Funktionsweise von MDM-Systemen

Damit mobile Geräte auf Unternehmensressourcen zugreifen können, müssen diese zentral erfasst und verwaltet werden, was mit einer Registrierung dieser Endgeräte an einem MDM-System einhergeht. Nur so erhalten Unternehmen einen Überblick darüber, welche mobilen Geräte das sind, was diese dürfen und wem sie gehören. Sollte ein Mitarbeiter sein privates oder firmeneigenes Gerät z.B. verlieren bzw. es gestohlen worden sein oder der Mitarbeiter das Unternehmen verlassen, muss die Möglichkeit alle Unternehmensdaten OTA zu entfernen oder das Gerät komplett zurückzusetzen gewährleistet sein. Doch das ist, ohne das Gerät in der Verwaltung zu haben, teilweise bis gar nicht möglich. Daher sollte die Integration eines mobilen Gerätes in ein MDM-System mittels Registrierungsprozess und damit auch in die bestehende Infrastruktur ein Leichtes sein, um dadurch die Akzeptanz, gerade bei einer BYOD-Strategie, zu gewährleisten. Nur so lässt sich sicherstellen, dass Mitarbeiter nicht auf andere Art und Weise versuchen an Unternehmensdaten und Ressourcen zu kommen und letztendlich so das Sicherheitsrisiko erhöhen. Das MDM-System kann hierbei entweder ganz klassisch Bestandteil der bestehenden Unternehmensinfrastruktur sein (englisch: On Premise) oder alternativ als Cloud-Service bzw. Software as a Service (SaaS) bezogen werden. Die Registrierung selbst erfolgt abhängig von der Plattform entweder über eine Webseite, welche auf dem mobilen Gerät abgerufen wird oder über einen Agent, also einer App, die vorher auf dem Gerät installiert sein muss. Mit Hilfe des Agents ist nicht nur die Verwaltung durchführbar, sondern er bietet auch die Erweiterung um einige MDM-Funktionen auf dem Gerät an, wie z.B. die Geräteüberwachung von Apps, Manipulation sowie Geräterichtlinien. Während der Registrierung des mobilen Gerätes kann in der Regel die Authentifizierung des Benutzers über einen Directory-Dienst erfolgen, wie das Microsoft Active Directory. Zudem wird der Besitz und ggf. die Zuordnung des Gerätes zu einer Abteilung bzw. Geschäftsbereich festgelegt. Als Alternative bei der Registrierung über einen Benutzer können sog. Staging-Benutzer zum Einsatz kommen, um mehrere mobile Geräte gleichzeitig auf einen Benutzer zu registrieren (pre-staging) und Endbenutzern bereitzustellen. Das kann gerade bei speziellen Mehrbenutzer-Geräten (Rugged Devices), wie z.B. Geräte mit integriertem Scanner für den Außeneinsatz von Postboten sinnvoll sein. Über die Verwaltungsoberfläche des MDM-Systems erfolgt einerseits die Konfiguration des Gerätes anhand von Profilen, Apps und Richtlinien, welche auf den mobilen Geräten angewandt werden sollen. Andererseits dient sie auch zum Absetzen von Befehlen um z.B. Geräte zu sperren, zu löschen, Apps zu installieren oder die Compliance zu überprüfen. Um Einschränkungen oder Einstellungen auf einem Gerät zu definieren kommen Profile zum Einsatz, welche XML-konforme Dateien sind, die die Konfiguration, dem sog. Payload, enthalten. Unter iOS können diese zum Schutz vor Manipulation signiert und verschlüsselt sein. Unternehmen können so über Profile, bspw. den Passwortschutz eines Gerätes oder WLAN-Einstellungen setzen, Unternehmensressourcen wie E-Mail Konten oder VPN einbinden sowie den Zugriff auf die Kamera oder die Screenshot-Funktion unterbinden. iOS Geräte bieten mit dem Supervised-Modus zusätzlich die Möglichkeit an, weitere Konfigurationsmöglichkeiten freizuschalten wie z.B. Profile vor dem Löschen zu schützen. Neben Profilen ist die Verteilung von Apps möglich. Hier gibt es die Varianten Apps aus einem plattformspezifischen App Store einzubinden oder selbstentwickelte Apps bereitzustellen. Diese können dann auf den Geräten bei der Registrierung übertragen und erzwungen werden und erfordern ggf. bei der Installation eine Bestätigung des Gerätebenutzers. Des Weiteren besteht die Möglichkeit der Bereitstellung eines privaten App Stores, der über die Geräte verfügbar ist und das Nachladen ausgewählter Apps unabhängig vom App Store gestattet. Um Apps zu schützen, bieten einige MDM-Anbieter eine Technik namens App Wrapping an, um die Sicherheitsfunktionen einiger Apps zu erweitern. Dazu gehören u.a. Single Sign On, Authentifizierung innerhalb der App oder Verschlüsselung der App-Daten.

Kommunikation zwischen Gerät, MDM und Unternehmen
Für die Kommunikation mit mobilen Geräten außerhalb des Unternehmens ist es wichtig, dass das MDM-System über das Internet erreichbar ist. Die grundsätzliche Architektur der MDM-Anbieter unterscheidet sich diesbezüglich kaum und die Kommunikation mit den Geräten erfolgt einerseits über das HTTP-Protokoll um bspw. Geräte zu registrieren oder die Management-Konsole aufzurufen und andererseits über ein plattformspezifisches Messaging Protokoll, wie Apples Apple Push Notification Service (APNS) für iOS Geräte oder Googles Google Cloud Messaging (GCM) für Android Geräte. Ebenso besteht die Möglichkeit, Unternehmensressourcen, wie einen Directory-Service, Mail-Server, Zertifizierungsstelle oder Datei-Server, in das MDM-System einzubinden. Aus Sicherheitsgründen kann dafür die Auslagerung einiger MDM-Komponenten, die direkt mit den mobilen Geräten kommunizieren, in die demilitarisierte Zone (DMZ) eines Unternehmens durchaus sinnvoll sein. Eine DMZ ist ein eigener Netzwerkbereich innerhalb eines Unternehmens, der durch eine streng geregelte Firewall vom Internet und Intranet abgeschirmt ist und somit den direkten Zugriff von außen auf Ressourcen im Intranet vermeidet. Bei einem MDM-System, welches als Cloud-Service bezogen wird, funktioniert die Anbindung interner Ressourcen über Komponenten, die im eigenen Netzwerk und ggf. zusätzlich in einer DMZ installiert werden. Man spricht hierbei auch von einer Hybrid-Lösung. Die Kommunikation erfolgt stets verschlüsselt. Je nach Plattform oder MDM-System ist ein Agent auf dem mobilen Gerät erforderlich, um diese zu registrieren, mit diesen zu kommunizieren und letztendlich zu verwalten. Man unterschiedet hierbei drei verschiedene Ansätze:

Embedded Agent
Ist in die mobile Plattform integriert und kann über eine vorhandene API angesprochen werden, ohne dass ein eigenständiger Agent installiert sein muss. Dies ist bspw. mit iOS Geräten möglich.

Third Party Agent
Ein Agent wird in Form einer App auf dem mobilen Gerät installiert, welcher über entsprechende Rechte für die Kontrolle verfügt. Hierdurch können weitere Funktionen gegenüber dem Embedded Agent zur Verfügung stehen. Die Kommunikation über ein MDM-System erfolgt mittels Messaging Dienste von Geräteherstellern, wie APNS oder GCM.

Messaging Agent
Es wird ebenso ein Agent auf dem mobilen Gerät installiert, welcher jedoch über ein eigenes Protokoll und einem eigenen Messaging Dienst, unabhängig von APNS oder GCM, mit dem MDM-System kommuniziert.
Mit einem Agent stehen je nach mobiler Plattform weitere Funktionen der Geräteverwaltung zur Verfügung, wie z.B. eine Jailbreak/Rooting-Erkennung, die Ortung eines verlorenen Gerätes oder der Zugriff auf das Dateisystem. Geht bspw. das iOS Gerät eines Mitarbeiters verloren, kann ein Administrator über die Management Konsole des MDM-Systems den Befehl zum Fernlöschen absetzen. Das MDM-System übermittelt den Befehl zum APNS, welches wiederum den Befehl an das Gerät weiterleitet. Hat das Gerät den Befehl erhalten, meldet es sich beim MDM-System und bekommt seine Instruktionen. Abschließend erfolgt eine Bestätigung, Fehlermeldung oder eine detaillierte Rückmeldung durch das Gerät. In Abbildung 1 wird der generelle Aufbau eines On Premise MDM-Systems mit dessen Kommunikationswegen aufgezeigt, welche jedoch je nach MDM-Anbieter variieren können.


Abbildung 1: Kommunikationswege eines MDM-Systems. (Quelle: Eigene Abbildung.)

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.