Sicherheit in BYOD-Szenarien
Mit MDM gegen den Kontrollverlust
Die Nutzung persönlicher mobiler Endgeräte im beruflichen Kontext ist eine technische und organisatorische Herausforderung für jede IT-Abteilung. Wie lässt sich die IT-Sicherheit gegen den drohenden Kontrollverlust verteidigen, welche Vor- und Nachteile bieten die verfügbaren technischen Lösungen? Der Markt für mobile internetfähige Geräte boomt unaufhaltsam. Der Branchenverband Bitkom geht von einem Absatz von 2,7 Millionen im Jahr 2012 allein für Tablet-PCs in Deutschland aus. Immer mehr Anwender erwarten, dass sie sich mit einem netzwerkfähigen Gerät ins Firmennetz einklinken und ihre eigenen Smartphones, Tablets und Laptops am Arbeitsplatz verwenden können. Für diese Vernetzung privater Endgeräte mit der unternehmenseigenen IT-Infrastruktur hat sich der Ausdruck BYOD (Bring Your Own Device) etabliert.
BYOD bringt jedoch neue Herausforderungen für die IT-Abteilungen der Unternehmen mit sich, denn durch den Einsatz privater Geräte im Firmennetz kommt es zur Vermischung privater und geschäftlicher Daten. Datenträger, Daten und Kommunikation geraten möglicherweise außer Kontrolle, und die Sicherheitsrichtlinien werden von innen heraus ausgehebelt. Eine Gefahr ist das Eindringen von Viren und Schadsoftware durch ungesicherte Systeme. Gleichzeitig gilt es zu verhindern, dass Daten das Firmennetz gegen den Willen des Unternehmens verlassen.
Treibende Kräfte
Neue Formen der ortsunabhängigen Arbeitsorganisation und flexiblen Zusammenarbeit, neue Kommunikationsformen auch im Bereich Social Media und die wachsende Anzahl mobiler Geräte weltweit sind der Grund dafür, dass immer mehr Menschen mobil in Echtzeit auf Informationen zugreifen wollen oder müssen. Der Mensch steht im Zentrum der Vernetzung und ist jederzeit erreichbar. Ebenso erwartet er, wo auch immer er sich aufhält, ständigen Zugriff auf Informationen zu haben: auf E-Mail, Kontaktdaten und Kalender, auf Business-Prozesse und -Applikationen sowie andere Unternehmensressourcen (Dokumente, Web-Services, Dienste) sowie auf Kommunikationskanäle (VoiceMailbox, Web- und Video-Conferencing, zentrales UC-System).
Anders als bei früheren Entwicklungen sind es nicht die IT-Abteilungen in den Unternehmen, welche die technischen Entwicklungen vorantreiben, sondern die Endanwender selbst: Sie besitzen privat ein Smartphone oder Tablet und nutzen eine Daten-Flatrate, sodass sie jederzeit und überall auf E-Mails und das Web, Social Media und Dokumente, Fotos, Videos und Musik zugreifen können. Im Vergleich dazu verlieren vom Arbeitgeber gestellte Geräte schnell an Attraktivität: Die Arbeitnehmer wissen, was moderne IT leisten kann, und fordern dies auch für die berufliche Nutzung ein.
Es sind also die Mitarbeiter selbst, die ihre neuesten mobilen Errungenschaften mitbringen und in das Unternehmensnetz einbinden wollen, allen voran die Geschäftsführer und Vorstände. Weil der Trend "von oben" kommt, kann der IT-Sicherheitsverantwortliche ihn nicht einfach stoppen, indem er die mobilen Geräte verbietet. Außerdem würde ein Verbot die Motivation der Anwender und die Produktivität ihrer Arbeit ausbremsen, steigern doch mobile Geräte und Apps laut Forschungen der Universität St. Gallen die Effizienz. Dass der Trend "Top-down" geht, ist ein Vorteil, denn das Management stellt im eigenen Interesse die notwendigen Gelder und Personalressourcen zur Verfügung, um die Einbindung der mobilen Geräte in die IT-Sicherheitsstrategie zu realisieren.
Herausforderung Security
Der IT-Sicherheitsverantwortliche steht vor der Aufgabe, den Anwendern von unterschiedlichen Plattformen aus den Zugriff auf die Unternehmensdaten zu erlauben, damit die Geschäftsprozesse nicht behindert werden. Gleichzeitig muss er sicherstellen, dass nur vertrauenswürdige Geräte und Benutzer zugreifen dürfen. Eine weitere Herausforderung besteht darin, dass die mobilen Geräte mit einer Reihe unterschiedlicher Betriebssysteme arbeiten: Smartphones und Tablets nutzen Apple IOS, Google Android, Blackberry oder auch Microsoft Windows Phone.
Es gilt, die Unternehmensdaten verwenden, speichern und teilen zu können, sie dabei aber vor unerwünschter versehentlicher Weitergabe sowie vor Verlust zu schützen. Die Geräte sollen sicher vor Angriffen sein, auch wenn sie sich außerhalb des Unternehmensnetzes befinden. Außerdem soll die IT-Sicherheit zentral zu verwalten und zu kontrollieren sein. Dazu dienen so genannte MDM-Lösungen (Mobile Device Management).
MDM-Anforderungen
Ein zentrales MDM erfordert, dass die IT Rechteprofile gruppenbasiert erstellt und Konfigurationen sowie Updates via Funkschnittstelle auf die mobilen Endgeräte aufspielt. Die Administrationsrollen müssen ausgewiesen und die Softwareverteilung geregelt sein. Um die Sicherheitsrichtlinien technisch durchzusetzen, muss eine MDM-Lösung bestimmte Anforderungen erfüllen: Löschen von Daten auf mobilen Devices aus der Ferne (Remote Wipe), automatische Benachrichtigung beim Einlegen einer anderen SIM-Karte, Passwortsperre und Einhalten der Compliance-Bestimmungen, Geräteverschlüsselung und Erkennen eines "Jailbreaks", der die Betriebssystemsicherheit außer Kraft setzt. Private und geschäftliche Daten müssen sich trennen lassen und Reporting-Möglichkeiten für das Roaming-Management wie auch für die Kostenkontrolle gegeben sein.
MDM sorgt dafür, dass die mobilen Endgeräte mit Policy-konformen Passcodes geschützt sind und der Activesync-Zugang sicher zur Verfügung steht. Die automatische Anbindung an WLAN und VPN muss ebenso möglich sein wie die Client-Zertifikatsverteilung via SCEP (Simple Certificate Enrollment Protocol). Verschlüsselung und Restriktionen sind für die unterschiedlichen Betriebssysteme und ihre verschiedenen Versionen zu berücksichtigen. MDM soll Applikationen gemäß der Security Policy erlauben oder verbieten, den unternehmenseigenen Enterprise App Store integrieren sowie ein Volumen-Lizenz-Management für kostenpflichtige Apps ermöglichen.
Sicheres mobiles Business
Eine IT-Sicherheitsstrategie für das mobile Business muss zunächst drei Prinzipien beachten: Das erste ist die Security Policy des Unternehmens. Die Sicherheitsbestimmungen für verschiedene Abteilungen, Daten und Benutzer auf dem jeweiligen Sicherheits-Level sollten in das MDM integrierbar sein: Wer darf wann mit welchen Geräten ins Netz, auf welche Daten und Applikationen zugreifen und welche Daten speichern? Zweitens ist der Anwendernutzen zu berücksichtigen, um die Anwender nicht zu behindern oder zu demotivieren: Diese möchten mit den bekannten Clients arbeiten und das gewohnte "Look and Feel" vorfinden. Die dritte Anforderung ist die zentrale Kontrolle und Steuerung durch den IT-Sicherheitsverantwortlichen.
Dabei unterscheiden sich die mobilen Plattformen teilweise stark in der Sicherheitsarchitektur und Konfigurierbarkeit. Bei heterogenen Endgeräten lassen sich identische Policies oft nur eingeschränkt konfigurieren. Das Sicherheitsniveau hängt von der MDM-Lösung ab.
Grundsatzfrage: Natives MDM oder Sandbox?
Grundsätzlich gibt es zwei Lösungsansätze: ein natives MDM oder ein Sandbox-System. Beide Ansätze unterscheiden sich bezüglich der Sicherheit, Verwaltbarkeit und Anwenderfreundlichkeit. Ein natives MDM erlaubt eine umfassende Konfiguration, während Sandbox-Lösungen unter Umständen höhere Sicherheit bieten.
Ein natives MDM verwendet die vom mobilen Betriebssystem bereitgestellten Konfigurationsoptionen und setzt damit die Policies für das jeweilige Betriebssystem um. Vergleichbar ist dies konzeptionell mit Windows-Clients, die ein Domain Controller verwaltet und absichert. Des Weiteren bietet ein ausgereiftes natives MDM ein Zugangskontrollsystem zur Activesync-Schnittstelle des Unternehmens. Hier bezieht sie neben der Berechtigung des Benutzers auch den Gerätestatus (Device Compliance Check) in die Entscheidung ein: Erhält das Gerät Zugriff auf Unternehmensdaten wie E-Mail, Kontakte und Kalender? Wenn ein Gerät mit einem Jailbreak versehen ist oder verbotene Apps installiert sind, kann das Zugangskontrollsystem dem Gerät den Zugriff auf die Unternehmensdaten verweigern. Von Vorteil ist, dass das System die Management-Funktionen der Endgeräte und die nativen Clients nutzt, sodass der Nutzer sein gewohntes Look and Feel behält. Für Funktionen wie die Jailbreak-Erkennung ist allerdings ein eigener Client erforderlich.
Das Sandbox-System dagegen hat einen ähnlichen technischen Ansatz wie die Blackberry-Lösung von RIM: Daten wie E-Mails, Kontakte und Kalender werden via Network Operation Center (NOC) verschlüsselt mit dem Gerät synchronisiert. Dabei sind die Unternehmensdaten separat in einem Container verschlüsselt und kryptografisch vom restlichen Datenbestand auf dem Gerät getrennt. Die Sandbox-Lösung bringt eigene Clients mit, die nur über definierte Wege mit anderen Sandbox-integrierten Apps interagieren können. Bei diesem Ansatz müssen Betriebssysteme und Hardware nicht eingeschränkt werden, denn die Verantwortlichkeiten sind klar getrennt: Der Unternehmens-Support ist nur für die Sandbox zuständig, für das Gerät selbst ist der Benutzer verantwortlich. Ein Nachteil dieses Ansatzes besteht darin, dass sich das Look and Feel für den Anwender verändert und der Hersteller mehr Aufwand für die Erstellung und Pflege hat. Dafür bietet die Sandbox zusätzliche Verschlüsselung und separiert die geschäftlichen von den privaten Daten.
MDM-Lösungen
TÜV Rheinland hat den Markt für MDM-Lösungen analysiert und dabei über 15 Lösungen verschiedener Hersteller untersucht. In der Folge setzen die IT-Sicherheitsspezialisten die MDM-Plattform von Mobileiron als Best-Practice-Lösung ein: eine Software, die einfach zu konfigurieren und mit geringem administrativen Aufwand zu betreiben ist (siehe dazu den kritischen LANline-Test "Kleintierbändiger" auf Seite 19, d.Red.). Die Appliance verschafft schnell einen Überblick über alle Vorgänge auf den Smartphones und Tablets. Die Plattform kombiniert die Verwaltung der Daten auf den Geräten mit einer Echtzeitüberwachung und macht sichtbar, was installiert ist. Dabei bringt sie die Sicherung der IT und der Anwenderdaten sowie die Kontrolle der Geräte mit der Unantastbarkeit der Privatsphäre in Einklang, denn sie unterscheidet zwischen privaten und geschäftlichen Daten, sogar auf den persönlichen Smartphones der Anwender. Die Plattform lässt sich innerhalb von zwei Tagen in das Unternehmensnetzwerk einbinden und sofort produktiv nutzen.
Eine weitere Lösung, die hohe Benutzerzufriedenheit mit möglichst großer Informations- und Datensicherheit vereint, ist Good for Enterprise von Good Technology. Hierbei handelt es sich um einen Satz von Management- und Produktivitäts-Tools, die den Benutzern mobiler Geräte den sicheren Zugang zu Unternehmensdaten und -applikationen ermöglichen. Eine Web-basierte Management-Konsole verschafft dem Administrator einen detaillierten Überblick über alle mobilen Geräte im Netzwerk. Applikationen werden über das Mobilfunknetz geladen und die Sicherheitsrichtlinien automatisch durchgesetzt, sodass der IT-Verantwortliche nicht mit dem mobilen Gerät des Nutzers in Berührung kommen muss. Basisaufgaben wie das Hinzufügen von Geräten oder ferngesteuertes Datenlöschen kann die IT-Abteilung als Selbstbedienungsfunktionen an die Nutzer übertragen und damit die Zahl der Helpdesk-Anrufe reduzieren.
Fazit: Vergleich der Ansätze lohnt sich
Für die sichere Einbindung mobiler Geräte in die Infrastruktur eines Unternehmens gibt es verschiedene technische Konzepte. Ein Vergleich der Lösungsansätze muss entscheiden, ob die Vorteile einer höheren Sicherheit die Nachteile der geringeren Anwenderakzeptanz aufwiegen. In der Praxis hat sich das native MDM bewährt, da es bei klarer Trennung der Verantwortlichkeiten eine annehmbare Lösung für Anwender auf der einen und IT-Sicherheitsverantwortliche auf der anderen Seite bietet. Das Konzept ist schnell und einfach umsetzbar und bietet operativ verantwortbare Sicherheit auf pragmatischem Niveau.
Lesen Sie mehr zum Thema
