Grundsätzlich sind Strategien, die es Unternehmen erlauben, geschäftliche Software auf die vorhandenen Smartphones ihrer Mitarbeiter auszurollen, eine interessante Idee: Jeder Mensch hat ein Handy und ein breiter Rollout könnte vergleichsweise schnell vonstatten gehen. Doch bei einem solchen Ansatz wünscht sich die IT- oder auch die Compliance-Abteilung oftmals ein besonderes Maß an Kontrolle.

MDM-Lösungen wie AirWatch, Intune oder MobileIron ermöglichen es einem Unternehmen, die Ausführung seiner Software auf iOS- und Android-Geräten zu kontrollieren. Vereinfacht gesagt, es wird ein geschützter Bereich mit einer sicheren Brandmauer eingerichtet, in deren Umgebung die Anwendungen ausgeführt werden. 

Doch das ist technisch und vor allem organisatorisch deutlich schwieriger in die Realität umzusetzen, als man denkt. Sie errichten eine Hürde, die die Situation für die Mitarbeiter oft so kompliziert macht, dass eine Nutzung der Apps gar nicht stattfindet. Darüber hinaus schränken die MDM-Tools die Geschwindigkeit und die Einfachheit der Apps so stark ein, dass viele Anwender lieber dankend abwinken und diese Option ungenutzt bleibt.

Auch für unsere eigene Intranet-Lösung Linchpin haben wir eine mobile App entwickelt, und die ersten Kunden haben alle versucht, sie per MDM zum Laufen zu bekommen. Einigen gelang es, anderen nicht. Die Situation als Hersteller solcher Apps ist immer undankbar, weil wir uns eigentlich sämtliche MDM-Lösungen selbst installieren müssten, um sauber testen zu können, ob alles läuft. Dieses Vorgehen unterstützen die Hersteller aber gar nicht. Ein vernünftiger Support, der MDM-spezifische Fragen beantwortet, stand unseren Konzernkunden ebenfalls nicht zur Verfügung, obwohl sie teilweise enorme Summen für die Lösung bezahlen.

Am schlimmsten finde ich persönlich, dass dieser künstliche, unhandliche und insgesamt unpraktische MDM-Käfig mehr an Lizenzkosten verschlingt als unsere gesamte Intranet-Lösung an sich. Das hat bei vielen unserer Kunden (auch und gerade in Konzernen mit Tausenden gewerblichen Mitarbeitern) dazu geführt, dass der MDM-Weg schon aus wirtschaftlichen Gründen versperrt war. Hinzu kamen immer mehr Probleme auf technischer Seite, die in einem Großteil der Fälle gar nicht sauber aufgeklärt werden konnten, weil weder automatisierte noch sonst irgendwelche durchgängigen Testszenarien sinnvoll etablierbar waren.

Der Frust rund um MDM hat bei uns als Hersteller dazu geführt, dass wir unsere eigene kleine Speziallösung geschaffen haben, die MDMs überflüssig macht: einen Gateway-Server. Dazu muss ich etwas ausholen: Wenn Sie Ihr Intranet sehr sicher betreiben wollen, dann residiert es hinter einer Firewall. Das hat den unverrückbaren Vorteil, dass der Intranet-Server vor all den bösen Halunken, die im Internet versuchen, Server zu kompromittieren, sicher ist. Das gilt auch dann, wenn Ihre Intranet-Software mal eine Sicherheitslücke aufweisen sollte – und jede Software hat solche Mängel, die irgendwer irgendwann findet. Lassen Sie sich von niemandem etwas anderes erzählen. Software gammelt. Sie ist abhängig von Diensten, die wiederum abhängig von Bibliotheken sind. Das Gebilde ist so komplex, dass niemand seriös ausschließen kann, dass eines der Elemente eine Schwachstelle aufweist. Gute Anbieter wissen das und reagieren schnell, wenn so ein Sicherheitsproblem auftritt. Wenn Ihr System also mit einer zusätzlichen Schutzmauer ausgestattet ist, sind Sie auch dann noch vor Fremden geschützt, wenn es mal einen Sicherheitsmangel hat, der noch nicht behoben wurde.

Viele unserer Konzernkunden betreiben ihre Systeme hinter einer Firewall. Wenn Sie jetzt mit einem Smartphone auf so ein geschütztes System zugreifen möchten, müssen Sie erst einen Tunnel durch die Firewall aufmachen. Das macht man auf dem Handy mit einem sogenannten VPN-Client (Virtual Private Network). In der Regel kostet diese VPN-Lösung aber auch wieder Lizenzgebühren pro Nutzer, die ähnlich wie im Fall von MDM zu enormen Kosten führen können. Aber selbst wenn Sie zum Beispiel mit OpenVPN eine kostenfreie Open-Source-Lösung im Einsatz haben, macht die Nutzung keinen Spaß, denn immer dann, wenn Sie mobil auf das Intranet zugreifen wollen, müssen Sie erst das VPN aktivieren. 

Falls Sie in einer solchen Situation eine Push-Nachricht erhalten, können Sie sie nicht einfach anklicken. Erst müssen Sie den VPN-Tunnel öffnen. Das macht kein Mensch. 

Ich behaupte – ganz ohne Studien, aber mit voller Überzeugung: Im Hinblick auf die aktive Nutzung sind Systeme hinter VPN-Tunneln auf Smartphones tot.

Und ja, vielerorts werden Menschen einfach dazu gezwungen, Apps via VPN-Tunnel zu verwenden. Aber gerne macht das niemand. Und eine Nutzung findet unter diesen Umständen auch nur dann statt, wenn es gar nicht anders geht. Wenn ich wirklich muss, mache ich alles Mögliche. Aber mal so nebenbei über etwas informieren? Dafür aktiviere ich als Nutzer nicht extra VPN. 

Die MDM-Lösungen hatten eigentlich das Versprechen im Gepäck, diese Scherereien zu vermeiden und den VPN-Tunnel automatisch mit an Bord zu haben, sodass Nutzer die Intranet-Systeme problemlos über die mobile App aufrufen können. Im Großen und Ganzen klappt das auch. Im Detail sieht es dann aber schon wieder nicht so gut aus – zum Beispiel dann, wenn Nutzer versuchen, Anhänge und Dateien auf dem Smartphone mit den lokal installierten Anzeige-Apps zu öffnen. Dann hätte die Datei nämlich aus der Brandmauer des MDM herausgelöst werden müssen, und das war in vielen Fällen verboten.

Hmm, während ich das erzähle, weiß ich gar nicht, ob Sie all diese Einzelheiten verstehen müssen. Mit MDM-Systemen sind die Dinge jedenfalls unglaublich kompliziert und auch noch unglaublich teuer. Und obwohl wir Hunderte erfolgreiche Systeme im Einsatz haben, sind sie im Verbund mit MDM-Systemen in der mobilen Nutzung eher Krücken. Sie brauchen in jedem Fall sehr motivierte und kompetente MDM-Spezialisten. Einfach ist da gar nichts.

Zurück zu unserer Linchpin-Lösung. Die sollte wirklich einfach sein. Also haben wir einen Gateway-Server gebaut. Dieser Gateway-Server steht für Verbindungsaufrufe von Intranet-Systemen hinter der Firewall zur Verfügung. Mobile Apps auf Smartphones können sich mit dem Gateway-Server verbinden. Die Legitimation erfolgt einmalig über QR-Codes, die in der mobilen App gescannt werden. Und mittels einer Ende-zu-Ende-Verschlüsselung ist sichergestellt, dass keine Daten zwischen Intranet-Server und Smartphone abgefangen werden können.

Nutzen Sie entweder gleich ein öffentlich erreichbares Intranet oder verwenden Sie eine Lösung, die einen einfachen Zugriff vom Smartphone auf Ihren Intranet-Server zulässt. 

Bei Linchpin haben wir viel investiert, damit auch sichere Systeme über den Gateway-Server erreichbar werden. Falls Sie an MDM-Lösungen nicht vorbeikommen, sollte Ihr Intranet-Team sie in jedem Fall auf Herz und Nieren testen. Es kann funktionieren. In 80 Prozent der mir bekannten Fälle ist das Ergebnis allerdings ziemlich zweifelhaft und nichts, wofür Ihre Anwender Beifall spenden werden. Hier sollten Sie wirklich vorsichtig sein.