Enterprise App Store

Nomasis und incapptic Connect vereinbaren strategische Partnerschaft

Ausbau des Angebots um Lösung für vereinfachtes App Release Management

Nomasis, Anbieter von sicheren Lösungen und Services für den geschäftlichen Einsatz von Smartphones und Tablets, und das Berliner Software-Haus Incapptic Connect gehen eine strategische Vertriebspartnerschaft ein. Dabei wird Nomasis als dedizierter Vertriebspartner und in enger Zusammenarbeit mit Incapptic Connect den Schweizer Markt für die gleichnamige Lösung für vereinfachtes App Release Management auf- und ausbauen. Incapptic Connect als Pionier bei der Optimierung von App Release Management und App Signing ermöglicht Unternehmen nicht nur massive zeitliche Einsparungen bei der Veröffentlichung von neuen Versionen firmeneigener Apps. Die Software erlaubt es insbesondere, viel häufiger als bisher Bugfixes und neue App- Funktionalitäten bereitzustellen“, sagt Philipp Klomp, CEO von Nomasis.

Für Dr. Rafael Kobylinski, CEO von Incapptic Connect, bedeutet die Partnerschaft einen wichtigen Meilenstein in der strategischen Entwicklung seines Unternehmens: „Wir sehen in der Schweiz mit ihren vielen grossen, international tätigen Unternehmen ein enormes Marktpotenzial, sind doch gerade auch viele Schweizer Unternehmen in Sachen firmeneigener und geschäftskritischer Apps sehr innovativ.“ Mit Incapptic Connect könnten Nomasis-Kunden den heute von den meisten Unternehmen noch händisch ausgeführten App-Signing-Prozess automatisieren, Medienbrüche vermeiden und den Ablauf massiv beschleunigen. „Nomasis als Spezialist für Mobile Application Management ist deshalb für uns der richtige Partner mit der entsprechenden Erfahrung und Glaubwürdigkeit für die Bearbeitung des Schweizer Marktes.“


incapptic Connect

Fehleranfällige Handarbeit und frustrierende Kommunikationsschleifen – bisher brauchen grosse Unternehmen mehrere Tage, um eine neue App-Version zu veröffentlichen. Mit Incapptic Connect kann das in Sekunden gehen: Die Software vereinfacht den Datenaustausch mit externen Entwicklern, signiert automatisch mit dem digitalen Unternehmensschüssel und ist kompatibel mit den gängigen App-Verteilsystemen wie etwas MobileIron, Apple App Store und Google Play. Mit der Lösung werden Grossunternehmen so schnell wie Startups beim Veröffentlichen neuer App-Versionen.


Über Nomasis AG
Medien- und Öffentlichkeitsarbeit:

Häfliger Media Consulting – Markus Häfliger Hirslanderstrasse 51 – 8032 Zürich
Tel.: +41 44 422 66 00 haefliger@haefligermediaconsulting.com www.haefligermediaconsulting.com
Als Pionier und Marktführer in der Umsetzung von mobilen IT-Infrastrukturen betreut Nomasis über 200 aktive Kunden aus der Finanzbranche, den öffentlichen Diensten, Regierung und Bildung. Seit der Firmengründung im Jahre 2004, hat sich das Unternehmen konsequent auf die Informationssicherheit vom mobilen Mitarbeiter spezialisiert und bringt geschäftsrelevante Daten sicher und einfach auf mobile Geräte wie Smartphones, Tablets und Laptops.

incapptic Connect @ IDC Enterprise Mobility Conference 2017

incapptic Connect will attend the IDC Enterprise Mobility Conference on June 22, 2017 in Frankfurt!

IDC Enterprise Mobility Conference 2017 will teach you how to use the appropriate mobility strategy to decisively influence the success of your company. Look forward to a directional conference with exciting lectures, interactive workshops, stimulating discussions and the opportunity to expand your own network. Incapptic Connect is happy to attend this conference as a partner!

The following topics are planned (subject to change):

Enterprise Mobility as a key factor in digital transformation
Mobility permeates the specialist areas: new use cases beyond the office IT
Wearables, Augmented and Virtual Reality as innovation drivers: Use Cases for Companies
Rapid Mobile App Development: Threat or Opportunity?
Implications of the EU General Data Protection Regulation (GDPR)
How do companies find the right balance between productivity and security?
Security with and in the cloud, but how?
From Mobile Laissez Faire to Mobile Security First
BYOD, CYOD and their influence on business processes
From Enterprise Mobility Management to Unified Workspace Management to IoT?


Don't miss the chance to meet our team!

Want to know more about App Release Management and Deployment Automation?
Dr. Thiemo Scherle, our Chief Customer Officer, and Marita Fabeck, Customer Development Executive, will be happy to get in touch. Come visit them at incapptic Connect's booth, or send them a message to meet during the event. 


Attend incapptic Connect´s Presentation: "Case Study on Automatic App Release Management"

From 16:00 to 16:30, Dr. Thiemo Scherle will take the stage, don't miss it!




Hotel Hilton Frankfurt City Centre
Hochstraße 4
Frankfurt am Main, 60313


4 Ways to Prevent iOS Provisioning Profile Expiration

iOS provisioning profiles for in-house apps are only valid for 12 months. Their respective distribution certificates are valid for 36 months. The clock starts ticking the moment you generate either of them in the Apple Developer Center. Once the expiration date is reached, your app stops working. This is bad, as in-house app use cases are maturing from convenience (remember the Genentech Get-A-Room video?) to business critical.
Hence if the provisioning profile or, worse the distribution certificates expire, important business processes might get disrupted.

Often overlooked: the 12-month lifespan applies also to certificates required to send push notifications via the Apple Push Notification service (APNs). If you let an APNs certificate expire, the backend of the respective app won’t be able to send push notifications anymore.


1. Apple App Store

If your app (including all static content in the app’s bundle) can be exposed to the public, going through the App Store might be actually a good choice. Of course, there is always the review process to deal with. This process creates a number of challenges, ranging from introducing the risk of an important bug fix update being rejected, important features being impossible to implement due to the review guidelines, to additional delay into the release process, making continuous delivery difficult to achieve.

If your app is being built by a third party, you could also explore a path less traveled: Custom B2B. Custom B2B uses the Apple App Store but does not expose your app to the public. With the Custom B2B option (actually a checkbox in iTunes Connect), third-party developers can submit an app to the Apple App Store and limit visibility of the app to a list of designated Volume Purchase Program (VPP) Apple IDs.

If you have one of those Apple IDs, you can ‘purchase’ the app (the price can be set to zero), while everyone else will neither see the app on the Apple App Store nor in the VPP portal. You can then manage the distribution of your app just like you would manage the distribution of a public app purchased through VPP.

While Custom B2B lets you avoid all the problems related to the limited lifespan of provisioning profiles, it introduces a lot of complexities on its own and does not bypass the Apple review process. Hence few organizations seem to have adopted it.


2. Managing with Spreadsheets

A spreadsheet is not the worst start and should contain at least the following: App name, contact information of the app owner, App ID, provisioning profile expiration date, distribution certificate expiration date, and the APNs certificate expiration date if applicable. If you manage to start maintaining such a spreadsheet before the first incident caused by an expired provisioning profile, you get extra points for having a head start compared to a lot of other companies.


3. Automated Email Notifications

The drawback of the spreadsheet solution is that you have to develop and maintain a monitoring routine and manually send advance warnings to app owners affected by soon-to-expire provisioning profiles, distribution certificates or APNs certificates.

I’d instead recommend replacing the manual routine with an automated solution. If you’d rather buy than build, our own mobile app release automation software incapptic Connect can automatically notify relevant stakeholders, such as Apple Developer Enterprise Program team admins, app owners, and app developers, based on policies you define.


How do you get started?

It’s a good idea to assess where you currently stand. Create a report of all in-house apps in the field, and check provisioning profile, distribution certificate and APNs certificate expiration dates. You should also take a look at the renewal date of the Apple Developer Enterprise Program while you’re at it. Armed with this information, you can assess if anything is about to go wrong in the next 3 months, and contact the relevant stakeholders. Then decide which route you would like to take to prevent expiration incidents for the next 12 months. Let me know how it goes!


incapptic Connect receives seed funding from High-Tech Gründerfonds

incapptic Connect closes seed round with HTGF. This start-up’s unique software resolves a complex problem in the field of apps and enterprise mobility.

incapptic Connect’s software simplifies the exchange of data between companies and external developers when updating apps. Each app needs to be signed with a digital corporate key before it can be published. This is akin to a sort of company signature. “To date, this has been carried out manually by IT specialists,” explains Dr. Rafael Kobylinski, Founder and CEO of incapptic Connect. “This takes up to one week to perform and is very error-prone.”

Today, for each new version of an app, developers need to supply all data required for publishing in the correct formats. To date, the data has been compiled in long Excel spreadsheets. The company’s IT department then needs to sign off the app with the digital corporate key before manually uploading it into the desired app stores and subsequently transferring the entire data manually again from the Excel spreadsheets.

Dr. Thiemo Scherle, Chief Customer Officer of incapptic Connect: “This error-prone procedure is no longer necessary with incapptic Connect. The software automates the process, thus ensuring that the implementation of new app versions is much easier and faster.”


incapptic Connect is compatible with popular app-distribution systems, such as MobileIron, Apple App Store and Google Play.


Dr. Rafael Kobylinski: “Our target group is large companies that offer apps for customers, partners and employees. Good apps are updated two to three times per month. Many apps therefore require numerous updates, which can be performed in a fast and error-free way with our software.”

Among the company’s first clients are a German DAX-30 company and CLAAS, the international manufacturers of agricultural machinery.

“The HTGF investment will primarily be used for product development. In addition, we will look to convince and win over further customers in the German-speaking countries (Germany, Austria and Switzerland) and beyond. We believe that incapptic Connect has major potential, particularly due to its complete independence from certain sectors and countries,” explains Dr. Marc Umber, Investment Manager at HTGF.


About incapptic Connect GmbH:

In 2015, IT graduate Dr. Rafael Kobylinski came up with a business idea and subsequently developed the first version of the software – a minimum viable product. Kobylinski was a manager at Apple Germany from 2004 to 2011 and oversaw the implementation of iPhones at major companies, including Axel Springer in 2008.


Press contact:

incapptic Connect GmbH
Dr. Rafael Kobylinski
Prinzessinnenstr. 19-20
10969 Berlin
Tel: +49 30 20848290


About High-Tech Gründerfonds:

High-Tech Gründerfonds invests venture capital in young, high potential high-tech start-ups that can turn promising research findings into business success. The seed financing provided is designed to enable start-ups to take an idea through prototyping and to market launch. Typically, High-Tech Gruenderfonds invests EUR 600,000 in the seed stage, with the potential for up to a total of EUR 2 million per portfolio company in follow-on financing. Investors in this public/private partnership include the Federal Ministry of Economics and Energy, the KfW Banking Group, as well as strategic corporate investors including ALTANA, BASF, Bayer, B. Braun, Robert Bosch, CEWE, Daimler, Deutsche Post DHL, Deutsche Telekom, Evonik, Innogy, Lanxess, media + more venture Beteiligungs GmbH & Co. KG, METRO, Qiagen, SAP, Tengelmann and Carl Zeiss. High-Tech Gruenderfonds has about EUR 576 million under management in two funds (EUR 272 million HTGF I, EUR 304 million HTGF II).



High-Tech Gründerfonds Management GmbH
Dr. Marc Umber
Schlegelstr. 2
53113 Bonn
Tel: +49.228.823001.00
Fax: +49.228.823000.50



5 Wege, eine Mitarbeiter-App zu verteilen

Sie haben eine Enterprise-App für Ihre Mitarbeiter entwickelt bzw. durch eine Agentur entwickeln lassen. Nun wollen Sie diese App Ihren Mitarbeitern zur Verfügung stellen. Im Kern haben Sie dafür fünf Optionen. Welche die richtige für Sie ist, hängt vor allem auch von Ihrer App ab.

Möglichkeit 1. Öffentliche App-Stores

Nicht lachen. Natürlich können Sie Ihre Mitarbeiter-App im App-Store von Apple oder in Google-Play veröffentlichen. Die Commerzbank macht das zum Beispiel mit ihrem Mitarbeitermagazin „Commerzbanker“. Vorteil: Sie brauchen keine eigene Infrastruktur und Ihre Entwickler müssen sich nicht mit dem abweichenden Prozess für die interne Verteilung auseinandersetzen. Eventuell zahlt die App sogar auf Ihr Image ein.

Nachteil: Die App, die eigentlich nur für Ihre Mitarbeiter gedacht ist, wird auch für Personen außerhalb Ihres Unternehmens sichtbar. Wenn die App Informationen enthält, die Ihr Unternehmen nicht verlassen sollen, ist das nicht nur ein Sicherheitsproblem. Je nach App könnte Ihre Marke auch beschädigt werden oder Sie müssen sich mit Leuten auseinander setzen, die Zugang zu Ihrer internen App verlangen. Davon ab: Sie müssen durch den Standard-Review-Prozess des Store-Betreibers, und mit der Ablehnung von bestimmten Features sowie mit den üblichen Wartezeiten leben.

Möglichkeit 2. Google Play Private Channel

Sie können sich einen privaten Kanal innerhalb von Google Play einrichten. Das macht Sinn, wenn drei Voraussetzungen erfüllt sind: Ihre Mitarbeiter-App ist für Google-Android konzipiert. UND Ihr Unternehmen hat ein Konto für Google Apps for Business, Education oder Government. UND die Zielgruppe Ihrer Mitarbeiter-App ist mit den Nutzern dieses Kontos kongruent.

Für die meisten größeren Unternehmen in Deutschland ist der Google Play Private Channel nur eine theoretische Option – zumal ein vergleichbarer Mechanismus für iOS nicht existiert.

Google Play for Work, das diese Woche vorgestellt wurde, ist übrigens nur eine neue Schnittstelle, die MDM-Anbietern die Verteilung von Apps auf Android-Geräte unterschiedlicher Hersteller erleichtern soll. Siehe Möglichkeit 5.

Möglichkeit 3. Geschützte Website

Wollen Sie Ihre Firmen-App nicht öffentlich publizieren, ist eine geschützte Website die technisch einfachste Variante.  Für Apple iOS und Windows Phone Apps müssen Sie dafür über das iPhone Developer Program Enterprise bzw. Windows Phone Dev Center / Symantec Ihre Identität bestätigen und ein spezielles Zertifikat ausstellen lassen. Wenn Ihre Entwickler die App mit diesem Zertifikat signieren, werden die Geräte Ihrer Mitarbeiter Ihre App auch ausführen.

Unter Android fehlt dieser Sicherheitsmechanismus. Hier müssen Sie Ihre Mitarbeiter dazu kriegen, „unbekannte Quellen“ in den Systemeinstellungen zuzulassen (mit übrigens messbar negativem Effekt auf die Verbreitung Ihrer App).

Außer eines Webservers brauchen Sie für diese Verteilungsvariante keine weitere Infrastruktur. Ihre Mitarbeiter werden allerdings nicht automatisch über Aktualisierungen informiert. Sie können problematische Apps auch nicht deaktivieren.

Haben Sie wirklich nur eine App und nicht so viele Mitarbeiter, ist das durchaus ein gangbarer Weg. Sie sollten dann aber zumindest einen rudimentären Update-Mechanismus in Ihre App einbauen lassen.

Möglichkeit 4. Firmeneigener App-Store

Für firmeneigene App-Stores gibt es viele Namen: Enterprise App-Store, Enterprise App Catalog, Mobile App Management, Company Hub. Im Kern funktionieren sie wie öffentliche App-Stores: Ihre Mitarbeiter greifen auf die publizierten Apps mit Hilfe einer nativen oder web-basierten mobilen App zu.

Das Grundprinzip: Ihre Apps liegen auf einer geschützten Website. Nur nicht direkt im Dateisystem, sondern in einer Datenbank. Sie werden über betriebssystemspezifische Standardmechanismen installiert. Funktionen wie Updates oder Jailbreak-Erkennung werden über eine Library realisiert, die in Ihre Apps integriert wird. Entweder während der Entwicklung als SDK oder nach Abschluss der Entwicklung als in die Binärdatei injizierter Code (s.g. „Wrapping“).

Einen solchen Enterprise App-Store können Sie selbst bauen (wie z.B. Genentech und Kimberly-Clark). Oder Sie wählen eine individualisierbare Musterlösung wie sie incapptic mit „Catalog“ anbietet. „Catalog“ berücksichtigt die besonderen rechtlichen Rahmenbedingungen in Deutschland (Mitbestimmung, BDSG, TMG etc.). In den USA gibt es weitere Anbieter, etwa Apperian und App47.

Ein Enterprise App-Store ist der richtige Weg, wenn Sie Mitarbeiter erreichen wollen, deren Geräte Sie mit Hilfe eines MDM-Systems nicht verwalten können oder wollen (z.B. BYOD oder Handels-/Service-Partner). Und wenn die Veröffentlichung in öffentlichen App-Stores ausscheidet.

Möglichkeit 5. Mobile Device Management

MDM-Systeme verbinden sich mit den Geräten Ihrer Mitarbeiter über die dafür in den Betriebssystemen vorgesehenen MDM-Schnittstellen. Sie erlauben bis zu einem gewissen Grad die Überwachung und Steuerung dieser Geräte. So kann Ihre Unternehmens-IT beispielsweise überprüfen, welche Apps auf den angebundenen Geräten sind, und gestohlene Geräte sogar komplett fernlöschen (remote wipe).

Über die MDM-Schnittstellen lassen sich Apps installieren, aktualisieren und entfernen. Moderne MDM-Systeme verfügen daher in der Regel über eine auf diesen Schnittstellen abgestützte Enterprise App Store Funktionalität (etwa AirWatch, Mobile Iron oder IBM/Fibrelink MaaS360).

Die Vorteile dieses Verteilungswegs für die IT-Abteilung sind eine stärkere Kontrolle über die Apps. Und: MDM ist der einzige Weg, über den man interne iOS Apps wirklich deinstallieren kann.

Nachteil ist, dass genau diese Kontrollmöglichkeiten der Firmen-IT viele Mitarbeiter abschreckt (big brother is watching you) und eher dafür sorgt, dass sie die Firmen-Apps unsympathisch finden, als Kontrollmedium erleben.

Dennoch: MDM ist ein guter Weg, um Mitarbeiter Apps zu verteilen, wenn ausschließlich an das MDM-System angeschlossene Geräte erreicht werden sollen (die Mitarbeiter also tatsächlich nur mit Firmenhandys arbeiten, private Geräte nicht zugelassen sind).

Mischformen sind natürlich möglich. Es gibt Unternehmen, die einen Enterprise App-Store unabhängig von einem vorhandenen MDM-System betreiben, also im Sinne eines Best-of-Breed-Ansatzes agieren. Und für unterschiedliche Zielgruppen eben auch unterschiedliche Systeme anbieten: für die Privat-Geräte der Mitarbeiter einen Enterprise App-Store und MDM für die unternehmenseigene Geräte.

Mein Fazit:

Suchen Sie sich einen Weg aus, der Ihren Zielen entspricht. Aber suchen Sie nicht zu lange. Wie gesagt, am Ende kommt es auf Ihre App an. Fail fast 

P.S. Von Gartner gibt es zu diesem Thema die lesenswerte Studie „Use the Mobile App Mix to Choose an Enterprise App Store Strategy“ (bekommt man kostenlos bei Apperian). Und die Übersicht der wichtigsten MDM Anbieter „Magic Quadrant for Enterprise Mobility Management Suites“ (kostenlos bei AirWatch und beiMobile Iron).

Installation von Enterprise Apps unter iOS 9

Das Over-the-Air (OTA) Installationsverfahren für Enterprise Apps wurde in iOS 9 von Apple verändert. Anwender der neuen Version des Apple-Betriebssystems müssen nach der Installation einer solchen App erstmal tief in die iOS-Einstellungen eintauchen. Erst dann lassen sich mit einem Enterprise-Zertifikat signierte Apps benutzen. Bisher reichte die beiläufige Bestätigung von zwei Dialogen aus, um eine Unternehmens-App zu installieren und gleich danach zu starten.

Installationsverfahren bisher (Siehe auch Apple’s support):

Ein erster Dialog erscheint gleich am Anfang der Installationsprozedur. Sie bestätigen darin, dass Sie wirklich eine App installieren wollten. Sofern Sie in diesem Dialog „Installieren“ auswählen, wird die App geladen und installiert.

Ein zweiter Dialog erscheint, wenn Sie die App das erste Mal starten. Sie werden gefragt, ob Sie den Entwicklern der App vertrauen wollen. Falls Sie „Vertrauen“, wird die App gestartet.
In den letzten Monaten gab es immer wieder Meldungen über iOS-Malware, die sich über diesen Mechanismus verbreitet hat. Vermutlich nicht zuletzt aus diesem Grund hat Apple in iOS 9 das Installationsverfahren modifiziert.


Das geänderte Installationsverfahren unter iOS 9:

Auch unter iOS 9 werden Sie in einem ersten Dialog gefragt, ob Sie tatsächlich eine App installierten wollten. Diesen Dialog hat Apple nicht verändert.
Wenn Sie dann allerdings versuchen, die installierte App das erste Mal zu starten, bekommen Sie zu lesen, dass die installierte App von einer Entwickler-Organisation stammt, der Sie bisher noch nicht vertraut haben. Anders als bisher können Sie diesen Dialog nur zur Kenntnis nehmen und schließen.

Um die App wirklich auszuführen, ist ein zusätzlicher Schritt notwendig: Sie müssen explizit in die Einstellungen > Allgemein > Profile navigieren und DORT Ihr Vertrauen gegenüber den Entwicklern Ihrer neuen App bestätigen. Sobald Sie das getan haben, können Sie Ihre neue App starten.

Die gute Nachricht: Sie müssen Ihr Vertrauen nur einmal je Entwickler-Organisation bestätigen. Und können dann ohne weitere Vertrauensbekundungen beliebig viele Apps aus dem gleichen Stall installieren. Die Entwickler-Organisation wird dabei über die Apple Developer Enterprise Program Team ID bzw. das Distribution-Zertifikat identifiziert, mit dem die App signiert wurde.

Die schlechte Nachricht: falls Sie Apps über eine gesicherte Website oder einen Enterprise App Store verteilen, müssen Sie Ihre Benutzer über den neu eingeführten Schritt aufklären, sonst werden Sie wohl viele Benutzer verlieren. Ein entsprechender Hinweis in einer Email an Ihre Mitarbeiter und auf der Installationsseite Ihrer Enterprise App bzw. Ihres Enterprise App Stores für iOS 9 Nutzer könnte in etwa lauten:



Installieren Sie „‹Ihre App›“. Tippen Sie dazu „Installieren“ auf dieser Seite und bestätigen den Installationsdialog.
Wichtig: Tippen Sie dann auf „Einstellungen“ > „Allgemein“ > „Profile“ > „‹Ihr Unternehmen›“ und dann auf „ vertrauen“.
Starten Sie „App Catalog“ vom Home-Screen.



Download „‹Your App›“ from this web page by tapping „Install“. Confirm the installation dialog.
Important: tap „Settings“ > „General“ > „Profiles“ > „“. Then tap „Trust ‹Your Company›“
Launch „App Catalog“ from the home screen.

Übrigens: sofern Sie für die Verteilung von Apps ein Mobile Device Management System bzw. das MDM-Protokoll verwenden, entfallen unter iOS 9 ALLE oben genannten Schritte. Ist ein iOS 9 Gerät in einem MDM-System registriert, hält das Betriebssystem alle von dort zugeführten Apps automatisch für vertrauenswürdig. Zusätzlich können Sie aus solchen Geräten mit Hilfe einer neuen MDM-Restriction die Installation von Apps aus allen anderen Quellen unterbinden.