Virtualisierung trennt Privates und Geschäftliches

Unternehmen wie Citrix, VMware und Red Bend offerieren mit Mobile Virtualization eine weitere Option, um eine Trennung von Privatem und Geschäftlichem auf Mobilsystemen zu erreichen. De facto handelt es sich um einen Dual-Persona-Ansatz: Auf dem Endgerät werden für beide Anwendungsfelder separate Bereiche eingerichtet. Dem Anwender stehen dadurch gewissermaßen zwei Endgeräte auf derselben Hardware zur Verfügung, eines für private Zwecke und eines für die berufliche Nutzung. Bei Mobile Virtualization gibt es zwei Ansätze:

Typ-1-Hypervisors: Sie setzen direkt auf der Hardware des Mobilgeräts auf. Es handelt sich also um Bare-Metal-Implementierungen. Betriebssystem und Apps werden in Form von Virtual Machines (VM) auf dem Hypervisor ausgeführt. Dadurch ist es möglich, zwei getrennte Systeme, sprich Virtual Machines, aufzusetzen. Zudem ist eine Verschlüsselung der Daten möglich, sowohl auf dem Endgerät auf der VM-Ebene als auch beim Transport. Der Nachteil: Dieses Verfahren ist aufwendig und erfordert eine nachhaltige Unterstützung durch den Hersteller des Mobilgeräts. Die Firmen Red Bend und Citrix stellen solche Typ-1-Virtualisierungsplattformen zur Verfügung.

Typ-2-Hypervisors: Sie werden wie eine App auf dem Endgerät ausgeführt und erzeugen dort ein zweites, virtualisiertes Smartphone oder Tablet. Auch in diesem Fall lassen sich private und berufliche Bereiche auf dem Endgerät trennen. Allerdings wirken sich Typ-2-Hypervisors angeblich negativ auf die Batterielaufzeit und die Performance des Endgeräts aus. Zudem muss die Virtualisierungsfunktion Zugriff auf zentrale Funktionen des Betriebssystems haben. Für diesen Ansatz, den beispielsweise VMware/AirWatch bei seinen EMM-Lösungen verwendet, spricht jedoch, dass ein solcher Hypervisor auf einem bestehenden Betriebssystem implementiert werden kann.

Eine spezielle Virtualisierungslösung, die mit Container-Technologien anderer Hersteller zusammenarbeitet, hat Samsung mit Samsung Knox entwickelt. Die Grundlage bildet Security Enhanced Android (SE Android). Diese Systemsoftware wird in die Hard- und Software eines Samsung-Galaxy-Systems eingebunden. Knox bietet eine Verschlüsselung mittels AES (Advanced Encryption Standard) mit 256-Bit-Schlüsseln auf der Hardware-Ebene. Der User kann das Endgerät wie gewohnt einsetzen. Der Start der virtualisierten Arbeitsumgebung erfolgt über einen Button auf der Bedienoberfläche. Zudem ist die Anbindung an MDM-Lösungen von anderen Anbietern wie MobileIron möglich. Außerdem stellt Samsung seit 2014 eine eigene MDM-Funktion zur Verfügung.

Ein Nachteil dieser Lösung ist, dass Security Enhanced Android vom US-Geheimdienst NSA entwickelt wurde. Zwar soll die Software keine Hintertüren enthalten, über die NSA-Fachleute auf Mobilgeräte mit Knox zugreifen können. Ein gewisser Beigeschmack bleibt dennoch.