Mobile Endgeräte sicher in die Unternehmens-IT integrieren

Eine moderne MDM-Lösung ermöglicht es Unternehmen, automatisiert die Konfigurationen der mobilen Endgeräte vorzunehmen. Auf diese Weise können sie Profile und Richtlinien auf die Geräte verteilen, um so den Compliance- und Sicherheitsanforderungen zu entsprechen – dies gilt speziell für die eingesetzten Plattformen. Das MDM-System unterstützt den Administrator bei der Konfiguration der Geräte. Es erkennt, welche Änderungen der Anwender an seinem Gerät vorgenommen hat, welche Applikationen vorhanden sind und welche Netzwerkeinstellungen genutzt werden. Erst wenn all diese Anforderungen erfüllt sind, bekommt der Anwender die Erlaubnis, auf das Firmennetzwerk zuzugreifen.

Die aktuell auf dem Markt erhältlichen MDM-Lösungen sind zumeist plattformübergreifende Systeme. Die größte Herausforderung für die MDM-Hersteller besteht darin, einen möglichst einheitlichen Funktionsumfang für alle Plattformen anzubieten und sich – trotz Verwendung der gleichen plattformspezifischen Schnittstellen mit eingeschränktem Funktionsumfang – von anderen Herstellern zu differenzieren.

Dabei gibt es zwei verschiedene Ansätze. Bei dem so genannten Lightweight-Ansatz verwendet das MDM-System die Sicherheits- und Verwaltungsfunktionen der jeweiligen Geräteplattform. Zusätzlich bietet es eigene Werkzeuge zur Geräteverwaltung. Hierunter fallen beispielsweise die Produkte von AirWatch und Sophos. Im Gegensatz dazu installieren die Container-Lösungen eine Sandbox auf dem Endgerät. In der Sandbox laufen sämtliche Apps, die auf dem Endgerät genutzt werden. Zudem werden dort alle vertraulichen Daten gespeichert. Den Container-Ansatz verfolgen Hersteller wie Good Technologies oder Excitor. MobileIron zum Beispiel bietet Lösungen für beide Ansätze an.

Direkte Bereitstellung der natürlichen Sicherheitsfunktionen

Beim Lightweight-Ansatz können Gerätekonfigurationen automatisiert erfasst werden. Möglich wird dies, da die eingesetzten Systeme die Sicherheitsfunktionen der mobilen Betriebssysteme direkt bereitstellen und keine zusätzlichen Anwendungen benötigen. Ebenso ist eine gezieltere Verteilung von Plattformprofilen und -richtlinien auf die einzelnen Geräte möglich. Die Konfiguration der Geräte über MDM verläuft unterschiedlich und richtet sich nach dem genutzten Betriebssystem: Android-basierte Geräte benötigen für Einstellungen beispielweise eine spezielle App, die erst aktiviert werden muss, bevor der Anwender die Konfigurationen ändern oder anpassen kann. Bei mobilen Endgeräten mit iOS-Plattform hingegen werden Sicherheitseinstellungen in Form von Profilen an das Gerät gesendet. Zudem unterstützen MDM-Systeme den Administrator bei der Gerätekonfiguration und erkennen, welche Änderungen der Nutzer an seinem Gerät vorgenommen hat, welche Applikationen vorhanden sind und welche Netzwerkeinstellungen bestehen.

Die Lightweight-Lösung greift im Übrigen nicht in die Benutzeroberfläche des Endgeräts ein, was zwei Vorteile mit sich bringt: Zum einen kann der Anwender in seiner gewohnten Umgebung mit dem Gerät arbeiten; zum anderen wird die Installation der Lösung vereinfacht. Optional bieten einige Anbieter auch den Betrieb als SaaS-Lösung an, wodurch keine zusätzlichen Ressourcen im eigenen Rechenzentrum benötigt werden.

Bei Lightweight-Lösungen ist etwa die Trennung von beruflichen und privaten Daten teilweise nur eingeschränkt möglich. Diese Ausführung richtet sich nach dem jeweiligen Betriebssystem. Dies ist zum Beispiel bei Apple iOS der Fall.

Anbieter wie Sophos ergänzen ihre Lightweight-MDM-Lösung mit Sicherheitsfunktionen, beispielsweise für die Viren- und Malware-Erkennung bei Apps und Webseiten. Die Lösung Sophos Mobile Control für die Android-Plattform erweitert MDM-Funktionen um Mobile-Security-Funktionen, ist mandantenfähig und als SaaS-Lösung auch in deutschen Rechenzentren verfügbar.

Zusätzliche Sicherheitsebenen

Reichen dem Anwender die nativen Sicherheitsfunktionen von Android, iOS & Co. nicht aus, kann er über eine Container-Lösung eine zusätzliche Sicherheitsebene auf dem Endgerät einziehen. Somit erhält er eine noch tiefergehende Kontrolle über Applikationen und Daten.

Bei dem Container-Ansatz installiert der Anwender auf seinem mobilen Endgerät eine Sandbox, in der die wichtigen Business-Anwendungen vollkommen separat in einer eigenen Umgebung laufen. Dies vereinfacht die Datentrennung, denn private und geschäftliche Inhalte sind von vornherein voneinander getrennt. Die im Container verarbeiteten Daten sind zudem vor dem Zugriff durch Apps von außen geschützt. Außerdem können Anwender nur nach Eingabe eines Passworts oder PINs auf die Daten im Container zugreifen. Sollte das Gerät einmal verloren gehen, sind die Daten also dennoch vor nicht autorisierten Zugriffen geschützt. Zusätzlich erhält der Administrator eine granulare Kontrolle über die Eigenschaften des Containers. So kann er beispielsweise den Datenexport von E-Mail-Anhängen oder das Löschen von Daten sperren.

Die Sicherheit von Container-Lösungen wird sogar noch erhöht: So lassen sich Richtlinien definieren, über die TCP/IP- beziehungsweise VPN-Verbindungen zwischen den Anwendungen und dem Unternehmensnetzwerk verschlüsselt werden.

Bei einigen Anbietern wird der Datenverkehr dabei über ein zentrales NOC (Network Operation Center) gelenkt. Befindet sich dieses Rechenzentrum außerhalb von Deutschland, kann es zu Datenschutzverstößen kommen, zum Beispiel, wenn Personaldaten versendet werden.

Der Nachteil eines Container-Systems besteht darin, dass dort oftmals nur die natürlichen Anwendungen des jeweiligen MDM-Anbieters laufen. Dies kann zu Einschränkungen führen: Beispielsweise wird der gewohnte E-Mail-Client des Smartphones durch eine neue Mail-Lösung ersetzt, ebenso Kalender, Telefonbuch und weitere Anwendungen. Werden Applikationen separiert, ändert sich gleichzeitig die Bedienführung des mobilen Endgeräts. Auch die Verwaltung von Software und Informationen wechselt. Für Unternehmen ergibt sich dadurch unter Umständen zusätzlicher Schulungsaufwand für die Mitarbeiter sowie ein Akzeptanzproblem bei den Anwendern.

Für den Anwender bedeutet dies konkret, dass er sich bereits vor dem Telefonieren überlegen muss, ob die gewünschte Rufnummer in seiner privaten oder der geschäftlichen Umgebung abgelegt ist. Umgekehrt kann das Handy eingehende Anrufe nur dann einem Namen im geschäftlichen Adressbuch zuordnen, wenn der Container gerade genutzt wird. Ebenfalls zu bedenken ist die zusätzliche Systemlast, die eine Container-Lösung erzeugt. Je nach Endgerät kann dies zu verkürzten Lauf- und verzögerten Antwortzeiten der Apps führen.

Kritische Analyse der Anforderungen

Bevor Unternehmen sich für einen der beiden Lösungsansätze entscheiden, sollten sie genau analysieren, ob die Nutzung privater Endgeräte in der Unternehmensumgebung tatsächlich nötig ist und wirklich dazu beiträgt, die Produktivität und Zufriedenheit der Mitarbeiter zu verbessern. Im zweiten Schritt sollte ein passendes Sicherheitskonzept entwickelt werden. Auch hier ist eine kritische Analyse der Daten nötig, die auf den mobilen Endgeräten verarbeitet werden sollen, um das passende Konzept zu definieren.

Betreiben Unternehmen bereits eine System-Management-Lösung im Rechenzentrum, können sie diese über spezielle Module erweitern – sofern der Hersteller sie bereits anbietet. Beispielsweise hat der IT-Dienstleister Materna seine Client- und Server-Management-Lösung DX-Union kürzlich um MDM-Funktionen erweitert. Für IT-Administratoren bedeuten solche Erweiterungen eine erhebliche Entlastung, da sie das mobile Management über eine bestehende Lösung abbilden können.