Mobile · 21. Dezember 2015 0

Möglichkeiten der Verwaltung mobiler Geräte

Mitarbeiter sitzen nicht immer an einem festen Arbeitsplatz im Unternehmen, sondern arbeiten auch von zu Hause aus, beim Kunden vor Ort oder sind im Außendienst tätig und daher öfters unterwegs. Zudem bringen Mitarbeiter ihre eigenen mobilen Geräte in Unternehmen mit, weil sie sich zum einen damit besser zurechtfinden und zum anderen um ihre Produktivität zu steigern. Das ist für IT-Abteilungen eine echte Herausforderung, diese in die bestehende IT-Infrastruktur mit einzubinden. Dabei spielt die Unternehmensgröße keine Rolle. Doch nicht nur die Anzahl mobiler Geräte steigt, sondern auch die Heterogenität. MDM-Systeme müssen daher viele mobile Plattformen unterstützen. Zudem sind die Geräte nicht immer einem festen Standort zugewiesen, demzufolge ist die Verwaltung über Mobilfunknetze, wie 3G oder anderer drahtloser Netze, wie WLAN unabdingbar. Aus Sicht der Gerätebenutzer sollte es jedoch keine Einschränkung oder hohe Komplexität bei der Verwendung einer solchen Lösung geben, da sonst die Akzeptanz schwindet oder andere Wege gesucht werden, um mobile Geräte bei der Arbeit zu verwenden.

Inventarisierung
Mit Hilfe der Inventarisierung werden nicht nur alle registrierten mobile Geräte erfasst, sondern auch verschiedene Geräteinformationen gespeichert, die u.a. für Sicherheitsrichtlinien Wiederverwendung finden. Zu den Geräteinformationen gehören bspw. Hardwareinformationen, Plattform und Version, installierte Apps, SIM-Karte und Rufnummer, Netzwerkinformationen, Eigentümer, Daten auf dem Gerät, Sicherheitsstatus oder eine Änderungsverfolgung der Konfiguration. Doch neben diesen Informationen lassen sich nicht nur Aussagen über den Speicherstatus, Akkustatus, Datenverbrauch oder Gerätemanipulation treffen, sondern es lässt sich auch der Aufenthaltsort ermitteln, was gerade bei einer BYOD-Strategie ohne separater Vereinbarung mit dem Inhaber des Gerätes rechtlich bedenklich ist. Einige dieser Informationen dienen als Grundlage der Sicherheitsrichtlinien, so z.B. der unerlaubte Wechsel einer SIM-Karte oder der Deaktivierung einiger Funktionen außerhalb der vorgegebenen Arbeitszeiten.

Verteilung von Applikationen
Ein weiterer wichtigster Punkt ist das Verteilen, Aktualisieren und Sperren von Apps Over the Air (OTA). Dabei können Apps nicht nur über die öffentlichen App Stores bezogen, sondern auch selbst verteilt werden. Unter iOS von Apple ist dies dagegen nur bedingt möglich, da iOS Apps einem speziellen Freigabeprozess durchlaufen, bevor sie im Apple App Store veröffentlicht und heruntergeladen werden können bzw. von Apple signiert sein müssen. Jedoch gibt es auch hier eine Ausnahme. Sog. Inhouse-Apps, die exklusiv für firmeninterne Zwecke entwickelt und benutzt werden sowie nicht über den App Store verfügbar sind, können für die Verteilung über MDM-Systeme eine Signierung von Apple erhalten. Aktualisierungen erfolgen entweder über das MDM-System, oder über die App Stores. Dabei lässt sich die Aktualisierung einer App über das MDM-System anstoßen (App-push), umso die Verteilung zu beschleunigen, jedoch bedarf es zuvor unter Umständen eine Zustimmung der Installation auf dem mobilen Gerät durch den Gerätebenutzer.

Sicherheitsrichtlinien
Die Sicherheit von mobilen Geräten hängt sehr mit der Vorgabe und Einhaltung von Richtlinien zusammen. Nicht jeder Benutzer besitzt das nötige Wissen im Umgang mit solchen Geräten. MDM-Systeme können Richtlinien OTA an Geräte verteilen und die Einhaltung kontrollieren, so dass bei Nichteinhaltung (Non-Compliant) Geräte gesperrt oder sensible Daten bzw. das Gerät vollständig gelöscht werden. Weitere Aspekte sind:

  • Verschlüsselung des Gerätes und Speichermedien
  • Passwortrichtlinien
  • Unterbinden und einschränken von Funktionen und Geräteeinstellungen, wie bspw. Kamera, Benachrichtigungen im Sperrbildschirm, Zurücksetzen des Gerätes, Ortungsdienste, Erreichbarkeit, unverschlüsselte Backups
  • Einschränkung der Nutzung von Apps, wie bspw. App Stores oder In-App Käufe, Inhaltsfilter
  • Ortsabhängige Einschränkungen
  • Sperren von Diensten, wie bspw. iCloud
  • Erkennen von Gerätemanipulation
  • Black- und Whitelists, um somit Benutzer vor gefährlichen Apps zu schützen oder unerwünschte Apps zu sperren
  • Verwalten von Zertifikaten
  • Protokollierung von Änderungen

Sperren und löschen mobiler Geräte
Mobile Geräte können aufgrund ihrer Größe schnell verlegt oder verloren gehen. Sollte dies der Fall sein, sind MDM-Systeme in der Lage, das Gerät OTA zu sperren. Somit wird der Zugriff auf unternehmensinterne Ressourcen und Dokumente unterbunden und ausgestellte Zertifikate widerrufen. Das Gerät kann erst wieder entsperrt werden, wenn z.B. ein spezieller Code eingegeben wird. Gleichzeitig sollte die Ortung des mobilen Gerätes mittels GPS oder die Wiedergabe eines speziellen Tons erfolgen. Wird es wiedergefunden, lässt es sich einfach entsperren und der Zugriff wird wieder aktiviert. Ein nicht uninteressanter Grund für den Verlust könnte sein, dass ein Angreifer das mobile Gerät einer Zielperson (z.B. eine Führungskraft) entwendet hat, um Spyware zum Ausspähen zu installieren. Das kann gerade an öffentlichen Plätzen der Fall sein. Daher ist ein temporärer Geräteverlust immer zu hinterfragen. Sollte das Gerät dauerhaft verloren gehen, können alle Daten aus der Ferne OTA gelöscht und das Gerät auf die Werkseinstellungen zurückgesetzt werden. Bei privaten Geräten, Stichwort BYOD, sollte klar sein, dass sämtliche private Daten dauerhaft verloren gehen könnten, falls kein Backup existiert. Das kann ebenfalls für unternehmenseigene Geräte der Fall sein, da Backups nicht immer aktuell sind oder ggf. nicht existieren. Diebe bzw. Angreifer schalten Geräte daher gleich in den Flugmodus, entfernen ggf. die SIM-Karte oder setzen Störsender ein, um den Empfang von Lösch-Befehlen zu verhindern. Moderne MDM-System haben für solche Fälle einen Agent, der auf den Geräten installiert wird und bei kritischen Aktionen das Gerät löscht. Ebenso sollte die zu häufige falsche Passworteingabe zum Löschen des Gerätes führen.

Datenablage
Aufgrund der Verschiedenheit der einzelnen Plattformen und Verwendung mobiler Geräte im Alltag (BYOD, CYOD) ist die Ablage von privaten oder geschäftlichen Daten und Anwendungen nicht zu vernachlässigen und kann mittels Sandboxing ermöglicht werden. Dazu wird ein eigener Bereich, auch Container genannt, über ein MDM-System bereitgestellt, in dem diese Daten verschlüsselt liegen. Zum Öffnen des Containers, der in Form einer App auf dem mobilen Gerät abgebildet wird, ist ein Passwort nötig. Nur so ist die Trennung von privaten und geschäftlichen Daten gegeben, gerade im Hinblick auf private Geräte, die für geschäftliche Zwecke eingesetzt werden. Jedoch besteht auch hier die Gefahr der Kompromittierung oder das Abfangen der Passworteingabe, da die Verwaltung privater Geräte nur eingeschränkt möglich ist. Innerhalb des Containers ist dann der Zugriff auf E-Mails, Kalender, Kontaktdaten oder unternehmensinterne Apps wie gewohnt gegeben. Zudem besteht die Möglichkeit den Netzwerkverkehr getrennt abzusichern oder die Kopierfunktion bzw. Screenshot-Funktion mittels Data Loss Prevention (DLP) zu deaktivieren. Geht ein mobiles Gerät verloren oder verlässt ein Mitarbeiter das Unternehmen, kann dieser Container OTA ohne den Verlust von privaten Daten entfernt werden. Doch nicht nur MDM-Systeme bieten Container-Apps an, auch Gerätehersteller, wie Samsung mit Knox oder BlackBerry mit Balance sowie Android mit Android for Work als Plattform, haben die Notwendigkeit erkannt und Lösungen implementiert, dessen Verwaltung MDM-Anbieter wiederum ermöglichen.

Virtuelles Privates Netzwerk
Während Container-Apps Daten verschlüsselt auf dem mobilen Gerät ablegen, sollten diese auch bei der Übertragung abgesichert werden. MDM-Systeme kommunizieren zwar mit dem mobilen Gerät verschlüsselt über Standardprotokolle, wie SSL bzw. TLS, doch das ist nicht immer ausreichend bzw. wird damit der Zugriff auf unternehmensinterne Ressourcen gewährleistet. Auch nicht jede App benutzt eine sichere Verbindung für den Austausch von Informationen. Um Verbindungen und die Daten dieser zu schützen bzw. um auf unternehmensinterne Ressourcen zurückzugreifen, können virtuelle private Netzwerke (VPN) zum Einsatz kommen. Über Tunnel Apps wird die Verbindung aufgebaut und der Zugriff für bestimmte Apps geregelt, so dass nicht alle Apps auf einem mobilen Gerät dieses Recht erhalten. Hierzu zählen Apps aus App Stores, des MDM-Anbieters sowie eigene Apps. Die Zugriffskontrolle erfolgt dabei dynamisch, damit kompromittierte oder nicht konforme (Non-Compliant) Geräte gesperrt und somit keine Verbindung aufbauen können.