„Bring Your Own Device“ – Chancen und Risiken moderner BYOD-Konzepte!

231

Terminalserver und Virtualisierung vereinfachen BYOD

Unternehmen, die ein so modernes und gleichzeitig komplexes IT-Konzept wie BYOD in die Tat umsetzen wollen, sollten über eine ebenso moderne Infrastruktur verfügen. In klassischen Client-Server-Netzwerken, die grundsätzlich schon einen recht hohen Administrationsaufwand erfordern, würde BYOD die Komplexität noch einmal stark erhöhen. Ideale Voraussetzungen hingegen bieten zentral administrierbare EDV-Infrastrukturen wie etwa Terminalserver-Netzwerke oder virtualisierte Umgebungen. In beiden Fällen bleiben unternehmenseigene Daten und Anwendungen physikalisch stets innerhalb des Unternehmensnetzwerkes. Die beruflich und privat genutzten Endgeräte dienen lediglich als Anzeige-Terminals für Bildschirminhalte.

Die Remote Desktop Services von Windows bieten schon eine ganze Reihe an Funktionen zur Veröffentlichung von Anwendungen. Dennoch reichen die Sicherheitsmechanismen und der Komfort der Gruppenrichtlinien nur für „einfache“ BYOD-Endgeräte wie Smartphones oder Tablet PCs aus. Für komplexe Clients wie Notebooks oder Desktop-PCs mit vollwertigem Betriebssystem sollten Organisationen über die Anschaffung einer Erweiterung der Remote Desktop Services nachdenken. Damit stehen dem Administrator zusätzliche Funktionen unter einer komfortablen Oberfläche zur Verfügung, die das Veröffentlichen von Anwendungen, die Vergabe von Rechten und die Kontrolle über lokale Laufwerke erheblich vereinfachen.

Terminalserver-Netzwerk: Einbindung der BYOD-Geräte

Bei der Einbindung der BYOD-Geräte in ein Terminalserver-Netzwerk führen verschiedene Wege zum Ziel. Wird den Nutzern etwa der Zugang zu benötigen Anwendungen und Daten über ein Web-Interface zur Verfügung gestellt, ist nicht einmal die Installation irgendwelcher Software-Programme auf dem BYOD-Gerät erforderlich. Hinzu kommt, dass ein Web-Interface plattformunabhängig agiert und somit die Einbindung jeglicher Endgeräte ermöglicht – egal, ob Smartphone, Tablet-PC, Notebook oder Desktop-PC, ob Windows, Mac OS oder Linux.

Mehr Komfort bietet allerdings die Installation eines lokalen Clients. Hiermit lassen sich benötigte Anwendungen dynamisch in den Desktop des BYOD-Endgeräts integrieren, sie sind wie gewohnt bequem aus dem Startmenü heraus und über Desktop-Verknüpfungen ausführbar. Selbst ein Doppelklick auf eine Datei öffnet automatisch die korrespondierende Anwendung – ganz wie bei einem lokalen System. Für den Mitarbeiter ist so auch eine klare Trennung zwischen Beruf und Freizeit erreichbar – technisch wie zeitlich. Denn erst wenn der Mitarbeiter seinen Arbeitstag beginnt, startet er den Client und erhält damit Zugriff auf berufliche Anwendungen und Daten. Nach seiner Arbeit, etwa zum Feierabend, beendet er den Client wieder. Dann befinden sich auf dem BYOD-Endgerät ausschließlich seine privaten Programme und Dateien – sofern er das wünscht. In diesem Fall hat er weder Zugriff auf Unternehmensdaten noch kann er seine beruflichen E-Mails abrufen oder Termine planen. Ist das Endgerät über den Client mit dem Unternehmensnetzwerk verbunden, besteht dennoch kein Risiko des Datenverlustes oder der -manipulation, da alle Programme und Daten ausschließlich auf zentralen Server gesichert sind und auch nur dort ausgeführt werden. Damit wird der Datensicherheit ebenso wie dem Datenschutz Rechnung getragen.

Die VDI-Technologie (Virtual Desktop Infrastructure) bringt wie die Terminalserver-Technik beste Voraussetzungen für die konsequente Umsetzung des BYOD-Ansatzes mit. Im Gegensatz zu den Remote Desktop Services werden jedoch nicht nur Anwendungen und Daten auf dem Endgerät bereitgestellt. Kernpunkt von VDI ist die Übertragung vollständiger, virtueller Desktops an die Clients. Dazu zählen alle erforderlichen Anwendungen sowie das gesamte Windows-Betriebssystem inklusive aller persönlichen Einstellungen. Die Mitarbeiter arbeiten dann stets in dieser virtuellen Umgebung, was etwaige Sicherheitsrisiken weitgehend ausräumt.

Für die Nutzung seiner privaten Anwendungen hat der User bei VDI zwei Möglichkeiten: Entweder er schaltet zeitweise vom virtuellen auf den lokalen Desktop um oder der Arbeitgeber erlaubt die Installation privater Software auf dem virtuellen Desktop. Diese Vorgehensweise ist zwar die komfortablere, birgt aber zusätzliches Gefahrenpotenzial. Diese geht einerseits von der privaten Software aus. Wobei der Arbeitgeber prüfen sollte, welche Programme der Arbeitnehmer installieren möchte. Andererseits müssen auch lizenzrechtliche Aspekte geklärt werden. Denn für eine zusätzliche Installation eines Programms benötigt der BYOD-Nutzer oftmals auch eine weitere Lizenz.

Aufgrund der recht hohen Komplexität von VDI-Umgebungen und der erforderlichen leistungsfähigen Hardware ist der Kostenaufwand pro Endgerät bei VDI jedoch deutlich höher als in einer vergleichbaren Terminalserver-Infrastruktur. Für jedes Endgerät, das Zugriff auf eine VDI-Umgebung erhalten soll, muss eine Virtual-Desktop-Access-Lizenz (VDA) angeschafft werden oder eine gültige Microsoft Software Assurance (SA) bestehen, die zusätzliche Kosten verursacht. Hinzu kommt, dass das Microsoft VDA-Lizenzierungsmodell das BYOD-Konzept bis dato nicht eindeutig abbildet. So ist eine VDA-Lizenz bzw. eine bestehende Software-Assurance zwar auf bis zu vier private Geräte (z.B. Tablets) übertragbar, dies gilt jedoch nur solange, wie diese privaten Geräte außerhalb der Firma eingesetzt werden. Sobald der Arbeitnehmer, diese Gerät als VDI-Client im Büro nutzen möchte, muss eine zusätzliche VDA-Lizenz beschafft werden. Nutzt er stattdessen das Tablet ausschließlich zuhause oder unterwegs, darf er ohne weitere Lizenzierung auf virtuelle Desktops zugreifen.

BYOD-Speziallösungen

Immer mehr Software-Firmen bieten mittlerweile spezielle BYOD-Lösungen oder Programme für das Mobile Device Management an. Diese sind jedoch überwiegend auf Tablets und Smartphones ausgelegt. Hierbei erfolgt eine Trennung zwischen beruflichen und privaten Anwendungen und Daten, etwa über eine Verschlüsselung auf dem Endgerät, die von zentraler Stelle aus vorgenommen wird. Die Nachteile einer BYOD-Speziallösung sind zusätzliche Kosten und eine weitere Software, die administriert werden muss. Modernere Lösungen erlauben mittlerweile ein umfassendes Handling von BYOD-Geräten, einschließlich vollwertiger PCs und Notebooks. Zu den wichtigsten Funktionen zählen das automatisierte Einbinden der Geräte in die Management-Oberfläche, die Anwendungs- und Datenbereitstellung sowie das Anpassen der Sicherheitseinstellungen anhand des Benutzers und des Endgerätetyps.

Kommentiere den Artikel

Bitte gib deinen Kommentar ein!
Bitte gib hier deinen Namen ein