Client Management heißt die seit langem bekannte Kategorie von Softwarelösungen zur zentralisierten, strukturierten und automatisierten Verwaltung von Endgeräten wie PCs, Servern und mobilen Devices mit Windows- oder Linux-Betriebssystemen.
Mittlerweile hat sich anstelle dessen der Begriff „Unified Endpoint Management“ (UEM) durchgesetzt. Das hat mehrere Gründe. Zum einen hat sich die Verwaltung von Endgeräten in Unternehmen in den letzten Jahren stark weiterentwickelt. Das Spektrum der Clients reicht heute weit über klassische Desktops hinaus. Mobile Betriebssysteme wie iOS und Android müssen einbezogen werden, und eine verteilte Infrastruktur aus Homeoffice und Inhouse-Arbeitsplätzen entzieht die Gesamtheit der Endgeräte dem direkten physischen Zugriff. Hinzu kommen wachsende Sicherheitsbedrohungen. Ransomware-Angriffe nehmen jährlich zu, inzwischen gibt es ein regelrechtes Ransomware-as-a-Services-Geschäftsfeld.
Erweiterter Fokus: Cloud-UEM und mobile Endgeräte
Dies bedeutet: Mit gleichbleibender Personalstärke müssen Administrationsabteilungen Systeme aktuell halten und auf Schwachstellen reagieren. Sie müssen dabei den Datenschutz im Auge behalten (Wo darf ich sensible Infrastruktur- und Nutzerdaten ablegen?) sowie ISO-Normen und gesetzliche Regularien erfüllen. So erfordern etwa NIS2 und DORA zusätzliche Dokumentationen und Vorkehrungen.
Der traditionelle Ansatz, Client beziehungsweise Unified Endpoint Management rein on-premises zu betreiben, wird diesen veränderten Anforderungen nicht mehr gerecht. Die Entwicklung führte daher von lokal betriebenen Lösungen über „Mobile Device Management“ hin zu cloud-basierten UEM-Systemen. Microsoft Intune ist eines der prominentesten Beispiele für diesen Trend, schon allein deshalb, weil es Bestandteil des Microsoft 365 E3-Enterprise-Lizenzvertrags ist.
On-Premises: Hohe Funktionalität und Datenschutz
On-Premises-UEM-Systeme bieten zahlreiche Vorteile. Sie werden auf eigenen Servern betrieben – sei es lokal oder in der Private Cloud – und verfügen über spezialisierte Agenten, die eine umfassende Kontrolle ermöglichen. Microsoft-Dienste (WSUS-Alternative, Defender, BitLocker) lassen sich nahtlos integrieren, ohne auf eine Cloud-Anbindung angewiesen zu sein.
Ein entscheidender Vorteil ist die Datenhoheit (beim Betrieb eigener Server): Sensible Informationen verbleiben innerhalb der eigenen Infrastruktur und werden nicht für KI-Trainingszwecke verwendet, was in der Cloud immer geschehen kann. Künstliche Intelligenz ist ein wichtiges und zukunftsrelevantes Thema, aber dass vertrauliche Daten von einer GenAI verwendet werden, wird dann doch niemand wollen. Gleichzeitig ist beim lokalen Betrieb der rechtliche Aufwand geringer. Datenverarbeitungsverträge mit Dienstleistern müssen nicht aufwändig verhandelt werden bzw. beschränken sich auf die eigentliche Geschäftsbeziehung und eben nicht auf Firmen- oder Kundendaten.
Eine lokale UEM-Lösung macht das Unternehmen desweiteren unabhängig von Internet- oder Serverstörungen des Cloud-Anbieters; die eigene Infrastruktur bleibt steuerbar. Sie ist auch im Hinblick auf Compliance oft die bessere Wahl. Strenge Vorgaben in sicherheitskritischen Bereichen, die Unabhängigkeit vom Internet vorschreiben – etwa im Umfeld von KRITIS und NIS2 – lassen sich mit On-Premises-Systemen besser umsetzen. Sie sind bei Unternehmen, die in diesem Bereich etwas tun müssen, daher die bevorzugte Betriebsform.
Zudem lassen sich mit einer (mandantenfähigen) UEM-Lösung im eigenen Haus Sicherheitszonen individueller konfigurieren als bei einem Cloud-System „von der Stange“. Komplexe Infrastrukturen (Standorte, Arbeitsbereiche) sind über die Lösung verwaltbar, in einem Mix aus online (Verwaltungsabteilungen inkl. Homeoffice) und offline (Produktion, eigene Abteilung & Netz). Mit Low-Code/No-Code werden vorgefertigte Bausteine zur Desktop Automation flexibel variiert, bis hin zu Formularen (die auch ohne Internet verfügbar sind).
Auf der anderen Seite sind On-Premises-Lösungen mit Investitionen in Hardware und Lizenzen verbunden. Skalierungsprozesse erfordern Zeit und finanzielle Ressourcen. Und die nur eingeschränkte Unterstützung mobiler Endgeräte erweist sich in einer zunehmend mobilen Arbeitswelt inzwischen als Nachteil.
Wie eine hybride Strategie aussieht und wo die Schwerpunkte zu setzen sind, darüber sollte sich jedes Unternehmen Gedanken machen.
Sebastian Weber, Aagon GmbH
Cloud-UEM: Flexibel, skalierbar, aber mit Einschränkungen
Cloud-basierte UEM-Systeme wurden entwickelt, um Endgeräte ortsunabhängig zu verwalten. Ihr größter Vorteil liegt in der einfachen Skalierbarkeit, der ständigen Aktualisierung und dem Wegfall eigener Infrastrukturkosten. Administrationsaufwände werden minimiert, da sich Wartung und Updates automatisiert über den Cloud-Anbieter regeln.
Eine Bequemlichkeit, die wiederum andere Herausforderungen bereithält: Unternehmen sind stärker abhängig von der Verfügbarkeit der Cloud-Plattform und einer stabilen Internetverbindung. Die nativen Verwaltungsfunktionen eines Client-Betriebssystems sind häufig nur eingeschränkt nutzbar oder nicht mit anderen Systemen vernetzt. Ein Cloud-UEM setzt meist auf die mobile Schnittstelle des Geräts, die im Vergleich zu einem lokalen Agenten deutlich weniger Steuerungsmöglichkeiten bietet. Weist man einem Gerät oder einer Gruppe von Geräten ein Software-Update zu, bleibt nur abzuwarten. Der Zeitpunkt lässt sich nicht beeinflussen, da der Cloud-Anbieter eigenständig entscheidet, wann Sicherheitslücken geschlossen oder Updates ausgerollt werden. Eingriffe wie das Sperren von Ports sind nur begrenzt möglich.
Das Beispiel Intune zeigt die Stärken und Schwächen einer cloud-basierten Lösung.
Microsofts Tool bietet mit Funktionen wie der Verteilung von Exe- und MSI-Dateien oder der Gerätesperrung eine solide Grundlage für das Management mobiler Endgeräte. Doch die Grenzen werden schnell sichtbar: Server lassen sich nur mit Zusatz-Tools verwalten, SNMP-Geräte bleiben außen vor, es sei denn, Unternehmen investieren in kostenpflichtige Erweiterungen. Dadurch erhalten Administratoren oft nur einen unvollständigen Überblick über ihre IT-Infrastruktur, was sowohl Sicherheitsrisiken als auch Ineffizienzen begünstigt.
Unternehmen brauchen eine Hybrid-Strategie für das Endgeräte-Management
Der vielversprechendste Ansatz liegt in einer hybriden Strategie: Die Kombination aus Cloud-UEM und On-Premises-Management vereint die Stärken beider Welten. Unternehmen können dadurch sowohl lokale als auch mobile Endgeräte effizient verwalten und sind zugleich weniger anfällig für Ausfälle. Ein Teil der Geräte ist meist immer erreich- und verwaltbar egal ob der eigene Server ausfällt oder die Cloud.
Geräte- und Benutzer-Gruppen werden bei einem Hybrid-Ansatz aus der Cloud-Lösung in das (führende) On-Premises-UEM überführt und sind darin sichtbar. iOS- und Android-Devices, die das UEM sonst höchstens inventarisiert, lassen sich so viel detaillierter managen. Es werden außerdem mehr Inventarinformationen als bisher in das UEM transferiert. Damit hat die Administrationsabteilung eine Übersicht darüber, welche Geräte nur von der Cloud-Lösung gemanagt werden und welche ausschließlich vom On-Premises-UEM. Resultat ist eine neue Form der Nachverfolgbarkeit in bisher nicht gekannter Detailtiefe. Auch lassen sich sämtliche Arten von Apps an Android-, iOS- und Windows-Geräte aus einer Konsole heraus verteilen.
Wie eine hybride Strategie aussieht und wo die Schwerpunkte zu setzen sind, darüber sollte sich jedes Unternehmen Gedanken machen. Es hängt ganz davon ab, welche Devices man im engeren Zugriff haben möchte. In vielen Fällen ist eine Cloud-Anbindung schlicht ein unnötiger Umweg, wie bei Clients im Büro/Headquarter mit eigenem Serverraum. Relevant ist auch die Frage, wieviel Arbeit die Geräte machen. Smartphone müssen sicher nicht so engmaschig überwacht und gepatcht werden wie Notebooks. Und sie können auch mal ein paar Stunden nicht erreichbar sein, ohne das größere Ausfälle oder Leerläufe drohen.
Obwohl hybride Architekturen eine gewisse Komplexität mit sich bringen, lassen sich durch geschickte Integration (will heißen, diese bleibt auf zwei Systeme beschränkt) überschaubar halten. Ein Beispiel für eine gelungene Hybrid-Integration ist Aagon: Das Unternehmen bietet bereits eine Anbindung an Intune über einen Connector und entwickelt derzeit eine weitergehende Integration, die Cloud- und On-Premises-UEM nahtlos verbindet und damit eine ganzheitliche Verwaltung der Client-Infrastruktur ermöglicht.