Unified Endpoint Management

Zeit sparen für das Wesentliche

Eine ständig wachsende Unternehmens-IT mit unterschiedlichen Gerätegattungen, individuelle Nutzerprofile mit dazugehörigen Lizenzen sowie zu beachtende Sicherheitsrichtlinien: Admins müssen täglich viel im Blick haben. Gut, wer die Unterstützung von Unified Endpoint Management (UEM) hat, um sich frühzeitig den Fehlerquellen im Firmennetz und -system widmen zu können.

  • Ein nachdenklicher Mann zwischen verschiedenen Uhren

    Mit UEM-Lösungen bleibt Netzwerk-Administratoren mehr Zeit für die wichtigen Dinge.

  • Frank Ziarno, Director Product Management  bei Teamviewer

    Frank Ziarno, Director Product Management bei Teamviewer: „Sichtbarkeit aller Assets steht am Anfang der meisten Sicherheitskonzepte, und gerade in Bezug auf Sichtbarmachung aller Endpunkte im Unternehmensnetzwerk kann UEM viel leisten.“ ((Bildquelle: Teamviewer))

  • Armin Leinfelder, Director Product Management  bei der Baramundi Software GmbH

    Armin Leinfelder, Director Product Management bei der Baramundi Software GmbH, weist darauf hin, dass UEM die Basis für jede Sicherheitslösung ist. Nur wer einen Überblick über alle im Netzwerk befindlichen Geräte habe, könne diese auch effektiv schützen. ((Bildquelle: Baramundi Software GmbH))

  • Christoph Krell, Regional Sales Director DACH bei Cisco Meraki

    Christoph Krell, Regional Sales Director DACH bei Cisco Meraki: „Durch die enge Verzahnung der einzelnen Dienste lassen sich geräte- und nutzerübergreifende Sicherheitsrichtlinien abbilden und in einer zentralen UEM-Oberfläche verwalten.” ((Bildquelle: Cisco Meraki))

Die Vielfalt von Produkten und Komponenten heterogener Netzwerke und Endgeräte zu managen, stellt Administratoren vieler mittelständischer Unternehmen heute vor eine große Herausforderung. Neben den klassischen Clients, Mobile Devices und Servern müssen sogar schon Smartwatches und Datenbrillen in die IT-Architektur eingebunden, verwaltet und überwacht werden. Ohne die entsprechende Software-Unterstützung, die durch Automatismen Abläufe effizienter gestaltet und die durch Monitoring schnell auf Störungen und geänderte Anforderungen reagiert, wäre das nicht möglich.

Dies ist ein Artikel aus unserer Print-Ausgabe 9/2019. Bestellen Sie ein kostenfreies Probe-Abo.

Während viele Mittelständler noch Legacy-Plattformen wie Windows Mobile nutzen, ist cloud-basiertes Unified Endpoint Management zu einem alternativen Werkzeug für Administratoren geworden. Generell ermöglicht eine UEM-Lösung nicht nur, Schwachstellen zu überprüfen und diese zu schließen. Sie erleichtert auch das Lifecycle-Management, also alle im Betrieb befindlichen Endgeräte hinsichtlich ihrer Funktionalität oder einer erforderlichen Wartung im Blick zu haben.

UEM erfindet sich neu

Gründe genug für Experten wie Armin Leinfelder, Director Product Management bei Baramundi, sich mit der Definition von UEM neu auseinanderzusetzen: „Die klassische IT-zentrierte Sicht wird im Zuge von Industrie 4.0 immer mehr auf Produktionsebene erweitert, sodass der Begriff zukünftig auch das Management von allen über das Netzwerk zugänglichen und steuerbaren Endgeräten beinhaltet.“ Christoph Krell, Regional Sales Director bei Cisco Meraki, kann das nur unterstreichen: „Zusätzliche Funktionen für Applikations-, Nutzer- und Content-Management sowie Malware-Schutz, Network Analytics und Switching kommen hinzu – auch übergreifend über alle aktuellen Betriebssysteme für Server, Desktops und mobile Geräte sowie Smart Cameras für Indoor- und Outdoor-Bereiche.“ Sein Unternehmen versteht unter UEM daher weit mehr als das reine Mobile Device Management (MDM).

Um noch konkreter zu werden, bringt Frank Ziarno, Director Product Management bei Teamviewer, ein Beispiel aus der Praxis: „Mir fällt hier ein mittelständischer Betrieb aus dem Osten Deutschlands ein, der den Umstieg hin zum Unified Endpoint Management gerade vollzieht.“ Einige Hundert Endpunkte heterogener Natur, wie verschiedene Geräteklassen und Betriebssysteme sowie Netzwerkgeräte, würden dort bereits zentral verwaltet und geschützt, so Ziarno. Für den Kunden sei vor allem wichtig, Hard- und Software-Inventarisierung, Monitoring sowie Endpoint Protection in einer Plattform zu vereinen und zu automatisieren. Da der Mittelständler mehrere Standorte unterhält, sei im konkreten Fall auch die Möglichkeit des Fernzugriffs auf jedes der vorhandenen Betriebssysteme besonders wichtig gewesen.

Große Spielwiese sich ändernder Anforderungen

Die Anforderungen aus der Praxis beschreiben, was in der Theorie längst als Grundsatz feststeht. Damit eine Systemmanagement-Lösung einen Administrator unterstützen kann, muss sie gewisse Voraussetzungen erfüllen. So sollte sie über Funktionen verfügen, die das Hinzufügen, Verändern und Löschen von Benutzer- und Gruppenkonten ermöglichen. Im Sinne des Policy-Management sollte sie Zugriffsrechte vergeben können, sodass sowohl Zugriffe aus dem und in das lokale Netz als auch auf das bzw. vom Internet machbar sind. Darüber hinaus müssen Software-Komponenten problemlos angepasst und aktualisiert werden können.

Systemkonfigurations- und Applikationsdaten müssen erfassbar, veränderbar und zu verwalten sein. Das Managen von Software-Lizenzen ist wünschenswert und die Überwachung von Systemkomponenten und externen Komponenten, wie der eines Routers des Internet-Service-Providers, hat sich als sinnvoll herausgestellt.

Gerade in Branchen wie denen der Logistik, dem autonomen Fahren und der produzierenden Industrie sind die Anforderungen komplex. So haben z.B. in der Elektrotechnik oder im Maschinen- und Anlagenbau das Internet der Dinge (Internet of Things, IoT) und Industrie 4.0 längst Einzug gehalten. Eine Vielzahl an IoT-Geräten sorgt dort für einen exponential gestiegenen Traffic. Es gibt IoT-Netze, die aus Tausenden bis Millionen von Endgeräten bestehen.

Sicherheitsrichtlinien lassen sich abbilden und verwalten
Christoph Krell, Regional Sales Director DACH bei Cisco Meraki, über die Sicherheit von UEM und dessen Möglichkeiten

ITM: Herr Krell, wie lässt sich UEM in eine komplette Sicherheitslösung integrieren?
Christoph Krell: Durch die Implementierung von Zertifikaten für den Netzwerkzugriff über WLAN oder VPN können wir dank UEM einfach in die Netzwerkinfrastruktur integrieren und sicherstellen, dass nur Geräte auf Unternehmensnetze zugreifen können, die von der UEM-Lösung autorisiert wurden. Zusätzlich können Sicherheitsrichtlinien auf dem Gerät dauerhaft durchgesetzt werden: Geräte ohne aktuellen Software-Stand oder mit sogenanntem Jailbreak können eingeschränkt, blockiert oder komplett gelöscht werden.

ITM: Wie wirken sich IoT-Technologien auf UEM aus?
Krell: Durch die enge Verzahnung der einzelnen Dienste lassen sich geräte- und nutzerübergreifende Sicherheitsrichtlinien abbilden und in einer zen-tralen UEM-Oberfläche verwalten. So können alle Geräte, die einem Nutzer zugeordnet sind, mit den gleichen Rechten im Netz ausgestattet werden, egal ob über LTE, WLAN, LAN oder VPN.

ITM: Wann lohnt sich das Outsourcing eines Admins?
Krell: Durch den Public-Cloud-Ansatz können Nutzerrechte im UEM frei vergeben werden. Für komplexe Prozesse oder die erstmalige Einrichtung kann so z.B. ein externer Dienstleister mit Admin-Rechten temporär ausgestattet werden, ohne dass extra ein VPN-Zugang benötigt wird. Das Outsourcen solcher Dienstleistungen ist immer dann relevant, wenn das Know-how für einen Rollout intern nicht vorhanden ist.

Wenn die eigene Lösung nicht mehr ausreicht

Da hilft es Administratoren nicht mehr, Software- und Hardware-Komponenten zu normieren, um die Übersicht wiederzugewinnen. Vor allem weil beim Konfigurieren Fehler gemacht werden können, die dann unter Umständen Hunderte Anwender treffen. Es stellt sich vielmehr die Frage nach einer geeigneten Management-Software. Für die einfache Anwendung kann der Admin dabei auf ein selbst programmiertes Set aus Skripten und zum Teil kostenfreien Open-Source-Tools zurückgreifen. Ein hoher Aufwand für Konfiguration und Betrieb hält jedoch viele Mittelständler von solchen Projekten ab.

Für kleinere und mittlere Systeme rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einem Systemmanagement bestehend aus einer Sammlung von einzelnen Tools. Es vermag, die drängendsten Problembereiche – wie das Software-Management, das Management der Rechnerkonfigurationen sowie das Überwachen der Systemkomponenten in den Netzen –
in den Griff zu bekommen.

Auch zusätzliche Software-Tools, wie die „Microsoft Management Console“ oder der „System Center Configuation Manager“ (SCCM) können dort eingesetzt werden. Das erstgenannte Tool bietet eine einheitliche zentrale Sicht auf alle Administrations-Tools. Das SCCM ermöglicht das Inventarisieren von Hard- und Software-Komponenten, das Installieren und Verteilen von Daten und Applikationen auf Netzrechnern sowie die Fernwartung und Unterstützung bei der Fernadministration von Rechnern über das Netz.

Chancen in der mobilen Arbeitswelt

Daniel Finkenzeller, Technical Architect bei der Appsphere AG, hat die Erfahrung gemacht, „dass viele Unternehmen meist dann mit einem UEM-System starten, wenn sie firmeneigene Mobilgeräte in die Verwaltung aufnehmen oder ‚Bring your own device‘-Strategien (BYOD) verfolgen möchten“. Zunächst stelle man sich die Frage, wie die eigenen Geräte verwaltet werden können, die nicht hundertprozentig kontrollierbar seien.

Es werde abgeglichen, wie den Mitarbeitern Services geboten werden können, ohne an Sicherheit einzubüßen. „Ein UEM ist häufig eine Möglichkeit, Geräte der Mitarbeiter mit dem Unternehmen zu verbinden, ohne dabei den Besitz des Devices an das Unternehmen abzugeben“, erklärt Finkenzeller. Will ein Mitarbeiter z.B. in seiner Freizeit geschäftliche E-Mails auf seinem privaten Handy lesen, bietet ein UEM unter bestimmten Bedingungen Sicherheit: Neben einer verschlüsselten Festplatte sind eine aktuelle Version des Mobilgerätebetriebssystems oder Firmenanmeldedaten sinnvoll. Sollte sich an dem Compliance-Status etwas ändern, reagiert das UEM darauf und unterbindet, dass der Benutzer seine E-Mails weiter empfangen, kopieren und senden darf.

Die richtigen Überlegungen anstellen

IT-Chefs haben die Qual der Wahl bei der Suche nach dem geeigneten Monitoring-Tool. Der Markt ist komplex und die unterschiedlichen Lösungen bieten ganz verschiedene Ansätze: Vom einfachen Freeware-Tool über leistungsfähige Spezialisten für Teilbereiche bis hin zu teuren Enterprise-Lösungen reicht das Angebot. Hier nicht den Überblick zu verlieren, ist allerdings nicht einfach.

Ganz klare Vorstellungen, wie sie Experten von dem Potential eines UEM haben, können deswegen bei der Entscheidungsfindung hilfreich sein. Für Sebastian Weber, Product Manager bei Aagon, schafft die steigende Nutzung von mobilen Endgeräten in Unternehmen völlig neue Einsatzmöglichkeiten: „IT-Administratoren werden sich bewusst, dass UEM die Geräteverwaltung signifikant leichter macht und Zeit spart.“ Er verweist dabei auf „das manuelle Updaten von mobilen Endgeräten, das in der Vergangenheit je nach Unternehmensgröße schon mal einen halben Arbeitstag dauern konnte“. Mit modernen Lösungen benötigten Admins heute nur noch wenige Minuten, so Weber.

Einsparpotential sieht Frank Ziarno zudem bei den Kosten: „Bisher werden die mobilen Geräte meist separat von den restlichen Assets verwaltet.“ Dieses Jonglieren mit mehreren Systemen und Oberflächen spare man sich künftig. Daniel Finkenzeller geht mit seiner Prognose sogar so weit: „Der stationäre Arbeitsplatz verschwindet, ebenso wie der Erwerb von Devices durch ein Unternehmen.“ Auf lange Sicht werde nur noch eine Summe pro Benutzer freigegeben und die Anforderungen an die Geräte vorgegeben – also so, wie es heute bereits bei den Firmenwagenregelungen üblich ist. Das Management erfolgt nur noch aus der Cloud, ganz gleich wo der Mitarbeiter sich gerade befindet.

Das richtige Monitoring-Tool finden

Welches Monitoring-Tool das richtige ist, lässt sich pauschal nicht beantworten. Schließlich muss es auf die jeweiligen Bedürfnisse des mittelständischen Unternehmens zugeschnitten sein, um ein fast fehlerloses Netzwerk gewährleisten zu können. Grundsätzlich sollte das Augenmerk bei der Auswahl jedoch immer zuerst auf Bedienbarkeit und Preis liegen. Zudem sind der Feature-Umfang und eine gut dokumentierte API wesentliche Kriterien.

Damit das Monitoring verbessert und die langfristige Zuverlässigkeit einer IT-Infrastruktur gesteigert werden kann, ist es zunächst notwendig, den Ist-Zustand zu ermitteln. Die Erstellung einer Wunschliste aller benötigten Funktionen ist dabei hilfreich. Infrage kommende Produkte können so eingegrenzt und überflüssige Tools ausgeschlossen werden. Das spart später Geld beim Produkt der Wahl.

Während das Datensammeln zur Kontrolle einzelner Geräte bei homogenen Umgebungen mit ähnlichen Server-Architekturen relativ einfach ist, stellt es bei heterogenen Strukturen eine große Herausforderung dar. Es gilt die Faustregel: Das gesamte Spektrum der sich aktuell im Datacenter befindlichen Hardware muss abgedeckt werden und für den Einsatz künftiger Geräte ausbaufähig sein.

Ein Vergleich meist kostengünstigerer Open-Source-Tools mit sogenannten proprietären Tools großer Hersteller kann sich lohnen. Denn die Programme werden unter etablierten Open-Source-Lizenzen zur Verfügung gestellt, Weiterentwicklungen und Änderungen am Produkt sind frei verfügbar und werden von einer Anwender- und Entwickler-Community vorangetrieben. Allerdings kann die Entwicklung dauern und eine Garantie für den Support gibt es nur gegen Bezahlung.

Monitoring- vs. IoT-Tool

Soll man nun auf spezielle IoT-Verwaltungs-Tools setzen, um für die Zukunft gerüstet zu sein? Oder sind auch klassische Monitoring-Lösungen sinnvoll? Eine Tendenz ist aus Fachkreisen zu vernehmen: Sobald ein Netz- und Systemmanagement-Tool das Sammeln der Daten von IoT-Geräten unterstützt, liefert es in der Regel auch die komplette Funktionalität, die für das Management derselben benötigt wird. Werkzeuge, die das Unternehmensnetzwerk überwachen, sollten das ebenso mit den darin befindlichen IoT-Geräten tun. Dafür müssen diese allerdings voll ins Netzwerk – also nicht nur in Teile – integriert sein.

Beim Management von IoT-Szenarien kommt es auf eine schnelle Fehlerhebung und auf Datenplausibilität an. So sollten nur die Sensoren Daten an IoT-Geräte übertragen, die dafür authentifiziert sind. Darüber hinaus ist es sinnvoll, darauf zu achten, dass die Datenmenge nicht zu groß ist, um Mitarbeiter bei der Auswertung nicht zu überfordern. Nicht zu vergessen: Es muss möglich sein, dass ermittelte Daten zielgruppengerecht verständlich und übersichtlich publiziert werden.

Monitoring und Patches

Mit der wachsenden Komplexität des Gerätezoos eines Unternehmens nimmt auch die Anzahl potentieller Fehlerquellen im Bereich der Systemkomponenten und Programme zu. Wem es nicht gelingt, diese Schwachstellen zu lokalisieren und zu eliminieren, der muss mit finanziellen Einbußen durch kurzfristige EDV-Ausfälle und mit einem erhöhten Sicherheitsrisiko rechnen. Sowohl das Monitoring von Systemen und ihrer Leistung als auch das Patch-Management mit einer rechtzeitigen Einbindung und Installation von Quellcodeveränderungen können da Abhilfe schaffen.Das Monitoring umfasst bei der Überwachung und Kontrolle der einzelnen Systemkomponenten neben der Hardware – wie Server, Festplatten, Drucker und Netzteile – auch die Software für die Kommunikation, Datenverarbeitung und Speicherung. In der Echtzeit-Monitoring-Variante können Fehler zeitnah genau lokalisiert werden. Standardwerte für die Prozesse dienen dabei dem Abgleich mit der laufenden IT-Infrastruktur. Sobald z.B. der Arbeitsspeicher zu stark ausgelastet, der Prozessor zu beansprucht oder auch mal die Verbindung zum Internet unterbrochen ist, greift der Monitoring-Alarm.

Ins Sicherheitskonzept einbinden

Das Patch-Management gewährleistet eine Nachrüstung der Treiber, Software und Betriebssysteme. Durch rechtzeitige und sachgemäße Veränderungen oder Ergänzungen des Quellcodes können bekannt gewordene Sicherheitslücken geschlossen werden.

Im Zuge der Digitalisierung ist der Zugriff der Mitarbeiter auf das interne Netzwerk, Geschäftsdaten sowie Anwendungen in der Cloud gängig. Während die Nutzung mal vom Desktopcomputer, Notebook, Tablet oder Smartphone, mal von einer App erfolgt, überwacht die Cloud die Systeme. Störungen können so im Sinne der „Predictive Maintenance“ im Vorfeld erkannt werden.

Armin Leinfelder weiß, dass „das große Potential, welches die vernetzte Produktion bietet, auch durch umsichtige Security-Maßnahmen geschützt werden muss“. UEM sei ein essentieller Bestandteil einer Defense-in-Depth-Strategie. Damit Unternehmen IoT risikofrei nutzen können, sollten sie auf eine nahtlose und sichere Einbindung ins eigene Netz achten.

Eine passende Sicherheitslösung wäre es für Daniel Finkenzeller, „wenn das UEM auf bestimmte Eigenschaften reagieren darf, hierfür den Zugriff einschränken oder ein System initiieren kann, das den Zugriff auf Daten steuert“. Werde ein Gerät nicht mehr als vertrauenswürdig eingestuft oder verließe ein Mitarbeiter das Unternehmen, werde allen Geräten der Zugriff auf Daten entzogen.

FC Augsburg setzt auf UEM
Wer glaubt, dass ein 1907 gegründeter Fußballverein wie der FC Augsburg (FCA) aufgrund seiner mehr als hundertjährigen Geschichte ein wenig „altbacken“ daherkommt, muss sich eines Besseren belehren lassen. Der Traditionsverein nutzt seit Anfang dieses Jahres zur Verwaltung seiner IT-Infrastruktur die Baramundi-Management-Suite.

Mit der modular aufgebauten, Unified-Endpoint-Management-Software (UEM) möchte die IT-Abteilung ein breites Spektrum an Aufgaben abdecken: von der Inventarisierung über die Betriebssysteminstallation und Software-Verteilung bis hin zur Aktualisierung von Drittanbieter-Software und zur Verteilung von Microsoft-Patches. Beispielsweise soll der Software-Anbieter für einen reibungslosen Ablauf der IT sorgen. Da der FCA jedoch eine enorme Anzahl an Endgeräten bei einer äußerst heterogenen Systemumgebung verwaltet, ist das sicherlich keine leichte Aufgabe.

Zunächst wurde gemeinsam mit der Geschäftsleitung des Vereins und dem Systemhaus Quentia eine Strategie zur Implementierung der Management-Suite in die bestehende IT-Landschaft ausgearbeitet. Zu beachten war dabei, dass aufgrund immer kürzer werdender Update-Zyklen und der Vielzahl an Software-Anwendungen die Aufgaben wie das Prüfen, Paketieren und Ausrollen der Updates sehr viel Zeit in Anspruch nehmen. Werden diese Prozesse nicht mit der notwendigen Schnelligkeit vollzogen, können kritische Sicherheitslücken die IT-Infrastruktur zu einem leichten Opfer für Angriffe machen.

Gut, dass bereits nach wenigen Stunden die neue Software einsatzbereit war. Mit einer automatisierten Inventarisierung konnte die Suite rasch einen Überblick über Soft- und Hardware erstellen. Nach der Inventarisierung aller PCs und Macs werden Patches nun ebenfalls automatisiert verteilt. Mithilfe der Endpoint-Management-Software kann die IT des Stadions jetzt weitgehend „remote“ verwaltet werden.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok