Sophos Mobile Control im Test
Sicherheit im Streichelzoo
War vor fünf Jahren für den Administrator noch vollkommen klar, dass es sich bei Client-Systeme um Windows-PCs handelt, so hat sich das Bild heute grundlegend gewandelt. Mobile Endgeräte allerorten - da braucht es die passende Verwaltungssoftware. Sophos zählt mit Mobile Control zu den Security-Herstellern, die sich auch dem Thema MDM (Mobile-Device-Management) widmen.Unternehmen ohne mobile Endgeräte wie Smartphones oder Tablets dürfte es kaum noch geben. Und obwohl sie überall zu finden sind, tauchen die Kleingeräte häufig in den Management-Strukturen der Unternehmens-IT nicht auf. Ohne die Verknüpfung zum CLM (Client-Lifecycle-Management) und ohne die Mitgliedschaft in einem Active Directory entzieht sich diese noch junge Geräteklasse den wachsamen Augen der Administratoren. Historisch betrachtet gelang es dem kanadischen Unternehmen RIM (heute aufgrund des bekannteren Produktnamens als "Blackberry" firmierend) erstmalig, die Kleincomputer unter eine ordentliche Verwaltung zu stellen. Langfristig konnten sich die Blackberry-Geräte jedoch nicht am Markt durchsetzen, und so sind heute Android- und Apple-IOS- sowie (mit großem Abstand) Windows-Phone-Geräte die am Markt gebräuchlichen Kleincomputer. Deshalb verwundert es kaum, dass Sophos Mobile Control (SMC) in der jüngsten Version 4.0 eben genau diese Systeme verwaltet. Von den Urgesteinen findet man lediglich Windows Mobile, der Windows-CE-Nachfolger und Vorläufer des Windows Phone, auf der Kompatibilitätsliste. Dies dürfte wohl daran liegen, dass viele Erfassungsgeräte in der Industrie nach wie vor auf dem Altbetriebssystem aufsetzen. Die große MDM-Herausforderung Da Smartphones für gewöhnlich eine große Anzahl privater Informationen speichern, ist das Verhältnis zwischen Benutzer und Mobilgerät sehr intensiv. Es mag dem hohen Grad der Personifizierung auf dem Gerät geschuldet sein oder der grundsätzlichen Herangehensweise eines Anbieters wie Apple, dass der Fokus der Geräte- und OS-Hersteller - mit Ausnahme von RIM/Blackberry - auf dem Einzelbenutzer lag und nicht auf der Bereitstellung der Technik innerhalb von Unternehmen. Heute gilt es für ein Unternehmen, bei der Verwaltung von Iphone & Co. eine Sicherheitsrichtlinie zu definieren, die beiden Besitzvarianten (privat und im Firmenbesitz) gerecht wird - zumal die Eigentumsrechte mitunter unklar sind (Stichwort "Bring Your Own Device" oder BYOD). Dies erfordert eine Client-Management-Software, die der IT-Abteilung hilft, die Geräte im Blick zu haben und im Notfall eingreifen zu können. Dabei ist ein Self-Service-Portal sehr hilfreich, über das die Anwender ihre privaten Geräte selbst in das Device-Management-System einbinden können. Die Möglichkeiten zur technischen Einflussnahme durch die IT-Abteilung auf den aktuellen mobilen Geräten sind systembedingt eher eingeschränkt. Auf Apples IOS geht ohne die Zustimmung des Benutzers bei der Installation von Apps praktisch nichts. Unter dem alten Windows Mobile indes stehen faktisch alle Funktionen einer ausgewachsenen Client-Management-Lösung zur Verfügung. Unter Android ist der Administrator, wie eigentlich auch bei IOS, darauf angewiesen, dass der Benutzer beispielsweise die zu installierenden App bestätigt. SMC unterstützt hier alle gebräuchlichen Befehle der Systemplattformen, beispielsweise die Jailbreak/Rooting-Prüfung, Blacklisting von Software für den Compliance-Check, das Auslesen von Inventardaten oder die Anzeige des Batterieladezustands. SaaS-Variante im Test Anstelle einer eigenen Installation der Software auf einem Windows Server mit Microsoft-SQL-Datenbank, Domain-Join und der Einbindung in einen Microsoft Exchange Server für Activesync entschieden wir uns im Rahmen dieser Teststellung für die SaaS-Variante (Software as a Service). Direkt nach der Anforderung erhielten wir vom Hersteller unsere Zugangsdaten, bestehend aus Kundenname, Login und Passwort. Das Passwort kann und sollte der Administrator direkt nach der ersten Anmeldung ändern. Die Anlage weiterer administrativer Benutzer war problemlos möglich. In den Systemeinstellungen findet der Administrator alle notwendigen Informationen zur Verbindung zu externen Systemen, beispielsweise zum Active Directory, oder die notwendigen IOS-Zertifikate. Mit einem eigenen "Enterprise App Store" für IOS-Geräte können Mitarbeiter kostenpflichtige Apps direkt über das Unternehmen erwerben. Dazu gibt es an dieser Stelle die Möglichkeit, die Konfiguration für das Apple Volume Purchase Program vorzunehmen. Das Menü ist komplett in deutscher Sprache gehalten und erklärt sich von selbst. Die Software reagierte im Test stets zügig und ohne besondere Vorkommnisse. Rechtzeitig griff ein automatischer Log-out-Vorgang, der verhinderte, dass Sitzungsfenster zu lang geöffnet blieben. Das gleichzeitige Arbeiten mittels mehrerer Computern verlief ebenfalls reibungslos. Pflichtfelder markierte die Software durch kleine Sternchen, und beim Versuch einer Fehleingabe erschien ein in sich stimmiger und hilfreicher Fehlertext. Das Menü ist in die Rubriken "Auftragsstatus", "Inventar", "Applikationen", "Profile", "Auftragspakete", "Reports", "Administratoren", "Benutzerverwaltung", "Geräterichtlinien" und "Einstellungen" unterteilt. Auf der von uns gesichteten Testplattform fanden wir bereits einige SMC-Softwarepakete, einige exemplarische Einstellungen, die sich als Konfiguration verschicken lassen, und die vorbereiteten SMC-Client-Installationen. Im Sinne der einfacheren Organisation empfiehlt es sich für den Administrator, verschiedene Gerätegruppen im Abschnitt Inventar anzulegen. Diese Gruppen erlauben eine unterschiedliche Ansteuerung, beispielsweise durch Richtlinien. Dies wiederum ermöglicht die Abbildung verschiedener Kunden im Sinne einer Mandantentrennung für Dienstleister. SMC-App-Verteilung Es gibt zwei Methoden, wie die SMC-Client-Software in Form einer App auf das Zielgerät gelangt. Entweder legt der Administrator in der Benutzerverwaltung einen neuen Benutzer an und verschickt eine Einladung per E-Mail oder SMS. Bei diesem Procedere muss der Anwender die Geräteklasse seines Mobilgeräts selbstständig auswählen - was sicherlich die Mehrheit der Benutzer problemlos schaffen dürfte. Im Zuge dieser Einrichtung hat der Anwender es selbst in der Hand, ob er sein Gerät als im Privatbesitz oder als Firmengerät deklarieren möchte. Die getroffene Auswahl sieht der Administrator später über die SMC-Konsole. Die App-Installation geht über die klassischen Schritte, wie sie auch von anderen Lösungen her bekannt ist. Eine Schwierigkeit wird sicherlich darin bestehen, dass der Benutzer sowohl seinen User-Namen, als auch den Firmennamen für die passende Auswahl des SaaS-Mandanten eingeben muss. Dass recht lange Passwort für die Erstanmeldung erhält der Benutzer als E-Mail/SMS in einer zweiten Nachricht. Wer die winzigen Tastaturen von Iphone & Co. im Kopf hat, kann sich vorstellen, dass dies nicht unbedingt einfach ist. Während der eigentlich Installation der App erläutert Sophos dem Anwender, auf welche Systemressourcen der SMC-Client zugreifen wird. Bei IOS-Geräten folgt die Übertragung der Profileinstellung. Insgesamt dauerte der Vorgang nicht mehr als fünf Minuten. Im Anschluss übermittelt der Client die ersten Inventar- und Messdaten an den Server. So kann der Administrator alle installierten Apps, Profile und Zertifikate einzusehen. Als zweite Variante der Integration in die Management-Umgebung unterstützt Sophos die Anlage des Mobilgeräts im Inventar durch den Administrator in der SMC-Konsole. Hier nutzt die Software entweder SMS oder eine E-Mail-Adresse, um der Person, die das Gerät in den Händen hält, das Signal zu übermitteln, dass nun eine Installation der Client-Komponenten ansteht. Ansonsten verläuft der Prozess ähnlich dem Self-Service, bis auf die notwendige Zuordnung der Betriebssystemversion. Die Macht der Profile Sophos Mobile Control nutzt - wie auch alle Konkurrenten - die Möglichkeit, die Konfiguration der Mobilgeräte über Profile vorzunehmen. Je nach Plattform unterscheiden sich die Fähigkeiten zum Teil drastisch. Die Einschränkung bei Windows Phone 8 beschränkt sich beispielsweise auf die Erlaubnis zur Verwendung der SD-Speicherkarte oder den Zwang zur Verschlüsselung des Geräts. Bei Android hingegen stehen mehr als 20 Anpassungen zur Auswahl - von der Erlaubnis unbekannter (Store-fremder) Apps bis zur Deaktivierung von USB. Die Geräte aus dem Hause Apple erfreuen sich im deutschsprachigen Bereich einer sehr hohen Beliebtheit und großen Verbreitung. So verwundert es kaum, dass die Funktionalität für IOS besonders umfangreich ausfällt. Bedingt durch das System der Kommunikation über den "Apple Push Notification Service" (APNS) unterscheiden sich dabei die SMC-Funktionen kaum von den denen der Mitbewerber: Ab IOS 5 ist es dem Administrator möglich, die Weiterleitung von E-Mails zu verhindern, S/MIME-Einstellung einzufordern, die E-Mail-Funktionalität für Drittanwender zu blockieren, die Autosynchronisation mit Apples Icloud zu unterbinden und die Verwendung nicht einwandfrei vertrauenswürdiger Zertifikate zu blockieren. Wer schon im Vorfeld mit dem kostenlosen "Apple Iphone Configuration Utility" Profileinstellungen angelegt hat, wird mit Freude feststellen, dass sich die erzeugten XML-Vorlagendateien ebenfalls importieren lassen. Android-Verwaltung holt auf Die Android-Plattform wiederum rüstet hinsichtlich ihrer Verwaltbarkeit deutlich auf. In den "Allgemeinen Einstellungen" haben Administratoren bei SMC die Möglichkeit, Web-Filter-Definitionen beispielsweise für das Aussperren von "Glücksspiel" oder "Anonymisierenden Proxys" auszubringen. Das funktioniert jedoch nur unter Android und sofern der Anwender den integrierten Browser oder Google Chrome nutzt. Der Dialog "Geräterichtlinien" dient der Konfiguration der Compliance-Prüfung. Die Funktion ermittelt, ob Geräte noch durch die Sophos-Software geprüft und die Unternehmensrichtlinien für den mobilen Zugriff erfüllt werden. Die Software steuert die Compliance-Anforderung über frei definierbare Geräterichtlinienpläne und je Plattform, was eine flexible Zuordnung erlaubt. Typischerweise setzt sich eine Compliance-Anforderung aus den Antworten Managed, Rooting/Jailbreaking zulässig, Passwort erforderlich, maximaler Zeitraum seit der letzten Synchronisation mit dem Management-Server oder der Mindestversion des Betriebssystems zusammen. Bei einem Verstoß gegen eine Vorgabe verliert ein Gerät den Compliance-Status, ebenso im Fall, dass die Inventarisierung unerwünschte Software findet, die auf einer Blacklist des Administrators genannt ist. Die Reaktionsmöglichkeiten bei Compliance-Verstößen sind leider technisch gering - üblicherweise "bestrafen" IT-Verantwortliche den Benutzer durch den Entzug der Synchronisationsfähigkeit mit dem Mail-Server. Das komplette Löschen des Geräts (Remote Wipe) hingegen würde weit über das Ziel hinausschießen. Sophos lizenziert Mobile Control pro Benutzer (also nicht pro Gerät). Die Preise für den Bezug der Software über zwei Jahre liegen für 50 Benutzer bei 2.850 Euro, für 100 Benutzer bei 5.175 Euro und für 250 Benutzer bei 11.812 Euro. Fazit Sophos Mobile Control 4.0 hält, was es verspricht: Eine einfach zu bedienende MDM-Software für die derzeit gebräuchlichen Mobilbetriebssysteme. Wer sich ein wenig mit der Software auseinandersetzt, bekommt durch die Verschachtelung der Profile die für ihn notwendige Konfiguration leicht hin. Die Software bietet eine ganze Menge an Funktionalität, um dem Administrator die Verwaltung und Organisation seiner mobilen Geräte zu ermöglichen - klassisches Mobile-Device-Management) mit Compliance-Richtlinien sowie Mobile-E-Mail-, Mobile-Content- und Mobile-Application-Management (MEM, MCM, MAM). Ein wenig fehlt jedoch noch zur vollständigen EMM-Lösung, beispielsweise die Backup-Funktionalität und die Integration der klassischen Workspaces.
Der Autor auf LANline.de: BÄR
Der Autor auf LANline.de: Frank-Michael Schlede
Info: Sophos DeutschlandTel.: 0611/58580Web: www.sophos.com/de
Lesen Sie mehr zum Thema
