MDM-Ansätze im Vergleich
Mobile Endgeräte absichern
Mit MDM-Lösungen (Mobile-Device-Management) verwalten Unternehmen ihren Zoo an mobilen Geräten. Denn klassische Suiten für das Client-Lifecycle-Management bleiben hier in der Regel außen vor. Der Beitrag zeigt, welche unterschiedlichen Ansätze die MDM-Lösungen verfolgen und worauf es bei ihrem Einsatz ankommt.MDM-Lösungen für sichern und verwalten unternehmensweit mobile Endgeräte wie Smartphones oder Tablet-PCs. Die derzeit am Markt verfügbaren Lösungen verfolgen zwei unterschiedliche Konzepte. Beim so genannten Lightweight-Ansatz verwendet das MDM-System die Sicherheits- und Verwaltungsfunktionen der jeweiligen Geräteplattform und bietet zusätzlich eigene Werkzeuge zur Geräteverwaltung. Typische Vertreter hierfür sind die Tools von Airwatch, Mobileiron oder Sophos. Im Gegensatz dazu installieren Container-Lösungen eine Sandbox auf dem Endgerät, in der Apps ablaufen und vertrauliche Daten gespeichert werden. Den Container-Ansatz verfolgen Hersteller wie Good Technologies oder Excitor. Lightweight-Ansatz Bei den Lightweight-Systemen werden die nativen Sicherheitsfunktionen des jeweiligen mobilen Betriebssystems mit der MDM-Lösung provisioniert. Damit erfassen Unternehmen beispielsweise automatisiert die Gerätekonfigurationen und können Profile wie auch Richtlinien spezifisch für die eingesetzten Plattformen auf die Geräte verteilen. Je nach Betriebssystem sind die Möglichkeiten zur Gerätekonfiguration via MDM unterschiedlich: Apple-IOS-Geräte erhalten die Sicherheitseinstellungen beispielsweise in Form von Konfigurationsprofilen, die an die Geräte versendet werden. Bei Android hingegen ist eine App notwendig, die der Benutzer als Geräteadministrator bestätigen muss, damit diese weitere Einstellungen auf dem Gerät durchführen darf. Weiterhin unterstützen MDM-Systeme den Administrator bei der Gerätekonfiguration und erkennen, welche Änderungen der Benutzer an seinem Gerät vorgenommen hat, welche Applikationen vorhanden sind und welche Netzwerkeinstellungen bestehen. Für Endanwender bedeutet der Einsatz einer Lightweight-Lösung, dass sie in ihrer gewohnten Umgebung auf dem Endgerät arbeiten können, da das System nicht in die Benutzeroberfläche eingreift. Für die IT-Abteilung sind Installation und Betrieb vergleichsweise unkompliziert. Optional bieten einige Anbieter auch den Betrieb als SaaS-Lösung an (Software as a Service), sodass keine zusätzlichen Ressourcen im eigenen Rechenzentrum erforderlich sind. Einschränkungen ergeben sich bei den Lightweight-Lösungen systembedingt. Eine strikte Trennung von privaten und beruflichen Daten ist nur möglich, wenn das Betriebssystem des Endgeräts dies unterstützt, wie es zum Beispiel bei Apple IOS der Fall ist. Anbieter wie Sophos ergänzen ihre Lightweight-MDM-Lösungen um Sicherheitsfunktionen, beispielsweise für die Viren- und Malware-Erkennung bei Apps und auf Websites. Die Lösung Sophos Mobile Control für die Android-Plattform erweitert MDM-Funktionen um vielfältige Mobile-Security-Aspekte, ist mandantenfähig und als SaaS-Lösung auch in deutschen Rechenzentren verfügbar. Container-Lösungen Wem die nativen Sicherheitsfunktionen von Blackberry, Android, IOS und Co. nicht ausreichen, der kann über eine Container-Lösung eine zusätzliche Sicherheitsebene auf dem Endgerät einziehen und erhält so eine noch tiefergehende Kontrolle über Applikationen und Daten. Beim Container-Ansatz installiert der Anwender auf seinem mobilen Endgerät eine Sandbox: Darin laufen Anwendungen vollständig gekapselt in einer eigenen Umgebung und auch Daten sind so zusätzlich gesichert. Außerdem ist damit eine zuverlässige Trennung von privaten und geschäftlichen Inhalten auf dem Mobilgerät erreichbar. Die im Container verarbeiteten Daten sind zudem vor dem Zugriff durch Apps von außen geschützt. Durch einen verschlüsselten Zugang zu dem Container über Passwort oder PIN sind die Daten auch nach einem Geräteverlust geschützt. Zusätzlich erhält der Administrator eine granulare Kontrolle über die Eigenschaften des Containers und kann unter anderem den Datenexport von E-Mail-Anhängen oder das Löschen von Daten sperren. Mit Container-Lösungen lassen sich verschlüsselte TCP/IP- oder VPN-Verbindungen zwischen den Apps und dem Unternehmensnetzwerk über Policies durchsetzen, was nochmals die Sicherheit erhöht. Auch verfolgen einige Anbieter den Ansatz, den gesamten Datenverkehr vom Container zum Unternehmen über ein zentrales NOC (Network Operation Center) abzuwickeln. Befindet sich dieses Rechenzentrum außerhalb von Deutschland, kann es allerdings zu Datenschutzverstößen kommen, wenn man zum Beispiel Personaldaten versendet. Das Mehr an Sicherheit hat letztlich seinen Preis: Im Container laufen meist native Applikationen des jeweiligen MDM-Anbieters. So wird der gewohnte E-Mail-Client des Smartphones durch eine neue E-Mail-Lösung ersetzt, ebenso der Kalender, das Telefonbuch oder weitere Anwendungen. Durch die Kapselung von Apps ändern sich für den Anwender also die Bedienung der Endgeräte sowie die Verwaltung von Daten und Software. Für Unternehmen ergibt sich dadurch unter Umständen zusätzlicher Schulungsaufwand für die Mitarbeiter sowie ein Akzeptanzproblem bei den Anwendern. In der Praxis muss sich ein Anwender vor dem Telefonieren überlegen, ob die gewünschte Rufnummer in seiner privaten oder der geschäftlichen Umgebung abgelegt ist. Umgekehrt kann das Smartphone eingehenden Rufnummern nur dann einen Namen im geschäftlichen Adressbuch zuordnen, wenn der Container gerade in Nutzung ist. Ebenfalls zu bedenken ist die zusätzliche Systemlast, die eine Container-Lösung erzeugt. Je nach Endgerät kann dies zu verkürzten Akkulaufzeiten und verzögertem Antwortverhalten der Apps führen. Eine Alternative zu den MDM-Verfahren Lightweight und Container ist die Virtualisierung des Betriebssystems, zum Beispiel über VMware Horizon. Hier laufen auf einem Endgerät praktisch zwei komplett getrennte Systeme. Während Horizon auf der Android-Plattform tatsächlich zwei eigenständige Betriebssysteme startet, verfolgt die für IOS angekündigte Version allerdings eher einen Container-orientierten Ansatz. Integration der Mobilgeräte in die IT-Infrastruktur Während die IT-Abteilung jahrelang bemüht war, den Wildwuchs der IT-Komponenten im Rechenzentrum und an den Arbeitsplätzen einzudämmen, wurde mit der Verbreitung von Mobilgeräten im Unternehmen ein neues "Fass" aufgemacht. Das Streben der IT-Abteilung nach Standardisierung und Automatisierung der IT-Infrastruktur erlebt somit durch die zunehmende Integration heterogener mobiler Endgeräte in die Geschäftsprozesse einen herben Rückschlag. Erschwerend kommt für die IT-Abteilung die Diskussion um BYOD (Bring Your Own Device) hinzu: Erlaubt ein Arbeitgeber dem Mitarbeiter die Nutzung seines privaten Endgeräts, entsteht insbesondere in großen Unternehmen eine nahezu unbeherrschbare Gerätevielfalt. Die Alternative CYOD (Choose Your Own Device - der Mitarbeiter kann aus mehreren Angeboten des Arbeitebers wählen) verringert zwar die Zahl der zu verwaltenden Systeme, kann aber je nach Umsetzung dazu führen, dass sich einzelne Mitarbeiter doch wieder ihrem privaten Lieblingsgerät zuwenden und dies im Unternehmen nutzen wollen. Wie heterogen der Markt ist, zeigen die folgenden Zahlen: Nach Angaben des Marktforschungsunternehmens Comscore lag Ende September 2012 der Marktanteil für Android-Smartphones in Deutschland bei 50,1 Prozent, gefolgt von Apple IOS mit 21 Prozent und Nokia Symbian mit 17,6 Prozent. Weltweit meldete Gartner zum zweiten Quartal 2012 einen Marktanteil von 64,1 Prozent für Android, 18,8 Prozent für IOS und 5,9 Prozent für Symbian. Softwareseitig stehen den Anwendern weltweit rund 1,3 Millionen Apps für die unterschiedlichen Systeme zur Verfügung. Eine weitere Herausforderung ist die Integration einer MDM-Lösung in bestehende IT-Management- und Service-Management-Umgebungen. Zwar sind meist offene Schnittstellen für den Datenexport aus dem MDM-System vorhanden. Für eine umfassende Betrachtung aller ITK-Komponenten aus wirtschaftlicher und technischer Sicht sollte jedoch ein automatisierter und zeitnaher Abgleich aller Konfigurationsdaten möglich sein, beispielsweise durch den Datenaustausch über eine zentrale CMDB (Configuration Management Database). Die Diskussion um die Datensicherheit auf mobilen Endgeräten ist nicht neu, schließlich arbeiten Außendienstmitarbeiter schon seit Jahren unterwegs mit Notebooks. Die auf den Endgeräten und Server-seitig implementierten Sicherheitskonzepte wie VPN, lokale Verschlüsselung, Network Access Control (NAC), Intrusion Prevention System (IPS) oder Virenscanner sind jedoch nur eingeschränkt auf Smartphones und Tablet-PCs übertragbar. Für diese Geräte sollten Unternehmen auf die Kombination von NAC, IPS und Mobile-Device-Management setzen. NAC-Systeme ermöglichen es, unerwünschte und unbekannte Geräte auf ihre Berechtigung zur Anwesenheit im Netzwerk zu prüfen und gegebenenfalls auszuschließen. Mit IPS lassen sich ein- und ausgehende Daten auf abweichende Bitmuster analysieren. Zusätzlich helfen Heuristiken dabei, Unregelmäßigkeiten bei dem Datenverkehr aufzuspüren. Während NAC und IPS häufig schon als Teil des Sicherheitskonzeptes vorhanden und auch zur Überwachung von mobilen Endgeräten wie Notebooks nutzbar sind, kommt MDM ausschließlich für Smartphones und Tablets zum Einsatz. Wer auch auf diesen Endgeräten einen Schutz vor Viren oder Malware benötigt, erhält am Markt bereits eng verzahnte Lösungen für MDM und Mobile Security. Am Ende des Spektrums stehen die mit Simko (sichere mobile Kommunikation) abgeschotteten Krypto-Mobiltelefone, die über eine Vollverschlüsselung von Sprache, E-Mail und Daten verfügen. Anfang 2012 stellte T-Systems mit Simko-3 eine aktuelle Version der Verschlüsselungstechnik vor, die künftig auch mit gängigen Smartphones, Tablets und Notebooks laufen soll. Fazit Letztlich muss jedes Unternehmen individuell analysieren, wie kritisch die auf dem mobilen Endgerät verarbeiteten Daten sind, und auf dieser Basis ein Sicherheitskonzept entwickeln. Auch ist zu prüfen, wie stark die Nutzung privater Geräte tatsächlich dazu beiträgt, die Produktivität und Zufriedenheit der Mitarbeiter zu verbessern. Wer bereits eine System-Management-Lösung im Rechenzentrum betreibt, kann diese über spezielle Module erweitern - sofern der Hersteller diese bereits anbietet. Einige Hersteller haben ihre Client- und Server-Management-Lösungen inzwischen um MDM-Funktionen erweitert, so auch Materna mit DX-Union. Für IT-Administratoren bedeuten solche Erweiterungen eine erhebliche Entlastung, da sie das Management mobiler Geräte über eine bestehende Lösung abbilden können. Darüber hinaus wird die Unterstützung von Network Access Control (NAC) immer wichtiger werden: Anwender nutzen künftig ihre Smartphones oder Tablet-PCs intensiver für Aufgaben, die sie heute noch mit Notebooks durchführen. Das Thema Zugriffskontrolle wird damit an Bedeutung gewinnen und ist bei der Kaufentscheidung für eine MDM-Lösung heute schon zu berücksichtigen.
Lesen Sie mehr zum Thema
