Mobile Device Management: Darum brauchen Sie jetzt ein MDM-System

Fast jeder Erwachsene in Deutschland nutzt ein Smartphone. Auch im Beruf sind mobile Endgeräte immer wichtiger geworden: Wie praktisch, wenn man seinem Chef einfach ein Foto von der Baustelle schicken, von unterwegs eine E-Mail schreiben oder einen Interessenten mit einer spannenden Präsentation auf dem iPad überzeugen kann.

Gleichzeitig tun sich weitreichende Fragen in Bezug auf Datenschutz und Data Security auf. Aus diesem Grund gibt es für die Mobilgeräteverwaltung sogenannte Mobile-Device-Management-Systeme (MDM).

Ob nun die Firma das Smartphone oder Tablet zur Verfügung stellt oder Mitarbeiter ihre privaten Geräte nutzen: Die Verwaltung von Geräten, Tarifen und Nummern und die Integration in die Systemlandschaft des Unternehmens (Microsoft Exchange, VPN-Verbindungen, E-Mail-Server, CRM etc.) sorgt auf jeden Fall für eine Menge Arbeit.

Ein MDM kann diese Arbeit sehr erleichtern.

„Ein MDM-System ist die softwaregestützte Verwaltung von mobilen Kommunikationsgeräten wie Smartphones, Phablets und Tablets im Unternehmenskontext. MDM hilft, Aufwände abzubauen und Sicherheitslücken zu schließen.“

Smartphones, Tablets und Phablets sind aus dem Berufsalltag kaum noch wegzudenken. Ein Mobile-Device-Management-System hilft bei der Einrichtung und Verwaltung der Geräte

Die große Klammer: Enterprise Mobility Management (EMM)

Mobile Device Management ist innerhalb von Unternehmen Teil des übergeordneten Enterprise Mobility Managements (EMM). Während dieses sich auch auf Softwarekomponenten erstreckt und beispielsweise das Mobile Application Management umfasst (also eine unternehmensweite Verwaltung mobiler Anwendungen), ist ein MDM-System dediziert auch für die intelligente Verwaltung von Mobilen Endgeräten wie Smartphones, Tablets oder Phablets vorgesehen. Prinzipiell ist es dabei egal, ob Firmen die Handys mieten, kaufen oder Mitarbeiter ihre eigenen Devices einsetzen lassen (lesen Sie hierzu mehr bei den Deployment-Varianten).

Zu einem MDM gehören standardmäßig:

• die Verwaltung der Geräte und Gerätedaten wie IMEI-Nummern, Seriennummern etc.,
• die übersichtliche Zuordnung der Geräte zu den Mitarbeitern,
• die übersichtliche Zuordnung der Geräte zu den jeweiligen Business-Mobilfunktarifen,
• die DSGVO-konforme Trennung der beruflichen von den privaten Daten der Mitarbeiter (Einrichtung eines Workspace),
• die zentrale Verwaltung von Zugangsberechtigungen ins Firmennetzwerk (WLAN, VPN, …),
• ein nutzerfreundliches Deployment-Programm zur Integration neuer Geräte, beispielsweise beim Onboarding eines neuen Kollegen (übrigens auch ein ganz netter Corporate Benefit).

Mobiles Arbeiten: Ob im Home Office oder im Außendienst, Mobilgeräte spielen eine immer wichtigere Rolle

Üblich sind auch weitreichende Funktionen in den Bereichen Mobile Application Management sowie Mobile Security. Letzteres umfasst beispielsweise die Möglichkeit für den Administrator, Unternehmensdaten aus dem Workspace zu löschen („Remote Wipe“) oder das Gerät zu sperren („Lock Device“) – etwa, wenn das Firmenhandy gestohlen oder verloren wurde.

Mehr Informationen zu MDM-Systemen und wie Sie von diesen profitieren können erhalten Sie in unserem MDM-Whitepaper.

Berufliche Smartphone-Nutzung immer wichtiger

Allen Unkenrufen zum Trotz wird die Smartphone-Nutzung in Unternehmen immer wichtiger, sodass erstaunliche 71 Prozent der deutschen Arbeitnehmer ihr Firmenhandy mit in den Urlaub nehmen bzw. telefonisch für ihren Chef erreichbar sind. Gleichzeitig steigt der Anspruch bei Mitarbeitern, technisch ausgereifte Lösungen von den Unternehmen bereitgestellt zu bekommen oder ihr eigenes Equipment einsetzen zu können.

BYOD, COBO, COPE, CYOD – was bedeuten diese Deployment-Varianten?

Je nach Firmen-Policy werden die Kollegen entsprechend entweder mit Firmengeräten ausgestattet oder verwenden eben ihr privates Endgerät. Bei der Integration privater Handys in ein Firmennetzwerk gibt es allerdings zahlreiche kritische Aspekte. Für IT-Administratoren ist es eine große Herausforderung, ein Sammelsurium verschiedener mobiler Betriebssysteme und Smartphone-Modelle sauber in die Systemlandschaft des Unternehmens zu integrieren.

Manche Firmen stellen deswegen lieber gleich reine Arbeitshandys zur Verfügung. Aber auch hier gibt es einiges zu beachten, zum Beispiel in Bezug auf das Arbeitsrecht: Für Arbeitnehmer gibt es bei der Nutzung eines Firmenhandys bestimmte Rechte und Pflichten, was etwa die Nutzung von Business-Tarifen im Urlaub, eventuell anfallende Roaming-Gebühren und dergleichen angeht. Als Angestellter sollte man sich deswegen vorher gegebenenfalls schlau machen und sich zudem strikt an die Kommunikationsvorgaben des Unternehmens halten, Stichwort: Compliance.

Für den Arbeitgeber hingegen ist vor allem das Sicherheitsbedürfnis vorrangig: Es gilt, Unternehmensdaten vor Hackern, Cyberkriminalität, Wirtschaftsspionage oder einem Datenverlust bei Beschädigung oder Verlust des Geräts zu schützen.

Es folgt ein Überblick über mögliche Varianten der Geräteverteilung („Deployment“) und deren größte Vor- und Nachteile. Wenn Sie mit den Begriffen bereits vertraut sind, können Sie diesen Teil überspringen und gleich beim Thema Datenschutz weiterlesen.

COBO („Company-Owned, Business Only“)

Der Dinosaurier unter den Vergabemodellen (auch unter COD, „Company-Owned Device“, bekannt) schreibt rigide vor, dass das Geschäftstelefon auch nur geschäftlich verwendet wird. Private Nutzung ist tabu. So hat die IT zwar die volle Kontrolle, nutzerfreundlich ist dies aber schon deswegen nicht, weil Arbeitnehmer nun neben ihrem privaten noch ein zweites, geschäftliches Endgerät nutzen müssen. Das macht kaum jemand gerne.

Es gibt Beschäftigte, die ein getrenntes Firmenhandy schätzen. Die meisten tun dies allerdings nicht

Vorteile COBO

• Flotte mit einheitlichem Betriebssystem erleichtert Verwaltung
• reduziertes/harmonisiertes Geräteportfolio erleichtert Verwaltung
• IT hat volle Kontrolle über Zugriffsrechte, Apps und Integrationstiefe (IT-Compliance)
• hoher Sicherheitsgrad und Datenschutz

Nachteile COBO

• geringe Akzeptanz bei Nutzern
• entspricht nicht den Erwartungen vieler Arbeitnehmer an Arbeitswelt
• gegebenenfalls Produktivitätseinbußen
• keine Flexibilität
• Arbeitnehmer benötigen ein zusätzliches privates Endgerät
• hohe Anschaffungskosten für Hardware

BYOD („Bring your own Device“)

BYOD bedeutet, dass Beschäftigte ihre privaten Endgeräte (die sie auch selbst erworben haben) im Unternehmen nutzen. Auf dem Device sind also sowohl berufliche als auch private Daten, die am besten mittels eines MDM-Systems bzw. einer Container-App getrennt werden.

Während BYOD den großen Vorteil hat, dass Arbeitnehmer in einer vertrauten Umgebung vom ersten Tag an produktiv arbeiten können, stellt das Konzept die IT vor einige Herausforderungen, was die sichere Verwaltung und Integration einer heterogenen Mobility-Landschaft angeht.

Vorteile BYOD

• BYOD verspricht hohe Produktivität, da Mitarbeiter mit einem ihnen bereits vertrauten Gerät und Betriebssystem arbeiten können
• kein Geschäftstelefon/Zweitgerät mehr nötig
• hohe Mitarbeiterzufriedenheit
• keine Anschaffungskosten auf Unternehmensseite

Nachteile BYOD

• im schlimmsten Fall „Dark BYOD“: keine Transparenz bezüglich der im Unternehmen eingesetzten und vernetzten Geräte und mobilen Betriebssysteme (Android, iOS, Windows Mobile, Blackberry OS etc.)
• hohes Sicherheitsrisiko (Hacker-Angriffe, Cyber-Kriminalität, Industriespionage, Datendiebstahl)
• hoher Support-Aufwand für IT (verschiedene Betriebssysteme und Modellreihen) relativiert Einsparungen bei Anschaffungskosten
• strikte Trennung beruflicher und privater Daten muss technisch umgesetzt werden (DSGVO-Anforderungen, Stichwort: WhatsApp)
• Mobile Security erfordert klare Richtlinien für Handynutzung
• Mitarbeiter*innen müssen sich an Vorgaben halten und/oder aktiv Support leisten

COPE („Company-owned, personally enabled“)

Beim COPE-Ansatz beschafft das Unternehmen das Mobilgerät und stellt es dem Arbeitnehmer zur privaten Nutzung zur Verfügung. Der Ansatz ist fast mit „CYOD“ identisch und unterscheidet sich von diesem in der Regel nur durch ein etwas reduziertes Line-up der wählbaren Firmenhandys sowie durch die Tatsache, dass Unternehmen bei COPE die Mobilgeräte kaufen. Bei CYOD ist es prinzipiell auch möglich, die Handys zu mieten. (Warum eine Verlagerung von CapEx zu OpEx sinnvoll sein kann, lesen Sie hier.)

Vorteile COPE

• Arbeitgeber hat Einfluss auf Geräteauswahl
• reduziertes/harmonisiertes Geräteportfolio erleichtert Verwaltung
• Arbeitnehmer benötigen kein zusätzliches privates Endgerät

Nachteile COPE

• hohe Anschaffungskosten
• gegebenenfalls Unzufriedenheit der Mitarbeiter mit reduzierter Geräteauswahl

CYOD („Choose Your Own Device“)

Bei „Choose Your Own Device“ dürfen sich Mitarbeiter*innen aus einem vordefinierten Smartphone-Portfolio das Gerät ihrer Wahl aussuchen, das ihnen dann in der Regel auch zur privaten Nutzung überlassen wird. Da Arbeitnehmer sich üblicherweise für Geräte bzw. mobile Betriebssysteme entscheiden, mit denen sie bereits vertraut sind, kann das Unternehmen von Beginn an auf hohe Produktivität hoffen.

Durch diese Auswahlmöglichkeit (neudeutsch: ‚Employee Choice“) wird darüber hinaus das Arbeitgeberprofil geschärft – das Unternehmen wird für Bewerber und Angestellte attraktiver („Employer Branding“). Als weiteren positiven Aspekt benötigen die Mitarbeiter beim Arbeiten mit vertrauten Technologien auch deutlich weniger Unterstützung vom Helpdesk, wenn Firmenhandys mit CYOD ausgerollt werden.

Da der CYOD-Ansatz eigentlich nur Vorteile bringt, empfehlen wir von Everphone den meisten Unternehmen diese Variante. Insbesondere in Verbindung mit einem Smartphone-Mietmodell kann CYOD nicht nur die Mitarbeiterzufriedenheit substanziell erhöhen, sondern auch die Firmenhandy-Kosten beträchtlich senken. Wenn Sie hierzu mehr erfahren wollen, freuen wir uns auf ein kurzes Gespräch mit Ihnen.

Dazu können Sie direkt hier einen kurzen Gesprächstermin vereinbaren:

Vorteile CYOD

• reduziertes/harmonisiertes Geräteportfolio erleichtert Verwaltung
• Arbeitnehmer benötigen kein zusätzliches privates Endgerät
• hohe Produktivität
• hohe Mitarbeiterzufriedenheit
• Unternehmen können durch Zuzahlungsmodelle/Co-Payment Kosten sparen
• zahlt auf Employer Branding ein
• entlastet Helpdesk

Nachteile CYOD

• verlässt der Mitarbeiter das Unternehmen, muss der Verbleib des Geräts geklärt werden: eventuell muss sich der Mitarbeiter ein neues Gerät kaufen

Mobile Endgeräte und Datenschutz ab 2019

Die verschiedenen Deployment-Varianten stellen die IT-Abteilungen vor unterschiedliche Herausforderungen. Eine der größten ist bei allen Ansätzen, die eine privat-geschäftliche Mischnutzung der Geräte vorsehen, die Vorgaben der im Mai 2018 erlassenen EU-DSGVO (Datenschutzgrundverordnung) zu erfüllen.

Das ist nicht mehr nur eine Frage der „Nettiquette“, sondern eine dringende Notwendigkeit, will man als Unternehmen keine der empfindlichen Strafen zahlen, die mit der DSGVO eingeführt wurden: Diese können sich bei gravierenden Verstößen auf bis zu 20 Millionen Euro oder 4 Prozent des weltweit erzielten Vorjahresumsatzes belaufen. Auch bei weniger gewichtigen Verstößen können schon 10 Millionen Euro oder 2 % des Vorjahresumsatzes fällig werden, je nachdem welche Summe höher ist (Art. 83 EU-DSGVO).

Verhängt werden können die Strafen nun allerdings bereits, wenn Unternehmen nicht nachweislich alles getan haben, um den Schutz personenbezogener Daten von Mitarbeitern und Kunden zu gewährleisten – ein tatsächlicher Verstoß oder eine tatsächliche Datenpanne ist demnach gar nicht mehr nötig.

Zudem liegt die Beweispflicht auf Unternehmensseite. Es muss also nicht etwa von der Datenschutzbehörde ein Verstoß nachgewiesen werden, sondern es genügt bereits, wenn nicht alle organisatorischen und technischen Voraussetzungen zum Schutz personenbezogener Daten getroffen wurden – das ist in dieser Form neu.

Lesen Sie hierzu auch: Bayern prescht mit Datenschutzkontrollen vor.

Aufgrund der neuen EU-Datenschutz-Grundverordnung müssen IT-Abteilungen also nicht nur aus Sicherheits-, sondern auch aus datenschutzrechtlichen Gründen eine strikte Trennung privater Daten von den Geschäftsdaten auf den Endgeräten gewährleisten.

Datenschutz und Mobile Device Management per Sicherheitscontainer

Ein Mobile-Device-Management-System kann genau diesen Schutz leisten, indem es die Unternehmensdaten auf den Geräten sauber von den privaten Daten der Nutzer trennt, je nachdem, welche Vorgaben und welche Policy es im Unternehmen in Bezug auf die Nutzung von Mobilgeräten gibt.

In der Regel setzen MDM-Systeme dabei auf containerisierte Lösungen, bei denen ein verschlüsselter Workspace für die Geschäftsanwendungen eingerichtet wird (‚Sicherheitscontainer“). Je nach mobilem Betriebssystem wird dabei auf unterschiedliche native Lösungen der Hersteller aufgesetzt (bsw. Samsung Knox, Apple Profile Manager, Apple Configurator).

Der vom Mobile Device Management erstellte Workspace auf einem Android-System

Die Einrichtung einer solchen Container-App ist mit einem MDM problemlos und ohne großen Aufwand möglich, die Verwaltung und Konfiguration erfordert kein Spezialwissen seitens der IT.

Die notwendige Trennung des geschäftlichen Bereichs vom privaten erfolgt also über die Installation sogenannter Sicherheitscontainer. Im Workspace oder Android-Arbeitsprofil können nur Apps installiert werden, die von der IT zuvor genehmigt und/oder konfiguriert wurden.

Im Workspace freigegebene Produktivitäts-Apps (Whitelisting)

Das heißt, lediglich die Produktivitäts-Apps werden im Workspace zugelassen, aus Datenschutzsicht kritische Anwendungen (wie zum Beispiel WhatsApp, das die personenbezogenen Daten aus der Kontaktliste an Server im Ausland übermittelt) können nur im privaten Bereich installiert werden – wo sie keinen Zugriff auf die Geschäftsdaten oder -kontakte haben.

Mobilgeräteverwaltung wird immer komplexer

In den Unternehmen verursachen die Beschaffung, Einrichtung und Verwaltung der Mobilgeräte erheblichen Aufwand. Je nach Deployment-Strategie und der Anzahl verschiedener Geräte kämpfen IT-Administratoren mit einer Vielzahl unterschiedlicher Betriebssysteme, Patch-Zyklen, Schnittstellen und den damit einhergehenden Security- und Usability-Problematiken.

IT-Aufwand steigt stetig

Dieser ungeliebte Verwaltungsaufwand erhöht sich noch, wenn Geräte verloren gehen oder einen Defekt haben. Nicht selten kommt es dann vor, dass sich ein Mitarbeiter aus der IT mit einem defekten Firmenhandy wohl oder übel zu einem Reparaturshop begeben muss. So wird schnell ein halber IT-Arbeitstag für eine simple Displayreparatur vergeudet – von einer effizienten Mobilgeräteverwaltung ist man damit weit entfernt.

Allein die Beschaffung und die Integration der Devices macht Arbeit: Unserer Erfahrung nach werden hier pro Gerät vier bis fünf Arbeitsstunden in der IT investiert, wenn kein Mobile-Device-Management-System genutzt wird. Hinzu kommen noch Reparaturen, Updates und andere Services, die in der Regel ebenfalls von der IT übernommen werden müssen (gelegentlich springt hier auch das Office Management ein).

Rechnet man sich den Aufwand auf mehrere Dutzend oder gar hunderte Smartphones hoch, wird schnell klar, dass die Mobilgeräteverwaltung zu einer ernstzunehmenden Belastung für ein Unternehmen werden kann – unabhängig davon, ob man von Start-ups, KMU oder Corporate spricht. Ab einer Schwelle von etwa 300 Mobilgeräten wird unserer Erfahrung nach die Verwaltung der Geräte sogar so aufwendig, dass das Unternehmen jemanden in Vollzeit benötigt, der sich um diese Aufgabe kümmert.

Entlastung der IT durch Mobile Device Management

Das muss allerdings nicht sein. Ein MDM-System entlastet IT-Administratoren nachhaltig, indem es genau diesen Verwaltungsaufwand auf ein Minimum reduziert. Im besten Fall dauert das Integrieren eines neuen Geräts (‚Enrollment“) weniger als eine Minute.

Das meiste erledigt das MDM: Auf dem Smartphone wird der bereits erwähnte, verschlüsselte Workspace eingerichtet, der die Geschäftsdaten sauber von den privaten Daten trennt und damit auch die Datenschutzanforderungen der EU-DSGVO erfüllt.

Die Geräteerfassung kann der Mitarbeiter selbst vornehmen, ohne weitere Unterstützung von der IT in Anspruch zu nehmen. Dazu genügt es beispielsweise, dass der Mitarbeiter mit dem neuen Gerät einen vom MDM-System bereitgestellten QR-Code einliest, was die Installation des MDM mit allen gewählten Voreinstellungen nach sich zieht.

Einfacher geht die Neuerfassung eines Firmensmartphones kaum: Nutzer*innen lesen mit ihrem Gerät einen QR-Code ein oder besuchen eine angegebene URL. Den Rest übernimmt das Mobile Device Management, in diesem Beispiel von Cortado

WLAN-Passwörter, E-Mail-Einstellungen, VPN-Zugänge und zum Beispiel auch die Drucker stehen nach dem Enrollment fertig konfiguriert bereit, sodass der Nutzer sich nicht kompliziert mit Logins, Zugängen, Passwörtern und Ähnlichem herumschlagen muss.

Mit dem Everphone-Service können Mitarbeiter sogar Reparaturen, Gerätetausch und dergleichen selbst initiieren. Von der IT ist hierzu keinerlei Support nötig.

Anforderungen an ein Mobile-Device-Management-System

Die Anforderungen an Mobilgeräte im Unternehmen sind so vielfältig wie die Aufgabenprofile der Mitarbeiter. Die IT kann deshalb im MDM Nutzerprofile und Gruppenprofile mit verschiedenen Berechtigungen anlegen. So können etwa für Außendienstmitarbeiter und Vertriebler andere Konfigurationen vorgenommen werden, als bei Mitarbeitern im Innendienst.

Generelle Anforderungen an ein MDM sind desweiteren:

• Sicherheit (Datenübertragung verschlüsselt, Passwortzwang, Virenschutz, etc.)
• Integration mobiler Betriebssysteme (heute vorwiegend iOS und Android, aber auch Blackberry OS, Windows Mobile etc.)
• Voreinstellungen für WLAN, VPN, Mailserver etc. hinterlegbar
• Nutzerfreundlichkeit für IT-Administratoren
• Remote Wiping & Device Lock bei Geräteverlust über die Luftschnittstelle
• Reporting
• Zugriffsrechteverwaltung
• DSGVO-konforme Datentrennung von privat und beruflich

Mobile Device Management – Fazit

Unternehmen, die mobile Endgeräte sicher in ihrem Netzwerk integrieren wollen, sollten sich ernsthaft mit dem Einsatz eines MDM-Systems befassen. Ein MDM adressiert wichtige Fragen zu Data Security und dem Schutz personenbezogener Daten. Ein MDM kann die IT und den Helpdesk nachhaltig entlasten und zu einer höheren Mitarbeiterzufriedenheit führen. Unserer Erfahrung nach lohnt sich der Einsatz eines MDM ab etwa 50 zu verwaltenden Geräten.

Mobile Device Management – weiterführende Links

• BYOD ist tot. Ein Nachruf (everphone.com)
• Enterprise Mobility Management (Wikipedia)
• Der Spion in der Hosentasche (Channelpartner)
• Mobile Device Management: die besten Lösungen (Computerwoche)
• Empfehlungen zu BYOD-Umgebungen (Channelpartner)
• Diensthandy – Rechte und Pflichten (Unternehmerhandbuch)
• Mobilgeräte sicher verwalten (IT-Service.Network)
• Was ist Mobile Device Management (IT-Business)
• Das müssen Sie bei der MDM-Einführung beachten (Tecchannel)
• MDM, BYOD, COPE einfach erklärt (Netzwelt)
• Steuerliche Vorteile eines Mietmodells (everphone.com)