Systeme und ihr Umfeld / Android for Work
Android wird geschäftsfähig
Lange Zeit konnte man Android nicht guten Gewissens für den breiten Unternehmens- Einsatz empfehlen: Zu viele Köche rührten im technischen Brei. Mit Android 5.0 beziehungsweise der App „Android for Work“ ist das Google-Betriebssystem jetzt jedoch auch in der Business-Mobility eine interessante Option – ein Überblick.
Von Mike Raggo, Mountain View (US/CA)
Smartphones und Tablets geben mit ihren Leistungsmerkmalen schon längst die Richtung auch in der Geschäfts-IT an. Denn Anwender wollen ihre mobilen Erfahrungen, die sie im privaten Umfeld gesammelt haben, auch bei ihren beruflichen Tätigkeiten wiederfinden und produktiv verwenden können. Und nicht zuletzt möchten sie ihre mobilen Aktivitäten auf ein und demselben Gerät durchführen.
Deshalb ist es ganz wesentlich für die Akzeptanz von mobilen Endgeräten und deren Betriebssystem sowie Management-Software, dass man auf einem Mobilgerät gleichermaßen geschäftliche und private Daten speichern und verarbeiten kann, dass diese aber sicher voneinander abgeschottet bleiben.
Um diesen Anforderungen gerecht zu werden, haben viele Hersteller schon länger so genannte „Dual- Persona“-Systeme im Angebot, die persönliche und Unternehmens- Daten sauber trennen. Technisch handelt es sich dabei um Containerlösungen, bei denen geschäftliche Apps und Daten mithilfe von Authentifizierungsvorgaben und Verschlüsselungsmaßnahmen gesichert werden und zudem der Zugriff von privaten Apps und Daten auf geschäftliche Apps und Daten unterbunden ist.
Gleichzeitig bleibt in diesen für privat-geschäftlichen Mischbetrieb (BYOD-Szenario) ausgelegten Systemen aber auch der private Bereich vor dem Zugriff der Business-Administration geschützt: Während der Administrator jederzeit geschäftliche Daten und Aktivitäten per Remote-Zugriff teilweise oder vollständig beeinflussen kann, sind private Apps und Daten auf dem Gerät für ihn tabu.
Das sichere Handling eines solchen gemischten Betriebs in seinen beiden Ausprägungen – privates Mobilgerät mit Zugriffsberechtigung auf Unternehmensdaten oder Firmen-System, das auch privat genutzt werden darf – ist nur mit einer leistungsfähigen Verwaltungs-Software möglich. Derartige Lösungen wurden anfangs (als die Geräteverwaltung im Vordergrund stand) als Mobile-Device- Management-Systeme (MDM) vermarktet. Mittlerweile sind immer mehr auch App- und Content-Management gefragt und man spricht von Enterprise-Mobility-Management-( EMM)-Systemen.
Consumerization 2.0
Viele MDM- und EMM-Systeme haben Dual- Persona-Lösungen integriert, die mal schwerer, mal leichter handzuhaben sind. Ein wesentliches Kriterium für eine gute Dual-Persona-Lösung ist die Möglichkeit der Übertragung des Mobil-Handlings, wie es der Nutzer aus dem privaten Umfeld kennt, in den geschäftlichen Bereich. Denn keine Frage: Das private Umfeld treibt seit Jahren die Entwicklung der IT (Consumerization). Moderne EMM-Plattformen haben diesen Trend in den letzten Jahren konsequent aufgenommen und in sichere mobile IT übersetzt.
Moderne EMM-Systeme sind dabei nicht nur auf den Einsatz von Mobilgeräten als primäre Endgeräte ausgerichtet, sondern auch auf die zentrale Verwaltung aller gängigen mobilen Betriebssysteme – das heißt, nicht nur für iOS, sondern auch für Windows Phone und Android. Letzteres ist im Consumerbereich derzeit das weitaus erfolgreichste Mobil-Betriebssystem. Dennoch haben sich viele Unternehmen mit Android bisher eher schwergetan: Aufgrund seiner vielen verschiedenen OEMHardware- Ausprägungen sowie der unterschiedlichen Betriebssystemversionen waren Android-Mobilgeräte bislang stärker als iOS- oder Windows-Phone-Geräte anfällig für Schadsoftware und sorgten für ein deutlich erschwertes Mobility-Management.
Android for Work
Mit der Ende 2014 erschienenen Version 5.0 „Lollipop“ und der Zusatzsoftware „Android for Work“ (AfW) hat Google als Eigner von Android einen großen Schritt in Richtung Unternehmenstauglichkeit getan. Lollipop wurde mit dem klaren Ziel entwickelt, die gerade angesprochenen Schwachstellen im Blick auf Fragmentierung und Schadsoftware zu beseitigen. Dafür wurden neue Sicherheitsfunktionen in Android integriert, die das Mobil- Betriebssystem ohne Einschränkungen businesstauglich machen sollen und im Folgenden näher beschrieben werden.
Nicht zuletzt hat Google in diesem Zusammenhang aber auch große Anstrengungen unternommen, um Android-Updates besser in den Griff zu bekommen: Statt sich darauf zu verlassen, dass OEMs und Provider Aktualisierungen des Betriebssystems organisieren, verteilt Google nun über den Google Play Store und die Google Play Services kritische Updates auch direkt an die Endanwender. So wird die Fragmentierung reduziert und die Konsistenz des Betriebssystems unabhängig vom Gerät deutlich verbessert.
- Abbildung 1: Android for Work (AfW) wird über ein Google-Service-Token mit einem Enterprise-Mobiliy-Management-System verknüpft.
Im Duett mit EMM
Für die Android-Versionen von 4.0 („Ice Cream“) bis 4.4 („Kit Kat“) gibt es die App „Android for Work“ (AfW); ab Version 5 ist AfW im nativen Betriebssystem integriert. In beiden Fällen ist jedoch zusätzlich ein Enterprise-Mobility- Management-System notwendig, um das neue „Business-Android“ mit seinen vielfältigen Funktionen bereitzustellen, zu provisionieren und zu verwalten – inklusive der Möglichkeit, damit ein BYOD-Szenario aufzubauen.
Über das EMM-System lassen sich Apps dann auf beliebigen Geräten mit einem Profil für Android for Work oder die AfW-App bereitstellen und in Containern kapseln. Dazu erstellt man auf der jeweiligen EMM-Konsole Nutzungsrichtlinien, die bestimmten Anwendern oder Anwendergruppen zugeordnet sind und per Push an den Geräte-Richtlinien- Client (Device Policy Client, DPC) des Endgerätes übertragen werden. Der DPC ist eine App auf dem Endgerät; sie wird dort installiert und konfiguriert, bevor das AfW-Profil erstellt wird. Dieser Prozess erfordert zunächst eine Authentifizierung beim EMM-Hersteller – erst danach lässt sich ein Profil für AfW konfigurieren. AfW zieht im Vergleich zu älteren Android-Versionen also einige Prozess-Änderungen nach sich, die im Folgenden erläutert werden.
Google-Domain und Benutzer- Management
Um AfW zu aktivieren, muss der IT-Administrator eine verwaltete „Google Domain“ anfordern: Hierzu ist eine einmalige Registrierung im Web erforderlich. Nach erfolgreicher Konto-Erstellung erhält der Administrator ein Token für die Bindung an die EMM-Plattform seines Unternehmens – damit lässt sich Android für Work über die EMM-Konsole verwalten. Anschließend können Benutzer hinzugefügt und aktiviert werden.
Benutzer benötigen sowohl ein persönliches als auch ein Firmen- Google-Konto. Über das persönliche Konto, das ein Großteil der Nutzer ohnehin schon haben dürfte, wird dann die DPC-App aus dem Google Play Store auf das Endgerät heruntergeladen. Der IT-Administrator erstellt zusätzlich für alle Benutzer von Android for Work noch ein Firmen-Google-Konto und fügt diese Accounts im Google-Verzeichnis hinzu. Dann kann das Profil für AfW konfiguriert werden.
Alle Daten, die bei der Erstellung des Profils verwendet werden, sind gesichert, da zuvor das gesamte Gerät verschlüsselt wird – ohne diesen Schritt ist keine Profilerstellung möglich.
Erstellen von Profilen für Android for Work
Je nachdem, wem das Gerät gehört, sind zwei Profilarten möglich: Bei privat-geschäftlichem Mischbetrieb (BYOD) enthält das Gerät sowohl ein Profil (Container) für AfW als auch ein persönliches Profil. Beide Profile erstellt der Nutzer! Das AfW-Profil ist dabei durch ein Passwort geschützt und mit dem Firmen-Google-Konto verbunden. Die IT verwaltet nur das Profil für AfW und kann es bei Bedarf auch löschen – das Unternehmen ist der Profileigentümer. Alle privaten Apps und Daten des Benutzers bleiben in diesem Szenario jedoch unberührt.
Demgegenüber gibt es auf unternehmenseigenen Geräten nur einen Container mit AfW – aber kein persönliches Profil. Bei unternehmenseigenen Geräten hat die IT als Geräteeigentümer dann die totale Kontrolle über das Gerät und kann es bei Bedarf auch komplett löschen.
Wenn das AfW-Profil erstellt ist, wird es mit den erlaubten Anwendungen provisioniert. Grundsätzlich gibt es zwei Arten von Anwendungen: zum einen die vom Administrator definierten Systemanwendungen, zum anderen ein Paket von Applikationen, das für jeden Nutzer beziehungsweise für jede Nutzergruppe individuell zusammengestellt und nach der Definition der Systemanwendungen installiert wird.
- Abbildung 2: Die Verwaltung der Container und Profile für Android for Work erfolgt im Enterprise-Mobility-Management-System
(EMM).
Sicheres App-Management
AfW ermöglicht eine sichere Verwaltung von Apps: Google hat dafür einen komplett neuen Satz von Google Play-APIs für EMM-Plattformen eingeführt, weswegen eine EMM-Plattform auch unabdingbar für die entsprechenden Operationen ist. Durch die Bereitstellung über Google Play und den Zwang, ein EMM-System zu verwenden, ergeben sich für das App-Management bedeutende Verbesserungen:
Neuer, sicherer Installationsprozess: Das System verhindert, das Apps aus unbekannten Quellen installiert werden – etwa aus Dropbox oder anderen, potenziell unsicheren Websites (Side-Loading). Die Administration erfolgt immer über die EMM-Verwaltungskonsole. Trennung von privatem und Unternehmens-Content auf dem Gerät: Der Container für AfW schützt Unternehmens-Apps vor privaten Aktivitäten des Benutzers außerhalb des Containers, auch vor dem Laden von Apps aus unsicheren Quellen außerhalb des Google Play Stores. Ausnahmen für selbst gehostete Apps: Unternehmen, die Sicherheitsbedenken dagegen haben, ihre internen Apps öffentlich sichtbar zu machen, können diese Apps auch selbst verwalten – entweder intern oder über ihren EMM-Anbieter. In jedem Fall können selbst-verwaltete Apps bei der Anzeige von Suchergebnissen aus dem Google Play Store ausgeblendet werden. Durch die neuen Prozesse und das Android 5.0-Profil für AfW können IT-Manager jede App im Google Play Store in einem sicheren Android-Container bereitstellen, ohne dass eine zusätzliche Kapselung erforderlich ist.
Sobald das Profil für AfW auf dem Gerät konfiguriert ist, muss lediglich ein gegebenenfalls festgelegtes Passwort eingegeben werden, um auf alle Funktionen zugreifen zu können. Bei Android 5.0 gilt das Passwort für das gesamte Gerät, sonst nur für den Container – es lässt sich aber auch bei Letzterem ein Gerätepasswort konfigurieren, und dann ein unabhängiges Passwort für den Container.
Eine wichtige Funktion, um die geschäftlichen Apps immer auf dem neuesten Stand zu halten und dabei nicht auf die Mitarbeit der einzelnen Anwender bauen zu müssen, liefert die Möglichkeit, Apps im Hintergrund zu installieren, zu entfernen und zu aktualisieren – und zwar für Geräte unterschiedlicher Hersteller.
Rechte-Management
Welche Möglichkeiten ein Benutzer hat, um innerhalb und außerhalb des AfW-Profils Dateien freizugeben, wird in den Richtlinien des EMM-Systems geregelt: So lassen sich beispielsweise das Anfertigen von Screenshots oder die Kopier-/ Einfüge-Funktion für Apps in dem verwalteten Profil sperren. Vom verwalteten Profil aus kann im Übrigen diese Funktion auch im persönlichen Bereich blockiert werden, nicht aber umgekehrt.
AfW ermöglicht auch eine fein-granulare Definition des VPNZugriffs in dem verwalteten Profil und macht damit eine geräteweite VPN-Freigabe überflüssig. In der Summe tragen alle diese Funktionen zu höherer Sicherheit beim Datenaustausch zu und von den Unternehmens-Apps bei.
Die Apps werden nach der Installation mit den jeweiligen gewünschten (möglicherweise restriktiven) Einstellungen versehen. Der Ablauf ist dabei beispielsweise wie folgt: Der Entwickler der App legt fest, welche Einstellungen für die Anwendung zulässig sind, was sie akzeptieren darf und was nicht – der Administrator setzt diese Rahmenbedingungen dann auf der EMMKonsole um und mit AfW werden die Einstellungen per Push auf das Gerät übertragen
Empfehlungen
Um die in diesem Artikel dargestellten Möglichkeiten von Android for Work optimal zu implementieren, sollten IT-Abteilungen unter anderem folgende Empfehlungen umsetzen:
Bei allen Apps, die Sie in Ihrem Unternehmens-AppStore anbieten, sollten Sie die Rechte, welche die jeweilige App besitzt, genau bedenken. Neben einem klaren Überblick über die erteilten Rechte selbst gehört dazu auch eine klare Vorstellung davon, wie sich diese Rechte auf die Daten auf dem Gerät und bezüglich anderer Apps auswirken. Prüfen Sie immer, ob eine bestimmte Berechtigung im Blick auf den Funktionsbereich der jeweiligen App sinnvoll und notwendig ist. Vergessen Sie nie, dass Android for Work als Container nur so sicher ist wie die Apps, die sich im Container befinden. Benutzer verlassen sich in der Regel vollkommen auf die IT-Abteilung, wenn es um die Sicherheit ihres Gerätes geht – unabhängig davon, ob es ein privates oder unternehmenseigenes System ist. Es ist deshalb unerlässlich, über einen Prozess zu verfügen, mit dem sich der Sicherheits-Status der Unternehmens- Apps überprüfen lässt. Erwägen Sie trotz Android for Work den Einsatz zusätzlicher Verfahren zur App-Sicherheit, die weitergehende Möglichkeiten bieten können.
Mike Raggo ist Director of Security Research bei MobileIron.
