Mobile-Device-Management
I-Phone-Administration im Unternehmen – ein Überblick
Fortsetzung des Artikels von Teil 6
Fazit
Ein „Over-the-air“-Konfiguration ohne aktivierte Code-Sperre bietet nicht nur sofortigen Zugriff auf die direkt über die Anwendungen erreichbaren Daten, sondern lässt darüber hinaus eine USB-Kommunikation mit jedem beliebigen Rechner zu. Neben den Daten aus einem I-Tunes-Backup stehen einem potentiellen Angreifer somit alle forensischen Werkzeuge für das Auslesen der Daten auf Dateisystemebene zur Verfügung, denn weder die Hardwareverschlüsselung noch die auf der Code-Sperre beruhende Verschlüsselung kommt in diesem Fall zum Einsatz.
Stellt sich demnach nur noch das „Wie“ einer adäquaten Gerätekonfiguration, steht mit den genannten Methoden für jeden Anforderungszweck ein geeigneter Weg zur Verfügung.
Die direkte Konfiguration ist insbesondere für Privatanwender interessant und sollte in Unternehmen keine Anwendung finden. Insbesondere die fehlende Möglichkeit zur zentralen Fernlöschung wiegt zu schwer. Der Weg über Microsoft "ActiveSync" ist empfehlenswert, wenn lediglich die Sicherheitsrichtlinien des Kommunikationsserver durchgesetzt werden sollen und eine weitere Geräteeinschränkung nicht erforderlich ist. Ein gravierender Nachteil besteht in der fehlenden Möglichkeit, die Verschlüsselung des iTunes-Backups vorzugeben. Da ein Benutzer lediglich durch organisatorische Handlungsanweisungen davon abgehalten werden kann, ein I-Tunes Backup über nicht-dienstliche Rechner zu erstellen, liegen die Sicherungsdaten anschließend unverschlüsselt in einem unsicheren Bereich auf einem privaten Rechner außerhalb des Unternehmensumfeld. Die Konfigurationsprofile bieten größtmögliche Flexibilität, bedeuten aber auch einen erhöhten Administrationsaufwand. Hinzu kommt, dass für jede Installation eine Interaktion des Benutzers erforderlich wird. Es gilt daher, einen Workflow zu erarbeiten, der gegebenenfalls auch standortunabhängig die zentrale Konfiguration der I-Phones sicherstellt. Dass eine Fernlöschung nur in Kombination mit einem Kommunikationsserver möglich ist, wird bei den meisten Unternehmen keine Rolle spielen, da die Infrastruktur bereits vorhanden ist. Die letztgenannte Methode über die Mobile-Device-Management-Schnittstelle (MDM) des I-Phones in Verbindung mit einer Verwaltungssoftware kombiniert alle Vorteile der anderen Methoden und bedarf als größter Vorteil darüber hinaus keiner weiteren Mitwirkung des Benutzers. Gerade in großen Unternehmen mit einer Vielzahl eingesetzer I-Phones wird sich nur auf diesem Weg der Support-Aufwand in (bezahlbaren) Grenzen halten lassen.
Abschließend bleibt zu hoffen, dass die Dokumentation der MDM-Schnittstelle veröffentlicht wird, so dass auch In-House-Lösungen darauf aufsetzen können. Damit stünde allen die Möglichkeit für den Aufbau einer universellen Administrationslösung zur Verfügung.
Wenn Apple dann auch noch die letzte Hürde beseitigt und eine Aktivierung der Geräte ohne I-Tunes ermöglicht, steht einem Erfolg der I-Phones in den Unternehmen nichts mehr im Wege.
- I-Phone-Administration im Unternehmen – ein Überblick
- Direkte Konfiguration am Gerät
- Verwaltung per "ActiveSync"
- Administration über Konfigurationsprofile
- „Over-the-air“-Konfiguration
- Einsatz einer Verwaltungssoftware
- Fazit
- Tabelle: Konfigurationsarten für das I-Phone im Vergleich
- Tabelle Teil 2
Lesen Sie mehr zum Thema
