Mobile Device Management: Sind MDM-Tools so sicher wie Sie denken?

MDM-Systeme werden in Unternehmen zur Verwaltung mobiler Geräte eingesetzt. Verantwortliche müssen sich allerdings der Schwachstellen bewusst sein.

Dieser Artikel behandelt

Tablets

ÄHNLICHE THEMEN

IT-Verantwortliche nutzen Lösungen für Mobile Device Management (MDM), um wichtige Unternehmensinhalte abzusichern....

Aber möglicherweise liefern MDM-Produkte nicht den Schutz, den IT-Profis erwarten.

Mobile Device Managementhilft beim Reduzieren einiger der mit mobilen Geräten assoziierten Gefahren – darunter Datenverlust oder mobile Malware. Wer aber nur auf MDM-Tools setzt, um Smartphones und Tablets zu sichern, der ist in etwa so sicher wie ein Haus, das nur ein Rauchalarm vor Feuer schützen soll.

MDM und Sicherheit

Für die Meisten ist die Fähigkeit, Smartphones und Tablets abzusichern, der Hauptgrund für ein Investment in MDM. IT-Administratoren können Geräte zentral verwalten und Richtlinien an alle verwaltete Smartphones und Tablets ausrollen. Zudem lassen sich Verschlüsselungsfunktionen aktivieren, Passwörter erzwingen oder einzelne Funktionen deaktivieren. IT-Verantwortliche können dadurch beispielsweise Firmendaten verschlüsseln oder eine Kamera im Gerät abschalten.

Ein anderer großer Vorteil ist das Löschen aus der Ferne. Wird ein Smartphone verloren oder gestohlen, können IT-Verantwortliche sensitive Informationen auf dem Gerät entfernen, ohne dass dazu ein direkter Zugriff notwendig ist. Einige MDM-Tools bieten zudem Funktionen, mit denen sich private Daten von Unternehmensinformationen getrennt verwalten lassen – eine praktische Funktion wenn Unternehmen ein BYOD-Szenario (Bring Your Own Device) umsetzen. Mit so einer Funktion können IT-Verantwortliche die Unternehmensdaten löschen, ohne dass private Informationen angetastet werden.

MDM kann zudem die Installation von unerwünschten Applikationen verhindern und erkennen, ob das jeweilige Gerät einem Jailbreak oder einem Rooting-Vorgang unterzogen wurde. Auf einem iOS-System hebelt ein Jailbreak wichtige Sicherheitsfunktionen aus. Ähnliches passiert, wenn sich Android-Nutzer Root-Zugriffe verschaffen. In beiden Fällen entstehen potentielle Schwachstellen, die Angreifer mit bösartigen Applikationen ausnutzen können.

Sandboxing in mobilen Geräten

Die Kernfunktionen der meisten MDM-Lösungen variieren nicht allzu sehr. Das liegt auch an den mobilen Betriebssystemen. Diese diktieren, welche Management-Funktionen ein MDM-System zur Verfügung stellen kann. Ein Beispiel: MDM-Software kann einen Remote-Wipe anbieten, weil im jeweiligen mobilen Betriebssystem die notwendigen Funktionen integriert sind. Falls ein mobiles Betriebssystem die notwendigen Funktionen nicht unterstützt, kann MDM auch Fernlöschung nicht anbieten.

Viele MDM-Angebote erfordern eine Client-Applikation auf dem verwalteten mobilen Gerät. Auf den Smartphones sind diese Anwendungen aber meist durch eine Sandbox vom Rest des Betriebssystems (und anderen Applikationen) getrennt. Wenn eine Anwendung auf eine andere zugreifen will, benötigt sie die explizite Erlaubnis des Nutzers. Aber selbst dann ist der Zugriff und Datenaustausch zwischen einzelnen Anwendungen limitiert. Aus diesem Grund kann eine MDM-Verwaltungs-App keine anderen Applikationen oder das Betriebssystem direkt steuern, unabhängig von den potentiellen Sicherheitsrisiken. MDM-Anbieter können sichere Container erstellen, um Daten zu verschlüsseln und zu schützen, die Hersteller können aber außerhalb des Containers nur sehr begrenzt agieren.

Die MDM-Apps müssen sich zudem darauf verlassen können, dass die mobilen Geräte und das Betriebssystem eine sicher Umgebung zur Verfügung stellt. Falls ein Smartphone oder Tablet gerootet oder einem Jailbreak unterzogen wird, und die MDM-Lösung dies nicht merkt, sind die gespeicherten Daten in Gefahr.

MDM-Anbieter befinden sich also in einer Zwickmühle: Sie müssen sich auf die Sandbox des Systems verlassen können, um ihre eigenen Dienste zu sichern. Diese Sandbox schränkt sie aber zugleich in ihren eigenen Funktionen ein. Wird allerdings die zugrundeliegende Sandbox kompromittiert, dann gilt das unter Umständen auch für das MDM-Tool – die versprochene Sicherheit ist hinfällig.

MDM Anwendungen im Unternehmenseinsatz

Eine Lösung kann keinen umfassenden Schutz gewährleisten – das ist die wichtigste Lektion, die beim Schutz von Unternehmens-PCs gelernt wurde. Die IT kann beispielsweise eine Anti-Virus-Lösung installieren, diese sollte aber nicht die einzige Schutzebene gegen Angriffe sein. Stattdessen handelt es sich dabei um einzelne Komponenten, die in einem umfassenden Schutzkonzept zusammengeführt werden.

Wenn Sie mobile Geräte schützen möchten, sollten Sie zusätzlich Ihre Applikationen, die Daten auf den Geräten und die zur Verfügung stehende Infrastruktur in Ihre Überlegungen einbeziehen. Ein Beispiel wäre, eine sichere Alternative zu Diensten wie Dropbox anzubieten, mit der Mitarbeiter Dateien einfach synchronisieren können, die aber komplett unter der Kontrolle der IT-Abteilung unterliegt. Zusätzlich lassen sich Systeme für Intrusion Detection oder Intrusion Prevention etablieren, die im Netzwerk nach Unregelmäßigkeiten suchen. Eine andere Möglichkeit ist es, mobile Geräte den Zugriff auf Unternehmensressourcen nur per VPN zu erlauben. Unabhängig von den technischen Maßnahmen sollten Sie zudem die Nutzer trainieren und ihnen erklären, wie sie sicher auf die Unternehmensdaten zugreifen können.

Die Sicherheit mobiler Geräte sicherzustellen ist keine einfache Aufgabe. Selbst mit MDM-Tools und einer ausgefeilten Sicherheitsstrategie können Nutzer noch immer das Ziel von einer gezielten Social-Engineering-Attacke werden. Diese sind weiter im Aufschwung und werden immer ausgefeilter.

Mobile Geräte sind zudem tragbar und damit nicht nur ein Ziel für Diebstahl, sondern auch dafür, dass sie in unsicheren Netzwerken genutzt werden.

Artikel wurde zuletzt im September 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Tablets

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close