Effizientes Management von Smartphones
Mobilität sicher verwalten
Viele Anwender setzen heute ihre privaten Smartphones und mobilen Endgeräte auch beruflich ein. Eine Herausforderung für das Unternehmensnetzwerk, denn diese Geräte entziehen sich bislang meist der zentralen Verwaltung durch die IT. Gelangen Smartphones etwa in falsche Hände, sind abgespeicherte Unternehmensdaten oder eingerichtete Netzwerkzugänge oft ungeschützt. Ein zentrales Mobility-Management sollte daher gerade auch die privaten Endgeräte sicher in die Unternehmens-IT einbinden können.Smartphones und handliche mobile Endgeräte verbreiten sich immer schneller. Laut IDC wurden erstmals im vierten Quartal 2010 rund acht Millionen Smartphones mehr verkauft als klassische PCs. Steve Jobs berichtete bei seiner Präsentation des Ipad2 ebenfalls stolz von seinen bereits über 100 Millionen verkauften Iphones und über 15 Millionen verkauften Ipads weltweit. Forciert wird dies nicht zuletzt durch den erheblichen privaten Kauf sowie durch subventionierte Handys mit Smartphone-Funktionen - zum Beispiel bei einer Verlängerung des Mobilfunkvertrags. Dieser Trend und die Tatsache, dass es eine fast schon unüberschaubare Anzahl von Apps in vielen Stores wie Marketplace (Android und Windows) oder Itunes (Apple) gibt, führt dazu, dass Anwender diese Geräte zunehmend im betrieblichen Umfeld mit nutzen und dann bei vollem Zugriff auf das Unternehmensnetzwerk einsetzen.
IT-Consumerization
Oft findet diese Entwicklung ungewollt, aber toleriert, oder durch "VIP User" des Unternehmens wie Geschäftsführer oder Top-Manager schleichend statt. Ein Hauptgrund ist sicher die intuitive Nutzung dieser Geräte. Während es in der Vergangenheit in der Regel reine E?Mail-Anwendungen waren - zum Beispiel beim Blackberry der ersten Generation - sind es heute eher die VPN-Zugänge, Remote-Desktop- oder Unternehmensapplikationen, die auf Android, Ipad und Co. im Vordergrund stehen. Vor ein oder zwei Jahren waren diese Geräte beim Business-Einsatz in der Regel noch Eigentum des Unternehmens. Heute lautet der Trend "Consumerization of IT": Das heißt, das Smartphone gehört rechtlich nicht dem Arbeitgeber, sondern ist vermehrt Eigentum des Endanwenders. Das damit verbundene Sicherheitsrisiko betrifft aber die Unternehmensnetzwerke.
Neue Angriffsmethoden im Bereich von Web 2.0 und der Einsatz der teilweise sehr offenen Plattformen eines Smartphones lassen vielfältige Angriffsmethoden und -szenarien zu: Hauptrisiko ist jedoch der Verlust des Gerätes oder der dazu gehörenden SD-Karte und damit auch der Verlust der darauf abgelegten Daten. Fehlerhafte Konfiguration, offene Bluetooth-Schnittstellen sowie einige spezifische Viren und Trojaner folgen auf den Rängen zwei und drei. IP-basierende und Infrarot-(IR-)basierende Angriffe haben eher wenig Bedeutung. Letzteres wird sich aber ändern, denn gerade auf dem Apple IOS und den Android-Geräten existieren Möglichkeiten, eigene "Protokoll-Handler" in den Applikationen zu definieren, die Informationen automatisch transportieren. Tools wie "BeEF" demonstrieren beispielsweise recht einleuchtend die Möglichkeiten, via "Cross Side Scripting" Skype-Aktionen remote auf einem Apple-Telefon auszuführen. Speziell der Protokoll-Handler Facebook ("fb://") ermöglicht einige undokumentierte Funktionen, die sicher nicht im Sinn des Endanwenders liegen.
Sicherheits-Policies durchsetzen
Aus dem Sicherheitsbewusstsein eines Unternehmens oder einer Behörde heraus ist es heute selbstverständlich, dass jedes Gerät im Unternehmensnetzwerk entsprechend verwaltet, überwacht und mit einer angemessenen Sicherheits-Policy zu versehen ist. Der Sicherheitsanspruch einer schriftlich definierten Sicherheits-Policy muss auch Smartphones umfassen. Es gilt also, die zuverlässige Nutzung, Überwachung und das Monitoring im Eigeninteresse des Unternehmens zu garantieren. Nicht zuletzt deshalb, da ein Unternehmen rechtlich dafür haftet, wenn kritische Daten - auch von einem mobilen Device wie einem Smartphone - verloren gehen oder ein Missbrauch dieser Geräte die Ursache für einen Datenverlust ist. E?Mails, Kalenderbucheinträge und deren Anhänge enthalten heute immer mehr vertrauliche Daten, die es zu schützen gilt. Aus Unternehmenssicht ergibt sich damit gleich eine ganze Reihe wichtiger Faktoren, die beim Mobilitäts-Managements von Smartphones und Co. zu beachten sind.
Hinzu kommt die Problematik, dass sich neben den klassischen Smartphone-Herstellern wie Nokia oder RIM (Blackberry) zunehmend Iphones, Android Devices und Windows-Mobile-Geräte die Ränge streitig machen. Entsprechend groß ist der Wildwuchs an mobilen Endgeräten, der bereits heute in Unternehmen vorzufinden ist. Dies bedeutet im Umkehrschluss, dass nicht nur eine einheitliche Management-Plattform für all diese unterschiedlichen Mobilgeräte anzustreben ist, sondern möglichst auch eine Integration in andere Management-Systeme. Das Stichwort lautet: zentrales Reporting von Laptops, PCs, Servern und mobilen Endgeräten wie Smartphones.
Ebenso ist es selbstverständlich, dass solche Devices nicht zwingend durch die Hände eines Administrators gehen müssen, sondern dass die Administration der Smartphones vollständig über das 3G-Mobilfunknetz erfolgen kann - also über so genannte Push-Services. Eine Integration muss auch in vorhandene Active-Sync-Lösungen (wie Microsofts Lösung oder Lotus Notes Traveler) gegeben sein, da in der Regel diese Infrastruktur (Synchronisierung von Kalender, Adressbuch und E?Mails) im Unternehmen bereits etabliert ist. Erst die zentrale Verwaltung dieser heterogenen Geräte durch ein effizientes Tool erfüllt den Anspruch, die Kosten für das Management gering zu halten. Eine entsprechende Lösung sollte zudem intuitiv zu bedienen und gut skalierbar sein.
Voraussetzungen und Lösungsansatz
Wenngleich die Anforderungen an ein solches System recht klar sind, gilt es einige Voraussetzungen seitens der Smartphone-Hersteller für ein solches mobiles Smartphone-Management zu erfüllen. Dazu gehören Zertifikate, wie sie zum Beispiel beim "Apple Push Service" notwendig sind. So muss sich der Anwender, sofern er ein Apple-IOS-Device einsetzt, bei Apple als Developer registrieren, um ein entsprechendes "Apple-MDM"-Zertifikat zu erhalten, sonst bleiben viele Funktionen (wie Apple Push) für die Administratoren verwehrt. Andere Hersteller und Plattformen begnügen sich ausschließlich mit einem öffentlich signierten SSL-Zertifikat. Um letztlich das Bereitstellen oder auch das Entziehen von Rechten völlig autonom für den Anwender des Smartphones zu ermöglichen, sind Zertifikate ein wesentlicher Baustein für alle Hersteller von Smartphones und deren Betriebssystemen. Welche Management-Funktionen im Rahmen einer Sicherheits-Policy abgedeckt sein sollten, listet Tabelle 1 auf.
Im günstigsten Fall sollte die Bereitstellung eines Smartphones in das Unternehmensnetzwerk und damit die Authentifizierung der Geräte und Benutzer über ein integriertes LDAP oder Active-Directory stattfinden. Wenn zusätzlich noch während der Provisionierungsphase OTPs (One Time Passwords) zum Einsatz kommen, erhöht dies die Sicherheit. In jedem Fall muss die Lösung die von den Herstellern bereitgestellten API-Funktionen (wie Verschlüsselung, Wiping etc.) vollständig erfüllen, um den gesamten Funktionsumfang der Sicherheit eines Smartphones nutzen zu können.
Idealerweise unterstützt eine kleine App den komfortablen Zugang zum Management-Portal, das zum Beispiel zugleich auch einen eigenen App Store bieten könnte. In vielen Fällen ist es aus Unternehmenssicht nicht mehr gewünscht, Apps selbst etwa von Itunes herunterzuladen oder käuflich zu erwerben. Die Allgemeinen Geschäftsbedingungen von Apple beispielsweise weisen eindeutig auf eine rein private Nutzung hin. Daher muss ein solches Portal auch die drahtlose Bereitstellung von Unternehmensapplikationen bereitstellen können, die nicht auf öffentlichen App-Plattformen vorzufinden sind.
Nach einer erfolgreichen Provisionierung, unterstützt durch Zertifikate und Verschlüsselung des Geräts, lässt sich dieses entsprechend sicher managen. So kann die Administration beispielsweise bei Verlust des Geräts dieses über einen vorhandene 3G-Verbindung ohne Zutun des Endanwenders sicher löschen (wipen), sie kann Rechte entziehen und die zuvor genannte IT-Consumerization lässt sich zurücknehmen.
Lesen Sie mehr zum Thema
