Das Notes Forum
Sonstiges => Offtopic => Thema gestartet von: Mandalor am 17.08.11 - 13:47:43
-
Hallo,
diesen Artikle habe ich gestern bei heise gelesen und micht würde dazu mal eure meinung interessieren:
http://www.heise.de/newsticker/meldung/Modellversuch-mit-privaten-Smartphones-im-Unternehmen-1323359.html
Da ich selber vor 7 Monaten den Arbeitgeber gewechselt habe und daher von Traveler auf BES gewechselt habe, fehlen mir selber die aktuellen techt. Details zu Traveler. Ich persönlich finde die Idee daher spannend, dass ich dann nicht mehr meinen Blackberry und mein privates Android- Gerät rumschleppen müsste. Aber sind die Daten über Traveler ausreichend gegen verlust geschützt?
PS.: Dass das gerät vom Benutzer und nicht von der Firma gestellt wird, ist ein anderes Thema, aber darüber kann man sich auch gern auslassen.
-
Für die Synchronisation der Daten muß ein SSL-Zertifikat eingespielt und verwendet werden. Eine unverschlüsselte Synchronisation via HTTP halte ich für fahrlässig.
AFAIK werden die Traveler-Daten auf dem Gerät verschlüsselt abgelegt. Siehe auch hier :
http://www-10.lotus.com/ldd/dominowiki.nsf/dx/Planning_for_security_LNT8521
Aber was heißt schon gegen Verlust geschützt ? Wenn jemand das Handy klaut und es einschalten kann oder es eingeschaltet ist, kommt er auch an die Daten heran.
Zudem sind die administrativen Möglichkeiten auf iOS und Android noch sehr beschränkt. Weder über den Traveler, noch über MDM-Tools hat man da die Werkzeuge zur Verfügung, wie sie z.B. für Symbian, Windows Mobile und BlackBerry existieren.
-
Zu den technischen Details kann und will ich nichts sagen. Aber aus dem
"Toll, ich kann mein eigenes Gerät benutzen"
wird dann bald ein
"Wenn Du hier arbeiten willst, musst Du Dein Werkzeug selbst mitbringen"
Jetzt also nicht nur bei Friseusen und Handwerkern, sondern auch in der IT und der allgemeinen Verwaltung. Großartiger Trend, immer weiter so.
Demnächst kommt dann noch das BYOM (Bring Your Own Money)-Programm ...
-
Man kann also immernoch nicht als Admin festlegen, dass der Benutzer ein Passwort eingeben muss um an die Firmendaten wie e-Mail, Keldnereinträge, Aufgaben, Kontakte oder Notizen zu gelangen :-(
Also muss ich hier doch auf Blackberry OS 7 warten, in der Hoffnung, dass die technik hält was das Marketing verspricht. Dieses OS und ein Dual-Sim Handy und alles wäre meiner Meinung nach perfekt.
-
Ich freu mich auf den Tag, an dem die merken dass das system Traveler an sich nicht sicher genug ist, und dann nachträglich eine MDM Lösung ausgerollt werden muss ...
An dem Punkt sind wir gerade ...
-
Man kann also immernoch nicht als Admin festlegen, dass der Benutzer ein Passwort eingeben muss um an die Firmendaten wie e-Mail, Keldnereinträge, Aufgaben, Kontakte oder Notizen zu gelangen :-(
Jein.
In den Vorgaben kann der Admin je OS verschiedene Vorgaben machen. Werden diese am Gerät nicht eingehalten, kann nicht synchronisiert werden.
An die bereits auf dem Gerät vorhandenen Daten kommt man dann natürlich trotzdem dran. Wenn der User also nachträglich die PIN-Eingabe für die Gerätesperre wieder entfernt, kommt man auch ohne Kennworteingabe an die Daten heran.
-
Da ich gerade die Aufgabe bekommen habe, die Vorteile von Traveler gegenüber dem BES, den wir im Einsatz haben, zu sammeln:
Verstehe ich das richtig, dass die allgemeine Meinung hier ist, ais Sicherheitsgründen lieber beim BES zu bleiben?
-
Da mag ich mir keine Meinung zu bilden, zumal ich Blackberry nur sehr oberflächlich kenne.
Fakt ist aber, daß der Traveler deutlich weniger administrative Möglichkeiten bietet.
Fakt ist auch, daß die Betriebssysteme Android und iOS noch immer diverse Funktionen für das Device Management vermissen läßt.
Fakt ist auch, daß Traveler keine Device Management-Lösung ist und wohl auch nie sein wird.
Insofern müßte man eigentlich eher den Vergleich BES <-> Traveler + MDM aufstellen.
-
Das auf den Traveler abzustellen, ist sicherlich inkorrekt. Es geht ja darum, welche Dienste / Möglichkeiten die Betriebssysteme der Smartphones bereitstellen. Und da sieht es in der Breite eher düster aus, so dass es mich manchmal doch arg wundert, wer so alles iPhones oder Android-Geräte an seine Dominos anbindet - und vor allem *wie*.
Bernhard
-
Die BB kann man schon sehr gut verwalten. Für unsere Anforderungen reicht das absolut aus.
Gibt es denn eine existierende MDM Lösung zum Traveler? Wie muss ich mir das vorstellen?
-
Und da sieht es in der Breite eher düster aus
Die Breite wäre egal. Wichtig ist ja nur, dass wir uns nicht grundsätzlich ein Ei legen.
-
Gibt es denn eine existierende MDM Lösung zum Traveler? Wie muss ich mir das vorstellen?
So wie ich das sehe, ist das ja eine unabhängige Geschichte. :(
-
Um Bernhards Aussagen etwas zu konkretisieren :
iOS und Android bringen auf OS-Ebene nur rudimentär Funktionen für Device Management mit. Bei iOS ist auch meine Vermutung, daß sich da seitens Apple nicht mehr viel tun wird. Bei Android gibt es angeblich Bestrebungen einiger Hersteller, an dieser Stelle noch nachzurüsten. In wie weit daß dann herstellerspezifische Dinge werden oder diese Funktionen gar in Android einfließen, kann momentan wohl niemand mit Sicherheit sagen.
Man kann schon froh sein über eine Remote Wipe-Funktion. Geräteverschlüsselung und Speicherkartenverschlüsselung sucht man aber z.B. vergebens.
Wir haben z.B. eine MDM-Lösung im Einsatz, mit der wir unsere Symbian-Smartphones per Remote Desktop supporten können (ala VNC und Konsorten).
Für Android scheitert die Umsetzung dieser Funktion momentan schon daran, daß das Betriebssystem das Auslesen des Bildspeichers nicht zuläßt. Das ist übrigens auch der Grund, warum man auf den Geräten keine Screenshots machen kann.
MDM-Lösungen, die auch iOS und Android anbinden, gibt es diverse am Markt. Z.B. smartMan, iAnywhere Afaria, ubitexx, MobileIron, 7P MDM, etc.
Alle Lösungen haben aber für die genannten OS nahezu den identischen Funktionsumfang. Daran sieht man eigentlich schon, daß momentan eher das OS das Problem ist, als die verfügbare Software und deren Hersteller.
-
Ach, ich kann übrigens noch was zum Besten geben :
Wir sind momentan in einer Testphase mit Android-Smartphones. Bisher setzen wir schon seit mehreren Jahren Symbian-Smartphones von Nokia ein.
Schon die erste Testphase innerhalb der IT ließ Schlimmes erahnen. Und das setzt sich jetzt in der erweiterten Testphase mit einer Handvoll Anwendern aus Fachabteilungen fort.
Der Supportaufwand für die Android-Smartphones ist deutlich höher, als er das für Symbian-Geräte jemals war (zumindest aus unserer Sicht und Erfahrung).
Gestern hat ein Kollege einem der Testanwender geschlagene 3,5 Stunden nur die Grundfunktionen des Smartphones erklären müssen. Und der Testanwender ist eigentlich eher einer der fitteren Kollegen, was den Umgang mit IT betrifft.
Und ich mag gar nicht daran denken was passiert, wenn wir die Testphase abschließen und die Geräte konzernweit freigeben. :-\
-
Gestern hat ein Kollege einem der Testanwender geschlagene 3,5 Stunden nur die Grundfunktionen des Smartphones erklären müssen.
Wieso das denn? Lag da keine Bedienungsanleitung bei?
-
Problem Blackberry - iOS/Android
ich kenne keine so saubere Lösung E-Mails, Kalender... in die Hosentasche meiner User zu bekommen wie mit nem Blackberry und nem entsprechenden BES. Diese Geräte verbinden meiner meinung nach alle Funktionen, die ich für businesseinsatz brauch und dies in Verbindung mit einer unschlagbaren Akkulaufzeit (der neuste Bold hat es bei mir schon auf 2 Wochen geschaft (wurde aber auch kaum benutzt)). Ich selber war auch privat lange zeit BB User, weil er mich auch auf mehrtägige Dienstreisen ohne Ladegerät begleiten konnte.
Android und iOS (hab jetzt selber einen Androiden) bieten natürlich ne menge mehr Funktiernen (99 % Spielkram). Diese finde ich super, haben aber nichts mit Arbeit zu tun.
Ich stehe aber sowohl in der alten Firma als auch hier immer wieder der Frage gegenüber: Wann gibts entlich iPhones... Die sehen doch viel hübscher aus... die anderen haben doch auch...
Das kotzt mich an! Ich versoge doch ein speditionsunternehmen nicht mit der Fahrzeugflotte von Porsche sondern mit MAN.
Sorry dies musste einfach mal raus.
-
Ich versoge doch ein speditionsunternehmen nicht mit der Fahrzeugflotte von Porsche sondern mit MAN.
Der Unternehmenschef fährt wahrscheinlicher Porsche als nen LKW. ;)
Wir haben genau 5 BB im Einsatz. Eines für die IT zum testen und die 4 anderen nutzen GF / GL. Eingeführt haben wir den BES nur, weil der Juniorchef damals kurz nach dem Studium meinte, solch ein Teil braucht er unbedingt zum Designlaptop auf dem eh der Notesclient lief...
-
Ach mist, und ich war auf mein Gleichnis sooo stolz ;-)
-
Gut
gekotzt gebrüllt, Markus. Ich habe mein Unverständnis ja auch schon geäussert. Und das Gleichnis war gut und passend, denn ohne Porsche läuft das Unternehmen ohne jede Einschränkung weiter, aber bereits der erste LKW-Ausfall schmerzt.
Gerald: Du musst die administrativen und sicherheitstechnischen Dinge herausarbeiten und Dir die benannten Nachteile vieler Systeme unterschreiben lassen. Was auch wichtig ist: Was passiert, wenn neue pinke iPhone herauskommt oder das neue Smartphone von Googerola? Tut dann noch das ausgewählte MDM oder geht dann wieder alles von vorne los?
Bernhard
-
Ach mist, und ich war auf mein Gleichnis sooo stolz ;-)
Das passte schon. :knuddel:
-
Gerald: Du musst die administrativen und sicherheitstechnischen Dinge herausarbeiten und Dir die benannten Nachteile vieler Systeme unterschreiben lassen. Was auch wichtig ist: Was passiert, wenn neue pinke iPhone herauskommt oder das neue Smartphone von Googerola? Tut dann noch das ausgewählte MDM oder geht dann wieder alles von vorne los?
Bernhard
Ja, das ist meine Aufgabe. Allerdings weiß ich schon jetzt, was passiert, wenn Boss meint, das Ding haben zu müssen. Das läuft dann so, wie damals bei der Einführung des BES: "Es muss sich nichts amortisieren, es muss laufen! Egal wie!"
Manchmal hasse ich meinen Job....
-
Deswegen sage ich ja: Lass es Dir unterschreiben, dass Du auf die potentiellen und gar nicht unwahrscheinlichen Folgen hingewiesen hast.
Das macht zwar nicht glücklicher, aber gegenüber persönlich besonders schlimmen Folgen immun.
Bernhard
-
Es brüllt mich an ;D
-
@Ingo: 1. Wie heisst denn die Lösung, mit dem Remote Desktop? 2. Bei uns ist es gerade umgekehrt, mit den Nokias hab ich den meisten Support aufwand. Apples hört man nicht mehr wenn se eingerichtet sind und Androids auch eher selten nach der Einrichtung. Fakt ist, dass die Travelerrichtlinien nicht ohne eine, nennen wir es Security App von Nokia, greifen. So, wie nun diese App (ist glaub ich ne *.sis) auf die Nokia bekommen.
Ich habe mich hier auch mit Händen und füssen gewehrt, aber wir haben nur noch 10 BB Nutzer und rund 250 Travelernutzer, tenedenz extrem steigend.
Kann mir denn jemand einen Tipp geben, welche MDM Lösungen sinnvoll in der Praxis sind?
-
Wieso das denn? Lag da keine Bedienungsanleitung bei?
Doch, natürlich. Wir haben auch die wichtigsten Funktionen des Traveler zusätzlich noch als Flash-Filme aufbereitet, die die Benutzer im Mitarbeiterportal abrufen können.
Problem zumindest bei uns im Haus ist : Keine Sau liest die Doku.
@Ingo: 1. Wie heisst denn die Lösung, mit dem Remote Desktop?
smartMan
Installation von Software ist damit u.a. natürlich auch möglich. Bei Symbian auch ohne Benutzerinteraktion.
Nokia haben wir aktuell noch nicht auf dem Traveler. Dafür haben wir noch eine andere Software im Einsatz, die wir allerdings ablösen werden (siehe Signatur).
-
Kann mir denn jemand einen Tipp geben, welche MDM Lösungen sinnvoll in der Praxis sind?
Ich habe ja oben bereits ein paar aufgelistet. Wir setzen seit Jahren den smartMan ein und sind damit sehr zufrieden.
Wir haben uns vor einigen Monaten trotzdem mal am Markt umgesehen und uns ein paar Lösungen genauer angeschaut. Dies vor allem auch im Hinblick auf die bevorstehende Einführung von Android.
Das waren die Lösungen von ubitexx und 7P.
Afaria haben wir uns bewußt nicht angeschaut, weil wir auf eine weitere Zusammenarbeit mit iAnywhere keinen allzu großen Wert legen. Das soll jetzt keine Wertung des Produktes sein, das ich auch gar nicht beurteilen kann. Wir haben nur einfach mit dem Hersteller unsere Erfahrungen gemacht.
Wenn man ehrlich ist, nehmen sich die meisten MDM Lösungen nicht viel, der Funktionsumfang ist größtenteils identisch, weil er gerade bei iOS und Android noch durch das jeweilige Betriebssystem beschränkt ist.
-
Aber sind wir mal ehrlich, es ist wesentlich cooler ein neues Iphone aus der Tasche zu ziehen und im Meeting auf den Tisch zu legen, als ein BB. Wenn das Management das will, kannste dir deine Argumente sparen. Das ist wie Frauen und das 105. Paar Schuhe.
Du kannst immer wieder auf mögliche Probleme hinweisen und dir das auch unterschreiben lassen (was nur was bringt wenn man ein Externer ist), was keiner hören will oder du nimmst den leichteren Weg und plädierst für das Gerät was der Vorstand/Chef will. Sonst haste die Geräte von den Leuten die was zu sagen haben, und die Marke von den Leuten, die nix zu melden haben. Ich kenn den Käse jetzt aus zwei Firmen. Der gute Sales-Mann bekommt sein Wunschgerät genehmigt, und du kannst schauen wie du es integrierst.
Ich geb's nicht gern zu, aber einfach zu bedienen sind die angefressenen Äpfel schon, auch für den Laien, und zuverlässig mit Traveler ebenso. Da fallen die Kleinigkeiten gar nicht auf, wie zum Beispiel das man in Cupertino keine Kalendereinträge kategorisiert. ;D
VG, Michael
-
Das ist bei uns glücklichweise anders abgelaufen. :)
Auf unsere Empfehlung hin hat der Vorstand uns den Auftrag erteilt, die Anbindung von Android-Smartphones zu untersuchen, zu testen und letztendlich umzusetzen.
Bei uns wird es daher auch ganz klar keine BYOD-Aktionen geben. Die Anwender haben zukünftig die Wahl zwischen Symbian (solange noch von Nokia verfügbar) und Android als Smartphone-Plattform.
Zumindest für die nahe Zukunft. Was in zwei Jahren ist, kann eh keiner voraussehen.
-
Ah, danke. ubitexx liegt für uns auch nahe, da diese ja von RIM gekauft worden sind (meines Wissens). Auf dem Prüfstand stehen auch noch die "Good" Lösungen.
-
Achja, an die die Nokia Devices mit Traveler syncen:
Wie habt ihr das geschafft, die Traveler Policys auf den Nokia Geräten zum laufen zu bringen? Meines Wissen nach benötigt man das "Lotus Traveler Security enablement library SIS-file" auf den Geräten?!?
-
Kann man den Traveler eigentlich neben dem BES auf der gleichen Mühle laufen lassen?
Und wie sieht das eigentlich von den Kosten her aus?
Gruß
-
Kann man den Traveler eigentlich neben dem BES auf der gleichen Mühle laufen lassen?
Kann ich nicht beurteilen. Ich bin allerdings kein Freund solcher Lösungen. Man kann nie ausschließen, daß sich die Produkte nicht doch mal in die Quere kommen.
Und wie sieht das eigentlich von den Kosten her aus?
Die Notes-Lizenz beinhaltet die Traveler-Lizenz. D.h. für jeden Notes-Benutzer ist die Traveler-Nutzung ohne zusätzliche Lizenzkosten möglich.
-
Kann ich nicht beurteilen. Ich bin allerdings kein Freund solcher Lösungen. Man kann nie ausschließen, daß sich die Produkte nicht doch mal in die Quere kommen.
Ich auch nicht, aber dann extra noch eine Domino und eine Windows-Server-Lizenz anschaffen... Ich will nur diese Möglichkeit abklären, da ich meine Pappenheimer kenne. ;)
Die Notes-Lizenz beinhaltet die Traveler-Lizenz. D.h. für jeden Notes-Benutzer ist die Traveler-Nutzung ohne zusätzliche Lizenzkosten möglich.
Ich dachte da eigentlich an MDM. Da wird doch sicherlich auch eine Dienstleistung bezüglich Schulung notwendig sein und eventuell sogar die Lizenz etwas kosten. Nur mal so über den Daumen gepeilt.
-
Klar. So etwas gibt es natürlich nicht kostenlos.
Ob da eine Schulung notwendig ist, hängt sicherlich vom Produkt ab. Man kann sich i.d.R. auch erstmal ein Testsystem freischalten lassen und damit rumspielen.
Die Lizenzkosten fallen meistens je administiertem Gerät an. Was ich bisher gesehen habe, lagen die Preise laut Preislisten meistens so bei ca. 10,- Euro pro Gerät und Monat. Das sollte man aber als verhandelbar betrachten ;)
-
Was hat euch dazu bewogen die Android Geräte zu nutzen?
Die sind ja noch schlechter zu verwalten wie die iOS Geräte. Ausserdem hat man da nicht mal die native Mailanwendung.
Wir setzen jetzt leider neben den BBs noch auf die Apfel Dinger mit Traveler und MobileIron.
-
In Kurzform :
Gerätevielfalt, Hoffnung auf eine bessere Erweiterung der MDM-Möglichkeiten des OS, Anschaffungspreis, vorhandenes KnowHow im Umfeld der Programmierung für die Plattform.
-
Ich habe mir den Thread durchgelesen, und im Grossen und ganzen stimme ich überein. Eine Sache fehlt mir allerdings: Nämlich die grundsätzliche Info, WARUM iOs so unsicher ist:
JEDES aktuelle iOS- Gerät kann mit dem entsprechenden KnowHow innerhalb von 6 Minuten geknackt werden, das hat das Frauenhofer Institut vor kurzem bewiesen (natürlich nicht wie, sondern nur dass...).
Die Daten auf dem Gerät liegen zwar verschlüsselt vor, diese Verschlüsselung ist aber aufgrund einer Systemschwäche innerhalb von Minuten zu knacken, und dann hat der Angreifer so ziemlich alle relevanten Kennwörter des Benutzers im KLARTEXT in der Hand (u.a. Mail- Kennwort, WLAN- Passwörter, VPN- Passwörter, etc.)...
Dass man mit einem Mail- Account und dem zugehörigen Kennwort an so ziemlich alle weiteren Kennwörter kommt, brauche ich wohl nicht näher zu beschreiben (bei jeder Website, die ich kenne, kann man sich das Kennwort per Mail zurücksetzen / zusenden lassen).
Ach ja: Der berühmt- berüchtigte "Remote- Wipe": Bei den Blackberries funktioniert der so lange das Gerät IRGENDWIE verbunden ist. Bei den iOS- Geräten reicht es z.B. die Sim- Karte zu tauschen oder einfach Traveler zu deinstallieren, um das zu umgehen...
Alles in allem ist für mich -nach wie vor- Blackberry das Mass aller Dinge wenn es um Unternehmens- Mail geht: Sowohl von der Verwaltbarkeit als auch von der Sicherheit aus gesehen (ja, die Geräte sind nicht sexy, aber das kommt ja vielleicht endlich mit der nächsten Generation und/oder mit dem neuen QNX- Betriebssystem)
-
Ach ja: Der berühmt- berüchtigte "Remote- Wipe": Bei den Blackberries funktioniert der so lange das Gerät IRGENDWIE verbunden ist. Bei den iOS- Geräten reicht es z.B. die Sim- Karte zu tauschen oder einfach Traveler zu deinstallieren, um das zu umgehen...
Nur als Ergänzung dazu :
Das Remote Wipe-Feature ist auch bei allen anderen Geräten nicht zuverlässig nutzbar. Auch bei Android, Symbian oder WiMo kann man den Traveler einfach deaktivieren oder deinstallieren und das Feature läuft dann ins Leere. Bei Android reicht es auch aus, den Device Admin für den Traveler zu deaktivieren.
Selbiges gilt auch für Remote Wipe-Feature der meisten MDM-Lösungen, da diese den Remote Wipe i.d.R. über eine SMS triggern. Wenn also die SIM-Karte getauscht wird, ist auch hier Feierabend.
-
Hallo zusammen,
sorry, wenn ich den Thread wieder aufgreife.
Im aktuellen Traveler-Upgrade gibt es ja schon diverse Sicherheitsfeatures mehr, wie vorher.
( Siehe Anhang )
Meine konkrete Frage nun:
Nutzer mit privat genutzten Smartphones wollen es nicht zulassen, dass z.B. nach 5-maliger falscher Kennworteingabe
das gesamte Smartphone bereinigt wird. Wie könnte man z.B. realisieren, dass nur die Traveler Daten bei Falscheingabe gelöscht werden.
Es gibt ja so etwas nur bei manuellem Eingriff durch den Administrator, oder habe ich etwas übersehen ?
-
Ich wüßte nicht, daß man das so einstellen kann.
Evtl. könnte man zwei Einstellungsdokumente anlegen und über die Zuordnung je eins für geschäftliche und private Geräte setzen.
Ich weiß aber nicht, ob das überhaupt funktioniert. Zumindest kann man in der Datenbank selber über Menü oder so kein weiteres Einstellungsdokument anlegen.