Liebe Hörerinnen und Hörer des Podcasts iPad4productivity,

ich freue mich sehr, dass Sie sich für den Gratis-Hörerservice angemeldet haben. Sollten Sie den Podcast für den produktiven Einsatz des iPads noch nicht abonniert haben, finden Sie ihn hier.

Sollten Sie auf einem anderen Weg auf diese Seite gekommen sein, können Sie sich hier für den Gratis-Hörerservice des Podcasts anmelden. Sie erhalten dann immer alle Zusatzinfos und Links zu den wöchentlich neu erscheinenden Episoden und weitere nützliche Tipps zur produktiven Nutzung des iPads.

Hier finden Sie den Gesamt-Themenplan des Podcasts inkl. der in den Episoden besprochenen Links und Trankripte zum Nachlesen.

Vielen Dank für Ihr Feedback und Ihre wertvollen Tipps.

Diese Woche geht es um die Frage, wie Sie Apps im Unternehmen am besten verteilen. Bei Rückfragen und Themenwünschen freue ich mich über Ihre E-Mail an t.jekel@jekelpartner.de.

Herzlich produktive Grüße
Ihr

Unterschrift Thorsten Jekel

 

 


Hier finden Sie die in der Episode angesprochenen Links:

Volume Purchasing Programm

Device Enrollment Programm-Leitfaden


Hier das Transkript der Episode:
(Bitte wundern Sie sich nicht über die nicht schriftreife Sprache. Ich spreche die Podcast frei ein und lasse daraus erst im Nachhinein das Transkript erstellen.)

Worum geht es heute? Heute beschäftigen wir mit dem Thema, wie Sie Apps sinnigerweise im Unternehmen verteilen. Hier schauen wir uns folgende Bereiche an. Zum einen, was ich Ihnen empfehle, sondern auch weshalb ich es Ihnen empfehle. Ich erzähle Ihnen mal aus der Praxis, wie ich das meistens erlebe, wenn ich in ein Unternehmen komme. Wie ein Unternehmen, das ich professionell bei der iPad-Einführung begleite, dann die Apps im Regelfall verteilt.

Was empfehle ich zum Thema App-Verteilung? Grundsätzlich sollten Apps immer zentral und immer einheitlich verteilt werden. Jetzt sagen Sie: Moment mal, beim iPad kann ich doch einfach den App Store freigeben und jeder kann sich doch selbst was installieren. Das ist in der Tat auch das, was ich im Regelfall vorfinde, wenn ich in ein Unternehmen komme. Nun weshalb empfehle ich es zentral zu machen? Sagen wir mal, denken Sie über ein iPad wie über ein PC. Beim PC würden Sie auch nicht auf die Idee kommen, dass jeder einen leeren PC bekommt und sich jeder die Software herunterladen kann, die er meint, mit der er arbeiten möchte. Was hätten Sie dann? Sie hätten dann Chaos, Sie würden kaum wohl produktives Arbeiten erleben, unabhängig von der Frage der Virengefahr. Das heißt, wenn Sie das analog eines PCs zentral verteilen, dann haben Sie eine einfache Einarbeitung, Sie haben einen geringeren Support und die User suchen nicht lange nach Apps, sondern sie arbeiten produktiv.

Was ich häufig erlebe, wenn ich in ein Unternehmen komme ist ein offener App Store. Jeder hat seine individuelle Apple-ID, da ist meistens haben eine private Kreditkarte hinterlegt oder auch eine des Unternehmens oder der Bank. Jeder installiert Apps, wie er lustig ist, jeder arbeitet anders und letztendlich hat die IT-Orga einen extrem hohen Support-Aufwand für ein System, das nicht produktiv genutzt wird. Dafür ist so ein Ding zu teuer. Was ich auch immer wieder wahrnehme ist, dass wenig produktiv gearbeitet wird, dass jeder irgendwo ein bissl rumdattelt, relativ schnell an die Grenzen von Apps kommt. Was ich immer wieder höre ist, das ist doch alles selbsterklärend, das kann doch jeder selbst machen. Ich werde nicht umsonst häufig nach einem halben oder einem Jahr angerufen mit der Aussage, hm…, so richtig produktiv arbeiten wir damit nicht, letztendlich haben wir die User, die das Ding einfach nebendran legen, oder die die im Prinzip nicht mehr machen als sie mit dem PC machen. Das macht ja keinen Sinn.

Wie macht das Sinn? Wenn ich ein Unternehmen professionell begleite, dann gibt es ein paar Grundsätze. Das eine: Es gibt eine Möglichkeit Apps zentral zu verteilen. Apple hat dafür ein Programm, es heißt Volume Purchasing Program oder VPP. Damit erhalten Sie als Unternehmen eine zusätzliche Apple-ID, mit der Sie zentral Apps einkaufen können. Das heißt, wenn Sie hier hundertmal beispielsweise eine Applikation wie PDF-Expert herunterladen, dann laden Sie das eben einmal, kaufen Sie und können dann die App zentral verteilen. Das schöne ist, früher war das so, dass diese Lizenzen dann einmal eine Apple-ID eines Anwenders fest zugeordnet werden musste, heute hat Apple das in ein Lizenzsystem umgewandelt. Sie können diese Lizenzen sogar wieder einem Mitarbeiter entziehen und einem anderen Mitarbeiter zuordnen. Das hat zwei Vorteile. Zum einen, wenn ein Mitarbeiter das Unternehmen verlässt, geben Sie ihm auch nicht die Microsoft-Office-Lizenz mit, weshalb sollten Sie das mit einer Apple App-Lizenz machen, selbst wenn diese deutlich günstiger ist. Gerade in den Banken gibt es einen Grundsatz im Rahmen des IT-Sicherheitskonzeptes, dass die IT-Anwender nur die Berechtigungen und die Programme haben dürfen, die Sie für die Ausübung Ihrer Funktion benötigen. Das können Sie mit solchen Lizenzsystemen wunderbar machen.

Apple ist sogar noch eine Stufe weiter gegangen. Es gibt ein sogenanntes Device Enrollment Program – DEP heißt das so schön. Das ist mittlerweile auch in Deutschland freigegeben, leider ist das so, dass es heute noch nicht produktiv flächendeckend nutzenbar ist, weil sie dort, ich sage es mal so flapsig, DEPpen-IDs, also DEP, D-E-P IDs brauchen, von dem Händler von dem Sie Ihre iPads bezogen haben. Ich hatte gerade jetzt bei einer Bank das Thema, die ich bei der Einführung begleitet habe. Hier wurden die Geräte bei der Telekom gekauft und die Telekom hatte noch keine DEP-IDs, die Sie dort eingeben müssen, wenn Sie das nutzen. Wenn diese aber im Laufe des Jahres 2015 verfügbar sein wird, dann haben Sie die Möglichkeit die Geräte wirklich automatisch Out-of-the-Box auszurollen. Das heißt, die Idee ist, ein Mitarbeiter bekommt ein neues Gerät, schaltet es an, baut eine Verbindung zum Internet auf, entweder durch eine SIM-Karte oder durch ein WLAN, dann nimmt das iPad automatisch Verbindung mit Apple in den USA auf und schaut ob Sie dieses Gerät in ihrem Mobile-Device-Managementsystem eingerichtet ist. Wenn Sie das idealerweise vorher getan haben, wird dieses Gerät automatisch mit allem versorgt, was Sie dort zentral festgelegt haben. Sie können sogar verhindern, dass ein Mitarbeiter sich dieses Prozesses entziehen kann. Das gilt natürlich auch wenn ein Gerät verloren geht, das heißt, damit ist ein gestohlenes iPad wertlos. Das reduziert die Diebstahlquote.

Was ich Ihnen auf alle Fälle empfehle, bitte keine Apple-IDs mit Mitarbeitern, sondern stellenbezogen Apple-IDs ohne Zahlungsinformation. Wenn Sie dann auf einer Stelle jemand haben, der wechselt, dann hätten Sie den Herrn Meyer, der mit der Apple-ID von Petra Müller rumrennt und das ist dann eher chaosgemäß. Deshalb stellenbezogene Apple-IDs ohne Zahlungsinformationen, denn Sie kaufen Ihre Apps ja zentral über das Volume Purchasing Program.

Wie verteilen Sie die Apps? Über das Volume Purchasing Program oder über das Mobile-Device-Managementsystem einheitlich. Hier empfehle ich immer zwei Dinge, zum einen eine Basisausstattung, also dass alle Anwender mit der gleichen PDF-Applikation arbeiten, alle mit der gleichen Präsentationssoftware, alle mit dem gleichen Textverarbeitungsprogramm, um das Thema Support-Aufwand auch möglichst gering zu halten und Produktivität zu erleben. Darüber hinaus aber durchaus auch optionale private Applikationen. Das heißt, hier haben Sie die Möglichkeit einen firmeninternen App Store zur Verfügung zu stellen. Hier können Applikationen wie iLiga für die Fußballfans, Zatoo zum Fernsehen und weitere Applikationen dabei sein. Gerne auch private und selbstverständlich mehr als Sie vielleicht auf dem PC haben, aber eben auch nicht alle. Das heißt, wie empfehle ich eine Vorgehensweise, was Sie machen sollten? Sie sollten die Anwender fragen, welche Applikationen Sie haben wollen. Ich empfehle wirklich eine Umfrage zu machen. Diese Applikationen in eine Excel-Tabelle zu strukturieren und dann sagen, was wollen die Anwender mit diesen Apps machen und dann sagen, okay, nehmen sie diese App, eine Alternative oder gar nicht. Was ich häufig erlebe ist, dass Sie beispielsweise fünf PDF-Applikationen genannt bekommen und manchmal ist die ich empfehle, PDF-Expert 5, gar nicht mit dabei. Da sage ich immer, eine nehmen wir, entweder einer hat schon ins Volle ins Schwarze getroffen oder ich ergänze die und ich habe. Ich habe es noch nie erlebt, dass ein Anwender gesagt hat, nö, ich will aber lieber mit meiner PDF-App weiter arbeiten.

Was ich eher erlebe ist der Wunsch, ja Moment mal, ich habe eine Frage, wie kriege ich meine Daten jetzt rüber. Umso wichtiger, keine Daten in einer App halten, aber dazu komme ich an einer späteren Stelle.

Dann sammeln wir noch in einer Excel-Tabelle Applikationen, die nicht gehen. Ein Beispiel WhatsApp. Kennen Sie vielleicht, viele von Ihnen haben es, es gibt viele die sagen, ohne WhatsApp kann ich nicht überleben, hmm, ich habe auch keinen WhatsApp und die Menschen, die mich erreichen wollen, können mich erreichen. Ich glaube auch nicht, dass ich ein sozialvereinsamter Mensch bin. Also es gibt durchaus auch andere Wege zu kommunizieren. In vielen Unternehmen ist das unkritisch, aber im Bankbereich, wenn Sie einen iPhone haben, auf dem Kundendaten drauf sind, ist WhatsApp definitiv etwas, was im Rahmen einer Prüfung beanstandet werden würde. Ich sage lieber die Diskussion vorher führen, als die dann doch etwas einseitigen Interviews mit den Knappen von Gräfin Elke / der BAFiN oder Bundesbank im Rahmen einer 44er-Prüfung. Dementsprechend dann nein sagen, bestimmte Dinge gehen nicht. Gehen sie einen Schritt weiter. Nicht zu sagen, nein du darfst nicht WhatsApp nutzen, sondern bieten sie Alternativen an. Beim Thema WhatsApp, ganz konkret, ein Message ist bei iOS Ende-zu-Ende verschlüsselt, eine Methode, wenn Sie innerhalb des Unternehmens kommunizieren und alle mit iPhones arbeiten, wunderbar geeignet oder Treema, das ist ein Schweizer Kurzmitteilungsdienst, der ist der mittlerweile zweitgrößte. Als WhatsApp von Facebook gekauft wurde, sind sehr viele Anwender zu Treema gewechselt.

Weshalb auch die privaten Dinge über das MDM verteilen? Sie könnten ja sagen, das können die Mitarbeiter auch selbst machen – empfehle ich nicht. Sie können sehen, was installiert ist. Das Problem ist nur, wenn Sie vom Gerät etwas entfernen wollen, dann können Sie vom Gerät nur das entfernen, was Sie auch über ein Mobile-Device-Managementsystem installiert haben. Das heißt, wenn Sie Applikationen vor dem MDM oder außerhalb des MDM installiert haben, können Sie diese sehen aber nicht deinstallieren. Alles was Sie über das MDM verteilt haben, das kann entsprechend auch wieder entfernt werden – damit haben Sie mehr Möglichkeiten.

Die gute Nachricht ist, ich habe es diese Woche im Rahmen eines Bankeinführungs-iPad-Projektes selbst getestet. Es gibt mittlerweile die Möglichkeit, dass Sie den App Store auf den iPads abklemmen können. so dass die Anwender nur noch den internen App Store sehen. Die erfahreneren Kollegen unter ihnen wissen vielleicht, früher war das so, dass wenn Sie einen internen App Store hatten, dann mussten Sie auch den normalen Apple App Store auf haben. Das war natürlich blöd, da konnten auch andere Apps installiert werden. Dann mussten Sie immer, mit einer Whitelist dagegen steuern. Heute ist es sogar kombinierbar, Sie haben einen individuellen App Store und Sie können App Store abklemmen. Das geht sogar mit automatischen Updates, dazu kommen wir nächste Woche.

Ich empfehle immer zusätzlich zum Thema Apps eine Whitelist, denn wenn Sie etwas installieren, gibt’s immer nochmal die Möglichkeit, dass man auch auf den normalen App Store drauf kommt. Man kann auch nie ausschließen, dass man vielleicht mal kurzfristig aus Versehen eine Einschränkung deaktiviert, deshalb empfehle ich immer zusätzlich, selbst wenn sie mit dem Abklemmen des App Stores eigentlich fast nicht mehr notwendig wäre, eine Whitelist. Auf der Whitelist stehen dann die Applikationen, die dort installiert werden dürfen. Letztendlich ist es eine Kopie der kompletten App-Liste. Dann können Sie noch Restriktionen dahinter hängen, die haben wir im Regelfall mit dem Kunden gemeinsam abgestimmt. Ich gebe Ihnen mal ein Beispiel. Also wir haben in einer Bank vor kurzem folgendes eingerichtet. Wenn ein Mitarbeiter, eine Mitarbeiterin oder ein iPad-User eine App installiert, die nicht auf der Whitelist ist, bekommt der User eine sofortige Kurzmitteilung auf das Gerät, eine Push Notification über das MDM mit dem Hinweis, da ist was, was nicht auf der Whitelist ist, bitte deinstallieren. Wenn der Anwender innerhalb von fünf Minuten diese Applikation nicht entfernt, erhält er eine E-Mail, die bekommt nicht der direkte Vorgesetzter, aber der Admin in Kopie. Wenn er dann nach 30 Minuten diese App nicht entfernt, also wieder löscht, die nicht auf der Whiteliste steht, werden die Lotus-Notes-Daten gezogen, beziehungsweise die Outlook-Daten, das heißt, Kalender, E-Mails, Kontakte, werden dann vom Gerät entfernt. Das hat zwei große Vorteile, als erste, es sind sehr häufig sicherheitskritischen Informationen enthalten, das heißt, wenn hier durch eine Applikation Datenabflussrisiken sind, dann wollen Sie diese Daten schützen. Zum Zweiten ist es auch eine sehr wirksame Restriktion, weil wenn die Anwender Ihre E-Mails nicht mehr sehen können, ihre Kalender nicht mehr haben, dann reagieren sie. Auch hier gilt wieder meine Empfehlung, verteilen Sie die Lotus-Notes bzw. die Exchange-Daten über das Mobile-Device-Managementsystem. Auch hier gilt, nur wenn Sie es verteilt haben über ein MDM, können Sie es auch wieder entziehen. Das Schöne bei dem gängigen System ist, in dem Moment, wo der iPad-Anwender wieder den Verstoß heilt, also die Applikationen wieder löscht, die nicht auf der Whitelist ist, wird automatisch auch die Restriktion zurück genommen ohne, dass der Administrator hier noch mal manuell eingreifen muss. Das funktioniert erfahrungsgemäß recht schnell, in der Praxis ein wirklich bewehrtes Verfahren. Natürlich sollte sowas auch immer den Mitarbeiterinnen, Mitarbeitern kommuniziert werden, dass sie das wissen. Auch die Mitteilungen, die dort kommen, können entsprechend so angepasst werden, dass sie für weniger IT-affine Kolleginnen und Kollegen gut nachvollziehbar sind. Damit ist wirklich ein revisionssicheres Arbeiten möglich.

Auch wichtig ist, dass man idealerweise die Apps soweit wie möglich zentral bewertet. Das ist etwas, was wir in der vorherigen Episode besprochen haben. Zusammenfassend denken Sie über das iPad, als wäre es ein PC, behandeln Sie es genauso. Das heißt, eine zentrale einheitliche Verteilung, aber lassen Sie auch private Apps zu, solange sie nicht die Sicherheit von Unternehmensdaten kompromittieren. Letztendlich geht es nicht darum, die Geräte zu schützen, dahingehend ist Mobile-Device-Management ein schon fast irreführender Begriff, sondern es geht um den Schutz von kritischen Daten.

Damit haben wir einen guten Rundumschlag um das Thema, wie Sie Apps verteilen sollten in dieser Woche vorgenommen. Wenn Sie dort weitere Informationen haben wollen, auch die Links zum Thema VPP, Device-Enrollment-Program, die ganzen Dinge, die wir hier besprochen haben, melden Sie sich einfach an unter www.ipad4productivity.com, so wie der Podcast heißt Dann erhalten Sie jede Woche eine kurze E-Mail mit den Informationen, welches Thema diese Woche dran ist. Sie wissen dann ob es für Sie relevant ist und natürlich sehen sie dann auch den Link, auf der Sie dann alle Links und weiterführende Informationen finden. Ich freue mich wie immer über Ihr Feedback, Ihre Ideen, Ihre Kommentare. Wenn Sie nächste Woche wieder mit dabei sind, werden wir uns mit der Frage beschäftigen, wie Sie am besten mit Updates umgehen.

Unter www.ipad4productivity.com einfach zum Hörerservice anmelden, dann bekommen Sie alle Links, Infos und Tipps.