Android for Work bzw. Android für Unternehmen

App Management mit Android: Das sollten Sie wissen

| Autor / Redakteur: Armin Lungwitz / Andreas Donner

Über den Google Play Store können sowohl Standard Apps als auch Eigenentwicklungen auf die Geräte verteilt werden.
Über den Google Play Store können sowohl Standard Apps als auch Eigenentwicklungen auf die Geräte verteilt werden. (Bild: Cortado)

Bisher galten iPhones, iPads und Apples iOS als wesentlich geeigneter für geschäftliche Einsätze als Android-Devices mit dem gleichnamigen Google-Betriebssystem. Samsungs Knox-Technologie öffnete dann aber auch der Android-Welt die Türe ins Unternehmen und mit Android for Work bzw. Android für Unternehmen soll nun der Turnaround gelingen.

Als Hersteller der Enterprise Mobility Lösung Cortado Server http://www.cortado.com/ werden immer wieder Fragen zum Einsatz von Android-Geräten im Businesskontext an uns herangetragen. An erster Stelle stehen dabei Fragen zur Sicherheit des mobilen Betriebssystems. Schließlich soll die Sicherheit der sensiblen Daten sichergestellt sein.

Immer wichtiger in diesem Zusammenhang ist aber auch die Möglichkeit, produktiv mit den Mobilgeräten zu arbeiten. Damit einher geht die Frage nach den Möglichkeiten der App-Verteilung auf die Geräte. Im Folgenden werden wir beide Fragen behandeln und IT-Mitarbeitern das Rüstzeug an die Hand geben, Standard-Apps, aber auch Eigenentwicklungen auf Android-Geräte zu verteilen.

Sind Android-Geräte sicher und damit unternehmenstauglich?

Android-Geräte in die Unternehmens-IT zu integrieren, war noch vor einiger Zeit eine große Herausforderung für die Administration. Eine einfache Übertragung von bestehenden Sicherheitsrichtlinien war nur schwer möglich. Die Vielzahl an unterschiedlichen Android-Geräten und Herstellern machte eine einheitliche Verwaltung der Geräte zur Glückssache.

Google hat die Unternehmens-IT als Absatzmarkt aber erkannt und drängt mit einem „Android für Unternehmen“ betitelten Konzept in diesen Markt. Als integraler Bestandteil des Google-Betriebssystems sind die dafür notwendigen Vorkehrungen auf vielen Geräten mit Android ab Version 5.0 vorhanden. Eine Liste mit den kompatiblen Geräten findet sich im Internet.

Mit Android für Unternehmen lassen sich Android-Geräte endlich einfach und sicher in die Unternehmens-IT einbinden und verwalten. Einigen Lesern mag das Konzept als Android for Work bekannt sein. Die strategische Umbenennung des Programms in Android durch Google soll die technische Verbundenheit und Implementierung ins Betriebssystem nun auch namentlich offensichtlich machen. Für die Praxis bedeutet dies, dass Google mit seinem Programm nun in wesentlichen Punkten mit Apples Enterprise-Ansätzen gleichzieht. So bieten nun beide Betriebssysteme die Grundlage, den Unternehmensanforderungen hinsichtlich Datenschutz und Sicherheit gerecht zu werden.

Datensicherheit steht bei Android an erster Stelle und Google unterstreicht diesen Ansatz durch eine Vielzahl von implementierten Funktionen. Die vielleicht wichtigsten sind die Trennung von geschäftlichen und privaten Daten, die Verschlüsselung von Daten auf dem Gerät, die zentrale Verteilung von Gerätekonfigurationen (wie WLAN- und E-Mail-Profile) und das Umsetzen von Richtlinien (Policies) auf den mobilen Geräten. Die Besonderheit besteht darin, dass die Umsetzung der Konfigurationen direkt durch das Google Betriebssystem erfolgt. Die Verwendung von proprietären Komponenten entfällt völlig. Somit ist eine breitere und zuverlässigere Abdeckung auf unterschiedlichen Geräten von verschiedenen Herstellern gewährleistet.

Android für Unternehmen basiert auf wesentlichen Konzepten des Samsung Knox 1-Ansatzes. Zwar hat Samsung mittlerweile auch Samsung Knox 2 auf den Markt gebracht, doch anders als die sicherlich hochwertige Samsung-Entwicklung ist Android für Unternehmen kostenlos, nicht auf Geräte eines Herstellers beschränkt und updatesicherer. Die Trennung von beruflicher und privater Ebene erfolgt bei Android nicht nur visuell, sondern geht sehr tief in das OSI-Schichtenmodell hinein. Insofern bietet Android im Geschäftseinsatz alle Möglichkeiten, um auch Android-Geräte sicher in die Unternehmens-IT zu integrieren.

Wie funktioniert App Management bei Android?

Eine Entscheidung, die für den Einsatz von Mobilgeräten im Unternehmenskontext spricht, ist der Wunsch nach erhöhter mobiler Produktivität. Die Verwendung von Applikationen ist ein wichtiger Baustein für den Weg hin zu einem produktiven und agilen Unternehmen. Für beinahe jede Tätigkeit gibt es eine native Applikation im jeweiligen App Store. Gerade in einem BYOD-Szenario macht es für das Unternehmen keinen Sinn, dem Mitarbeiter seine privaten Lieblings-Apps zu verbieten. Ein gut implementiertes MDM überlässt dem Mitarbeiter die volle Kontrolle über den privaten Bereich, schirmt diesen allerdings vom Unternehmensbereich so ab, dass keine sensiblen Daten ausgetauscht werden können. Android bietet diese Möglichkeit.

Doch wie stellt man nun die Apps, die beruflich genutzt werden sollen, im Work-Bereich des Gerätes zur Verfügung? Die Apps aus dem „normalen“ App Store lassen sich nicht im Business-Bereich installieren. Und das ist gut so. Business Apps, so Googles Idee, müssen kuratiert (curated) werden. Darunter ist eine Form des aktiven Whitelistings zu verstehen. Grundsätzlich sind keinerlei Applikationen aus dem Play Store im Businessbereich verfügbar. Geeignete Applikationen können zum Beispiel beim Cortado Server direkt durch den Administrator aus der Management-Konsole für den Business-Bereich freigegeben werden. Bei anderen MDM-Lösungen kann diese Freigabe alternativ auf play.google.com/work notwendig sein.

Nach der Auswahl der gewünschten Apps, wie z.B. Excel oder Word, und einem Klick auf „Genehmigen“ sind die selektierten Apps im Bereich „Meine Unternehmensapps“ zu finden. Die Apps können dann mithilfe eines geeigneten Mobile Device Management Systems (MDM) auf die Geräte gepusht werden, oder man überlässt dem Nutzer selbst die Entscheidung, welche Applikationen aus dem Business-Appstore er installieren möchte. Mittels so genannter App-Permissions lässt sich die Verhaltensweise der Applikationen noch einmal spezieller an Unternehmensbedürfnisse anpassen. Der Detailgrad der Einstellungen wird dabei vom App-Entwickler festgelegt und kann so unterschiedlich umfangreich ausfallen. Ein gutes MDM-System sollte aber das zentrale Setzen der einzelnen Einstellungen ermöglichen.

Auch wenn der Play Store in den letzten Jahren wegen Sicherheitsproblemen in die Kritik gekommen ist, hat Google eben an dieser Sicherheitsschraube stark gedreht. Wirklichen Schadcode gibt es im offiziellen Google Play Store kaum noch. Durch das aktive Whitelisting von Applikationen für den Arbeitseinsatz, durch die strikte Trennung von privaten und geschäftlichen Daten und durch das Verbieten der Installation von Applikationen aus unsicheren Drittanbieterquellen im Arbeitsprofil kann durch die IT sichergestellt werden, dass kein unerlaubter Code die Unternehmensdaten kompromittiert. Auf Betriebssystemebene sind in den letzten Android-Versionen ebenfalls umfangreiche Änderungen vorgenommen worden. So können Geräte ihren Zustand selbständig überwachen. Unerlaubte Veränderungen, wie sie beispielsweise beim Rooting vorkommen, oder die unerlaubte Erweiterung von Befugnissen einzelner Prozesse können so erkannt werden. Über das MDM können damit die sensiblen Daten vor unerlaubten Zugriffen geschützt werden – im schlimmsten Fall durch das Entfernen der Unternehmensdaten vom Gerät.

Die Verteilung von eigenentwickelten Apps

Viele Unternehmen machen sich die Zugänglichkeit des Android-Betriebssystems zunutze und entwickeln selbst Applikationen, um die unterschiedlichsten speziellen Szenarien abzudecken. Doch wie können diese Applikationen, die häufig nicht im offiziellen Play Store zu finden sind, in den Arbeitsbereich gelangen?

Viele Unternehmen versenden ihre Applikationen als Paket per E-Mail und erlauben dem Nutzer die Installation auf dem Gerät. Von dieser Möglichkeit möchten wir explizit abraten. Einerseits muss dafür die Einstellung aktiviert werden, Applikationen aus unsicheren Quellen installieren zu dürfen. Die Sicherheit, die der Google Play Store bietet, entfällt damit vollständig. Andererseits bietet diese Art des Ausrollens einer Applikation keine zentrale Verwaltbarkeit. Und im schlimmsten Fall müsste die Prozedur für jedes Update der Eigenentwicklung erneut vollzogen werden.

Deutlich sinnvoller ist es, auch bei privaten Applikationen auf die Vorteile und die Bequemlichkeit des Google Play Stores zu setzen. Der Weg dafür nennt sich Google Hosted Private Apps.

Die Voraussetzung für die Nutzung dieser Funktion ist, dass das eigene Unternehmen bei Google registriert wird. Für das Ausrollen von Geräten mittels Android für Unternehmen ist dieser Schritt aber ohnehin notwendig und stellt somit keinen Mehraufwand dar. Der früher notwendige Domain-Claim kann mittlerweile einfacher durch das Hinterlegen eines Admin-Accounts durchgeführt werden. Der damit einhergehende Super Admin kann Rollen, Nutzer und Gruppen für das gesamte Unternehmen verwalten. Darüber hinaus kann er einen so genannten Private Channel erstellen, in dem die Apps landen, die nur den Domainnutzern zur Verfügung gestellt werden sollen.

Als nächstes ist ein Google Developer Account notwendig. Für gewöhnlich hat der Entwickler, der die Auftragsarbeit abgeliefert hat, solch einen Account bereits. Nachdem der Account zum Unternehmen hinzugefügt wurde, werden darauf die entsprechenden selbstentwickelten Applikationen zur Verfügung stellt. Die Daten werden dabei in den Google Play Store geladen. Der Entwickler kann nun festlegen, ob die Applikation öffentlich zur Verfügung gestellt werden soll oder nur den Nutzern des verknüpften Unternehmens vorbehalten bleibt.

Das folgende, aufwändige Prozedere ist notwendig, um eine App in den öffentlichen Play Store zu laden. Insbesondere zu beachten sind hier die Mitteilung der Altersgrenze sowie die Preisgestaltung.

  • Sicherstellung der Qualitätsansprüche für Android Apps und die gewünschte Plattform (Tablets / Phones)
  • Festlegung Altersbegrenzung für die Zielgruppe der App
  • Bestimmung der Zielländer für die App Distribution
  • Einhaltung der maximalen APK-Grüße (100 MB)
  • Beschränkung auf die kompatiblen Android-Versionen und die unterstützten Bildschirmauflösungen
  • Festlegung ob die App kostenlos bzw. –pflichtig sein soll
  • Benutzung von In-App-Käufen
  • Implementierung der Lokalisierung
  • Implementierung von Screenshots, Videos, Graphiken
  • Im Anschluss der Upload der APK
  • Beta-Release der App
  • Letzte Konfiguration und Release der App

All diese Schritte entfallen, wenn der Entwickler die Applikation nur in einem dem Unternehmen vorbehaltenen Bereich des Google Play Stores veröffentlicht. Dabei liegt die App ebenfalls zentral auf den Google Play Servern, ist allerdings im öffentlichen Play Store nicht zugänglich. Dies ist die ideale Lösung für Applikationen mit sensiblen Daten oder für Applikationen, die nicht öffentlich zugänglich sein sollen.

Das Prozedere bei der internen Veröffentlichung ähnelt der Veröffentlichung von selbstentwickelten Apps, die auch extern zugänglich sind:

Man fügt unter Google Play Developer Console eine neue Applikation hinzu und ergänzt diese um Sprache und Titel. Anschließend legt man unter Pricing und Distribution die Restriktion fest, dass diese auch nur innerhalb des eigenen Unternehmens nutzbar ist. Dann rollt man das Release aus.

Sobald die Veröffentlichung seitens Google erfolgt ist, was mitunter einige Stunden dauert, kann man die App(s) via MDM-Anbieter an die Geräte der Nutzer verteilen.

Der Vorteil für Unternehmen liegt klar auf der Hand. Anstatt Applikationen dezentral zu pflegen und bei jeder Änderung ein kompliziertes Update durchzuführen, kann man sich die Rechenkraft und die Verfügbarkeit des Play Stores zunutze machen. Der Entwickler muss lediglich die neue Version der Applikation für das Unternehmen zur Verfügung stellen. Der Update-Prozess läuft dann auf dem gewohnten Weg über den Play Store. Darüber hinaus werden Applikationen im Play Store auf Schadcode und Sicherheit überprüft. Dieser Weg ist also die bessere Alternative zur Installation einer App aus unsicheren Drittanbieter-Stores. Für den Nutzer zählt indes nur Folgendes: er kann produktiv auf seinem Arbeitsgerät tätig sein – mit dem guten Gewissen, die Sicherheitsrichtlinien des Unternehmens nicht zu verletzen.

Über den Autor

Armin Lungwitz ist CIO der Cortado Mobile Solutions GmbH.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44697567 / Mobility)