Technische Architektur von MDM-Lösungen

Aus Winfwiki

Wechseln zu: Navigation, Suche


Fallstudienarbeit

Hochschule: Hochschule für Oekonomie & Management
Standort: Düsseldorf
Studiengang: Bachelor Wirtschaftsinformatik
Veranstaltung: Fallstudie / Wissenschaftliches Arbeiten
Betreuer: Prof._Dr._Uwe_Kern
Typ: Fallstudienarbeit
Themengebiet: Bring Your Own Device
Autor(en): Baris Sutekin, Sascha Merckell, Christian Hauß
Studienzeitmodell: Tagesstudium
Semesterbezeichnung: WS11
Studiensemester: 2
Bearbeitungsstatus: vergeben
Prüfungstermin: 18.01.2012
Abgabetermin: 15.01.2012


Inhaltsverzeichnis


1 Abkürzungsverzeichnis

AbkürzungBedeutung
3LMThree Laws of Mobility
ADActive Directory
AESAdvanced Encryption Standard
APIApplication Programming Interface
Blackberry MDSBlackberry Mobile Data System
BYODBring Your Own Device
CBCCipher Block Chaining Mode
D&BDun & Bradstreet
DMZDemilitarisierte Zone
D-U-N-SData Universal Numbering System
EAPExtensible Authentication Protocol
EMEAEurope Middle East Africa
EMMEnterprise Mobility Management
ESSIVEncrypted Salt-Sector IV
GRCGovernance, Risk and Compliance
HTCHigh Tech Computer Corporation
HTTPHypertext Transfer Protocol
IDIdentifikator
IDCInternational Data Corporation
IMInstant Messaging
IPSecInternet Protocol Security
L2TPLayer 2 Tunneling Protocol
LAN Local Area Network
LDAP Lightweight Directory Access Protocol
LEAPLightweight Extensible Authentication Protocol
MDMMobile Device Management
OSOperating-System
OTAOver the Air
OWAOutlook Web Access
PEAPProtected Extensible Authentication Protocol
PPTPPoint-to-Point Tunneling Protocol
RIMResearch in Motion
RPCRemote Procedure Call
SCEPSimple Certificate Enrollment Protocol
SHASecure Hash Algorithm
SSLSecure Sockets Layer
TLSTransport Layer Security
TTLSTunneled Transport Layer Security
USBUniversal Serial Bus
VPNVirtual Private Network
VPPVolume Purchasing Program
WLANWireless Local Area Network
WPAWi-Fi Protected Access
WPA2Wi-Fi Protected Access 2
WPA2 EnterpriseWi-Fi Protected Access 2 Enterprise
XMLExtensible Markup Language

2 Abbildungsverzeichnis

Abb.-Nr.Abbildung
1Nutzung von Applikationen
2Einsatz persönlicher Endgeräte im Unternehmen
3 & 4Smartphones erobern den Massenmarkt
5 & 6Tablet Computer boomen
7Aufbau einer zentralen Device Management-Lösung
8Grundlegendes Zusammenspiel der Komponenten
9Implementierungsbeispiel Exchange ActiveSync
10Funktionsweise einer MDM-Lösung
11Technischer Aufbau der 3LM Lösung
12Die RIM Lösung
13Architektur des BlackBerry Enterprise Servers
14Der BlackBerry Attachment Service
15Der BlackBerry Router
16Der BlackBerry Administration Service
17Der BlackBerry MDS Connection Service
18Aufbau des BES Servers mit SRP Infrastruktur
19Prognose Marktanteile Smartphone Betriebssysteme

3 Tabellenverzeichnis

Tabelle Nr.Quelle
1Prognose Marktanteile Smartphone Betriebssysteme
2Übersicht über unterstütze Dateiformate
3Vergleichsmatrix

4 Einleitung

4.1 Begründung der Themenwahl

Seit Jahren entwickelt sich eine neue Anwender-Generation, welche die aus dem privaten Umfeld bekannten IT-Endgeräte im Büroalltag nutzen, wie beispielsweise Smartphones oder Tablet-PCs. Somit definieren sie den neuen Anspruch an die IT-Arbeitsmittel im Unternehmensumfeld. Der klassische Computer ist nicht mehr ein ausschließliches Arbeitsinstrument, stattdessen entwickeln sich Smartphones und Tablet-PCs über die Jahre zu einem wesentlichen Bestandteil des kreativitätssteigerenden Arbeitens.

Nutzung von Applikationen

Abbildung 1: Nutzung von Applikationen[1]

Durch den Einsatz von unterschiedlichen mobilen IT-Endgeräten besteht die Gefahr, dass Unternehmen die Kontrolle über die eigene IT-Landschaft verlieren können. Die steigenden Anforderungen an die IT-Infrastruktur in puncto Verfügbarkeit und Flexibilität erfordern, dass die Unternehmen auf eine einheitliche Vorgehensweise bzw. Strategie setzen, um bei diesem wachsenden Trend standhaft bleiben zu können. Zudem können die Endgeräte mangels Sicherheitsbestimmungen, die je nach Plattform sehr unterschiedlich sind, potenzielle Spionageangriffe oder Viren in das Firmennetzwerk einschleusen. Laut einer Umfrage der Computerwoche, schätzen IT-Experten den Einsatz von persönlichen Devices als unsicher ein.


Einsatz persönlicher Endgeräte im Unternehmen

Abbildung 2: Einsatz persönlicher Endgeräte im Unternehmen [2]

Aus diesem Grund ist es von besonderer Bedeutung ein Konzept zu entwickeln, welches auf standardisierten Endgeräten und Applikationen basiert. Die daraus resultierenden können den Anwendern einen effizienten und sicheren Unternehmenseinsatz bieten. Die Anforderungen werden mithilfe einer Sicherheits- und Nutzbarkeitsanalyse definiert und auf Anwendbarkeit überprüft. Hierbei rückt die zentrale Verwaltung der IT-Endgeräte in den Vordergrund, wozu die Inventarisierung und Konfiguration der Geräte gehört. Zu einem sicheren Betrieb von mobilen IT-Endgeräten zählt nicht nur die Sicherheit auf dem Endgerät, sondern auch die Sicherheit der Schnittstellen zu Unternehmensdaten bzw. Applikationen, die entsprechenden Richtlinien im Unternehmen und die Sensibilisierung der Anwender im Umgang mit Unternehmensdaten. Anwender mit mobilen Endgeräten sollen auf einem definierten Sicherheitsstandard die gewünschten Arbeitsmöglichkeiten erhalten, ohne dabei auf wichtige Endgerät-Funktionalitäten verzichten zu müssen.[3][4][5][6]

4.2 Zieldefinition

Das Ziel dieser Fallstudie ist es die einzelnen technischen Komponenten der MDM-Lösungen aufzuzeigen. Hierbei sollen die Aufgaben und die Funktionen der einzelnen Komponenten der Architektur erläutert und deren Zusammenspiel aufgezeigt werden. Desweiteren sollen die verschiedenen MDM-Lösungen der Betriebssystemhersteller (hier: Apple, Google und RIM) dargestellt und miteinander verglichen werden. Hierdurch soll ein Überblick über die möglichen Produkteinsätze gegeben werden.

4.3 Abgrenzung und Umfang

Diese Fallstudie beschäftigt sich mit der technischen Architektur von MDM-Lösungen. Hierbei wird gezielt auf die benötigten Infrastrukturobjekte der Hersteller Apple iOS, Google Android und RIM Blackberry OS eingegangen. Lösungen für das Windows Phone-basierte Bertriebssystem werden hier nicht betrachtet, da sich diese noch im Aufbau befinden. Das Windows Phone wird laut Prognosen erst in den nächsten Jahren im Enterprisemarkt immer mehr an Bedeutung gewinnen. Nokias Symbian wird dagegen aufgrund der massiv sinkenden Nutzerzahlen nicht weiter betrachtet. Die auf dem Markt befindlichen 3rd Party MDM-Lösungen wie die Ubitexx MDM Lösung werden durch andere Gruppen analysiert.

5 Grundlagen

5.1 Begriffe

5.1.1 Bring Your Own Device

Bring Your Own Device (deutsch wörtlich: Bring dein eigenes Gerät mit) beschreibt im Allgemeinen die Möglichkeit, eigene Hardware im Firmenbereich einzusetzen. Hierbei wird die Hardware durch den Mitarbeiter zur Verfügung gestellt und auch weiterhin privat mitgenutzt.

BYOD im Mobile Device Segment beschreibt die Zurverfügungstellung von Smartphones und Tablet-PC durch Mitarbeiter dem Unternehmen gegenüber. Der Mitarbeiter setzt hierbei das Smartphone auch z.B. zur Unternehmenskommunikation (Telefonie, E-Mail etc.) ein. Die private und berufliche Nutzung der Geräte verschmilzt hierbei. Das Unternehmen spart sich hierdurch teure Anschaffungskosten und die Einweisung des Mitarbeiters in das Produkt, da dieser es bereits durch die private Nutzung beherscht. Die Mitarbeiter können hierdurch ihren Anspruch befriedigen mit moderner Hardware zu arbeiten, was gerade von der jüngeren Generation gewünscht wird.

5.1.2 Mobile Device Management

Mobile Device Management (deutsch: mobiles Gerätemanagement) beschreibt eine Unterkategorie des Gerätemanagements. Hierbei wird das Augenmerkt speziell auf mobile Endgeräte wie Tablets oder Smartphones gerichtet. Ziel ist es die Kontrolle über die genutzten Geräte zu erhalten und diese zentraliesiert zu administrieren, installieren und zu überwachen. Die Steuerung findet hierbei primär drahtlos (OTA) statt, hierdurch ist es notwendig das Gerät durch den Nutzer an zentralen Stellen abzugeben oder an seinen Computer anzuschliessen. Die Administration kann somit in jeglichen Lagen entsprechende Deployments auf den Geräten durchführen. MDM wird im Zusammenhang mit BYOD immer wichtiger, da hierdurch vermehrt nicht Unternehmenshardware im Unternehmensnetz eingesetzt wird. Mitarbeiter bringen Ihre Geräte in das Unternehmensnetzwerk ein um E-Mails, Telefonie und andere Applikationen nutzen zu können.

5.2 Zeitliche Entwicklung

Absatz von Smartphones in Deutschland

Abbildung 3 und 4: Smartphones erobern den Massenmarkt[7]

Im Juni 2007 beginnt mit dem Verkaufsstart des Apple iPhone (1) eine neue Ära von Smartphones. Dieses, speziell für Konsumenten hergestellte Smartphone führt in den folgenden Jahren zu immer größeren Verkaufszahlen. Der Anteil an Smartphones im Konsumentenbereich steigt an, wobei hingegen der Anteil an einfachen Handys abnimmt. Google bietet seit Oktober 2008 mit dem Android Betriebssystem anderen Herstellern wie HTC und Samsung die Möglichkeit an diesen Erfolgen zu partizipieren.

Absatz und Marktanteile von Tablets in Deutschland

Abbildung 5 und 6: Tablet Computer boomen[8]

Mit der Veröffentlichung des iPad (1) im Jahre 2009 konnte Apple seine Anteile im Tablet Markt ausweiten. Hersteller wie Samsung und Amazon zogen mit entsprechenden Geräten nach. Die Absatzzahlen für Tablet Computer steigen seitdem stetig, wohingegen die Absatzzahlen für stationäre PCs rückläufig sind.

6 Technische Architektur von MDM-Lösungen

6.1 Grundlegende Komponenten

Aufbau einer zentralen Device Management-Lösung

Abbildung 7:Aufbau einer zentralen Device Management-Lösung[9]


Eine MDM-Lösung beinhaltet zum Einen die Verwaltung der Benutzer-Accounts und zum Anderen die Verwaltung der dazugehörigen mobilen Endgeräte. Die Funktionalität zur Versorgung der Endgeräte mit der Unternehmenskonfiguration den sogenannten Profilen bzw. Policies oder Applikationen wird als Provisioning bezeichnet. Die Komponente Policy Management, stellt die Administration und Konfiguration der Profile bzw. Policies bereit. Ein weiterer und wichtiger Teil einer MDM-Lösung ist neben der Unternehmenskonfiguration auch die Bereitstellung von Applikationen auf den Endgeräten. Die hierzu verwendeten Konzepte werden in der Komponente Application-Management vorbereitet. Die Netzwerk-Komponente ermöglicht den Zugriff auf die Unternehmensarchitektur. Eine wichtige Eigenschaft ist in diesem Zusammenhang die Flexibilität und die Hochverfügbarkeit der Netzwerk-Komponenten, da die Erwartungshaltung der mobilen Benutzer an die Umgebung sehr hoch ist (Stichwort 24/7).[6][10]

6.1.1 Device Management

Device Management (deutsch: Geräteverwaltung) dient der zentralen Verwaltung aller mobilen Endgeräte, welche mit Unternehmens-Ressourcen in Berührung kommen. Dazu gehört in Hinblick dessen, die Bestandsverwaltung bzw. die Inventarisierung der Geräte. In diesem Zusammenhang wird das Endgerät mit all seinen Kenndaten, wie z.B. Hersteller, Model, Stand des Betriebsystems, Benutzer und installierten Policies registriert. Dies ermöglicht Gruppierungen je nach Geräte-Art, wie beispielsweise Hersteller, Model, Hardware- und Softwareausstattung vorzunehmen und entsprechende Profile bezüglich Betriebssystemupdates, E-Mail Konfigurationen (Push-Technologie) und Sicherheitseinstellungen wie z.B. VPN-Setup zu erstellen. Die gesammelten Daten werden in der Regel in einer Datenbank abgelegt.

Beispiele für Device Management Datenbanksysteme:

  • Microsoft SQL Server
  • MySQL
  • Oracle Database

Im Gegensatz zur Geräteverwaltung bei der nur die Endgeräte berücksichtigt werden, existiert hier die Benutzerverwaltung, in der die Anwender in einem Verzeichnis angelegt und verwaltet werden. Dies kann ein Neues oder ein bereits bestehendes und im Einsatz befindliches Verzeichnis im Unternehmen sein.

Beispiele für Benutzerverwaltung Verzeichnisse:

  • Active Directory
  • openLDAP

Bestandteil der Benutzerverwaltung ist neben der Pflege der Anwender auch die Einrichtung von Gruppen und Rollen. Durch Gruppen und Rollen werden bestimmte Berechtigungen vergeben, somit lässt sich die Benutzerverwaltung zentralisiert steuern. [3][6][11][12]

6.1.2 Provisioning

MDM-Lösungen bieten auf Grund der Tatsache der zentralen Verwaltung nicht nur die Möglichkeit Gerätekonfigurationen und -informationen abzufragen, sondern auch Sicherheitskonfigurationen und Geräteeinstellungen Over-The-Air auf Endgeräte zu pushen. Über diese drahtlose Schnittstelle können Geräte auch mit Anwendungen und Updates versorgt werden. Auf Basis der zentralen Verwaltung von mobilen Endgeräten wird die Vorrausetzung geschaffen, einen Überblick aller Endgeräte zu erhalten. Bei den sogenannten Push-Diensten, wird der Anwender dahingehend entlastet, dass der Einrichtungs- & Installationsprozess im Hintergrund abläuft. So können Sicherheitseinstellungen, Profile, Änderungen an Policies und Installationen von Unternehmensapplikationen vollständig automatisiert deployed werden. Eine integrierte Lizenzverwaltung ermöglicht alle im Einsatz befindlichen Geräte auf Hardware- und Softwarelizenzen zu analysieren. Sobald ein Endgerät Verbindung mit dem MDM-Server aufgenommen hat wird festgestellt, ob Aufgaben durchzuführen sind, falls ja werden diese erledigt. Hierzu zählen z.B. die Aktualisierung der Richtlinien, sowie die Bereitstellung von Informationen oder das Löschen von Daten. Viele der Verwaltungsaufgaben eines MDM werden im Hintergrund erledigt, so dass keine Interaktion durch den Benutzer erforderlich ist. Werden z.B. Änderungen in der Unternehmensarchitektur (z.B. Netzwerkkonfiguration) vorgenommen, können diese Remote aktualisiert werden. Ein MDM-Server kann jederzeit neue Konfigurationsprofile installieren oder vorhandene aktualisieren bzw. entfernen. Für Benutzer, die sich im Ausland befinden ist es eventuell notwendig regionsbedingte Änderungen der Konfigurationsprofile vorzunehmen, sodass das Roaming deaktiviert wird oder das Abrufen von E-Mails nicht mehr automatisch sondern manuell erfolgt.[9][10][11]

6.1.3 Policy Management

Richtlinien, welche geschäftliche und rechtliche Anforderungen umsetzen, erhöhen die Sicherheit auf den Endgeräten. Durch die Aktivierung von Policies kann der Zugriff auf das Endgerät und somit auf unternehmensrelevante Daten eingeschränkt werden. Die Verwendung einer Codesperre, welche aus Zahlen und/oder Buchstaben besteht, kann ein verpflichtender Bestandteil solch einer Richtlinie sein. Der vom Benutzer festgelegte Code kann zum Generieren einer komplexen Verschlüsselung verwendet werden. Unternehmen mit mehreren Standorten, an denen unterschiedliche Tätigkeitsgebiete ausgeübt werden, können spezielle Anforderungen an Richtlinien haben. Zur Umsetzung dieser Anforderungen erfolgt ein Klassifizierungsschema aus dem Benutzer- und Gruppenrechte abgeleitet werden. Anschließend erfolgt die Umsetzung dieses Anforderungskataloges. Die Richtlinien – engl. Policies – müssen im Gesamten vorgehalten, evaluiert und umgesetzt werden.

Beispiele für Richtlinien:

  • Nutzung sicherer Passwörter
  • Einschränkung der Installation für Applikation
  • Einschränkung der Nutzung der Kamera
  • Vorgabe welches WLAN genutzt werden darf
  • automatische Sperrung nach Inaktivität
  • Fernlöschung bei Falscheingabe des Passwortes oder bei Verlust
  • Erkennung von tief gehenden Modifikationen des Betriebssystems (jailbreak & root)

Die Richtlinien können auf unterschiedliche Weise an die Endgeräte übermittelt werden. Es besteht die Möglichkeit Konfigurationsprofile durch den Benutzer installieren zu lassen. Des Weiteren können MDM-Lösungen Richtlinien an die Endgeräte pushen und ohne Zutun des Benutzers installieren. Die Authentifizierung in die Unternehmensumgebung kann durch Zertifikate oder durch Hilfe von Benutzernamen und das dazugehörige Passwort erfolgen. Diese Zertifikate wurden von einer Unternehmens-Zertifizierungsstelle ausgestellt und an das Endgerät übertragen.[6][11][13]

6.1.4 Application Management

Bevor sich ein Unternehmen für eine MDM-Lösung entscheidet, kann zur Ermittlung der auf den mobilen Endgeräten notwendigen Aufgabenbereiche eine Analyse durchgeführt werden. Hierzu zählen Funktionalitäten wie z.B. E-Mailzugriff, Kalender- und Adressbuchsynchronisation, sowie die Bereitstellung von Anwendungen. Somit wird Anwendern die Möglichkeit geboten von jedem Endgerät schnellen und einfachen Zugriff auf Anwendungen und Daten zu erhalten. Hierbei sind Kriterien wie beispielsweise Offline-Funktionalität von Anwendungen zu überprüfen. Um diesen Anforderungen gerecht werden zu können, besteht die Möglichkeit, die Anwendungen vollständig auf dem mobilen Endgerät zu installieren.

Eine andere Methode ist der Zugriff auf virtuelle Desktops & Applikationen. So kann jedes Endgerät aus jedem Netzwerk auf einen virtuellen Desktop bzw. auf eine virtuelle Applikation zugreifen. Dies kann einen sehr hohen Sicherheitsgrad bieten, da auf dem Endgerät keine Daten abgespeichert werden. Hierbei läuft die Datenhaltung ausschließlich innerhalb der Unternehmensarchitektur ab.

Als weitere Alternative bietet sich die Sandbox-Methode an. Diese gewährleistet eine hohe Sicherheit, da der Datenaustausch zwischen dem Endgerät und dem Server und die Datenhaltung auf dem Endgerät nochmals verschlüsselt werden kann. Daten wie z.B. Nachrichten werden in einem verschlüsselten Format abgespeichert und werden zum Lesen auf dem Gerät wieder entschlüsselt.

Um einem möglichen Datenverlust entgegenzuwirken bietet sich eine Datensicherungsstrategie an. Unternehmenskritische Daten können hierbei durch regelmäßige Datensicherung geschützt werden. Diese ist sowohl OTA als auch über die lokale Infrastruktur des Benutzers im Unternehmen möglich (z.B. Synchronisation via USB). Hierbei können jegliche Arten von Daten des mobilen Endgeräts gesichert werden.

Der Datensicherheit wird gerade bei Unternehmensgeräten eine hohe Bedeutung beigemessen, da es hierbei Unternehmens- und/oder Kundendaten betreffen kann. Über die Datenverschlüsselung während der Datenübertragung hinaus können Endgeräte durch eine Hardwareverschlüsselung alle auf dem Gerät gespeicherten Daten verschlüsseln. Als Beispiel hierfür ist die 256-Bit AES-Verschlüsselungsmethode zu nennen. Je nach Platform und zugewiesener Policy kann diese Verschlüsselung durch den Anwender nicht deaktiviert werden. Im Falle eines Verlustes oder Diebstahls des Gerätes ist es möglich dieses zu deaktivieren und/oder per Fernlöschung sämtliche Daten zu löschen.[6][14][15]

6.1.5 Netzwerk

Eine weitere Funktionalität stellt der Zugriff durch die Endgeräte in die Unternehmensumgebung dar. In diesem Fall ist es besonders wichtig einheitliche Vorgehensweisen zu implementieren, um die Unternehmensdaten entsprechend der Richtlinien zu schützen. Firewalls fallen in diesem Zusammenhang eine zentrale Rolle zu, da diese den kompletten Kommunikationsfluss steuern.

Nachfolgend haben sich folgende Konzepte in der Praxis bewährt:

  • DMZ
  • Corporate WLAN
  • VPN


Die DMZ ermöglicht eine Trennung zwischen der Internet-Zone und dem unternehmensinternen Netzwerk. Durch den zusätzlichen Einsatz eines Proxy-Servers, kann die Kommunikation zwischen den beiden Zonen beeinflusst werden. Dieser Aufbau kann durch die beschriebene Trennung der Zonen die Sicherheit steigern. Hierdurch werden unerwünschte Anfragen unterbunden, so dass diese erst gar nicht das Zielsystem erreichen.

Dies erhöht nicht nur die Sicherheit, sondern kann auch die Kommunikation durch den Einsatz eines Proxy-Servers beeinflussen, so dass unerwünschte Anfragen erst gar nicht das Zielsystem erreichen. Zudem wächst die Sicherheit mittels Firewall-Einsatz zwischen den einzelnen Zonen mit entsprechenden Reglementierungen an.

Die Verwendung von Corporate WLAN stellt einen einfachen Zugriff auf die Unternehmensarchitektur dar. Auf Basis der nativen Unterstützung standardisierter Protokolle für drahtlose Netzwerke wie WPA, WPA2 und WPA2 Enterprise wird ein leicht- und schnell konfigurierbarer Zugang zur Unternehmensarchitektur ermöglicht.

Bei der Verwendung unternehmensfremder WLANs und öffentlichen Zugangspunkten besteht immer ein hohes Maß an Risiko. Für solche Fälle bietet es sich an, die Verbindung und somit die Kommunikation ins Unternehmensnetzwerk mit Hilfe eines VPN abzusichern. Die Nutzung von VPN hat den Vorteil, dass die Verbindung ins Unternehmensnetzwerk verschlüsselt und somit gesichert erfolgt.[6][9][10][16][17]

6.2 Interaktion der Komponenten

Die Architektur einer Mobile-Device-Management Lösung kann aus folgenden Komponenten bestehen:

  • Anwendungsserver
  • Datenbankserver
  • Fileserver
  • Firewall
  • Mailserver
  • Mobile Device Management Server
  • Mobile Endgeräte
  • Proxy-Server
  • Verzeichnisserver


Im Wesentlichen teilt sich die Architektur in 3 Zonen auf:

  • Internet
    • In dieser Zone können sich die mobilen Endgeräte (Laptop, Tablet-PC & Smartphone) befinden.
  • Demilitarisierte Zone (DMZ)
    • In dieser Zone befindet sich der Proxyserver und extern erreichbare Applikationsserver.
  • Unternehmensinternes LAN
    • In dieser Zone befinden sich die Dienste wie z.B. der Anwendungs-, Datenbank-, File-, Mail-, Mobile Device Management- und Verzeichnisserver.


Grundlegendes Zusammenspiel der Komponenten

Abbildung 8: Grundlegendes Zusammenspiel der Komponenten[12]

6.3 Grundlegendes Zusammenspiel

Endgeräte die aus dem Internet heraus auf die Unternehmensarchitektur zugreifen, werden über einen Proxy-Server auf die entsprechenden Komponenten weitergeleitet. Der Proxy-Server steht in der DMZ und hat hierbei die Rolle als Mittelsmann, Anfragen die von den Endgeräten aus dem Internet stammen, in das unternehmensinterne LAN weiterzureichen. Zwischen den einzelnen Zonen steuern Firewalls mit entsprechendem Regelwerk die ein- und ausgehende Kommunikation. Im unternehmensinternen LAN werden Dienste, wie beispielsweise Mail-, Applikation- und Verzeichnis-Server den mobilen Anwendern zur Verfügung gestellt. Parallel zu dieser Architektur kann über einen VPN-Tunnel eine sichere Anbindung an die Unternehmensumgebung gewährleistet werden. Die Kommunikation kann aus dem unternehmensinternen bzw. unternehmensexternen WLAN aufgebaut werden. Die Anbindung an ein vorhandenes Benutzerverzeichnis beispielsweise ein unternehmensweit eingesetztes Active Directory hat den Vorteil, dass Benutzer zentral an einer Stelle eingepflegt und verwaltet werden. Somit können Prozesse wie beispielsweise die Sperrung des Benutzer-Account bei Austritt eines Mitarbeiters zeitnah durchgeführt werden. Auch wenn dieser noch ein Endgerät besitzen sollte, kann durch Deaktivierung des Benutzer-Accounts der Zugriff mit sofortiger Wirkung auf die Unternehmensumgebung verhindert werden. Zusätzlich bieten MDM-Lösungen auch die Möglichkeit, Endgeräte zu sperren und somit die darauf befindlichen Unternehmensdaten drahtlos fern zu löschen.[6][9][10][12]

7 Lösungskonzepte

Im folgenden Abschnitt werden die Herstellerkonzepte von Apple, Google und RIM auf die zur Verfügung gestellten MDM-Funktionalitäten und deren technische Architektur analysiert.

7.1 Apple

Apple's iPhone und iPad werden nicht mehr ausschließlich im Consumer-Markt verwendet, sondern mittlerweile auch vermehrt in Unternehmensumgebungen. Dieser Umstand erfordert für Unternehmen eine Möglichkeit zur zentralen Verwaltung dieser Geräte. Gerade im Verlust- oder Diebstahlsfall kommt es darauf an schnell und unkompliziert reagieren und die Geräte fernlöschen zu können. Für diesen Unternehmenseinsatz bietet Apple keine eigene MDM-Lösung an, sondern nutzt vorhandene Hard- und Softwareressourcen. Anbieter von MDM-Lösungen können die von Apple zur Verfügung gestellten APIs nutzen, um diese zu verwalten. Im Nachfolgenden wird deren technischer Aufbau und dessen Zusammenspiel beschrieben.

7.1.1 Zugriff über ActiveSync

Der Zugriff auf Kollaboration-Daten wie E-Mail, Kalender, Kontaktdaten und Aufgaben kann z.B. über Exchange ActiveSync realisiert werden. Voraussetzung hierfür ist der Einsatz eines Microsoft Exchange Server in der Version 2003, 2007 oder 2010, die Version 2000 wird nicht mehr unterstützt. Als Alternative zum Exchange ActiveSync kann auch der IBM Lotus Notes Traveler ab Version 8.5 für die zuvor angesprochenen Funktionen verwendet werden. Über die Exchange ActiveSync-Schnittstelle lassen sich Geräte durch die Verwendung von definierten Policies fern löschen (wipen). Die Fernlöschung tritt jedoch erst nach erneutem Kontakt zwischen mobilen Gerät und Server in Kraft, d.h. erst nachdem eine Verbindung besteht wird der Task an das Endgerät übermittelt[18][19].

Weitere unterstützte Funktionen des EAS sind z.B.

  • Inaktivitätszeit in Minuten (Parameter: MaxInactivityTimeDeviceLock)
  • Maximale Anzahl von Fehlversuchen bei der Code-Eingabe (Parameter: MaxDevicePasswordFailedAttempts)
  • Zwingende Eingabe eines Gerätekennworts (Parameter: DevicePasswordEnabled)
  • Kennwort muss aus Ziffern und Buchstaben bestehen (Parameter: AlphanumericPasswordEnabled)
  • Erfordern der Geräteverschlüsselung (Parameter: RequireDeviceEncryption)
  • Verfallszeit für Kennwörter in Tagen (Parameter: DevicePasswordExpiration)

(Auflistung entnommen aus Webpräsenz Unterstützte Exchange ActiveSync-Richtlinien (Policies))[20]


Die EAS-Schnittstelle unterstützt sowohl die einfache als auch die zertifikatbasierte Authentifizierung. Die Verwendung der einfachen Authentifizierungsmethode erfordert die Eingabe von Benutzername und Kennwort, kombiniert mit SSL werden die Anmeldedaten zudem verschlüsselt übertragen. Bei der zertifikatbasierten Authentifizierung wird ein Mitgliedsserver oder Domaincontroller vorausgesetzt, auf dem ein Zertifikatsdienst installiert ist. Nach weiteren Vorbereitungen werden Clientzertifikate mit einem Zertifizierungsserver erstellt, dessen öffentlicher Schlüssel wird exportiert und mittels eines Konfigurationsprofils auf die Mobile Devices verteilt[21].

Implementierungsbeispiel Exchange ActiveSync

Abbildung 9: Implementierungsbeispiel Exchange ActiveSync[21]

  1. Über HTTPS fordern die mobilen Endgeräte Zugriff auf EAS-Dienste an.
  2. Der Datenverkehr ist SSL-verschlüsselt. Ein Proxyserver leitet den Datenverkehr an den Exchange Server weiter.
  3. Der Benutzer wird vom Exchange Server über den AD-Dienst und – falls die zertifikatbasierte Authentifizierung verwendet wird - den Zertifikatsserver authentifiziert.
  4. Bei Verwendung korrekter Zugangsdaten stellt der Front-End-Server eine Verbindung mit dem entsprechenden Postfach her.
  5. An dieser Stelle wird eine Verbindung zu EAS hergestellt und vorhandene Aktualisierungen sowie Änderungen drahtlos an das Endgerät übertragen.
  6. EAS synchronisiert gesendete Mails mit dem Exchange Server. Mails an externe Empfänger werden per SMTP meist über einen Bridgehead-Server an ein externes Mail-Gateway geleitet.

7.1.2 WLAN

Das Betriebssystem iOS unterstützt die gängigen WLAN Verschlüssungsstandards wie WPA, WPA2, WPA2-Enterprise via RADIUS Authentifizierung. Hierbei können die WLAN Konfigurationen via Policies den mobilen Endgeräten zur Verfügung gestellt werden. Durch die Unterstützung der RADIUS-Authentifizierung können folgende Identifizierungsverfahren verwendet werden[21]:

  • EAP-TLS
  • EAP-TTLS
  • EAP-FAST
  • EAP-SIM
  • PEAPv0
  • PEAPv1
  • LEAP

7.1.3 VPN

Apples iOS unterstützt nativ die Verwendung folgender VPN-Protokolle[21]:

  • SSL VPN
  • Cisco IPSEC
  • L2TP über IPSec
  • PPTP

Zum Herstellen einer Verbindung über eines der genannten Protokolle kann der iOS integrierte VPN-CLient verwendet werden. Die Verwendung einer Lösung eines anderen Herstellers kann ebenfalls zum Aufbau der Kommunikation genutzt werden. Die Nutzung von VPNs hat den Vorteil, dass Verbindungen ins Unternehmensnetzwerk verschlüsselt und somit gesichert erfolgen.

7.1.4 Policies

Durch den Einsatz von Policies wird die Gerätesicherheit erhöht, da diese Vorgaben über die zu verwendenden Sicherheitsfunktionen enthalten können. Somit wird der Benutzer z.B. dazu aufgefordert eine komplexe Codesperre mit einer Mindestanzahl an Buchstaben und/oder Zahlen zu verwenden. Der von jedem Benutzer individuell festgelegte Code wird zum Generieren einer 256-Bit AES-Verschlüsselung verwendet. Policies können zentral erstellt und verwaltet, sowie allen oder auch benutzerabhängig zur Verfügung gestellt werden[21].

7.1.5 Konfigurationsprofile

Es besteht die Möglichkeit Einstellungen über den EAS-Dienst bereitzustellen oder durch Verwendung von Konfigurationsprofile, welche mit dem iPhone-Konfigurationsprogramm erstellt wurden. Konfigurationsprofile sind Dateien die in einer XML-Struktur erstellt werden, welche z.B. Informationen und Einstellungen zu Richtlinien, VPN, WLAN, Accounts für Mail & Kalender, als auch Authentifizierungszertifikate enthalten können[22].

Die Konfigurationsprofile können über folgende Wege verteilt werden:

  • OTA
  • E-Mail-Anhang
  • per Webseite
  • USB-Verbindung

Die angesprochenen Konfigurationsprofile können über das Konfigurationsprogramm erstellt werden. Das iPhone-Konfigurationsprogramm stellt folgende grundlegende Funktionen mit erweiterten Unterfunktionen zur Verfügung gestellt:

  • Allgemein
  • Code
  • Einschränkungen
  • Wi-Fi
  • VPN
  • E-Mail
  • Exchange ActiveSync
  • LDAP
  • CalDAV
  • CardDAV
  • Abonnierte Kalender
  • WebClips
  • Zertifikate
  • SCEP
  • Verwaltung mobiler Geräte
  • Erweitert

Mit Hilfe einer MDM-Lösung kann zunächst ein Profil mit Informationen über den Verbindungsserver installiert werden und im Anschluss erfolgt die drahtlose Konfiguration. Aus Sicherheitsgründen können Konfigurationsprofile verschlüsselt und signiert werden, hierdurch wird sichergestellt, dass es nur auf einem bestimmten Gerät verwendet werden kann.

7.1.6 MDM

Durch die iOS-Unterstützung von Mobile Device Management wird Unternehmen eine Möglichkeit geboten ihre mobilen Geräte wie iPhone und iPad zentral zu verwalten. Die Verwendung von Konfigurationsprofilen, die kabellose Registrierung, sowie Apples Dienst für Push-Benachrichtigungen sind Verwaltungsfunktionen auf denen die MDM-Lösungen basieren. Diese Funktionalitäten können von 3rd-Party Herstellern in eigene MDM-Lösungen integriert werden.

Funktionsweise einer MDM-Lösung

Abbildung 10: Funktionsweise einer MDM-Lösung[21]

Zur zentralen Verwaltung iOS-basierter Geräte wird ein MDM-Server benötigt, das Hosting des MDM-Server kann unternehmensintern oder durch einen externen Provider erfolgen. Die Kommunikation zwischen MDM-Server und mobilen Endgeräte wird über den Apple Push Notification Service realisiert. Dieser Dienst erfordert die Installation eines - vom Apple Push Certificates Portal ausgestellten - Zertifikates auf dem MDM-Server. Anschließend können Benachrichtigungen an das Endgerät gesendet werden. Die Registrierung der Endgeräte am MDM-Server ermöglicht eine unternehmensorientierte Verwaltung, ein Eingreifen des Benutzers ist nicht erforderlich. In den meisten Fällen erfolgt die Profilregistrierung drahtlos, kann unter Umständen auch via USB geschehen. Die Möglichkeit zum Starten des Registrierungsprozesses kann durch eine vom MDM-Anbieter angebotene App oder den Besuch einer Webseite erfolgen. Sobald ein Endgerät am MDM-Server angemeldet ist erfolgt die Kommunikation SSL/TLS-verschlüsselt. Bei sich hinter einer Firewall befindlichem MDM-Server und iOS Geräten, müssen bestimmte TCP-Ports für die Kommunikation geöffnet werden. Für das Senden von Push-Benachrichtigungen wird der TCP-Port 2195 benötigt, das Erreichen des Feedback-Dienstes erfolgt über TCP-Port 2196. Geräte die eine Verbindung über WLAN herstellen verwenden TCP-Port 5223. Der für Firewall-Regeln von Apple zur Verfügung gestellte IP-Adressbereich lautet 17.0.0.0/8. Apple verwendet für seinen Push-Dienst einen veränderbaren IP-Adressbereich, welcher ein Load-Balancing verwendet. Aus diesem Grund sollten MDM-Server eine Verbindung auf Basis des Hostnames herstellen[21].

Diese von Apple zur Verfügung gestellten Hostnames lauten:

  • gateway.push.apple.com
  • gateway.sandbox.push.apple.com (Entwicklungsumgebung für Push Notifications)

Mittels MDM können verschiedene Funktionen auf iOS Endgeräten ausgeführt werden, hierzu zählen z.B.[21]:

  • Installation und Deinstallation von Konfigurations- sowie Bereitstellungsprofilen
    • Gerätesicherheit
    • Datensicherheit
    • Netzwerksicherheit
    • Sicherheit von Programmen
  • Verwaltung von Programmen
    • Zugriff auf iTunes- und App-Store steuern
    • Nutzung von Safari steuern
    • Youtube-Zugriff reglementieren
  • Beendigung von MDM-Beziehungen
    • Entfernen der Konfigurationsprofile
    • Entfernen von Unternehmensdaten und Applikationen
  • Remote wipe von Geräten
    • Zurücksetzen des Gerätes
    • einzelne Daten löschen
  • Abfragen von Geräteinformationen
    • Richtlinien
    • Installierte Programme
    • Installierte Policies
    • Softwareversion
  • Gerätefunktionalität gewähren
    • Verwendung Facetime
    • Verwendung Siri
    • Verwendung Kamera
    • Synchronisation bei Roaming
    • Installation von Applikationen

Zur Verteilung und Verwendung von Programmen aus dem AppStore in großen Unternehmen hat Apple das Volume Purchasing Program entwickelt. Über dieses wird es Unternehmen ermöglicht Programme in großem Umfang zu erwerben und ihren Mitarbeitern zur Verfügung zu stellen, ohne das die Mitarbeiter diese erst gesondert erwerben müssen. Voraussetzung zur Verwendung des VPP ist die Registrierung bei Apple mit einer D&B D-U-N-S Nummer. Derzeit ist das Volume Purchase Program nur für amerikanische Unternehmen zugänglich. Ein Termin für die Ausweitung dieses Dienstes auf anderer Länder steht noch aus[23][24].

7.2 Google Android

7.2.1 Aktuelle Situation

Google selbst bietet bisher keine eigene Lösung zur Verwaltung und/oder Konfiguration Android-basierter Geräte in Unternehmensumgebungen an. Über die Exchange ActiveSync Schnittstelle ist es jedoch möglich, in gewissem Maße auf das Gerät zuzugreifen. Hierzu ist es erforderlich, dass sich das Gerät mit einem Exchange Server synchronisiert. Hierdurch wird Administratoren und/oder Benutzer die Möglichkeit geboten über OWA das Gerät zu wipen. Durch Nutzung der EAS Policies können gewisse Vorgaben zur Verwendung des Gerätes festgelegt werden. Somit ist es möglich z.B. auf die zu verwendenden Passwörter und deren Passwort-Stärke Einfluss zu nehmen. Durch die Nutzung der Google Apps Domain sind Administratoren in der Lage ein Gerät, welches die Google Apps Device Policy-App installiert hat mit Richtlinien zu versorgen und gezielt Daten zu löschen oder das Gerät zurückzusetzen. Voraussetzung hierfür ist aber die Verwendung von GMail. Einige Hersteller wie HTC mit ihrer Plattform HTCSence.com als auch Motorola mit MotoBLUR bieten eine eingeschränkte Möglichkeit zur Verwaltung von Geräten an. Gerade aber die Verwendung der Plattformen HTCSence.com als auch MotoBLUR richten sich eher an den Endverbraucher als an Unternehmen, welche eine Vielzahl an Geräten zu verwalten haben, da diese keine zentralisierte Managementkonsole anbieten[25].

7.2.2 Entwicklung einer MDM-Lösung

Durch den Umstand das Google keine eigene MDM-Lösung anbietet, treten vermehrt 3rd Party Hersteller in den Vordergrund. Die Unternehmen 3LM und BoxTone haben eine Allianz gegründet um es den verschiedenen Herstellern Android-basierter Geräte zu ermöglichen enterprise-ready Geräte auf den Markt zu bringen. 3LM wurde von Tom Moss und Gaurav Mathur gegründet, welche ehemalige Google-Mitarbeiter sind. Im Februar 2011 gab Motorola Mobility bekannt das Unternehmen zu übernehmen. Durch die bevorstehende Übernahme, von Motorola Mobility durch Google, würden diese in den Besitz einer eigenen MDM-Lösung kommen[25].

Die von 3LM entwickelte Software setzt Android in der Version 2.2 voraus und soll in Zukunft ab Werk mit den Smartphones verschiedener Hersteller ausgeliefert werden. Hierzu arbeitet 3LM und BoxTone mit zahlreichen Herstellern zusammen, die Änderungen am System auf OS-Level vornehmen. Zu den bereits in Kooperation stehenden Unternehmen zählen Sony Ericsson, HTC, Motorola, Sharp und Pantech, mit Samsung steht man in Verhandlungen. Zur Verwendung bzw. Aktivierung der Software in Unternehmen müssen diese eine Lizenz beim Hersteller erwerben, erst dann ist die Administration über die Enterprise Server Konsole möglich[26].

Einige Funktionen der MDM-Lösung von 3LM und BoxTone sind z.B.:

  • Verschlüsseln des gesamten Systems (AES 128-Bit mit CBC und SHA 256-Bit mit ESSIV)[27]
  • Verschlüsseln der Daten auf der SD-Karte
  • Apps in White- und Blacklists einteilen
  • per Remote-Zugriff einzelne Daten als auch das gesamte Gerät wipen
  • Anwendungen auf das Gerät pushen und diese remote wieder entfernen
  • VPN-Support


3LM Architektur

Abbildung 11: Technischer Aufbau der 3LM Lösung [28]

Um die oben erwähnten Funktionen nutzen zu können ist es erforderlich, dass die Firmware durch die Gerätehersteller und 3LM modifiziert wird. Diese Änderungen der Firmware beinhalten das Integrieren des 3LM Device Manager Service und der Android APIs (3LM Hooks). Die Integration der 3LM Hooks dient zur Modifizierung der Android APIs. Die Verwaltung der Geräte erfolgt über den 3LM Server, welcher das von BoxTone entwickelte Enterprise Mobility Management nutzt. Nachfolgend beschriebene Dienste sind Bestandteil des 3LM Servers[28][29].

7.2.3 Security Management Dashboard

Durch das Security Management Dashboard können Echtzeit-Informationen zur mobilen Sicherheit und des Compliance-Status abgefragt werden. Dies ist sowohl für das gesamte Unternehmen als auch für einzelne Geräte möglich. Hierdurch erhalten Verantwortliche die Möglichkeit zeitnah auf sicherheitsrelevante Ereignisse zu reagieren.

7.2.4 Policy Management

Das Policy Management kann die im AD definierten und verwalteten Unternehmens-Richtlinien erweitern und anschließend ohne manuelles Eingreifen an die mobilen Geräte pushen. Diese automatische Verwaltung und Anpassung der Richtlinien bietet eine hohe Skalierbarkeit.

7.2.5 Configuration Management

Das Configuration Management ermöglicht die automatische Anpassung der Gerätekonfiguration nach Vorgaben der Mobilen- und Unternehmensrichtlinien. Der Vorteil hierbei liegt darin, dass Unternehmen mit einer Großzahl an Geräten sehr flexibel sind.

7.2.6 Compliance Management

Das Compliance Management integriert einen Monitoring Service, welcher den Sicherheitsstatus aller Unternehmens-Geräte als auch Anwendungen und mobiler Dienste überwachen kann. Des Weiteren werden Verstöße gegen die bestehende Sicherheit- und Richtlinieninfrastruktur automatisch erkannt, behoben und geloggt.

7.2.7 Mobile Analytics

Durch Mobile Analytics wird eine Möglichkeit geboten ein umfassendes Data-Warehouse und GRC Reporting zu erstellen aus denen Audits und Kontrollmöglichkeiten resultieren können.

7.2.8 Platform Integration

Platform Integration ermöglicht die Integration in die bestehende Unternehmensinfrastruktur und vermeidet dadurch die Probleme anderer MDM-Systeme, welche ihre eigene Richtlinienstruktur aufbauen. Durch diese homogene Umgebung reduziert sich das Arbeitsaufkommen, da Änderungen an Richtlinien in einem einzigen System vorgenommen werden müssen.

7.3 Research in Motion

7.3.1 Generelles Konzept

Abbildung 12: Die RIM Lösung - Grundlegender Aufbau des BlackBerry Enterprise Servers [30]

Kernkomponente der MDM-Lösung von RIM ist der BlackBerry Enterprise Server. Die Kommunikation zwischen Endgerät, Applikationen und Services erfolgt hierbei ausschliesslich über den BES.[30]

7.3.2 BlackBerry Enterprise Server

Abbildung 13: Architektur des BlackBerry Enterprise Servers[31]

Der BlackBerry Enterprise Server ist die MDM-Lösung von RIM. Hierbei handelt es sich um eine speziell auf BlackBerry Endgeräte abgestimmte MDM-Lösung die aus diversen Teilkomponenten besteht.

Kernstück jeglicher Konfiguration stellt die BlackBerry Configuration Database da. Diese relationale Datenbank enthält Konfigurationsinformationen die von allen BlackBerry Server Komponenten verwendet werden. Hierbei handelt es sich unter anderem um folgende Inhalte[31]:

  • Benutzerdatenbank
  • Adresszuordnung zwischen PINs und E-Mailsadressen für die Push-Funktionalität des MDS Connection Service
  • Einzelheiten zur Verbindung mit dem drahtlosen Netzwerk (Netzwerkkennungen etc.)

7.3.3 BlackBerry Messaging und Collaboration Services

Der BlackBerry Mail Store Service stellt das Bindeglied zwischen BlackBerry Server Administration Service und E-Mail Server da. Er ist für die Zuordnung von Benutzerkonten und Mailstores zuständig. [31]

Mit Hilfe des BlackBerry Messaging Agent werden sowohl Nachrichten, Kontakte als auch Termine der Benutzer abgerufen und über den BlackBerry Synchronization Service mit den Endgeräten synchronisiert. Dieser synchonisiert auch die Benutzerdaten und fertigt regelmäßige Backups der Endgeräte an.[32]

In der aktuellen Version des BlackBerry Enterprise Servers (Version 5) werden hierbei folgende Mail-Server unterstützt[33]:

  • Microsoft Exchange 2003naja,
  • Microsoft Exchange 2007
  • Microsoft Exchange 2010
  • IBM Lotus Domino
  • Novell Groupwise

Die Kommunikation mit dem Mailserver erfolgt hierbei via RPC.

Abbildung 14: Der BlackBerry Attachment Service[32]

Über den BlackBerry Attachment Service werden die Nachrichtenanlagen von z.B. E-Mails in ein BlackBerry lesbares Format konvertiert. Dieses Format ist speziell für BlackBerry Endgeräte entwickelt und behält das vorhandene Layout und die Navigation bei. Die Anhänge werden anschließend über den BlackBerry Mail Store Service zur Verfügung gestellt. Der BlackBerry Attachment Service wird ebenfalls genutzt, wenn Weblinks im Browser des Endgeräts geöffnet werden.[32]

Format Erweiterung
Adobe Acrobat Versionen 1.1, 1.2, 1.3 und 1.4 .pdf
ASCII-Text .txt
Audiodateien .amr, .mp3, .wav, .wma
Corel WordPerfect Versionen 6.0, 7.0, 8.0, 9.0 (2000) und 10.0 .wpd
HTML .htm, .jsp
Bilder .bmp, .gif, .jpeg, .jpg, .png, .tif, .tiff, .wmf
Microsoft Excel Versionen 97, 2000, 2003, 2007 und XP .xls, .xlsx
Microsoft PowerPoint Versionen 97, 2000, 2003, 2007 und XP .pps, .ppt, .pptx
Microsoft Word Versionen 97, 2000, 2003, 2007 und XP .doc, .dot, .docx
OpenOffice Format Version 1.1 .odp, .ods, .odt
RTF .rtf
ZIP-Archive .zip

Tabelle 3: Übersicht über unterstütze Dateiformate[34]


Mithilfe des BlackBerry Collaboration Service können auf unternehmensinterne Instant Messaging Dienste zugegriffen werden. Hierzu zählen:

  • Microsoft Office Live Communications Server 2005
  • Microsoft Office Communications Server 2007
  • IBM Lotus Sametime
  • Novell GroupWise Messenger

Die Kommunikation erfolgt über die vom IM-Services zur Verfügung gestellten APIs.[32]

7.3.4 BlackBerry Router & BlackBerry Dispatcher

Abbildung 15: Der BlackBerry Router[35]

Der BlackBerry Router stellt die Kommunikation zwischen Endgerät und Services her. Er sendet die Daten an die Endgeräte, egal ob sich diese im Mobilfunknetz, im Fimen W-LAN oder mit einem PC via BlackBerry Device Manager verbunden sind. [35] Die Daten hierzu erhält er vom BlackBerry Dispatcher der diese komprimiert und verschlüsselt. Hierbei wird zur Verschlüsselung auf die AES- und 3DES-Verschlüsselungsalgorhytmik zurück gegriffen[31].

Der BlackBerry Controller fungiert als Watchdog. Er startet im Fehlerfall einzelne Komponente neu[31].

7.3.5 Policy Management via BlackBerry Policy Service

Aufgabe des BlackBerry Policy Service ist es Richtlinien und Administrationsanweisungen an die BlackBerry Endgeräte zur Verfügung zu stellen und auf die Geräte weiterzuleiten. Hierbei können sowohl Regeln auf alle Endgeräte, auf Gruppen von Endgeräten als auch auf einzelne Endgeräte zugewiesen werden. Es können insbesondere die folgenden Einschränkungen und Richtlinien zugewiesen werden:

  • Erzwingen der Kennwortnutzung, Kennwortkomplexität und Zeitüberschreitungen
  • Anwendungsverfügbarkeit
  • Jeweils in den Anwendungen ausführbare Funktionen
  • Bluetooth-Peripheriegeräte und deren Anschluss an das BlackBerry-Smartphone
  • Der BlackBerry Smart Card Reader, für Two-Factor-Authentifizierung zum BlackBerry-Smartphone
  • Verfügbarkeit und Funktionen von Internetbrowsern
  • Mitteilungen über die Änderung von IT-Richtlinien
  • Einstellungen der Besitzerdaten
  • Anzeige von Anhängen und unterstützte Formate
  • Sicherungs- und Synchronisierungsanforderungen und -häufigkeit
  • Nachrichtenfunktionen für SMS, MMS und PIN-to-PIN
  • S/MIME- und PGP-Anforderungen
  • Speicherebene von privaten Schlüsseln für verschlüsselte Nachrichten
  • Inhaltsschutzstärke
  • Verschlüsselungseinstellungen und Verwendung von Zertifizierungen
  • SIM card control over location-related information and call capabilities

(Auflistung entnommen aus Webpräsenz RIM BlackBerry - IT Sicherheit)[36]

7.3.6 BlackBerry Administration Service

Abbildung 16: Der BlackBerry Administration Service[37]

Der BlackBerry Administration Service stellt die Schnittstelle zur Configuration Database zur Verfügung. Hierüber können die BlackBerry Domain, die einzelnen Infrastrukturobjekte als auch die Benutzerkonten und Funktionen der Endgeräte konfiguriert werden.[31][37]

7.3.7 BlackBerry MDS Services

Abbildung 17: Der BlackBerry MDS Connection Service[38]

Der BlackBerry MDS Connection Service ermöglicht den Zugang auf unternehmensinterne Webapplikationen. Hierbei ist sowohl das PULL-Verfahren möglich, d.h. das Mobile Device ruft die Applikationsdaten via BlackBerry MDS ab. Alternativ können jedoch auch die Applikationen die Dateien z.B. bei Aktualisierungen an das Gerät senden. Dieses Verfahren bezeichnet man als PUSH Methode. Die Daten werden hierbei unabhängig vom verwendeten Dienst (HTTP, HTTPS oder TCP/IP) mit der BlackBerry Verschlüsselung versendet um eine sichere Kommunikation zu gewährleisten.[38]

Der BlackBerry MDS Integration Service ermöglicht die Integrationen von BlackBerry Browser Applikationen und BlackBerry MDS Runtime Applications[31]

7.3.8 BlackBerry Monitoring Service

Der BlackBerry Monitoring Service bietet eine Übersicht über die MDM Architektur. Hierbei können Administratoren die Erreichbarkeit und die Last ihrer Infrastruktur überwachen und kritische Situationen zeitnah analysieren.[39]

7.3.9 BlackBerry SRP Server

Abbildung 18: Aufbau des BES Servers mit SRP Infrastruktur

RIM nennt in Ihren offiziellen Dokumentationen der Architektur eine Komponente nicht, die jedoch maßgeblich für die Funktionalität des BES notwendig ist. Der BlackBerry SRP Server ist ein durch RIM gehostete Serverlandschaft. Diese ist das zentrale Bindeglied zwischen BES und Endgerät. Der BES sendet hierbei alle Daten zum SRP Server, dieser leitet die Informationen dann an das jeweilige Endgerät weiter. Auf der Gegenrichtung sendet das Endgerät jegliche Daten an den SRP Server, der diese dann an den BES weiterleitet. Hierbei werden die Geräte durch eine SRP-ID identifiziert[40]. Für die einzelnen Regionen werden unterschiedlich SRP Server angeboten um die rechtlichen aber auch die infrastrukturellen Gegebenheiten zu erfüllen. Die Server für die Region EMEA sind[41]:

  • 93.186.25.33
  • 93.186.17.33
  • 193.109.81.33
  • 206.51.26.33

7.4 Vergleich der Lösungskonzepte

Im Vergleich der drei Betriebssystemhersteller stellt sich heraus, dass sowohl Apple als auch Google keine eigene MDM-Lösungen anbieten. Beide benötigen für das Management mobiler Endgeräte 3rd-Party-Produkte. Die Hersteller stellen hierbei lediglich die Schnittstelle zu deren Konfiguration und Verwaltung zur Verfügung. Dennoch sind bei Apple über das Konfigurationsprogramm, mit deren Hilfe Konfigurationsprofile für die Endgeräte erstellt werden können, weitreichendere Einstellmöglichkeiten vorhanden, als sie z.B. Google bietet. RIM hingegen liefert mit dem BlackBerry Enterprise Server eine vollständige MDM-Lösung die alle benötigten Komponenten des MDM abdeckt. Der modulare Aufbau von RIM bietet eine flexible Gestaltung der Infrastruktur, da hierbei nur die benötigten Komponenten in die Unternehmensumgebung integriert werden. Durch die verschiedenen Hersteller Android-basierter Geräte ist die Entwicklung einer einheitlichen MDM-Plattform problematisch. Die Allianz aus 3LM und BoxTone haben sich dieses Problems angenommen und mit einigen Herstellern eine Lösung entwickelt.

Funktion Apple RIM Google Android
enterprise-ready
Kompatibilität zu Microsoft Exchange via ActiveSync
Kompatibilität zu IBM Lotus Notes Traveller via ActiveSync
Bereitstellung von APIs
Unterstützung von Policies
automatisiertes Konfigurations- und Sicherheits-Deployment
Zugriff via VPN
Zugriff via Corporate WLAN (WPA2 Enterprise via 802.1X)
Anbindung an Benutzerverzeichnisse (AD, LDAP)

Tabelle 4: Vergleichsmatrix

8 Fazit

8.1 Ergebnis

Apple und Google bieten keine eigenen MDM Lösungen. RIM hingegen ist mit seinem BlackBerry Enterprise Server einer der führenden Anbieter von Enterprise-Ready Endgeräten. Auffällig ist, dass RIM in den Dokumentationen und Schaubildern zum BES den notwendigen SRP Server nicht beschreibt und angibt. Da hierüber jegliche Kommunikation zwischen Endgerät und auch Unternehmensserver abläuft ist die Datensicherheit nur begrenzt gegeben. Die Daten werden zwar AES verschlüsselt, jedoch können diese von RIM gespeichert werden. Trotz der führenden Lösung von RIM gehen aktuelle Trends weg von diesen Endgeräten. Apple bietet zwar keine eigene MDM Lösung an, liefert hingegen aber Schnittstellen (wie die beschriebenen Konfigurationsprofile) um 3rd Party MDM Lösungen nutzen zu können und die Endgeräte entsprechend in die Firmeninfrastruktur zu implementieren. Google ist im Vergleich das Schlusslicht. Hier wird bis auf Exchange Active Sync und die GMail Funktionalitäten keinerlei weitere Steuerungsmöglichkeit vom Hersteller direkt angeboten. In allen Bereichen werden jedoch vermehrt 3rd Party Applikationen entwickelt die unabhängig vom genutzten Endgerät funktionieren.

8.2 Ausblick

Abbildung 19: Prognose Marktanteile Smartphone Betriebssysteme [42])


Der Mobile Device Markt ist aktuell ein sehr umstrittener Markt. In den letzten Jahren haben neue Hersteller wie Apple und auch Google hier Marktanteile von großen Anbietern wie RIM und Symbian abgelöst. Auch Windows Mobile hat in den letzten Jahren an Marktanteilen verloren. Es ist jedoch davon auszugehen, dass Microsoft mit ihrem Windows Phone OS auch in Zukunft ihre Martkanteile ausbauen können. Hierbei wird es besonders entscheidend sein, wie gut sich das Windows Phone in die bestehende (meist aus Windows Betriebssystemen) IT-Infrastruktur integriert. Hierdurch können auch Google und Apple wieder Anteile verlieren.

MDM wird daher auch in Zukunft immer mehr an Gewichtung gewinnen damit die Datensicherheit und der Datenschutz von Unternehmensdaten gewährleistet werden kann und auch die Mitarbeiter die Möglichkeit haben, eigene moderene Hardware zu nutzen. Die Verschmelzung gerade im Mobile Device Sektor zwischen Privater- und Unternehmenshardware wird hierbei immer mehr voran getrieben.

Im Zuge von BYOD wird eine zukünftige IT-Infrastruktur nicht mehr homogen nur noch von einem Handyhersteller wie z.B. BlackBerry dominiert, sondern wird sich immer mehr in eine Mischumgebung mit diversen Herstellern und Endgeräten transformieren. Dies hat auch BlackBerry erkannt die in Zukunft Ihre MDM Lösung auch für andere Herstellerprodukte wie Apple oder Google anbieten wollen. Hierzu hat das Unternehmen die Firma ubitexx übernommen die eine platformunabhängige MDM-Lösung entwickelt haben.

9 Anhang

9.1 Quellenverzeichnis

3lm.com: Enterprise-Ready Android 3lm.com: Enterprise-Ready Android, http://www.3lm.com/product.html
Android Open Source Project Tech Info: Notes on the implementation of encryption in Android 3.0, Android Open Source Project, http://source.android.com/tech/encryption/android_crypto_implementation.html
Achim Sawall: Motorola kauft Startup früherer Google-Mitarbeiter Achim Sawall: Motorola kauft Startup früherer Google-Mitarbeiter, http://www.wiwo.de/technologie/digitale-welt/3lm-motorola-kauft-startup-frueherer-google-mitarbeiter-/5244386.html
Apple: iPhone und iPad im Unternehmen Implementierungsbeispiele Apple: iPhone und iPad im Unternehmen Implementierungsbeispiele, http://images.apple.com/de/ipad/business/docs/iPad_Business.pdf
Apple: Exchange ActiveSync und iOS-Geräte: Einführung Apple: Exchange ActiveSync und iOS-Geräte: Einführung, http://help.apple.com/iosdeployment-exchange/#exchange2e5b4fe
Apple: Exchange ActiveSync und iOS-Geräte: Unterstützte Exchange ActiveSync-Richtlinien (Policies) Apple: Exchange ActiveSync und iOS-Geräte: Unterstützte Exchange ActiveSync-Richtlinien (Policies), http://help.apple.com/iosdeployment-exchange/#exchange2e5930c
Apple: iPhone-Konfigurationsprogramm: Einführung Apple: iPhone-Konfigurationsprogramm: Einführung, http://help.apple.com/iosdeployment-ipcu/?lang=de#appc28ee0f4
Apple: Verteilen von Unternehmens-Apps für iOS-Geräte: VPP für Unternehmen Apple: Verteilen von Unternehmens-Apps für iOS-Geräte: VPP (Volume Purchase Program) für Unternehmen, http://help.apple.com/iosdeployment-apps/?lang=de#app43ad7d9e
Apple: Verteilen von Unternehmens-Apps für iOS-Geräte: Registrieren für das VPP-Programm Apple: Verteilen von Unternehmens-Apps für iOS-Geräte: Registrieren für das VPP-Programm (Volume Purchase Program), http://help.apple.com/iosdeployment-apps/?lang=de#app43ad7311
Architektur: Der BlackBerry Administration Service Architektur: Der BlackBerry Administration Service, RIM, http://docs.blackberry.com/de-de/admin/deliverables/12144/Arch_remote_BAS_495916_11.jsp
Architektur: Der BlackBerry Collaboration Services Architektur: BlackBerry Collaboration Services, RIM, http://docs.blackberry.com/de-de/admin/deliverables/20999/Arch_remote_BB_Collaboration_Service_491676_11.jsp
Architektur: Der Blackberry Enterprise Server Architektur: Der Blackberry Enterprise Server, RIM - http://docs.blackberry.com/de-de/admin/deliverables/20999/Architecture_BES_491614_11.jsp
Architektur: Der BlackBerry MDS Connection Service Architektur: Der BlackBerry MDS Connection Service, RIM, 05.01.12, http://docs.blackberry.com/de-de/admin/deliverables/12150/Arch_remote_MDSCS_491677_11.jsp
Architektur: Der BlackBerry Monitoring Service Architektur: Der BlackBerry Monitoring Service, RIM, 12.01.1, http://docs.blackberry.com/de-de/admin/deliverables/12150/Arch_Remote_BMS_496046_11.jsp
Architektur: Der Blackberry Router Architektur: Der Blackberry Router, RIM, 10.01.12, http://docs.blackberry.com/de-de/admin/deliverables/12144/Arch_Remote_BBRouter_495923_11.jsp
Aufbau der BlackBerry Enterprise Server Aufbau der BlackBerry Enterprise Server, Infotechguyz.com - unbekannter Autor, http://www.infotechguyz.com/BlackBerryServer/BlackBerryInfrastructure.html
BlackBerry IT-Policy BlackBerry IT-Policy, RIM, 10.01.12, http://de.blackberry.com/ataglance/security/it_policy.jsp
boxtone.com: Launch First Automated Mobile Device Policy and Compliance Management Engine boxtone.com: BoxTone Launches First Automated Mobile Device Policy and Compliance Management Engine, http://www.boxtone.com/News/Press/PressReleases/20110926_BoxTone_Launches_Automated_Policy_Engine.aspx
brightpointuk.co.uk: Is Android ready for the Enterprise? brightpointuk.co.uk: Is Android ready for the Enterprise?, http://www.brightpointuk.co.uk/android-ready-enterprise
Chris Spera: 3LM Enables Android Device Management for the Enterprise Chris Spera: 3LM Enables Android Device Management for the Enterprise, http://www.informationweek.com/byte/news/231901020
Computerwoche Marktstudie 2011: Bring your own Device Computerwoche Marktstudie 2011: Bring your own Device, http://computerwoche.idgshop.de/files/pdfs/cw/CW_Marktstudie_BringYourOwnDevice_Leseprobe.pdf
c't Magazin Report Handy-Administration: Dienst ist Dienst und Apps sind Apps c't Magazin Report Handy-Administration: Dienst ist Dienst und Apps sind Apps, Peter Schüler, Seite 172 - 175, Heft 15, c't2011, Heise Zeitschriften Verlag
Das Ende der Standardisierung? Augustin, Jekel, Weiss, A.T. Kearney GmbH, 2011 in das_ende_der_standardisierung_web_13131432751ddc.pdf
derStandard.at: Android soll "Enterprise-ready" werden derStandard.at: Android soll "Enterprise-ready" werden, http://derstandard.at/1317019868479/Unternehmensmarkt-Android-soll-Enterprise-ready-werden
Der BlackBerry Enterprise Server Der BlackBerry Enterprise Server, RIM, (entnommen 10.01.12), http://de.blackberry.com/business/software-and-services/blackberry-enterprise-server/overview.jsp
Equinux TARMAC Equinux TARMAC, http://www.equinux.com/de/products/tarmac/index.html
Excitor DME Mobile Device Manager Excitor DME Mobile Device Manager, http://www.excitor.com/DME_Mobile_Device_Manager-586.aspx
Firewall and connection requirements for the BlackBerry Enterprise Server Firewall and connection requirements for the BlackBerry Enterprise Server, RIM, 10.01.12, http://btsc.webapps.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB03735
Forrester Research Forrester's Forrsights For Business Technology, Forrsights Workforce Employee Survey, Q3 2010, Forrester Research, http://www.forrester.com/ER/Research/Survey/Excerpt/0,,793,00.html
IDC Worldwide Quarterly Mobile Phone Tracker IDC Worldwide Quarterly Mobile Phone Tracker, June 9, 2011, http://www.idc.com/getdoc.jsp?containerId=prUS22871611
Lynnette Luna: 3LM, BoxTone collaborate to make Android enterprise ready Lynnette Luna: 3LM, BoxTone collaborate to make Android enterprise ready, http://www.fiercemobileit.com/story/3lm-boxtone-collaborate-make-android-enterprise-ready/2011-10-11
IBM Lotus Notes Traveler: Unterstützte ActiveSync-Funktionen IBM Lotus Notes Traveler: Unterstützte ActiveSync-Funktionen, IBM, 2011, http://publib.boulder.ibm.com/infocenter/domhelp/v8r0/index.jsp?topic=/com.ibm.help.lnt851.doc/active_sync_support_detail.html
Kompatiblitätsmatrix BES Kompatiblitätsmatrix BES, RIM, (14.01.12), http://us.blackberry.com/support/software/server_compatibility.jsp#tab_tab_compatibility
support.google.com: Administration von Device Policy für Android support.google.com: Administration von Device Policy für Android, http://support.google.com/a/bin/answer.py?hl=de&answer=1056433
Smartphones erobern den Massenmarkt Smartphones erobern den Massenmarkt, BITKOM, Presseinfo Mobilfunk, http://www.bitkom.org/62432_62420.aspx
Sybase Afaria Business Presentation Sybase Afaria Business Presentation, http://www.sybase.com/files/Product_Overviews/Afaria_business_presentation.ppt
Sybase Mobile Enterprise Afaria Sybase Mobile Enterprise Afaria , Afaria: A Technical Overview, 2011,Sybase GmbH, http://www.sybase.de/files/White_Papers/Afaria-Technical-WP.pdf
Tablet Computer erobern den Massenmarkt Tablet Computer erobern den Massenmarkt, BITKOM, Presseinfo Mobilfunk, http://www.bitkom.org/de/presse/8477_70631.aspx
TecChannel Smartphones & Tablets im Unternehmen TecChannel Smartphones & Tablets im Unternehmen: Ratgeber, IDG Business Media
Ubitexx Mobile Business Ubitexx Mobile Business, Mobile Device Management Glossar, 2011, ubitexx GmbH, http://www.ubitexx.com/language/de-de/mobile_device_management/glossar#mobiledevicemanagement
Ubitexx Mobile Business Ubitexx Mobile Business, Mobile Device Management Rollout, 2011, ubitexx GmbH, http://www.ubitexx.com/language/de-de/mobile_device_management/rollout
Ubitexx Mobile Business Ubitexx Mobile Business, Mobile Device Management Security, 2011, ubitexx GmbH, http://www.ubitexx.com/language/de-de/mobile_device_management/security
Umfrage Computerwoche Die große BYOD-Umfrage: IT-fürchtet Kontrollverlust, Computerwoche, IDG BUSINESS MEDIA GMBH, http://www.computerwoche.de/management/it-strategie/2370497/
Vom BlackBerry Attachment Service unterstützte Anlagendateiformate Vom BlackBerry Attachment Service unterstützte Anlagendateiformate, RIM, http://docs.blackberry.com/de-de/admin/deliverables/12144/Supported_attachment_formats_812253_11.jsp

9.2 Fußnoten

  1. vgl. Forrester Research
  2. in Anlehnung an "Umfrage Computerwoche"
  3. 3,0 3,1 vgl. Das Ende der Standardisierung?
  4. vgl. Umfrage Computerwoche
  5. vgl. Computerwoche Marktstudie 2011: Bring your own Device
  6. 6,0 6,1 6,2 6,3 6,4 6,5 6,6 vgl. TecChannel, Smartphones & Tablets im Unternehmen
  7. in Anlehnung an Smartphones erobern den Massenmarkt
  8. in Anlehnung an Tablet Computer erobern den Massenmarkt
  9. 9,0 9,1 9,2 9,3 in Anlehnung an Ubitexx Mobile Business, Mobile Device Management Rollout
  10. 10,0 10,1 10,2 10,3 vlg. Ubitexx Mobile Business, Mobile Device Management Glossar
  11. 11,0 11,1 11,2 vgl. Equinux TARMAC
  12. 12,0 12,1 12,2 vgl. Sybase Mobile Enterprise Afaria , Afaria: A Technical Overview
  13. vgl.Ubitexx Mobile Business, Mobile Device Management Security
  14. vgl. c't Magazin Report Handy-Administration: Dienst ist Dienst und Apps sind Apps
  15. vgl. Excitor DME Mobile Device Manager
  16. vgl. c't Magazin Report Handy-Administration: Dienst ist Dienst und Apps sind Apps
  17. vgl. Excitor DME Mobile Device Manager
  18. vgl. Apple: Exchange ActiveSync und iOS-Geräte: Einführung
  19. vgl. IBM Lotus Notes Traveler: Unterstützte ActiveSync-Funktionen
  20. vgl. Apple: Exchange ActiveSync und iOS-Geräte: Unterstützte Exchange ActiveSync-Richtlinien (Policies)
  21. 21,0 21,1 21,2 21,3 21,4 21,5 21,6 21,7 vgl. Apple: iPhone und iPad im Unternehmen Implementierungsbeispiele
  22. vgl. Apple: iPhone-Konfigurationsprogramm: Einführung
  23. vgl. Apple: Verteilen von Unternehmens-Apps für iOS-Geräte: VPP (Volume Purchase Program) für Unternehmen
  24. vgl. Apple: Verteilen von Unternehmens-Apps für iOS-Geräte: Registrieren für das VPP-Programm (Volume Purchase Program)
  25. 25,0 25,1 vgl. derStandard.at: Android soll "Enterprise-ready" werden
  26. vgl. Lynnette Luna: 3LM, BoxTone collaborate to make Android enterprise ready
  27. vgl. Android Open Source Project, Tech Info: Notes on the implementation of encryption in Android 3.0
  28. 28,0 28,1 3lm.com: Enterprise-Ready Android
  29. vgl. boxtone.com: BoxTone Launches First Automated Mobile Device Policy and Compliance Management Engine
  30. 30,0 30,1 Der BlackBerry Enterprise Server
  31. 31,0 31,1 31,2 31,3 31,4 31,5 31,6 vgl. Architektur: Der Blackberry Enterprise Server
  32. 32,0 32,1 32,2 32,3 vgl. Architektur: BlackBerry Collaboration Services
  33. vgl. Kompatiblitätsmatrix BES
  34. Vom BlackBerry Attachment Service unterstützte Anlagendateiformate
  35. 35,0 35,1 vgl. Architektur: Der Blackberry Router
  36. BlackBerry IT-Policy
  37. 37,0 37,1 Architektur: Der BlackBerry Administration Service
  38. 38,0 38,1 vgl. Der BlackBerry MDS Connection Service
  39. Architektur: Der BlackBerry Monitoring Service
  40. Aufbau der BlackBerry Enterprise Server
  41. vgl. Firewall and connection requirements for the BlackBerry Enterprise Server
  42. IDC Worldwide Quarterly Mobile Phone Tracker
Von „http://winfwiki.wi-fom.de/index.php/Technische_Architektur_von_MDM-L%C3%B6sungen
Persönliche Werkzeuge