Lanline | 03 | 2019 Für den Endanwender gehen PC und Mobilgeräte seit Jahren Hand in Hand. Die IT versucht jedoch häufig noch immer, Client- und Mobile-Device-Management mit Insellösungen zu bewerkstelligen. UEM-Anwendungen (Unified-Endpoint-Management) schaffen Abhilfe in puncto IT-Services − vorausgesetzt, es gelingt eine durchgängige Prozessautomation. Dazu müssen neben Security-Features auch Management-Funktionen plattformübergreifend integriert sein.
In Deutschland nutzten 2018 bereits die Hälfte der Anwender beruflich einen Laptop und 75 Prozent ein Smartphone. Das Tablet sehen 50 Prozent der Entscheider als essenziell für den digitalen Arbeitsplatz an – so die Analysten von Crisp Research in einer Umfrage für Samsung. Auch die Forrester-Studie „Forresterr Wave Unified Endpoint Management, Q4 2018“ belegt eine starke Zunahme an Endgeräten pro Anwender: Laut den Analysten arbeitet heute jeder fünfte „Information Worker“ wöchentlich mit mindestens drei mobilen Geräten. Doch die wahren Treiber für das UEM waren 2018 laut Gartner und Forrester Apples macOS, Googles Chrome OS und Microsofts Windows 10 – Plattformen, die sich dank MDM-Bibliotheken (Mobile-Device-Management) gut per UEM-Tool verwalten lassen. Sie legen die technische Basis, um alle Endprodukte samt Anwendungen und Betriebssystemen über eine gemeinsame Oberfläche zu verwalten. UEM-Werkzeuge werden damit zur zentralen Informations- und Entscheidungsplattform.
IT-Services und IT-Sicherheit im Doppelpack
Eine UEM-Lösung sollte es ermöglichen, die hohen Ansprüche der Endanwender zu erfüllen. Denn letztere erwarten alle IT-Services zeitnah, anwenderfreundlich und mit hoher Performance – unabhängig vom Endgerät. Dazu gehören auch komfortabel Unternehmens-Self-Service-Portale, über die der Anwender Hard- und Software einfach bestellen kann. Durch hinterlegte Workflows mit klar definierten Regeln und Genehmigungsverfahren beschleunigt und sicher die IT hier den weiteren Ablauf. So kann beispielsweise über Sicherheits- und Konfigurationsrichtlinien festlegen, welche Anwendungen und Apps ein Mitarbeiter auf dem Endgerät nutzen darf – und kann diese Nutzung auch überprüfen. Weitere Sicherheitsmaßnahmen sind die Anwendungen von MDM-Profilen und einheitliche Richtlinien zur Verhinderung, Erkennung und Behebung von Sicherheitsrisiken für mobile Geräte und PCs.
Dashboards für den Durchblick
Über die Nutzung hinaus gilt es, im laufenden Betrieb alle Endgeräte kontinuierlich zu überwachen, um Schwachstellen und Schatten-IT zu identifizieren, die zur Gefahr für die Sicherheit werden könnten. Dies gelingt mit einer kontinuierlichen Inventarisierung aller Hard- und Software-Assets. Um jedes Endgerät zu erfassen, sind agentenlose wie auch agentenbasierte Methoden notwendig. Der nächste Schritt ist dann, die Inventarisierungsergebnisse mit einem Software-Erkennungskatalog und der Asset-Management-Datenbank abzugleichen. Entscheidend ist, die Differenzen zum autorisierten Soft- und Hardwarebestand sofort in einem Dashboards sichtbar zu machen. Schatten-IT, mobil oder stationär, lässt sich so identifizieren, prüfen und falls nötig umgehend entfernen. Das UEM-Dashboard muss dazu tagesaktuell Patch- und Releasestände sowie abgekündigte Versionen auflisten.
Für mehr IT-Services die Provisionierung automatisiert steuert
Im Idealfall erfolgt aus dem Dashboard heraus direkt die workflowbasierte Softwareverteilung von Updates und Pates – nicht nur für Microsoft-Produkte, sondern auch für PDF-Reader, Browser und weitere Software. Softwarepakete sollten vorab um unerwünschte Toolbars oder Adware bereinigt sein. Ein solches Managed-Service-Angebot, das bereits in die UEM-Lösung integriert ist, liefert in Zeiten von Ransomware & Co. einen wesentlichen Beitrag für die Endpunktsicherheit. Denn standardisierte Prozesse mit ausführlichen Tests vorab stellen sicher, dass die Software frei von Schadcode ist, dass sie auf allen Betriebssystemen läuft und dass bei der Installation alle Einstellungen der Nutzer erhalten bleiben.
Für die grafische, workflowbasierte Softwareverteilung benötigt die IT-Organisation Steuerungsmchanismen, die im Gegensatz zu fehleranfälligen Skripten eine hohe Service-Qualität sicherstellen. Integrierte UEM-Suiten greifen dabei auf Attribute und Informationen aus dem technischen und organisatoren Asset-Management ebenso zu wie auf das Active Directory mit dessen Organisationseinheiten oder Sicherheitsgruppen. Damit lässt sich eine standortunabhängige und rollenbasierte Softwareverteilung erzielen. Die Kommunikation zwischen zentralen und dezentralen Verteilungspunkten und Endgeräten erfolgt im Idealfall zertifikatsbasiert und in Echtzeit. Durch die Verwendung unterschiedlicher Protokolle und Deployment-Techniken lassen sich auch selten im Netzwerk angemeldete Geräte zuverlässig über das Internet mit sicherheitsrelevanten Updates und gemanagter Software versorgen.
Windows-10-Deployment
- Dokumentation für Lizenz-Audits bereitstellen
- Gerätenutzung ermitteln
- Einhaltung von Richtlinien zur Verwendung von Soft- und Hardware kontrollieren
- Trennung privater und beruflicher Daten aus Datenschutzgründen
Lizenz-Management integrieren und IT-Services automatisieren
Ein in den Deployment-Prozess integriertes Lizenzmanagement steuert und prüft bereits zum Zeitpunkt der Beauftragung oder bei der Softwareverteilung die Verfügbarkeit von Lizenzen der jeweiligen Applikationen. Gegen Überlizenzierung hilft Application Metering. Denn um die wirtschaftlichste Lizenzierungsform zu ermitteln, sind Analysen zum Nutzerverhalten erforderlich. Application Metering misst die tatsächliche Nutzung von Software und identifiziert nicht verwendete Software. Auf dieser Basis kann die IT den Lizenzbedarf genau bestimmen und so die Lizenzkosten senken. Auch für die Cloud-Anwendungen wie Office 365 ist im UEM gesorgt. Zwar geben die Hersteller über ein Portal Einblick in die geleasten Produkte, Nutzerrechte und gekauften Lizenzen. Um eine Übersicht für alle Lizenzen eines Unternehmens zu erlangen, ist dies jedoch unhandlich und bedeutet für das laufende Lizenzmanagement spürbaren Mehraufwand. Dies verhindert ein UEM-Tool, das laufend Daten aus dem Office-365-Portal ausliest und in ein ganzheitliches Lizenzmanagement integriert.
Lebenszyklus eines Assets integrieren in einem End-of-Life-Prozess
Der Lebenszyklus jeder Hardware endet mit deren Ausmusterung oder Verschrottung. Hier braucht die IT-Abteilung einen integrierten Ausmusterungs- oder End-of-Life-Prozess. Dazu gehört, personenbezoge und sensible Unternehmsdaten von Datenträgern so zuverlässig zu löschen, dass eine Wiederherstellung unmöglich ist. Gemäß BSI-Empehlung sollte ein Tool dazu die Festplatten bis zu sieben Mal überschreiben. Anschließend lassen sich die Altsysteme gefahrlos entsorgen. Ist auch noch der Helpdesk in das UEM integriert, wirkt sich dies in zwei Richtungen positiv aus. Zum einen wird das IT-Backend spürbar entlastet, zum anderen steigt die Qualität der IT-Services. Dazu sollten Softwareverteilung, Automatisierungsprozesse und Administratoren-Tools wie Fernwartung aus dem Ticket heraus möglich sein. Auch sollte der IT-Support über direkten Zugriff auf alle relevanten Asset- und Anwenderinformationen für jeden Endpunkt verfügen. So kann der Helpdesk-Mitarbeiter aus derselben Ticket-Maske heraus Software- und Patch-Installationen anstoßen. Für fehlgeschlagene Installationen sollte die Software automatisch ein Ticket generieren. Dies geht nur, wenn die UEM-Lösung folgende Punkte abbildet:
- das gesamte technische Inventar
- sämtliche organisatorische und nutzerbezogene Informationen
- alle relevanten Patches und Softwarepakete
Die Analysen von Gartner weisen zu Recht darauf hin, dass manche UEM-Tools wesentliche Aufgaben der klasssichen Windows-Verwaltung nicht abdecken – sie bieten also kein vollumfängliches UEM. Typische Schwachstellen liegen hier beim Patchmanagement, der Softwarepaketierung oder im Lizenzmanegement. Ein echtes UEM gelingt jedoch nur, wenn alle relevanten Disziplinen des IT-Servcie-Managements integriert sind.
Autor: Benedikt Gasch, CTO, DeskCenter Solutions