Im Test: Trend Micro Safe Mobile Workforce 1.5
Autor: Dr. Götz Güttich
Der Schutz von Unternehmensdaten auf mobilen Geräten spielt in Zeiten von BYOD und dem zunehmendem Einsatz von Smartphones und Tablets im Unternehmensumfeld eine immer wichtigere Rolle. Mobile Geräte können leicht verloren gehen oder gestohlen werden. In diesem Fall kommt es immer wieder vor, dass wichtige Informationen verschwinden oder in falsche Hände geraten. Deswegen müssen die IT-Verantwortlichen Lösungen implementieren, die Datenverluste vollkommen ausschließen. Safe Mobile Workforce von Trend Micro nimmt sich dieses Problems an und sorgt dafür, dass Unternehmensinformationen gar nicht erst auf die mobilen Geräte gelangen.
Mit Safe Mobile Workforce stellt Trend Micro eine Virtualisierungsinfrastruktur bereit, die eine vollwertige Android-Umgebung (gehärtetes Android 4.0.4) auf mobile Geräte unter Android, iOS und Windows RT/Phone streamt. Die Anwender rufen im laufenden Betrieb auf ihren Endgeräten eine App auf und loggen sich bei dem Safe Mobile Workforce-Server ein. Der Server steht dabei entweder bei einem Dienstleister oder befindet sich im Unternehmensnetz. Nach dem Login erscheint die Arbeitsfläche des virtuellen Android-Betriebssystems auf dem Bildschirm und die Benutzer können mit den von der IT-Abteilung auf den virtuellen Systemen installierten Apps arbeiten. Da die Arbeit über eine Online-Verbindung abläuft, liegen stets alle Daten auf dem Server und nichts wird aus dem Unternehmensnetz auf die Clients kopiert. Deswegen bleiben nach dem Schließen der Safe Mobile Workforce-App auch keine Rückstände auf den Smartphones und Tablets übrig und die IT-Verantwortlichen haben die Garantie, dass ihre Daten stets sicher sind. Geht ein Gerät verloren, so hat das für das Unternehmen auch keine besondere Bedeutung mehr, da es ausreicht, wenn sich der Anwender ein neues mobile Device besorgt und darauf die Safe Mobile Workforce-App installiert. Nach dem erneuten Login kann er sofort weiter arbeiten.
Zugegeben, der gleiche Effekt ließe sich auch durch die Bereitstellung von virtuellen Desktops (VDI) realisieren, auf die die Unternehmensmitarbeiter von unterwegs aus zugreifen können. Diese lassen sich aber von Smartphones und Tablets schlecht bedienen, da die Anwendungen nicht auf die Arbeit mit Touch-Screens ausgelegt sind. Deswegen ist es sinnvoll, auf einem mobilen Endgerät auch ein mobiles Betriebssystem zu virtualisieren. Das vereinfacht nicht nur die Bedienung und damit die Benutzerakzeptanz, sondern profitiert auch von vielen weiteren Funktionen, die mobile Geräte mit sich bringen. So rotiert die Safe Mobile Workforce-App beispielsweise auf Smartphones und Tablets den Bildschirminhalt, wenn der Anwender sein Gerät dreht. So etwas wäre mit einem virtuellen Desktop nicht möglich.
Der Ansatz, die Unternehmensdaten überhaupt nicht auf den mobilen Geräten zu speichern, schützt die IT-Umgebungen vor einer Vielzahl von Bedrohungen, die über reine Geräteverluste hinausgehen: So spielt es beispielsweise keine Rolle, wenn ein Anwender eine bösartige App installiert oder eine gefährliche Webseite besucht. Die Benutzer sind auch nicht dazu in der Lage, Unternehmensdaten für Unbefugte freizugeben oder aus Versehen im Netz bereitzustellen. Zudem lassen sich über eine Lösung wie Safe Mobile Workforce auch relativ leicht Compliance-Anforderungen erfüllen und Audits durchführen. Dabei spielt es keine Rolle, ob die diesbezüglichen Anforderungen von Behörden oder aus dem Unternehmen selbst stammen.
Unternehmensdaten effizient schützen
Da die Trend Micro-Lösung alle Unternehmensinformationen vollständig von den privaten Daten auf dem mobilen Endgerät trennt, behält der Benutzer sein normales Arbeitsumfeld und empfindet die Sicherheitslösung nicht als störend oder kompliziert. Deswegen ist auch seine Motivation zum Umgehen des Security Produkts gering und die Verantwortlichen können sich darauf verlassen, dass ihre Sicherheitsmaßnahmen auch wirklich umgesetzt werden. Die IT-Abteilung behält also stets die Kontrolle über alle Unternehmensdaten und eine zentrale Managementkonsole sorgt gleichzeitig dafür, dass die Administratoren dazu in der Lage sind, sämtliche Benutzerprofile und –rechte von einer Stelle aus zu verwalten und anzupassen.
Der Test
Für den Test stellte uns Trend Micro sowohl einen Zugang auf die in Irland gehostete Safe Mobile Workforce-Demoinstallation des Unternehmens, als auch die Software für einen eigenen Safe Mobile Workforce-Server, den wir in unserem Testlabor installierten, zur Verfügung. Wir nutzten die Demoinstallation in Irland über mehrere Monate und griffen auch während diverser Pressereisen nach Barcelona und London auf die virtualisierte Android-Umgebung (VM) zu.
Anschließend installierten wir den Safe Mobile Workforce-Server in unserem Testlabor und nahmen das Produkt aus Sicht des Administrators unter die Lupe. Dazu legten wir unterschiedliche Benutzerprofile mit verschiedenen Rechten an und erzeugten diverse VM-Images mit unterschiedlichen Benutzer-Apps. Zum Schluss nutzten wir diese VMs genauso mit der Client-App wie zuvor die Demoumgebung von Trend Micro.
Die Arbeit mit der Demoumgebung
Für unseren Test verwendeten wir diverse Endgeräte. Unter Android gehörten dazu ein Tablet vom Typ Arnova 10c G3 mit Android 4.0.3 sowie ein Samsung Galaxy S2 mit Android 4.1.2 und ein Samsung Galaxy S4 mit Android 4.4.2. Dazu kamen noch ein iPhone 4s mit iOS 8.1.2 und ein iPad Mini, ebenfalls mit iOS 8.1.2.
Nachdem wir die Client-Apps aus den App Stores von Apple und Google auf unseren Endgeräten eingespielt hatten, konnten wir uns mit den Zugangsdaten, die Trend Micro uns bereitgestellt hatte, bei den Servern in Irland anmelden. Danach fragte uns die App, ob wir den Zugang auf die virtuelle Umgebung zusätzlich noch mit einem Entsperrmuster, einer PIN oder einem Passwort sichern wollten, anschließend konnten wir direkt mit der Arbeit loslegen. Die zusätzliche Sicherung durch PIN und ähnliches ergibt in Umgebungen Sinn, in denen der Anwender die Logindaten zur Safe Mobile Workforce-Installation direkt auf dem Client speichert, beispielsweise beim Einsatz aufwendiger Passwörter, die sich schlecht über die Tastatur des mobile Devices eingeben lassen. Da dies ein potentielles Sicherheitsrisiko darstellt, können die Administratoren das Speichern der Passwörter auf den Clients auch untersagen, in so einem Fall wird eine zusätzliche Absicherung überflüssig.
Nachdem wir unsere PIN vergeben hatten, begannen wir direkt mit der Arbeit. Trend Micro hatte in unserer Test-VM bereits diverse Standard-Apps eingerichtet, mit denen wir die üblichen Arbeitsschritte eines Business-Users durchführen konnten. Neben dem Android-Browser gehörten dazu unter anderem ein E-Mail-Programm, ein Kalender, eine Adressverwaltung, ein Taschenrechner und das WPS Office, mit dem sich Dokumente, Tabellen und Präsentationen bearbeiten lassen. Dazu kamen noch ein Einstellungsdialog zum Modifizieren des Passworts, der PIN beziehungsweise des Entsperrmusters und ein Link auf die Safe Mobile Workforce Webseite. Das Mail-Programm, der Kalender und die Adressverwaltung lassen sich übrigens im Betrieb mit einem Collaboration-Server wie Exchange oder ähnlichem synchronisieren und so mit Daten füllen.
Im Test arbeiteten wir im Wesentlichen mit dem Browser und dem WPS Office, das wir nutzten, um Notizen zu erstellen. Dabei kam heraus, dass die Arbeit flüssig ablief, wenn wir über schnelle Netze wie WLAN oder 3G-, HSPA- und LTE-Netzwerke mit dem Internet kommunizierten. Ein flüssiges Arbeiten mit der Safe Mobile Workforce-App über GRPS- und EDGE-Netze ist nicht möglich. In der Praxis muss man zudem bedenken, dass nicht jedes Netz, das theoretisch einen hohen Datendurchsatz bietet, auch wirklich schnelles Arbeiten ermöglicht. So befanden wir uns auf einer Veranstaltung in einem Raum mit 80 bis 90 anderen Personen, die alle auf das WLAN des Hotels zugreifen wollten. Geht es nur darum, ab und zu die E-Mails zu prüfen, dürfte eine solche Verbindung ausreichend sein, nicht aber für die Arbeit mit einer entfernt gehosteten VM. Bei besagter Veranstaltung konnten wir uns nicht einmal bei der Safe Mobile Workforce-Umgebung einloggen, da es stets zu Timeouts kam. Für solche Fälle lässt es sich nicht vermeiden, dass die Benutzer lokale Dateien mit Notizen und ähnlichem erzeugen und diese dann später in die VM hochladen, beispielsweise über einen Cloud-Speicher.
In der Regel – beispielsweise in Flughafen-WLANs oder in Hotelzimmern – funktioniert der Betrieb der Lösung aber reibungslos. Ein client-seitiges Rendering sorgt bei vielen Endgeräten zudem auch in leistungsarmen Netzen für eine effiziente Bandbreitennutzung. Generell gilt, dass die Arbeit mit der Safe Mobile Workforce-App die Bandbreiten immer etwas effizienter nutzt, als dies bei einer nativen Internetanbindung der Fall wäre, da sie stets nur die Bilddaten überträgt und beispielsweise keine E-Mail-Anhänge herunterladen muss, bevor sie die Inhalte anzeigen kann. In der aktuellen Version der App haben die Anwender übrigens auch noch die Möglichkeit, bei der Performance zwischen “höhere Geschwindigkeit” und “höhere Qualität” zu wählen.