zuordnung zwischen dem Entwicklerkonto und dem privaten Store des Unternehmens einzurichten. Das Unternehmen muss Sie als Entwickler und Bereitsteller der App exklusiv in den Store einladen. Achtung: Die App durchläuft den Zertifizierungsprozess und muss alle Microsoft-Store-Richtlinien einhalten. Es gelten jedoch die folgenden Ausnahmen:

Sichtbarkeit: Die Sichtbarkeit der App wird auf das betreffende Unternehmen eingeschränkt. Niemand außerhalb des ausgewählten Unternehmens kann die App anzeigen oder herunterladen.

Lizenzierung: Das Unternehmen kann üblicherweise Volumenlizenzen erwerben. Zusätzliche Optionen zur Lizenzierung sind möglich.

Wenn die App an den Store übermittelt wurde, durchläuft sie den Zertifizierungsprozess. Danach muss ein Administrator des Unternehmens die App dem privaten Store des Unternehmens hinzufügen und sie auf diese Weise den Nutzern bereitstellen.

Der Vorteil der Nutzung des Stores für Unternehmen ist, dass die App signiert wurde. In einigen Fällen ist das jedoch nicht gewünscht, d. h. man möchte die App direkt an die Anwender verteilen, ohne den Weg über den Store gehen zu müssen. In diesem Fall kann das Unternehmen die App durch sogenanntes Querladen direkt auf Computern bereitstellen. Diese Möglichkeit ist auch für alle anderen oben genannten Fälle denkbar, wenn man die App ohne Store verteilen möchte. Auf dem Zielrechner ist unter den Sicherheitseinstellungen der Eintrag APPS QUERLADEN zu aktivieren. Notwendig ist ein Sicherheitszertifikat. Mit den aktuellen Updates von Windows 10 ist das Querladen etwas einfacher geworden. Sie können ein App Provisioning Package erstellen und dieses zum Querladen auf dem Zielrechner einsetzen. Dazu dient der App Installer. Mit dem App Installer können die Apps für die UWP durch Doppelklicken auf das Provisioning Package installiert werden. Das bedeutet, dass Benutzer nicht PowerShell oder andere Entwicklertools verwenden müssen, um die Apps bereitzustellen. Ebenso besteht die Option, die App mit Hilfe des App Installer direkt von einem Webserver zu installieren. Ein vorheriger Download des App Package ist nicht notwendig. Klickt der Benutzer auf einen gehosteten Weblink für ein App Package, wird der App Installer automatisch aufgerufen.

Fazit: Windows-10-Apps für die UWP bieten damit also zwei Möglichkeiten (Querladen, Entwicklermodus) die Apps auf den Endgeräten am Store vorbei bereitzustellen (Abb. 2). Beide Optionen sind für unternehmerische Belange nur sehr bedingt geeignet.

Argumente für die Nutzung des Stores für die UWP durch Unternehmen findet man im Blog des Microsoft-Mitarbeiters Kyle Marsh. Dort wird zum Beispiel auch darauf hingewiesen, dass die Zertifizierung durch Microsoft vor der Veröffentlichung im Store ein allgemeines Qualitätsmerkmal ist und dem nutzenden Unternehmen zugutekommt. Er schreibt sinngemäß: „Wenn diese Apps den Windows Store for Business durchlaufen, sind sie vollständig Windows-Store-zertifiziert, sodass das Unternehmen sicher sein kann, dass es sich um vertrauenswürdige Windows Apps handelt. Dies kann einige erste Arbeiten zur App-Überprüfung durch die IT reduzieren.“

Sollte die Nutzung des Stores ausgeschlossen sein (zum Beispiel aus Gründen der Geheimhaltung oder des Datenschutzes), dann wird dennoch die gleiche technische Überprüfung der App, zum Beispiel mit Hilfe des Zertifizierungskit für Windows-Apps, empfohlen.

iOS

Einstiegspunkt ist das Apple Developer Enterprise Program. Damit können größere Unternehmen (ab 100 Mitarbeiter) proprietäre Apps für den internen Gebrauch für ihre Mitarbeiter entwickeln und bereitstellen. Dieses Programm ist für Anwendungsfälle vorgesehen, bei denen eine private Verteilung über sichere interne Systeme oder über eine Mobile-Device-Management-Lösung direkt an Mitarbeiter erforderlich ist. Das Apple Developer Enterprise Program kostet 299 USD pro Mitgliedschaftsjahr. Damit kann man öffentliche Apps im App Store, Betaversionen von Apps über TestFlight und benutzerdefinierte Apps über Apple Business Manager oder Ad-hoc-Distribution an Unternehmen verteilen. Die Nutzung des Apple Developer Enterprise Program bietet folgende Möglichkeiten:

Bereitstellung von Apps vollständig, ohne den Apple App Store

Apps erfordern keine Freigabe durch Apple

Installation der Apps auf beliebig vielen Geräten, ohne dass deren UDID bekannt sein muss

Es müssen folgende Einschränkungen beachtet werden:

Bereitstellung und Zugangskontrolle müssen selbst übernommen werden, beispielsweise mittels einer externen Mobile-Device-Management-Lösung oder einem eigenen App Store

Verteilung von Apps ausschließlich an Mitarbeiter des Mitgliedsunternehmens, d. h. nicht an Kunden, Geschäftspartner usw.

Das Zertifikat für Enterprise-Apps muss jährlich erneuert werden; d. h. die Anwender müssen die App spätestens nach einem Jahr neu laden

Für das Deployment von iOS-Apps kann auch das Deployment-Programm „Apple at Work“ interessant sein. Das Ziel ist die Verteilung von Apps an eine geschlossene Benutzergruppe. Einsatzgebiete sind zum Beispiel der Einkauf von kostenpflichtigen Apps in großen Stückzahlen und die kostenfreie Bereitstellung an Mitarbeiter und Externe mit oder ohne Nutzung des Apple App Store. Dabei muss der Bereitsteller Mitglied des Apple Developer Program sein und die Empfänger der App (Kunde) Mitglied im Apple-at-Work-Programm.

Genügen die Optionen von Apple für den Businessbereich nicht, können auch hier Lösungen von Drittanbietern eingesetzt werden.

Mobile Enterprise Computing: Mobile Application Management

Zur Einordnung des Mobile Application Management (MAM) in das Enterprise Mobility Management verweisen wir auf die Ausführungen im letzten Teil der Serie. Grundsätzlich geht es um das Verwalten, Kontrollieren und Sichern von Apps auf mobilen Endgeräten. Typische Bestandteile einer MAM-Lösung sind Unternehmens-App-Stores und App-Container (Verschlüsselung, Profile) und App-Wrapper (In-App-VPN für eine erweiterte Sicherheit und Kontrolle). MAM kommt also immer dann zum Einsatz, wenn man mit den individuellen Lösungen der Plattformen, zum Beispiel der Verwendung von Arbeitsprofilen in Android 8 (Oreo), nicht zufrieden ist, der Funktionsumfang nicht ausreicht, eine einfachere Lösung, primär aus Sichtweise der Administration, gefragt ist und man insbesondere eine größere Vielfalt bei den zu administrierenden Systemen und Geräten händeln muss. MAM ist oftmals auch Bestandteil umfassender EMM- und/oder Mobile-Device-Management-Lösungen. Ein Fallbeispiel zum Einsatz eines Mobile Device Management und der Bereitstellung von Software finden Sie im Kasten „Einsatz eines Mobile Device Management: Fallstudie C. Hafner GmbH + Co. KG“.

Einsatz eines Mobile Device Management: Fallstudie C. Hafner GmbH + Co. KG

Das Familienunternehmen C. Hafner GmbH + Co. KG, ein Unternehmen im Bereich der Edelmetalltechnologie, stellt seinen Mitarbeitern ca. 75 Smartphones und Tablets (Android- und Apple-Geräte) zum mobilen Arbeiten zur Verfügung. Soll der Mitarbeiter nicht zwei Handys mit sich herumtragen, eins für den privaten und eins für den beruflichen Gebrauch, muss man es technisch so organisieren, dass die berufliche und die private Sphäre voneinander getrennt werden. Benutzt beispielsweise ein Mitarbeiter auf einem auch beruflich genutzten Gerät privat die Messenger-App WhatsApp, greift die Anwendung auch auf die beruflichen Kontaktdaten zu. Dabei werden auch die Daten von Nicht-WhatsApp-Nutzern ohne deren Zustimmung an Server in den USA übermittelt – ein eindeutiger Verstoß gegen die Datenschutzgrundverordnung. Ein Lösungsansatz: Der Cortado Server (www.cortado.com) sorgt auf der Ebene des Betriebssystems und unter Verwendung der nativen Geräteverwaltungsschnittstellen, die Android Enterprise oder Apple zur Verfügung stellen, für eine Containerisierung auf dem Smartphone (Abb. 3). Diese Containerisierung sorgt für eine strikte Trennung des privaten und beruflichen Bereichs. Das Unternehmen kann somit alle eingesetzten Businessapps in einem Container verwalten und hat die Daten sicher von den sonstigen Apps getrennt.Der Server sorgt außerdem für die automatische Einrichtung der Mobiltelefone und Tablets sowie für die Verteilung der Apps. Die Einrichtung der Geräte funktioniert entweder über das Self-Service-Portal oder man scannt den von Cortado erzeugten Barcode und gelangt damit auf eine Webseite, die Schritt für Schritt durch die Installation führt. Ein wichtiger Einsatzzweck sind bei C. Hafner die Funktionen des MS-Exchange-Servers, also E-Mail, Kontakte und Kalender. Der Server lässt sich auch als Exchange Proxy nutzen. Anstatt den Mailserver direkt anzusprechen, verbinden sich die Mobilgeräte direkt mit dem Cortado Server, um E-Mails zu empfangen und zu senden. Das hat den Vorteil, dass das Unternehmen den eigenen E-Mail-Server nicht ins Internet exponieren muss und sich daher sicher sein kann, dass nur diejenigen Geräte E-Mails abrufen können, die sich unter Kontrolle des Mobile Device Management befinden.

Fazit und Ausblick im Mobile Enterprise Computing

Mobile Enterprise Computing steht noch am Anfang seiner Möglichkeiten. Das Potenzial, unternehmerische Aufgaben mit Hilfe mobiler Computertechnologie zu steuern, erscheint riesig. Ein wichtiges Thema ist die Trennung von privater und geschäftlicher Arbeit auf den mobilen Geräten. Insbesondere die Vorgaben des Datenschutzes verlangen nach einem durchdachten Konzept. Eine sorgfältige Planung der Umsetzung ist auf jeden Fall besser, als das Thema einem willkürlichen Wildwuchs zu überlassen. In diesem Fall verlassen schützenswerte Daten das Unternehmen, denn die Mitarbeiter haben ihre eigene Strategie des mobilen Arbeitens gefunden. Gleichwohl werden die Möglichkeiten der mobilen Arbeit nicht genutzt. Um die Herausforderungen des Mobile Enterprise Computings zu bewältigen, bieten die Plattformen ähnliche, aber im Detail unterschiedliche Lösungen. Um einen Flickenteppich zu vermeiden, sollte der Einsatz einer Komplettlösung zur Verwaltung der Geräte, der Software und der Inhalte in Betracht gezogen werden. Der Markt hält eine Vielzahl von Lösungen bereit.