MDM für das Security-Management
BYOD schafft neue Risiken
Die Nutzung mobiler Endgeräte ist in den letzten zwei Jahren buchstäblich explodiert: Vieles, was noch vor zwei Jahren nur auf dem Notebook üblich oder möglich war, hat sich in die neue Welt der Smartphones und Tablets verschoben. Diese Entwicklung verläuft schneller als von vielen vorhergesagt - und sie läuft an vielen Orten aus dem Ruder.Mitarbeiter sind häufig besser mit mobilen Endgeräten ausgestattet, als es in ihrem Unternehmen Standard ist. IT-Leiter waren darauf oft nicht vorbereitet, in einzelnen Fällen hat es sie überrascht und überfordert. Manche Unternehmen hatten ihre PIM-Systeme (Personal-Information-Management) nach außen geöffnet, aber nicht damit gerechnet, dass die Mitarbeiter ungefragt ihre privaten Smartphones zum Abrufen und Bearbeiten der Firmen-E-Mails nutzen. Prozesse und Abläufe, die sich in den ersten 20 Jahren der IT herausgebildet, bewährt und etabliert haben, kamen vielerorts binnen 20 Monaten ins Rutschen, verloren teilweise ihre Relevanz und müssen neu definiert werden. Ein mittelständischer Produzent mit 900 Millionen Euro Umsatz und 2.500 Mitarbeitern weiß nicht, wie viele Mitarbeiter mit ihren privaten Smartphones E-Mail, Kontakte und Termine synchronisieren. Ein Logistiker mit 5.000 Mitarbeitern und 1 Milliarde Euro Umsatz traut sich nicht, Mitarbeitern den App Store auf den IOS-Geräten zu reglementieren. Ein großes Handelsunternehmen mit 30.000 Mitarbeitern musste vom Management getrieben IOS-Geräte ausgeben, ohne Konzept und Strategie dafür zu haben. An dieser Stelle fällt vielen Unternehmen abrupt auf, dass das Entstandene mit den Sicherheitsstandards des Unternehmens, bewährt und über viele Jahre iterativ gewachsen, nicht im Geringsten im Einklang steht. Man erlebt an dieser Stelle zwei grundlegend unterschiedliche Verhaltensweisen. Die kleinere Gruppe der Unternehmen erkennt den aufziehenden Paradigmenwechsel, den Umbruch von der Desktop-Welt zur Mobility, eine Revolution, die tiefgehender ist und sein wird als seinerzeit die Ablösung der Mainframe-Technik durch den PC. Diese Unternehmen erkennen, dass ein "Durchwursteln" mit den bisherigen Konzepten, die man mit mobilen Pflastern aufpeppt, keinen gangbaren Weg darstellt. Als Konsequenz entwickeln diese Unternehmen eine ganzheitliche Mobility-Strategie, die auch den Aspekten Sicherheit und Datenschutz den notwendigen Rahmen gibt. Die größere Gruppe der Unternehmen ignoriert derzeit noch, es anzuerkennen, dass Mobility einen grundlegenden Wechsel der gesamten IT und der damit verbundenen Prozesse anstößt. In diesen Unternehmen wird Mobility nicht als neuer Treiber der IT (an)erkannt, sondern lediglich als wachsende Geräteklasse wahrgenommen - wie Notebooks, Server, Drucker oder Netzwerkzubehör. Diese sehr unterschiedliche Wahrnehmung der Mobility hat unterschiedliche, oft tiefgreifende Auswirkungen auf das Security-Management und kann die Basis vieler Missverständnisse, Probleme und Konflikte sein. Sie führt auch zu sehr unterschiedlichen Bewertungen von Mobile-Device-Management (MDM): Unternehmen, die Mobility als Treiber anerkennen, betrachten MDM mit anderen Augen als Unternehmen, die Mobility als zusätzliche Geräteklasse bewerten. Daraus ergeben sich auch sehr unterschiedliche Möglichkeiten und Grenzen für MDM beim Security-Management. MDM und die Sicherheit mobiler Geräte MDM und Security-Management sind zwei Bereiche der IT, die eng zusammengehören und daher zusammen zu betrachten sind. Die Möglichkeiten, die sich aus dem Einsatz eines MDM-Systems ergeben, hängen entscheidend von zwei Sichten des Unternehmens auf das Thema Mobility ab. Zum einen ist dies, ob das Unternehmen Mobility als Treiber der IT und vielleicht sogar der eigenen Entwicklung sieht, zum anderen, wie das Unternehmen mit den Themen private Nutzung (Private Use of Company Equipment - PUOCE) und Bring Your Own Device (BYOD) umgeht oder umzugehen plant. Unternehmen, die Mobility als Treiber der IT betrachten, entscheiden sich in der Regel vor der MDM-Einführung dafür, eine Mobility-Richtlinie zu verabschieden. Diese enthält sinnvollerweise auch Sicherheitsvorschriften, die den Betrieb des MDM-Systems definieren. Ebenfalls betrachten solche Unternehmen in diesem Zusammenhang ihre Positionierung zu BYOD. Hier ist keine einheitliche Entwicklung zu beobachten. Tendenziell setzen sich aber Unternehmen, die eine Mobility-Richtlinie etablieren, detaillierter mit den Chancen und Risiken von BYOD auseinander, sie entscheiden sich dann häufiger gegen als für BYOD-Strategien. Diese Gruppe der Unternehmen hat meist zuvor keinen oder nur sehr wenig "Wildwuchs" bei mobilen Endgeräten zugelassen und deshalb in der Regel keine Probleme, entstandene Besitzstände zurückzudrehen. Unternehmen, die Mobility lediglich als neue Geräteklasse wahrnehmen, führen MDM fast immer mit einem eher aktionistischen Ansatz ein. MDM wird hier ohne Mobility-Strategie eingeführt. In solchen Szenarien gibt es meist nur rudimentäre oder gar keine Regelungen für mobile Endgeräte, da die IT Mobility nicht strategisch begleitet, sondern von den Anforderungen der Nutzer getrieben ist. In diesen Unternehmen ist BYOD eher Regel als Ausnahme, geschweige denn, dass es ein dediziertes BYOD-Konzept gäbe. Man hat Activesync am Exchange Server geöffnet oder entsprechende Tools eingeführt und in vielen Fällen die Kontrolle verloren - was selbst in großen und sehr großen Unternehmen zu beobachten ist. Aber langsam wird solchen Unternehmen bewusst, dass sie sich hier, vorbei an ihrem oftmals gut aufgesetzten Security-Management, ein ernstes Problem geschaffen haben. Denn die vielfach unkontrollierte Erlaubnis, mobil auf PIM-Daten zuzugreifen - oft aktiv gegen eigene Sicherheitsrichtlinien verstoßend, hat am bestehenden Security-Management vorbei irreversible Fakten geschaffen. Anwender laden Daten vielfach nicht nur auf das von der Firma gestellte, nicht gemanagte Iphone, sondern synchronisieren Daten auch auf private Geräte. Dies birgt nicht nur unüberschaubare Risiken, sondern verletzt in den meisten Fällen einschlägige Datenschutzgesetze. Hinsichtlich der Sicherheitsproblematik ist davon auszugehen, dass tausende, vermutlich zehntausende Firmenadressbücher mittlerweile auf den Servern von Whatsapp gelandet sind, aus Sicherheits- und Datenschutzsicht einer der fragwürdigsten mobilen Anwendungen. Whatsapp, ein so schön praktischer Messenger, wurde auch schon auf Geräten von Vorständen und Geschäftsführern gesehen, manch einer nutzt die Software im Minuten- oder Stundentakt. Hier kann MDM kein Security-Management mehr durchsetzen: Die Kugel hat den Lauf verlassen und lässt sich nicht mehr einfangen. Möglichkeiten durch MDM Aber MDM kann auch in solchen Situationen viel für die zukünftige Sicherheit tun. Ein MDM-System dient - vereinfacht ausgedrückt - im Bereich der Security zur Durchsetzung von Security-Policies. Daher sollte eine MDM-Lösung die möglichst granulare Konfiguration von Regeln und Richtlinien zulassen. Viele MDM-Systeme am Markt erfüllen diese Anforderung nicht oder nur unzureichend. Es reicht in der Regel nicht aus, Malware- und Antivirus-Suiten um MDM zu erweitern oder eine Monitoring-Suite mit MDM "aufzuhübschen". So erhält der Anwender in vielen Fällen nur das Gefühl von Sicherheit. Vor diesem Hintergrund sollte ein MDM-System - gehostet oder lokal betrieben - mindestens über folgende Möglichkeiten verfügen, um nicht sehr rasch an seine Grenzen zu stoßen: lückenlose Integration in eine beliebige Zahl von Verzeichnissen (Microsoft Active Directory, LDAP), Ableitung der Security-Policies und sämtlicher Berechtigungskonzepte aus AD/LDAP, Mandanten- und Organisationsstruktur zur Abbildung unterschiedlicher Security-Layer, Multiple-Proxy-Struktur zur Abbildung komplexer, individueller Sicherheitsarchitekturen, Unterstützung aller verbreiteten Mobile-Device-Betriebssysteme (der Fokus auf Android, IOS und künftig Windows Phone 8 reicht bei vielen Szenarien nicht aus), Erkennen und Verhindern gerätespezifischer Bedrohungen (Jailbreak, Rooting etc.), lückenlose Integration in Monitoring-, Security- und Helpdesk-Lösungen, sichere nicht kompromittierte Verschlüsselung (US-Hersteller müssen Verschlüsselungen über 56 Bit im Rahmen der gültigen Exportkontrollvorschriften offenlegen) sowie lückenlose Integration beliebig vieler Blackberry Enterprise Server (Express) in das MDM-System. Wer den MDM-Markt mit diesem sicherheitsorientierten Ansatz betrachtet, wird sehr rasch feststellen, dass sehr viele MDM-Lösungen dies nicht abbilden können und deshalb ausscheiden. MDM-Systeme mit den angeführten Eigenschaften stoßen beim Zusammentreffen mit einem ganzheitlichen Mobility-Konzept nie oder nur in zu vernachlässigenden Ausnahmefällen an Grenzen. Diese Grenzen entstehen durch falsche Konzepte in Verbindung mit unvernünftigen Anwendern, falsche BYOD-Strategien sind hier häufig ein besonderes Risiko. Denn das beste MDM-System nutzt nichts, wenn die Verantwortlichen im Unternehmen nicht die Bereitschaft aufbringen, die für grundlegende Sicherheit erforderlichen Regeln durchzusetzen. Grenzen von MDM Hier gilt vielfach die alte IT-Regel, dass das Problem nicht im System steckt, sondern vor der Tastatur sitzt, mittlerweile verlagert auf Smartphone und Tablet. Denn in der mobilen Welt scheinen sich vielerorts Paradigmen in Luft aufzulösen, die jahrelang für den Betrieb sicherer IT galten. Eine Privatnutzung will man nicht verbieten, um den Managern nicht ihr Lieblingsspielzeug wegzunehmen. Eine Zweigeräte-Strategie meidet man, da der Benutzer mit zwei Geräten nicht klarkomme, was aber seltsamerweise bei den deutlich sperrigeren Notebooks und PCs schon jahrelang problemlos klappt. BYOD führt man ein, indem man Firmendaten mit Containerlösungen kapselt. Häufig übertragen Unternehmen ihre Daten dabei in einen kaum bedienbaren Container, um dem Mitarbeiter die unbeschwerte private Nutzung des Firmengeräts zu ermöglichen, oft mit reduzierten Sicherheitseinstellungen, um ihm den Spaß am Gerät nicht zu nehmen. In manchen Firmen ist ein Paradigmenwechsel zu beobachten, der mit "grenzwertig" noch sehr wohlwollend beschrieben ist: Die private Nutzung rückt in den Vordergrund, Firmeninteressen und Sicherheit in den Hintergrund. MDM ist wichtig und richtig, jedes Unternehmen sollte es einsetzen. Aber MDM ist heute im Kern schon von gestern, denn es nutzt konzeptionell einen Ansatz, der nicht weiterführt: MDM basiert darauf, Geräte zu managen, Geräte bilden aber niemals ein Unternehmen und seine Prozesse ab. Unternehmen und Prozesse werden durch die Mitarbeiter abgebildet. In die IT umgesetzt bedeutet dies, die Mitarbeiter durch Identitäten abzubilden. Die Zukunft ist daher nicht, Geräte zu managen, sondern Identitäten. Das Konzept nennt sich Mobile-Identity-Management. Hier werden Zertifikate beliebiger Zertifizierungsstellen auf die mobilen Endgeräte übertragen und dort in einem hardwarebasierten Kryptographiemodul gespeichert. So wird das mobile Endgerät zum Token für beliebige Prozesse von der Zutrittsregelung bis zum Zahlungsmittel.
Lesen Sie mehr zum Thema
