Drei Unternehmens-Szenarien für MDM-Produkte

Wollen Unternehmen Anwender von Smartphones und Tablets, sowie deren Daten schützen, sollten sie ein MDM-Produkt (Mobile Device Management) einsetzen.

Dieser Artikel behandelt

MDM

ÄHNLICHE THEMEN

Mobile Geräte gehören in der Zwischenzeit zu den Tools, die aus der Geschäftswelt nicht mehr wegzudenken sind. Die Anwender brauchen überall Zugriff auf die Daten und das möglichst schnell. Smartphones und Tablets statten Mitarbeiter mit der notwendigen Flexibilität aus, ihre Arbeit ohne Grenzen zu verrichten. 

Auf der anderen Seite gibt es bei den Unternehmen auch große Bedenken hinsichtlich der Daten-Security und Bedrohungen für die Privatsphäre. Mithilfe von MDM-Produkten (Mobile Device Management) können die Angestellten ihrer Arbeit effizient und effektiv nachgehen, während die IT-Abteilung die Unternehmensdaten schützt und unautorisierte Zugriffe auf die mobilen Geräte verhindert.

Hat man sich für die Implementierung eines MDM-Produkts entschieden, gibt es drei hauptsächliche Szenarien, über die man nachdenken muss:

  • Die Absicherung der Daten auf mobilen Geräten.
  • Das mobile Gerät selbst schützen.
  • Die Absicherungen von Sessions und Daten, die zwischen Smartphones oder Tablets und dem Netzwerk der Firma übertragen werden.

Szenario Nummer Eins bei MDM-Produkten: Absicherung der Daten

Kein Grund für den Einsatz eines MDM-Produkts ist so wichtig wie die Absicherung der Daten auf mobilen Geräten. Genau genommen handelt es sich bei mobilen Geräten um kleine Computer mit leistungsfähigen Prozessoren, sowie großen Mengen an Storage und Arbeitsspeicher. Setzt man die Geräte in einem Unternehmen ein, befinden sich die gleichen Daten darauf wie auf einem Standard-PC oder einem Notebook. 

Zumindest hat man Zugriff auf die gleichen Daten. Mit diesem Wissen im Hinterkopf, müssen Unternehmen die Datensicherungsmechanismen der Enterprise-Klasse auf diese Geräte ausweiten. Dabei darf man allerdings die wichtige Rolle dieser Geräte innerhalb der Firma nicht beeinträchtigen.

MDM-Anbieter stellen zwei Methoden oder Ideologien zur Verfügung, um Daten auf mobilen Geräten zu schützen: Containerisierung und Nicht-Containerisierung.

MDM mit Containerisierung

Ein mobiles Security-Produkt mit einem Ansatz für die Containerisierung reserviert auf dem mobilen Gerät eine kleine Partition im Storage für die MDM-Anwendung. Alle Unternehmensdaten, -Apps und die Kommunikation damit kann nur in dieser abgekapselten Sektion stattfinden. Benutzt man Containerisierung, lassen sich Daten von einem Smartphone oder Tablet auch nicht in eine MDM-Anwendung einfügen und andersherum. Solche Security-Plattformen für mobile Geräte bringen in der Regel eine zusätzliche Schutzebene mit sich, indem sich Anwender an MDM separat anmelden müssen.

Die Herangehensweise mit containerisiertem MDM hat Vorteile. Sollte ein Gerät gestohlen werden oder verloren gehen, oder jemand das Unternehmen verlassen, könnte man die MDM-App vom Smartphone oder Tablet einfach löschen. Das würde alle Instanzen an Unternehmensdaten ebenfalls löschen. Auf diese Weise müssen sich Administratoren keine Gedanken machen, ob sie etwas Wichtiges übersehen haben.

Die Nachteile von MDM mit Containerisierung sind, dass die Anwender oftmals nicht die Apps nehmen können, die sie gewohnt sind. Unternehmen haben auf der anderen Seite oftmals nicht die Möglichkeit, maßgeschneiderte Programme oder Tools zu verwenden. Der Grund ist, dass die MDM-Anbieter mit den App-Entwicklern zusammenarbeiten müssen, damit die Software Zutritt zu der verschlüsselten Partition erhält. Viele MDM-Anbieter arbeiten an dieser Stelle sogar mit diversen App-Entwicklern zusammen, allerdings ist nicht jede App vollständig kompatibel.

MDM-Produkte ohne Containerisierung nutzen

Geht man ohne Containerisierung an Mobile Security heran, können Anwender ihre mobilen Geräten ohne Einschränkungen und wie gewohnt benutzen. Das gilt auch für konventionelle Apps. Ohne Containerisierung genießen die Anwender also mehr Flexibilität. 

Sie sind in der Lage, mit den gewohnten Apps zu arbeiten. Software von Dritten kann verglichen mit Containerisierung einfacher auf die Daten zugreifen. Das gilt sowohl für Business- als auch persönliche Daten. Es kommt in diesem Fall auf die Richtlinie an, die der MDM-Administrator geschaffen hat. Die Konfiguration kann aber auch das Sperren von Firmen-Apps und/oder persönlichen Anwendungen vorsehen.

Diese Methode gewinnt gegenüber der Containerisierung mehr und mehr Popularität, weil der Endanwender flexibler agieren kann. Allerdings müssen Administratoren an dieser Stelle sehr sorgfältig prüfen.

Sind mobile System nicht containerisiert, kann man so genannte DLP (Data Loss Prevention) Tools einsetzen. Damit lassen sich Daten inspizieren und schützen, bevor sie das mobile Gerät verlassen.

Der Schutz der Daten auf mobilen Geräten ist von höchster Wichtigkeit. Das ist in den beiden folgenden Szenarien mit einbezogen. Denken Sie über den Einsatz eines MDM-Produkts nach, sollte dieser Punkt ebenfalls höchste Priorität genießen.

Szenario Nummer Zwei bei MDM-Produkten: Schutz des Gerätes

Da nun die Daten ausreichend abgesichert sind, sehen wir uns Mittel und Wege an, wie MDM beim Schutz des Gerätes selbst helfen kann. Das ist ein wichtiges Thema: Ist ein Smartphone oder ein Tablet nicht sicher, kann das zur Infizierung des Netzwerks und zu kompromittierten Daten führen.

Erkennung von Jailbreaking und Rooting

Die meisten MDM-Systeme können Administratoren alarmieren, wenn ein Anwender einen Versuch unternimmt, das entsprechende Gerät zu Jailbreaken oder zu Rooten. Ein gerootetes oder jailbroken mobiles Gerät erlaubt es einem Anwender, Systemfunktionen auszuüben, die so nicht vom Hersteller oder der IT-Abteilung des Unternehmens vorgesehen sind. 

Wir sprechen hier unter anderem von Administrator-Zugriff, Downloaden und Installieren von Apps, die von außerhalb des App Stores kommen. Diese können wiederum Malware mit sich bringen. Das ist natürlich nicht zwingend alles schlecht. Allerdings erhöht das Jailbreaking die Risiken für ein Unternehmensnetzwerk, die man lieber vermeidet. Somit untersagt man den Anwendern am besten das Rooten ihrer Smartphones und Tablets von Anfang an.

PIN- und Passwort-Schutz sind ein Muss

Die erste Abwehrlinie für jedes mobile Gerät ist natürlich ein Passwortschutz. Setzt man mittels MDM durch, dass auf dem Smartphone oder Tablet nach einem Timeout eine PIN oder ein Passwort zwingend genutzt werden muss, ist das eine einfache Möglichkeit, das System vor neugierigen Augen zu schützen. Ob das Gerät dabei nun verloren oder gestohlen wurde, ist irrelevant. Anscheinend ist das nur eine kleine Sache. Dennoch sollten Sie Passwort-Security via MDM unbedingt etablieren.

Remote Wipe

Die Option eines so genannten Remote Wipes (entferntes Löschen) auf dem Smartphone oder dem Tablet, kann ein Retter in der Not sein, sollte sich das Gerät nicht mehr im Besitz seines rechtmäßigen Eigentümers befinden. Damit stellen Sie sicher, dass über das Smartphone oder Tablet auf nichts mehr zugegriffen werden kann. Die Daten auf einem Smartphone oder Tablet sind sehr wahrscheinlich wesentlich wertvoller als die mobile Hardware.

Änderungen beim Betriebssystem und Apps

Mit einer einfachen MDM-Richtlinie kann ein Administrator bestimmen, welche Apps installiert werden. Außerdem lässt sich festlegen, welche Änderungen am Betriebssystem genehmigt sind. Das gilt dann sowohl für den Anwender des Smartphones oder Tablets als auch für böswillige Hacker. 

Zum Beispiel könnte man mithilfe einer Whitelist nur die Installation bestimmter Apps erlauben und außerdem sicherstellen, dass alle Kameras deaktiviert sind. Somit garantiert man, dass sich so genannte und schädlich Rogue Apps erst gar nicht installieren lassen. 

Auf diese Weise sind auch keine Infizierung des mobilen Geräts, Datendiebstahl oder noch Schlimmeres möglich. Weiterhin halten Sie so alle mobilen Geräte innerhalb einer grundlegenden Betriebssystemkonfiguration des Netzwerks, was wiederum die allgemeine Administration vereinfacht. Dieses Niveau an App- und Systemkontrolle ist ein Muss, wenn man mobile Geräte an Endanwender ausgibt.

Verschlüsselung mobiler Geräte

Firmen sollten alle mobilen Geräte verschlüsseln, auf denen sich wichtige Unternehmensdaten befinden. Ein MDM-Produkt kann helfen, eine Verschlüsselung auf allen unterstützten Smartphones und Tablets zu erzwingen. 

Das ist so ähnlich wie eine komplette Verschlüsselung der Festplatte bei Notebooks oder Desktops. Die Verschlüsselung schützt das mobile Gerät selbst und konsequenterweise auch die Daten, die sich darauf befinden. Es ist wichtig, diese Funktion auf allen mobilen Geräten zu nutzen. Das gilt auch für Firmen, die Containerisierung via MDM verwenden.

Szenario Nummer Drei bei MDM-Produkten: Mobile Verbindungen absichern

Nun sind also die Daten und das mobile Gerät selbst geschützt. Kümmern wir uns nun also darum, die Kommunikation der Smartphones und Tablets sicher zu gestalten. Der Schwerpunkt des letzten Szenarios liegt darin, wie MDM-Produkte bei der Absicherung der Verbindungen und den Sitzungen helfen kann, die zwischen mobilen Geräten und Unternehmensressourcen stattfinden.

Bei MDM können Unternehmen die Risiken von unsicherer Kommunikation mildern, indem Sie Konfiguration durch Dritte blockieren. Das entfernt gewisse Funktionen auf mobilen Geräten und aktiviert andere innerhalb des Mobile-Management-Produkts. Ein Beispiel an dieser Stelle ist die Aktivierung von VPN-Verbindungen (Virtual Private Network) auf mobilen Geräten, damit sie sicher mit dem Unternehmen kommunizieren.

Weiterhin ist es häufig der Fall, dass Anwender auf Daten oder Services im internen Netzwerk zugreifen müssen. Anstelle den Zugriff auf diese Ressourcen auf unsichere Weise zu gestatten, können Administratoren mithilfe von MDM-Produkten VPN-Verbindungen erzwingen. Damit ist ein sicherer Datenzugriff gewährleistet.

Eine weitere Methode, den Zugriff auf das Firmennetzwerk abzusichern, ist die SSIDs (Service Set Identifiers) einzuschränken, die drahtlose Geräte nutzen dürfen. Dieser Ansatz kann etwas sehr restriktiv sein. Allerdings können Administratoren eine Richtlinie festlegen, dass sichere, drahtlose Unternehmensverbindungen immer priorisiert verwendet werden sollen, sofern sie verfügbar sind. Ist das nicht der Fall, dann dürfen sich die mobilen Systeme zu unsicheren Netzwerken verbinden.

Weiterhin ist zu empfehlen, interne genutzte Zertifikate von Unternehmens-Servern auf die mobilen Geräte zu übertragen. Diese Authentifizierung ist eine zusätzliche Schutzschicht.

Es gibt MDM-Optionen, die den Zugriff auf bestimmte Websites einschränken. Man nennt das Secure Web Browsing. Diese Technologie ist in der Regel mit dem Unternehmensnetzwerk verbunden und damit kann man eine zusätzliche Policy implementieren. So sind Anwender sicher über den normalen Web Proxy oder die Web-Filter-Services des Unternehmens im Internet unterwegs. Da mobile Geräte somit Erweiterungen des Unternehmensnetzwerks sind, unterliegen Sie den gleichen Webrichtlinien wie die Computer am Standort. Für den Webzugriff bedeutet das konsistente Security und Anwendererfahrung.

Bestimmte MDM-Systeme beinhalten eine Funktion, die sich Geofencing nennt. Damit können Sie mobile Geräte auf einen bestimmten geografischen Standort limitieren. Die meisten Anwender sind mit ihren Smartphones und Tablets aber viel unterwegs. Deswegen ist so eine Maßnahme eventuell etwas zu restriktiv. Sollen bestimmte mobile Geräte, wie zum Beispiel mobile PoS-Systeme, einen Standort aber nicht verlassen, ist das sinnvoll. Verlässt ein solches Gerät einen vorbestimmten Bereich, dann wird es wegen der Firmen-Policy als unbenutzbar deklariert.

Mobile Geräte gehören in der modernen Zeit zu den Standard-Business-Tools und fast jeder arbeitet damit. Wegen der großen Popularität müssen Unternehmen die Daten, Systeme und Verbindungen absichern, die mobile Geräte nutzen. Die Smartphones und Tablets selbst muss man natürlich auch schützen. 

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im April 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Mobile-Device-Management (MDM)

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close