Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Office & Kommunikation > Test: Sicherheitslösungen für Smartphones

Smartphone-Security

Test: Sicherheitslösungen für Smartphones

11. November 2009, 15:59 Uhr | Bernd Reder
Fortsetzung des Artikels von Teil 3

Trust Digital Enterprise Mobility Management

Stellen Sie sich folgendes Szenario vor: Sie sind ein IT-Direktor mit der Aufgabe, eine wachsende »Flotte« von mehr als 100 Smartphones zu schützen. Auf diesen Geräten sind wichtige E-Mails, Dateien, Kundenkontakte und andere Unternehmensinformationen gespeichert. Sie benötigen zudem ein zentrales Management und ein effizientes Verfahren, um Policies durchzusetzen.

Und noch eine Anforderung: Es sollen Geräte unter Windows Mobile und Palm OS, iPhones und möglicherweise ein paar Newcomer unterstützt werden. Das geht nicht? Dann ist es an der Zeit, sich Trust Digitals Enterprise-Mobility-Management (EMM) einmal genauer anzusehen.

Vor allem für Unternehmen, deren Mitarbeiter iPhones verwenden, ist EMM interessant, Denn derzeit stehen für die Verwaltung von Apple-Smartphones im Enterprise-Umfeld nur begrenzte Möglichkeiten zur Verfügung.


Die Elemente des Enterprise-Mobile-Manager von Trust Digital

Um ein iPhone einzurichten, lässt sich Apples Konfigurations-Tool einsetzen. Mit ihm kann der Administrator unter anderem Passwortanforderungen festlegen, WLAN- und E-Mail-Einstellungen vornehmen und VPN-Profile erstellen.

Für Microsofts Activesync lässt sich die Konfiguration von Exchange nutzen, um Passwortrichtlinien durchzusetzen, einen Inactivity-Timer einzustellen und das Fernlöschen von Daten zu implementieren.

Diese Bordmittel reichen in kleineren und homogenen Umgebungen aus. In größeren Firmen und dann, wenn unterschiedliche Smartphones im Einsatz sind, machen sich allerdings die Vorteile von EMM bemerkbar.

Das System basiert auf einem dreiteiligen Komponentenmodell, welches das Telefon, einen Compliance-Filter und den EMM-Server im Backend umfasst. Der Client selbst besitzt typischerweise einen Agenten, der Richtlinien durchsetzt, Sicherheits-Controls implementiert und mit dem Home-Server kommuniziert.

Der Compliance-Filter »lebt« im Perimeter oder in der DMZ, normalerweise auf einem System wie Exchange-Frontend-Server (mit optionalem ISA-Support) und beobachtet dort die Kommunikation mit dem E-Mail-Server. Der Filter berichtet nicht nur über die Gerätetypen, die zuzugreifen versuchen, sondern er blockiert auch den Zugriff, falls das System nicht die Sicherheitsrichtlinien erfüllt.

Der Filter funktioniert wie ein traditionelles NAC-Gerät (Network Access Control). Er hilft Administratoren beispielsweise dabei, User zu erkennen, die nicht autorisierte Smartphones für den Zugriff auf Unternehmensressourcen verwenden.

Der Backend-Server ist für folgende Dinge zuständig: die Konfiguration, das Aufsetzen von Policies, das Logging und die Administration.

Viel von dem, was auf dem Backend-EMM stattfindet, ist das, was von einem Mobile-Device-Element-Manager erwartet wird. Die Web-Benutzerschnittstelle ist übersichtlich und erlaubt eine abgestufte Administration von Informationen mit voreingestellten Rollen für Administratoren, Helpdesk-Mitarbeiter, Berichtszugriff et cetera.

Der Kern der Sicherheitseinstellungen ist das Erstellen von Richtlinien und deren Mapping auf Active-Directory-Gruppen. In den Policies legt der Administrator die Verschlüsselung und die Authentifizierungs-Controls (einschließlich Smartcard-Support) fest. Außerdem gibt er darin vor, wie und über welche Schnittstellen und Protokolle ein Smartphone kommunizieren darf, etwa WLANs und Bluetooth-Verbindungen.

Selbst dann, wenn unterschiedliche Smartphones in einer Firma eingesetzt werden, kann der Administrator eine einzelne Richtlinie erzeugen und unabhängig vom Telefontyp an alle Geräte verteilen. Diese Richtlinienkonsistenz ist allerdings ein zweischneidiges Schwert, weil nur die implementierbaren Controls angewandt werden. Dies führt zu einer Richtlinie, die möglicherweise nur eine Untermenge (Subset) aller Controls enthält.

Ein Beispiel: Da Trust Digital derzeit keine iPhone-Verschlüsselung unterstützt, wird diese Richtlinieneinstellung für iPhone-Benutzer ignoriert. Das Mapping unterstützter Richtlinien-Controls für unterschiedliche Telefone ist zwar dokumentiert. Aber der Systemverwalter erkennt nicht, welche Teile einer Richtlinie implementiert wurden. Dies ist aber ein zentraler Punkt und sollte in künftige Versionen der Software integriert werden.

Die Unterstützung von iPhones erfolgt in mehreren Phasen. Im ersten Schritt, der seit dem vierten Quartal 2008 verfügbar ist, werden die Smartphones an das zentrale Inventarverzeichnis angebunden, einschließlich der Policies.

Die Steuerung erfolgt durch Compliance-Filter. Optionale Aufgaben, beispielsweise Fernlöschen und das Verwalten von Passwörtern, lassen sich zentral durchführen. Die zweite Phase wird Hilfe bei der Bereitstellung und Konfiguration von iPhones bieten.

Richtig interessant, besonders aus der Perspektive des Technikers, dürfte es in der dritten Phase werden. Sie wird Verschlüsselung implementieren, erweiterte Inventarinformationen liefern und möglicherweise einen Agenten haben, der auf den Phones selbst läuft.

Das Ziel ist, den Security-Control-Support von EMM, der gegenwärtig nur für Windows-Mobile-Geräte verfügbar ist, auf das iPhone auszudehnen. Dann werden auch für Apples Mobilgerät Funktionen bereitstehen wie Multifaktor-Authentifizierung, die Verschlüsselung von Daten, die auf dem Gerät gespeichert sind, oder das Zurücksetzen von Konfigurationseinstellungen.

Network Computing testete Security-Pakete für Apples iPhone 3G, Windows-Mobile, RIM Blackberry und Symbian-OS-Geräte. Dabei ging es vor allem darum, eine Sammlung von Security-Controls zum Schutz und zur Pflege einer Smartphone-Infrastruktur zu erzeugen.

Untersucht wurden Zugriffssteuerungsmechanismen, sichere Container für das Passwortmanagement, die Verschlüsselung von Daten auf dem Mobilgerät, Netzwerksicherheits-Controls, Antivirus- und Antimalware-Funktionen sowie die Durchsetzung von Sicherheitsrichtlinien.

Für die Preisermittlung galten folgende Bedingungen: Die Kosten des Smartphones sind nicht enthalten. Für Applikationen, die ausschließlich auf dem Smartphone laufen, werden 200 Lizenzen genutzt. Für Applikationen, die Backend-Server-Support benötigen, sind lediglich die Lizenz-/Softwarekosten enthalten.

  1. Test: Sicherheitslösungen für Smartphones
  2. Credant Mobile Guardian
  3. PGP Mobile 9.9.0: For Security On The Go
  4. Trust Digital Enterprise Mobility Management

Lesen Sie mehr zum Thema

TREND MICRO Deutschland GmbH PGP Credant
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
kiwiko eG - IT-Expertennetzwerk

kiwiko eG - IT-Expertennetzwerk
Panduit

Panduit

GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH
Zyxel Networks A/S

Zyxel Networks A/S
G DATA CyberDefense AG

G DATA CyberDefense AG