Das Ende der Turnschuh-IT: Mobile Device Management

Gastbeitrag von André Willich

Menschen und ihr Umgang mit Technologie sind für mich ein ewiges Faszinosum. Und immer wieder bestätigt sich mein Gefühl: dass wir schon lange technologisch in der Lage sind, Struktur, Systematik und Sicherheit in den Umgang mit unseren digitalen Arbeitsmitteln zu bringen – einzig unsere alten Gewohnheiten und irrationalen Verhaltensweisen hindern uns daran (siehe hier meinen Beitrag “Hört auf zu sortieren”, bei dem es um E-Mail Archivierung geht).

Mobile Device Management – mehr als der Name verspricht

Vor zwanzig Jahren ging es ungefähr los, dass sich Laptops in der Arbeitswelt massenweise verbreiteten, vor dreizehn Jahren kam das iPhone – plötzlich hatte jeder so ein Gerät in der Tasche, vom Vorstand bis zum Azubi. Auf einmal war Gott und die Welt mit diesen mobilen Geräten unterwegs, und auf einmal stellte sich die Frage, wie man eigentlich mit diesen frei beweglichen Geräten umgeht. Die Lösung: Mobile Device Management. Man hört ihm sozusagen noch an, aus welcher Zeit es stammt.

Der Name führt deshalb auch ein wenig in die Irre und beschränkt das Thema auf die Verwaltung mobiler Endgeräte – dabei kann die Technologie viel mehr. 

Vom Umfang her ist Mobile Device Management – kurz “MDM” – heute das zentrale Verwaltungstool für alle Endgeräte: nicht nur Laptops und Handys, sondern auch sämtliche Desktop-Arbeitsplätze, Server und die gesamte IT im Unternehmen.

Von der Funktion geht MDM ebenfalls weit über die reine Verwaltung des Geräteparks hinaus. MDM ist die Schaltzentrale für alle Einstellungen und die gesamte Software, die auf diesen Geräten läuft, d.h., System-Installationen, Software-Installationen und -Updates.

Aber erst seit Informationssicherheit und Datenschutz relevante Treiber in der IT geworden sind, entpuppt sich MDM als “Wunderwaffe” für die Auditfähigkeit. Denn es vereint viele Anforderungen der Compliance oder einer TISAX-Zertifizierung – unter dem Dach einer einzigen Lösung.

Auch dadurch, dass immer mehr Unternehmen ihre klassischen Inhouse-Server in die Cloud auslagern, hat das MDM an Bedeutung gewonnen – das komplexe Netzwerkmonitoring bzw. der Network Configuration Manager fällt weg, das MDM übernimmt den restlichen Gerätepark.

Um das schonmal vorwegzunehmen (Ihr habt es auf Grund meiner parteiischen Berichterstattung schon vermutet): Ein Mobile Device Management genießt unsere uneingeschränkte Empfehlung.

Turnschuh-IT vs. systematischer Ansatz

Ich bin oft in Unternehmen und Agenturen unterwegs und spreche mit vielen Menschen – IT-Chefs genauso wie Vorstände und Geschäftsführer. Und ich bin echt erstaunt, wie viel vielerorts immer noch hemdsärmelig rumgefrickelt wird. Immer noch rennen ITler herum, fassen jeden Computer einzeln an, schauen nach ob alles drauf ist, installieren Software und produzieren Hunderte von Meilen und einzelnen Handgriffen, die wiederum Hunderte von Stunden und Euros kosten. Ich nenne diese Arbeitsweise “Turnschuh-IT”. 

Fast vierzig Jahre nach Einführung des PC und Mac in der Bürowelt haben die meisten Unternehmen das Thema MDM noch nicht systematisch geregelt.

Aber noch erstaunlicher sind die Vorbehalte, die mir bzw. dem MDM entgegengebracht werden, wenn ich es – wie immer – uneingeschränkt empfehle. Da höre ich zum Beispiel: “Unsere interne IT will sich doch nur Arbeit sparen” – äh, ja! Genau! Dann kann sie sich endlich mal um die wichtigen Dinge kümmern.

Oder, an mich gerichtet: “Du willst mir ja nur was verkaufen” – äh, ja, will ich! Ich will dir eine Lösung verkaufen, die weniger Stunden bei mir als Dienstleister aufruft und die du, lieber Kunde, dann auch weniger bezahlen musst. Lass uns das Geld, das meine Stunden kosten, doch einfach in die Anschaffung einer Lösung investieren (Preis 4€/Monat und Gerät), die deine gesamte IT zukünftig auf eine systematische Basis stellt – Datenschutz und Informationssicherheit eingebaut. 

Übrigens ist das Mantra unserer Arbeitsweise: Bei Nextwork suchen wir immer den systematischen Ansatz – egal ob in der Informationstechnologie oder -sicherheit. 

Und wenn jetzt neugierig geworden, immer noch nicht restlos überzeugt oder in der Lage bist, einen sturen Chef überzeugen zu müssen, hier jetzt nochmal fein säuberlich alle Argumente.

Der richtige Zeitpunkt: Umstieg auf neue Software-Version und/oder Umzug in die Cloud

Es gibt immer den richtigen Zeitpunkt, um ein MDM einzuführen. Eine gute Gelegenheit ist beispielsweise die flächendeckende Umstellung auf eine neue Software-Version, zum Beispiel Microsoft 365 oder die Adobe Cloud, die auf jedem Rechner im Unternehmen installiert werden sollen.

Das MDM übernimmt den Installationsjob – die Kostenersparnis, die sich dadurch direkt bei der internen IT oder einem externen Dienstleister wie Nextwork im Aufwand ergibt, dass nicht mehr jeder Rechner einzeln angefasst werden muss, finanziert die Anschaffung und Einrichtung des MDM – der riesige Vorteil, dass alle Endgeräte im Unternehmen in Zukunft systematisch verwaltet werden UND die Sicherheitsfeatures gibt’s on top.

Eingebaute Informationssicherheit

Im Rahmen der Informationssicherheit und bspw. einer TISAX-Zertifizierung übernimmt das MDM viele vorgeschriebene Auflagen – konkret ist das die Control 6.3 “Inwieweit gibt es eine Richtlinie zur Nutzung von mobilen Endgeräten und deren Remote Zugriff auf Daten der Organisation?”. In dieser wird ein zentrales Inventarverzeichnis aller aktiven Geräte, sowie ein zentrales System, an das alle Geräte angebunden sind, genauso vorausgesetzt wie eine systematisierte Nutzer- und Zugriffsverwaltung.

Aber auch mal von TISAX abgesehen kann einem diese Funktion unter Umständen eine schlaflose Nacht ersparen: Denn mobile Geräte gehen verloren, Mitarbeiter verlassen das Unternehmen – in beiden Fällen kann so “Fernlöschen” aktiviert werden. Das MDM kontrolliert weitere Anforderungen wie die Festplattenverschlüsselung, ob alle Antischadsoftware Systeme laufen; weiterhin kann das MDM die Anforderungen an die Passwortlänge vorgeben, die Aktivierung des Bildschirmschoner vorgeben.

Diese Anforderungen sind innerhalb TISAX verpflichtend, sie dürfen nicht einmal vom lokalen Administrator abgeschaltet werden, sondern müssen zentral verwaltet werden. Dies hat aber auch eine angenehme Seite: Als User bin ich vor Fehlern geschützt und muss mir um diese Themen keine Gedanken mehr machen.

Im Rahmen von Compliance und TISAX wird ein MDM unerlässlich – deshalb macht es ein solches Projekt naturgemäß zum geeigneten Einstiegsszenario. 

“Self Service”: Eingebaute Freiheit

Der Mensch strebt nach Freiheit, kein User fühlt sich gerne gegängelt. Wenn der eigene Gestaltungswille über die Sticker auf dem Laptop oder ein fancy Hintergrundbild hinausgeht besteht mit einem MDM auch kein Grund zur Sorge: Hier kann dem eigenen Gestaltungswillen des Users Genüge getan werden. Einige Einstellungen, vor allem innerhalb der oben beschriebenen, sicherheitsrelevanten Auflagen sind verpflichtend und können nicht verändert werden. Andere Vorgehensweisen passieren automatisiert, zum Beispiel die Grundupdates. 

Für andere, kuratierte Funktionen jedoch kann der Admin zentral einen Entscheidungsfreiraum festlegen. Das betrifft zum Beispiel die Auswahl an Apps, die aus dem App Store heruntergeladen werden können, oder eine Auswahl an unterschiedlichen Software-Produkten. Wer lieber Trello als Microsoft Planner verwendet, kann das gerne tun – wenn vom Admin so festgelegt. Weit verbreitet ist auch die Vorgehensweise bei Browsern: Chrome- und Safari-Updates rollt das MDM automatisch aus, alternative Browser wie Opera oder Ecosia kann der User bei Belieben installieren.

MDM in Zeiten von Remote-Arbeit

Spätestens seit alle Mitarbeiter für mehrere Monate im Homeoffice arbeiten, geht die Turnschuh-IT nicht mehr auf. Wenn der Admin remote einzelne Rechner betreut, heißt das: Termine mit dem Nutzer ausmachen, erstmal den Team Viewer zum laufen kriegen, dann erst kann zB eine Installation vorgenommen werden – mega aufwändig.

Mit einem MDM geht das viel einfacher: Ich lege einfach fest, “heute bekommt Heike Microsoft 365”, der Rest funktioniert automatisiert per push; das gleiche gilt für Updates.

Was die Auflagen von TISAX im Homeoffice betrifft (siehe hier Marcos Blogbeitrag “Achtung TISAX: Homeoffice ohne Genehmigung nicht zulässig!”), so kann ein MDM zwar keine Garantie geben, dass der “Human in the loop” alles richtig macht. Aber es kann immerhin die Voraussetzungen für eine verbesserte Sicherheit schaffen, beispielsweise die zentralen Einstellungen für Bildschirmschoner aktivieren oder Passwort-Regularien.

Manchmal hab ich das Gefühl, der wahre Grund, an der Turnschuh-IT festzuhalten, ist, auf dem eigenen Schrittzähler auf seine 10.000 Schritte pro Tag zu kommen. Aber Spaß beiseite. Die Tage der Turnschuh-IT sind endgültig gezählt. Wer jetzt noch meint, es gehe in der IT darum, Meilen zu machen, Stunden zu schrubben und so viele Rechner wie möglich anzufassen, der hat sein Unternehmen nicht wirklich zukunftsfähig aufgestellt. Mobile Device Management ist ein wirklich intelligenter Schritt in die richtige Richtung – mit oder ohne Turnschuhe.


Beitrag veröffentlicht

von

Zeitraum vom