Hommel-Net Weblog

Der Blackberry Enterprise Server versorgt Blackberry Smartphones mit Unternehmensdaten wie Mail, Kalenderdaten, Kontakte und anderen Anwendungen. Ein großer Vorteil: Der BES nimmt von innen aus dem Firmennetz Verbindung zur RIM Infrastruktur auf, er muss also vom Internet aus nicht direkt erreichbar sein.  Nun hat Hersteller Research in Motion verkündet, für die neue Betriebssystemarchitektur OS10 das Microsoft-Protokoll Active Sync zu benutzen. Das schmeckte mir zunächst gar nicht, denn Active Sync erfordert einen Netzzugang von außen (https), es muss also ein exponierter Server vom Internet erreichbar sein oder das mobile Device muss sich mittels VPN-Zugang ins Firmennetz einwählen, bevor die Synchronisation funktioniert.

Als ich mich darüber im einem Thread im Berrymotion-Forum aus lies, machte mich Tommy auf einen Artikel im Business-Blog von RIM aufmerksam, in dem erläutert wird, wie die neue Architektur funktioniert. Wichtige Aussage hier:

In particular, there is no need to open additional firewall ports or make any other changes that would cause an IT group to change their infrastructure.

Der neue BES wird also weiterhin die Verbindung zur RIM-Infrastruktur aufbauen und dann über die so aufgebaute verschlüsselte Verbindung das Active Sync - Protokoll transportieren. Die Details dazu kann man im verlinkten Artikel nachlesen.

Also wird RIM auch mit dem neuen BES die bisherige Sicherheitsinfrastruktur aufrecht erhalten und das neue Blackberry-OS 10 verspricht ein Knaller zu werden. Ich freue mich schon drauf.

Beruflich arbeite ich rechenzentrumsbedingt hauptsächlich an einer Windows-Workstation. Wie viele andere Admins habe auch ich im Laufe des Arbeitstages viele verschiedene Programme am Rechner geöffnet. Meine Strategie hierbei ist es, die Programme immer in der gleichen Reihenfolge zu öffnen und immer auf der selben Stelle auf den Bildschirmen anzuordnen. Dadurch weiß ich, wenn ich ein bestimmtes Programm aus der Windows-Taskleiste in den Vordergund holen möchte, immer, wo ich das Programm finde. Auch am privat genutzten Kubuntu-System gehe ich in der Regel so vor.

Jetzt kann es im Laufe des Tages vorkommen, dass ein Programm sich unvorhergesehen verabschiedet oder ich es versehentlich schließe. Jetzt bin in in einem Dilemma. Öffne ich die Anwendung neu, reiht sie sich in der Taskleiste brav am Ende ein. Auf meinen privaten Linuxsystemen und dem bis vor kurzem genutzten Windows Vista hatte ich oftmals keine andere Chance, als alle Programme zu schließen und in der "richtigen" Reihenfolge neu zu starten. Umständlich und zeitaufwendig.

Seit kurzem habe ich auf der Arbeit ein Windows 7 System und hier haben sich die Programmierer endlich den Bedarf erkannt, die Programme in der Taskleiste einfach mit der Maus zu verschieben. Für mich eine riesige Erleichterung. Warum ist da nicht schon vorher jemand darauf gekommen? (Bei Apple kenne ich mich nicht aus, geht das da auch?)

Wie ist das bei euch? Ist das Feature für euch auch sinnvoll oder habt ihr euch auf euren Rechnern ganz anders organisiert und die Taskleiste ist euch völlig egal?

..., dachte ich mir beim ersten Lesen des folgenden Tickets:

Zum Glück brachte das weitere Lesen der Problembeschreibung das tatsächliche Problem des Nutzers zu Tage.

Das ist doch mal was für den geplagten Admin. Der "user hater's password generator" ist ein kleines Perlskript, das Passwörter generiert, die einen Benutzer garantiert zur Verzweiflung bringen.

Beispiel gefällig?

The user hater's password generator. Have a lot of fun!
-------------------------------------------------------
01) 0O0Ol]O|]1[0
02) 0[]O||0Il[[1
03) 0O|O1l|[0l]O
04) 11l00l|1I]|I
05) Il]l[01Il0|l
06) I|[]0ll01O|O
07) l0|I1IO]]|lO
08) lI][]|I]|1]I
09) 1[]|I[O00I[l
10) 00][[I10I0lI

via:

Vorgestern Abend meldete einer "meiner" Server brav per SMS einen Fehler im RAID. Eine der Festplatten hatte einen "PFA-Fehler". Das kannte ich tatsächlich noch nicht und musste mal googeln. "Predictive Failure Analysis®" nennt sich das Ganze und der Hersteller verspricht, dass eine Festplatte mit dieser Technologie bis zu 48 Stunden vor ihrem digitalen Tod denselben ankündigen kann. Die betroffene Platte lief also noch, sagte aber mit diesem Fehler ihr baldiges Ableben voraus.

Eine gute Sache, denn auch bei einem RAID 5 mit Hotspare-Platte ist der Ausfall einer Platte im laufenden Betrieb immer mit Risiken verbunden. So konnte ich relativ gelassen am nächsten Morgen über unseren Servicedienstleister eine neue Platte anfordern und die betroffene Platte kontrolliert aus dem RAID-Verbund rausnehmen.

Dieser Dateiname hat alles, was einem Administrator lieb und teuer ist.

Im letzten Posting hatte ich ja versprochen mal zu erzählen, wie ich meine beiden Smartphones - ein privates und ein beruflich genutztes - im einzelnen nutze und wo es Vor- und Nachteile der getrennten Nutzung gibt. Also legen wir mal los.

E-Mail

Bei der E-Mail-Nutzung ist es einfach. Die dienstliche E-Mail-Adresse läuft über den beruflich genutzten Blackberry, der über einen Blackberry-Enterprise-Server direkt mit dem Firmen-Mailsystem verbunden ist. Die privaten Mailadressen laufen übers private Smartphone (welches auch ein Blackberry ist ). Das ist ohne Nachteile so nutzbar, wenn man mal von den zwei Geräten absieht, die man immer mitnehmen muss.

Kontakte

Die Kontakte teile ich auch in private und geschäftliche Kontakte auf, obwohl es hier natürlich auch Überschneidungen gibt, bei denen dann Kontakte eventuell doppelt erfasst werden müssen. Auf dem Diensthandy werden die Kontakte ebenfalls mit dem Firmen-Mailsystem synchronisiert. Im Privatbereich verwaltet Google meine Kontakte in der Gmail-Anwendung. Das hat den Vorteil, dass die Kontakte mit dem Handy und auch mit Desktopanwendungen abgeglichen werden können, ich nutze z.B. Thunderbird mit Zindus.

Kalender

Beim Kalender macht für mich eine Trennung und somit die Pflege von verschiedenen Kalendern für Beruf und Privat keinen Sinn. Ich möchte alle Termine in einem Kalender im Blick haben. Hierfür nutze ich den Kalender in unserem Firmen-Mailsystem. Hier können Einträge als "privat" gekennzeichnet werden. Der Kalender wird in beide Richtungen in Echtzeit mit dem Diensthandy abgeglichen. Im Kalender halte ich alle Termine fest und habe ihn auch immer dabei. Hier ist auch der Nachteil, denn mit dem Kalender habe ich dann auch in der Freizeit immer das Diensthandy dabei. Aber ich kann dienstliche Mails nachts um 12 gut ignorieren .

Todos

Todo-Listen sind auch so eine Sache. Ich nutze ein System aus dem Buch "Zeitmanagement für Systemadministratoren". Dieses System sieht eine Todo-Liste für alles Bereiche vor. Da die Todo-Liste unseres Firmen-Mailsystems (ok, ich nenne es jetzt mal beim Namen, es ist eine Domino/Notes-Umgebung) dieser Technik sehr entgegen kommt und die Todo-Listen auch im Kalender darstellt, nutze ich hierfür also auch das Diensthandy, wenn ich unterwegs bin. Nachteil hierbei ist, dass ich keine Möglichkeit habe, die privaten Todos auf einem privaten Destop zu verwenden, sonder hier immer mit dem Smartphone arbeiten muss. Als Ergänzung für private Projekte dient mir hier Evernote.

Social-Kram

Das ist wieder einfach. Sozialer Netzwerkkram ist Privatsache, also läuft das alles übers private Handy (mein Arbeitgeber ist derzeit noch nicht in Sozialen Netzwerken vertreten).

Alles in allem komme ich mit diesem Setup gut klar und kann mich mit der Nutzung von zwei verschieden Mobiles gut arrangieren. Jetzt würde mich mal interessieren, wie ihr das so macht. Habt ihr getrennte Handys für privat und dienstliches? Wie nutzt ihr eure Smartphones. Schreibt was in die Kommentare oder schreibt was in euren Blogs (ist es ein Stöckchen?) und "trackbacked" diesen Artikel. Ich freu mich drauf.

Ich mag ja den Winter, weil ich dann eine Jacke anhabe, die genug Taschen für alle Handys hat, die ich so mitnehmen muss/will.

Aber Spass beiseite, als (angestellter) Administrator hat man ja meist ein Firmenhandy oder -smartphone, über das man bei Notfällen erreichbar ist oder dass idealerweise auch an das Firmen-Mailsystem angebunden ist, um auch unterwegs E-Mails und Kalender zur Verfügung zu haben. Da unsere Berufsgruppe naturgemäss auch recht technikaffin ist, hat man natürlich auch Privat ein Smartphone, über dass man private Mails, soziale Netze usw. im Auge behält. Das hantieren mit unterschiedlichen Geräten und das oben erwähnte Transportproblem drängen die Frage auf, ob man nicht ein Gerät für berufliche und private Zwecke nutzen könnte oder sollte.

Eins für dienstliche und eins für private Zwecke?

Für angestellte Admins gibt es verschiedene Faktoren und Abhängigkeiten vom Arbeitgeber, wie eine solche Nutzung aussehen kann.

Nutzung von zwei unterschiedlichen Geräten für Beruf und Privat

Vorteile:

• Klare Trennung von beruflichen und privaten Daten.
• Private Daten bleiben immer in meinem Herrschaftsbereich.
• Hohe Datensicherheit, da striktere Policies auf dem dienstlichen Gerät durchgesetzt werden können.
  
• Ich kann das Diensthandy auch mal liegen lassen und "nur Privat" sein.

Nachteile:

• Ich muss mehrere Geräte mit herumtragen.
• Daten, die ich benötige sind an unterschiedlichen Stellen (Kalender, Kontakte usw).

Die Firma erlaubt die Nutzung des Firmengerätes auch für private Zwecke.

Vorteile:

• Nur ein Gerät für alle Daten.
• Eventuell Kostenvorteile, da ich eine Kostenteilung zwischen Arbeitgeber und mir vereinbaren kann.

Nachteile:

• Durch Sicherheits-Policies kann ich eventuell nicht alle Features des Smartphones im privaten Bereich nutzen.
• Meine privaten Daten sind auf einem Gerät, das faktisch meinem Arbeitgeber gehört und dass er mir jederzeit "wegnehmen" kann.
• Ich bin für den Arbeitgeber ständig erreichbar.

Die Firma erlaubt die Nutzung eines privaten Gerätes für die dienstliche Nutzung (Stichwort: Bring your own device)

Vorteile:

• Nur ein Gerät für alle Daten.
• Die privaten Daten bleiben in meinem Herrschaftsbereich.
• Ich kann mir in gewissen Grenzen das Gerät, das ich nutzen möchte, selbst aussuchen.

Nachteile:

• Sicherheit, die Nutzung des Features des Handys kann durch Sicherheits-Policies eingeschränkt sein, für deren Einhaltung ich eventuell selbst sorgen muss.
• Auch hier bin ich für den Arbeitgeber ständig erreichbar.
• Eventuell muss ich Kosten, die für dienstliche Angelegenheiten entstehen, zum Teil selbst tragen.

Diese Betrachtungen beleuchten natürliche nur die Aspekte für mich persönlich und noch nicht die Fragen, die sich ein Arbeitgeber stellen muss, wenn er zwischen diesen Modellen entscheiden muss. Wir Administratoren sind hier in einer Zwickmühle, da wir ja häufig auch für die Erstellung und Einhaltung der IT-Sicherheits-Policies mit verantwortlich sind.

Ich nutze momentan noch die erste Variante, habe also ein dienstliches und ein privates Smartphone. In einem folgenden Artikel werde ich beschreiben, wie ich diese Konstellation in der Praxis nutze.

Wie sieht es mit der beruflichen / privaten Smartphonenutzung bei euch aus?

Diese Woche hatte ich einen interessanten Supportfall mit einem Kunden, der das Smart-TAN-Verfahren mit TAN-Generator benutzt. Sein Leser konnte partout den Flickercode vom Bildschirm nicht einlesen.

Nach einigen erfolglosen Versuchen via Telefon, durch Einstellungen am Bildschirm und am Generator das Problem zu lösen, bin ich dann zum Kunden gefahren, um mir den Fall vor Ort anzusehen.

Nach einigem Suchen konnten wir als Fehlerquelle eine ungefähr 2m vom Bildschirm montierte Halogenlampe indentifizieren. Duch Anschalten der Lampe konnte man zuverlässig und reproduzierbar die Lesefunktion des TAN-Generators ausschalten. Sachen gibts....

Heute: Unser Kopierer