Auswahlkriterien für ein MDM-System
Smartphones im Griff
Der stetig wachsende Einsatz von mobilen Endgeräten im unter-nehmenseigenen Netz stellt jede IT-Abteilung vor neue Herausforderungen. Die Verantwortlichen müssen vorhandene Sicherheitsstrategien erweitern und anpassen, damit die vom Unternehmen geforderten Compliance-Anforderungen realisierbar sind. Der Einsatz eines Mobile-Device-Management-(MDM-)Systems kann diese Aufgabe unterstützen.
Besonders in Unternehmen, in denen nicht alle relevanten Mitarbeiter über Dienstgeräte verfügen, kommt eine große Anzahl privater Endgeräte zum Einsatz („Bring your own Device“ – BYOD). Dann sollte das MDM in der Lage sein, möglichst viele Gerätetypen mit einer Vielzahl an Betriebssystemen und in unterschiedlicher Aktualität verwalten und steuern zu können. Denn der Betriebssystemmarkt ist breit gefächert: Derzeit stehen mit Google Android, Apple IOS, Research in Motion (Blackberry), Windows Phone und Windows Mobile, Symbian und Bada (Samsung) sieben unterschiedliche Plattformen zur Verfügung, die über einen nennenswerten Marktanteil verfügen. Um echte Sicherheit zu schaffen, muss das MDM die Fülle der Devices zentral verwalten und Nutzereinstellungen sowie Sicherheitsrichtlinien auf alle mobilen Endgeräte verteilen können. Die Möglichkeiten, Sicherheitseinstellungen vorzunehmen, weichen zwischen den Betriebssystemen stark voneinander ab. Das MDM sollte deshalb in der Lage sein, abgestimmt auf das jeweilige Betriebssystem das Maximum der darin vorhandenen Sicherheitsmechanismen in seinen Konfigurationsmöglichkeiten zur Verfügung zu stellen. So bieten beispielsweise mit Android und IOS die am stärksten verbreiteten Plattformen bereits „Out of the Box“ die Option, per VPN eine verschlüsselte Verbindung zum Unternehmensnetzwerk zu errichten. Wer auf sensible Daten mit dem eigenen Mobilgerät zugreift, sollte eine automatische Gerätesperre bei Inaktivität einrichten. Zusätzliche Sicherheit bieten ein komplexes Passwort sowie die Verschlüsselung des Gerätedatenspeichers – Anforderungen, die sich über ein MDM zentral umsetzen lassen. Darüber hinaus sollte dieses die Möglichkeit vorsehen, einen „Remote Wipe“ auszuführen, also nach Geräteverlust sämtliche Daten mit einem Befehl über die Verwaltungskonsole vom Device zu löschen. Zum Schutz der eigenen Infrastruktur vor Viren und möglichem Datendiebstahl sollte das MDM bei der Herstellung einer Verbindung das Smartphone auf Modifikationen („Jailbreak“ beziehungsweise „Rooting“) prüfen. Nur wenn sich das Gerät noch im Originalzustand befindet, erlaubt das MDM den Zugriff. Zusätzlich sind Plattformen, bei denen der Betreiber selbst keine Prüfung der angebotenen Applikationen vornimmt, mit einem Basissicherheitspaket auszustatten. Idealerweise sollte das Mobile-Device-Management einen unzureichenden Grundschutz erkennen und eine Installation erzwingen. Unternehmen, die restriktiven Datenschutzvorschriften unterliegen, benötigen darüber hinaus die Option, unerwünschte Applikationen auf den Mobilgeräten zu sperren. Der Aufwand für die Konfiguration und Verwaltung der Smartphones und Tablet-PCs sinkt erheblich, wenn sich die Geräte zentral über das MDM verwalten, konfigurieren und mit Software befüllen lassen. Automatische Verteilung: Einmal auf dem Mobilgerät eingerichtet und im MDM-System registriert lassen sich Aktualisierungen und Einstellungen dieser Anwendungen fortan automatisiert „Over the Air“ (OTA) unter Verwendung der WLAN- und Datenverbindungen auf die Endgeräte übertragen. Erfreulicher Nebeneffekt für die Nutzer: Diese müssen ihr Gerät weder selbst konfigurieren noch umständlich in der IT-Abteilung abgeben – besonders in Unternehmen mit dezentralen Standorten eine spürbare Erleichterung. Darüber hinaus sollte das MDM auch die Verwaltung des Unternehmens-WLANs und den Zugriff darauf steuern. Dies kann beispielsweise auch eine Limitierung der nutzbaren Access Points je nach zugewiesener Rolle des Benutzers beinhalten. Remote-Zugriff im Notfall: Falls es nicht möglich ist, die Daten auf mobilen Endgeräten zu verschlüsseln, dann ist es zum Schutz sensibler Daten unbedingt notwendig, bei Diebstahl schnellstmöglich zu reagieren, auf das Gerät zuzugreifen und sämtliche gespeicherten Daten sicher zu entfernen. Dieser so genannte „Remote Wipe“ wahrt die Vertraulichkeit der Nutzer- und Unternehmensdaten. Wahlweise und nach ausdrücklicher Zustimmung der rechtmäßigen Nutzer lässt sich das Mobilgerät auch lokalisieren. Darüber hinaus kann das MDM nachträglich eine Bildschirmsperre („Remote Lock“) übermitteln, WLAN- und VPN-Einstellungen zurücksetzen sowie bei der Entfernung der SIM-Karte einen Reset auf den Auslieferungszustand des Herstellers auslösen. Sichere Einbindung ins Netz: Damit sichergestellt ist, dass sich die mobilen Devices ohne größere Risiken ins unternehmenseigene Netzwerk integrieren lassen, muss das MDM vor Zustandekommen einer Verbindung überprüfen, ob das Endgerät die nötigen Voraussetzungen erfüllt. Je nach Prüfungsergebnis erlaubt es entweder den Netzwerkzugriff oder leitet andere vordefinierte Maßnahmen. Minimale Einschränkung: Damit die Anwender in einem Unternehmen die Nutzung eines MDM-Systems als hilfreich annehmen, müssen sich wahrnehmbare Einschränkungen in Grenzen halten. Wichtig ist es, bei der Einrichtung des MDM einen guten Kompromiss aus Sicherheit und der ungehinderten Benutzungsmöglichkeit des Geräts zu wahren. Angenehme Nebeneffekte für die Nutzer können unter anderem die automatische Installation und Aktualisierung gewünschter Apps inklusive Kostenübernahme für unternehmensrelevante Software darstellen. Eine Möglichkeit dafür bietet beispielsweise das „Volume Purchase“-Programm von Apple, bei dem eine Unternehmens-ID Lizenzen erwirbt und über MDM an die Endgeräte übertragen kann.
Fazit
Bereits ab mittlerer Unternehmensgröße empfiehlt es sich, ein Mobile-Device-Management-System einzusetzen, um die Verwendung von mobilen Geräten sicher zu gestalten. Neben der Verwaltung der eingesetzten Geräte schützt das MDM den Zugriff auf Unternehmensnetzwerk und -daten, setzt Sicherheitsrichtlinien um und unterstützt die Einhaltung von Compliance-Vorgaben.
Lesen Sie mehr zum Thema
