Anforderungen an ein EMM-Tool

Sichere Nutzung mobiler Endgeräte

23. Januar 2020, 07:00 Uhr   |  Stefan Mennecke

Sichere Nutzung mobiler Endgeräte

Die Allgegenwart von Smartphones und ähnlichen mobilen End-geräten stellt IT-Teams vor riesige Herausforderungen. Sind die Geräte nicht gesichert, drohen Konsequenzen aus mehreren Perspektiven, darunter Datenverlust oder -missbrauch, Geräte-ausfall und damit verbunden der Verlust der vorher gewonnenen Produktivität oder Kundenzufriedenheit. Die Frage lautet also, wie man diese Geräte am besten betriebssystemübergreifend absichert und dabei den Datenschutz gemäß DSGVO (Datenschutz-Grundverordnung) garantiert.

Jedes Mobilgeräte-Betriebssystem verfügt über eine Art integrierten Basisschutz. Für sehr kleine Unternehmen reicht dieser womöglich aus. Jedoch ist das Management und der sichere Betrieb vieler Geräte, die womöglich unter verschiedenen Betriebssystemen und mitunter an verschiedenen Standorten, zumindest aber außerhalb des Firmengeländes zum Einsatz kommen, eine enorme Herausforderung für die IT-Abteilung.

Android, das verbreitetste Mobilgeräte-Betriebssystem, war ursprünglich als Verbraucherprodukt positioniert. Allerdings hat Google ständig neue Sicherheits- und Verwaltungsverbesserungen eingeführt, um sein Linux-basiertes Betriebssystem unternehmensfreundlicher zu machen - Stichwort Android Enterprise. Die Fragmentierung von Android-Geräten und Betriebssystemversionen macht die Entwicklung von Apps aufwendiger - auch die Sicherheit von Daten bleibt als Aufgabe bestehen. Auf Betriebssystemebene bietet Android die gleiche Sicherheit wie der Linux-Kernel: Es bietet eine Anwendungs-Sandbox, einem verifizierten Boot-Vorgang, eine Rooting-Erkennung sowie Kryptografiewerkzeuge. Android-Geräte bieten umfassende Unterstützung für gängige Lösungen zur Geräte- und App-Verwaltung. Manche Hardwarehersteller, die Android für ihre Geräte nutzen, haben proprietäre APIs implementiert, um zusätzliche Verwaltungs- und Sicherheitsfunktionen hinzuzufügen.

Android vs. iOS vs. Windows 10

Apples App-Ökosystem wiederum ist umfangreich, und die iOS-App-Entwicklung ist die einfachste aller großen Mobilgeräte-Plattformen. Apple VPP (Volume Purchase Program) gestaltet die Bereitstellung und Verwaltung von Unternehmensanwendungen schnell und einfach. Zudem gibt es keine Gerätefragmentierung, da ausschließlich Apple selbst Geräte mit iOS entwickelt und vermarktet. Das Betriebssystem bietet Tools, um die Geräte- und Datensicherheit zu gewährleisten: eine sichere Startkette, Mehr-Faktor-Authentifizierung, AES-256-Verschlüsselung und eine Vielzahl weiterer Sicherheitsfunktionen. iOS bietet eine breite Auswahl an Funktionen zum Verwalten von Geräten inklusive Apps, während Apple DEP (Device Enrollment Program, neuerdings ersetzt durch Apple Business Manager) sowie Configurator die Geräteregistrierung und -bereitstellung beschleunigen.

Bei Windows 10 schließlich sorgt die Strategie "Eine Windows-Plattform" für ein einheitliches Betriebssystem für alle Geräte-Formfaktoren. Diese Strategie umfasst die Universal Windows Platform (UWP), mit der Entwickler universelle Apps erstellen können, die auf allen Plattformen und Geräteklassen funktionieren. Mit UWP lassen sich Apps für jeden Formfaktor einfach entwickeln. Microsoft Windows 10 enthält viele Funktionen, die es ideal für Unternehmen machen. Im Bereich der mobilen Geräte findet Windows 10 bei der Augmented-Reality-Brille Hololens Verwendung.

Technologiestrategie nötig

Angenommen, ein Mitarbeiter erhält von seinem Unternehmen zwei mobile Geräte, mit denen er von überall aus arbeiten kann: ein Smartphone und ein Tablet. Für ein Unternehmen mit 500 Mitarbeitern sind das 1.000 Geräte - teils direkt im Unternehmen im Einsatz, teils dort, wo sich der Mitarbeiter gerade befindet. Es ist unmöglich, diese Anzahl an mobilen Geräten, die ein Unternehmen normalerweise bereitstellt, manuell zu verwalten und zu sichern. Deshalb ist eine Strategie erforderlich, die sicherstellt, dass das Unternehmen kontinuierlich die fortschrittlichste Mobilitäts- und IoT-Lösung implementiert, um seinen Mitarbeitern die optimale und zugleich sichere Nutzung mobiler Technologien zu ermöglichen.

Teil dieser Strategie muss es sein, Richtlinien für die Zuweisung und Verwendung von Mobilgeräten und Apps im Unternehmen festzulegen. Derlei Richtlinien beantworten wichtige Fragen, beispielsweise wer innerhalb des Unternehmens welche Art von Mobilgerät (Laptop, Tablet oder Smartphone) erhalten und nutzen soll. Welche Apps benötigen Mitarbeiter, wer darf selbst Apps installieren? Wer erhält Zugriff auf welche Dokumente und Dateien, und von wo aus darf man darauf zugreifen? Hat ein Unternehmen diese Fragen beantwortet, gilt es, alle Geräte effizient zu verwalten, zu überwachen und zu warten. Dies fügt den Faktoren, die bei der Implementierung zu berücksichtigen sind, eine weitere Komplexitätsebene und neue IT-Herausforderungen hinzu.

EMM-Werkzeuge helfen

Sind die Richtlinien erstellt, sollte das Unternehmen eine EMM-Lösung (Enterprise-Mobility-Management) implementieren, um alle mit dem Netzwerk verbundenen Endpunkte zu verwalten. Die EMM-Software steuert die Gerätesicherheit, verwaltet, wer welche Apps und Inhalte erhält, und ermöglicht die Behebung von Gerätestörungen aus der Ferne - und das über deren gesamten Lebenszyklus hinweg: von der Inbetriebnahme und der ersten Absicherung des Geräts über dessen Überwachung und Steuerung während des täglichen Gebrauchs bis zur Stilllegung. Für jede Phase des Mobilgeräte-Lebenszyklus empfiehlt sich eine Reihe von Best Practices, um Sicherheitsbedrohungen für Mobilgeräte zu reduzieren.

Essenziell ist zunächst die Möglichkeit einer Inventarisierung aller im Einsatz befindlichen mobilen Endgeräte. Denn nur so lässt sich jederzeit feststellen, welche Geräte innerhalb des Unternehmens tatsächlich Verwendung finden und inwieweit diese Zugang zu Unternehmensdaten, E-Mail-Verkehr und anderen sensiblen Informationen haben. Auch einer intelligenten Rechtezuweisung kommt eine besondere Bedeutung zu. Sie entscheidet darüber, welche Legitimation ein bestimmtes Gerät besitzt, zum Beispiel in welchem Maße es Zugang zum Netzwerk oder Zugriffsrechte auf Daten hat.

Bei Verlust oder Diebstahl muss sich ein Gerät durch ein Geo-Tracking jederzeit wiederfinden und gegebenenfalls sperren lassen, um Unternehmensdaten zu schützen. Weitere wichtige Schutzmechanismen sind das sogenannte Geo-Fencing und ein integrierter Lockdown-Modus. Beim Geo-Fencing handelt es sich um eine Technik, die Daten lediglich in einem ausgewählten Bereich abrufbar macht, beispielsweise nur auf dem Unternehmensgelände. Verlässt ein Endgerät dieses klar definierte Areal, verweigert die EMM-Software den Zugriff auf die Informationen automatisch.

Durch den Lockdown-Modus lassen sich auf allen Geräten nur genehmigte Applikationen verwenden, während nur das IT-Team Einstellungen vornehmen kann. Dies kann Datenmissbrauch durch Malware verhindern und die Weitergabe sensibler Informationen an organisationsfremde Apps unterbinden. Darüber hinaus sollte die EMM-Lösung einen sicheren Browser oder vordefinierte Einstellungen bieten, um Man-in-the-Middle-, Phishing- und Social-Engineering-Angriffe zu minimieren. Ein EMM-Tool kann zudem die Verwendung komplexer Kennwörter erzwingen und kritische von nicht kritischen Daten trennen.

Um all diese Funktionen einfach und zentral steuern zu können, muss das IT-Team im Fernwartungsmodus ortsunabhängig auf alle Geräte zugreifen und eventuell auftretende Probleme beheben können. Darüber hinaus muss es möglich sein, sicherheitsrelevante Updates für ein Gerät und die verwendeten Apps zu installieren und so Sicherheitslücken schnell zu schließen. Zudem sollte das IT-Team jederzeit Einblick in umfassende Analysen zur Gesamtleistung des Geräts haben, einschließlich der Leistung des Akkus, der Daten-, Netzwerk- und App-Nutzung beziehungsweise Nutzungsdauer sowie des Gerätestandorts. All diese Faktoren tragen zur effektiven Verwaltung von Unternehmensgeräten bei und bieten der IT-Organisation im Idealfall die Möglichkeit, Geräteprobleme zu identifizieren und zu lösen, noch bevor sie auftreten.

Fazit: Bordmittel reichen nicht

Diese Überlegungen verdeutlichen: Die manuelle Verwaltung der Geräte, die ein Unternehmen bereitstellt, oder die Verwendung integrierter Bordmittel reichen nicht aus, um sicherzustellen, dass Mobility- und IoT-Initiativen sicher und kosteneffizient bleiben. Ein Unternehmen benötigt vollständige Transparenz und Kontrolle über seine Mobil- und IoT-Geräte. Von der Bereitstellung über die Verwaltung und Überwachung bis hin zur Wartung muss das Unternehmen in der Lage sein, seine Mitarbeiter stets einsatzbereit zu halten. Moderne Mobilgeräte haben dazu beigetragen, unsere Arbeitsweise grundlegend zu verändern und so Effektivität wie auch Produktivität zu steigern.

Die zunehmende Vernetzung birgt jedoch auch ein erhöhtes Sicherheitsrisiko wie etwa die Kompromittierung vertraulicher Daten. Leistungsstarke Mobility- und IoT-Management-Lösungen tragen dazu bei, dieses Risiko auf ein Minimum zu reduzieren und das technische Potenzial der Geräteinfrastruktur auszuschöpfen. Die Management-Plattform sollte deshalb alle erforderlichen Komponenten für das Enterprise-Mobility- und IoT-Management integrieren und die Kernprobleme lösen, mit denen das Unternehmen konfrontiert ist. So kann man Ausfallzeiten minimieren, Kosten reduzieren und die Produktivität wie auch die Effizienz steigern.

Stefan Mennecke ist Vice President Sales Central and Eastern Europe bei SOTI, www.soti.net.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Tenable: Ganzheitlicher Blick auf die IT- und OT-Sicherheit
Bitdefender ergänzt GravityZone um Advanced Endpoint Risk Analytics
Sophos: Sicherheit für mobile Endgeräte und die Public Cloud

Verwandte Artikel

EMM

Endpoint-Sicherheit

Soti