Enterprise Mobility Beginner’s Guide – Part 3: Das Mobile Device Management (MDM)

Enterprise Mobility Beginners Guide - Das Mobile Device Management (MDM) - Part 3Im zweiten Teil des Enterprise Mobility Beginner’s Guide lernten wir die Anforderungen von Unternehmen an mobile Endgeräte für den dienstlichen Einsatz kennen und durften darüber hinaus mehr über die Vor- und Nachteile der bekanntesten mobilen Betriebssysteme erfahren. Wir haben gelernt, dass der Nutzungskontext einen maßgebenden Einfluss auf die Geräteauswahl hat. Es muss klar definiert werden, wo und wie das Device genutzt werden soll. Im dritten Part des Enterprise Mobility Beginner’s Guide werden wir einen genaueren Blick auf die Verwaltung der mobilen Endgeräte werfen und in diesem Zusammenhang das Mobile Device Management vorstellen, einer der wichtigsten Komponenten eines erfolgreichen Enterprise Mobility Managements.

Mobile Device Management – Der Kern der Geräteverwaltung

Unternehmen haben stets das Bedürfnis, die volle Kontrolle über alle Geschäftsprozesse zu besitzen, um die Eintrittswahrscheinlichkeit von Sicherheits- und Datenschutzvorfällen möglichst gering zu halten. Sie tragen die Verantwortung für diese Vorfälle und sollten deshalb die Möglichkeit besitzen, die im Unternehmen verwendeten Geräte verwalten und ggf. auf die Kernfunktionen beschränken zu können, um ein adäquates Sicherheitsniveau im Unternehmen sicherstellen zu können. Aus diesem Grund wurde eine Lösung entwickelt, welche es ermöglicht, dieses Ziel zentralisiert zu verfolgen. Wir sprechen hierbei von einem Mobile Device Management (MDM). Ein MDM ist eine Software, die es erlaubt, Endgeräte registrieren zu können und dadurch dem MDM das Verwaltungsrecht zu diversen Funktionen des Geräts zu übertragen. Diese Verwaltungsmöglichkeiten werden durch Schnittstellen gewährleistet, die vom Betriebssystem zur Verfügung gestellt werden. Wie bereits in Part 2 erwähnt, fokussieren sich die Hersteller der Betriebssysteme immer mehr auf den Unternehmenseinsatz, d.h. sie entwickeln vermehrt Verwaltungsmöglichkeiten, die über Schnittstellen angesprochen und dadurch bedient werden können. Diese sind in Bezug auf Funktion und Vielzahl von Betriebssystem zu Betriebssystem unterschiedlich.

Stellen wir uns ein Unternehmen vor, welches seinen Mitarbeitern Smartphones zur Verfügung stellt. Die Smartphones werden nun im MDM registriert (dieser Vorgang wird auch „Enrollment“ genannt, worauf wir später nochmals genauer eingehen wollen) und können dann verwaltet werden. Es können fortan Anweisungen oder Regeln erstellt und den Geräten zugewiesen werden. So könnte man beispielsweise eine Pflicht-PIN auferlegen, das Gerät falls notwendig sperren oder die Installation spezifischer Apps erzwingen.

Diese Regeln oder Anweisungen betreffen stets eine der drei Hauptargumente für die Implementierung eines MDM: Gerätekontrolle, Application Management sowie Sicherheit & Datenschutz.

Gerätekontrolle

Die Gerätekontrolle bildet eine wichtige Grundlage für die Nutzung von mobilen Endgeräten im Unternehmen. Beispiele hierfür sind:

  • Remote Configuration: Unter Remote Configuration versteht man die Konfiguration des Gerätes aus der Ferne. Hierdurch können überall und jederzeit Einstellungen am Gerät über das MDM vorgenommen werden.
  • Remote OS und Application Updating: Es soll ermöglicht werden, neue Updates des Betriebssystems oder von Apps zu erzwingen, um alle Geräte auf dem selben Stand halten zu können.

Ein Unternehmen kann durch die Gerätekontrolle bestimmte Einstellungen provisionieren und somit den Konfigurationsaufwand des Nutzers wesentlich reduzieren. So können beispielsweise WLAN-Einstellungen und Exchange-Accounts nach der Registrierung des Devices im MDM direkt und unkompliziert an die Nutzer verteilt werden. Dies erspart zusätzlich Supportkosten.

Application Management

Auch Apps können über ein MDM verwaltet werden, wir sprechen dann von einem Mobile Application Management (MAM) bzw. einem Enterprise App Store (EAS). Dieser wird in Part 5 des EMBG eine wichtige Rolle spielen. Darüber hinaus gilt für das Application Management:

  • Black-/Whitelisting von Apps: Blacklisting beschreibt ein Ausschlussverfahren, bei dem alle gelisteten Apps für den User verboten werden. Whitelisting beschreibt den umgekehrten Ansatz, d.h. es werden die Apps aufgelistet, welche vom Unternehmen erlaubt sind.
  • Data Wipe für bestimmte Applikationen: Verlässt ein Angestellter das Unternehmen sollte die Möglichkeit bestehen, bestimmte Daten einer Applikation löschen zu können.

Ein Großteil der Apps aus den öffentlichen Appstores kommuniziert mit externen Servern. Hierdurch können sensible Daten abgefangen und veruntreut werden. Ein Blacklisting solcher vom Unternehmen als unsicher eingestuften Apps kann diesem Sicherheitsrisiko entgegenwirken. Aus diesem Grund sollten für ein höchst mögliches Sicherheitsniveau alle im Unternehmen verwendeten Apps einer Sicherheitsanalyse unterzogen werden.

Sicherheit & Datenschutz

Sicherheit und Datenschutz sind, wie bereits bei der Geräteauswahl der Fall, eines der wichtigsten Entscheidungskriterien bei der Anschaffung eines Mobile Device Managements. Dieses bietet unter anderem folgende Möglichkeiten, Sicherheits- und Datenschutzanforderungen gerecht zu werden:

  • Pflicht-PIN: Auferlegen einer Pflicht-PIN-Sperre.
  • Remote-Wipe: Ortsunabhängiges Löschen des Gerätes, beispielsweise bei Verlust oder Diebstahl, damit keine sensiblen Unternehmensdaten an Dritte gelangen.
  • Jailbreak Detection: Unter Jailbreaks werden Eingriffe in das Betriebssystem verstanden, welche dieses verändern und dadurch neue Sicherheitslücken entstehen lassen. Das MDM bietet die Möglichkeit zu überprüfen, ob ein Jailbreak stattgefunden hat und folglich dieses Gerät zu sperren.

Ungefähr jedes 10. Device geht in Deutschland verloren oder irreparabel defekt[1]. Für Unternehmen stellt dies ein großes Sicherheitsrisiko dar. Sensible Unternehmensdaten können beispielsweise durch Diebstahl oder Verlust abhanden kommen. Ein MDM bietet in diesen Fällen die Möglichkeit, das Device Over-the-Air zu wipen (d.h. die darauf gespeicherten Daten unwiderruflich zu löschen) und somit das Risiko möglicher monetärer Schäden zu verringern.

Die aufgelisteten Möglichkeiten umfassen nur einen kleinen Teil des Leistungsspektrums eines Mobile Device Managements und sollen als kompakte, funktionale Übersicht dienen.

Das Enrollment – Wie registriere ich Geräte im MDM?

Um einen kleinen Einblick in ein Mobile Device Management zu gewähren, wollen wir das Enrollment näher betrachten. Der Registrationsvorgang des Endgeräts verläuft bei allen MDM Anbietern sehr einfach. Hierzu gibt es zwei Alternativen: Entweder meldet sich der Mitarbeiter selbst im MDM an oder ein Admin registriert den Nutzer manuell. Am Beispiel der MDM-Lösung „Relution“ von M-Way Solutions zeigen wir auf, wie der Enrollment-Prozess ablaufen kann:

Enrollment Relution MDM - Step 1
Die MDM-Bedienoberfläche kann bequem über den Browser angesteuert werden. Zunächst muss ein neues Enrollment angelegt werden.
Enrollment Relution MDM - Step 2
Dem Enrollment werden ein zuvor angelegter Nutzer sowie die gewünschten Einstellungen zugewiesen.
Enrollment Relution MDM - Step 3
In der Übersicht ist nun zu erkennen, dass auf eine Antwort des Benutzers gewartet wird.
Enrollment Relution MDM - Step 4
Dieser kann der erhaltenen Email alle notwendigen Informationen für das weitere Vorgehen entnehmen.
Enrollment Relution MDM - Step 5
Nach der Installation der App, wird der Nutzer aufgefordert dieser Administrationsrechte zu gewähren, welche für die Verwaltung des Geräts notwendig sind.
Enrollment Relution MDM - Step 6
Loggt man sich mit den erhaltenen Benutzerdaten ein...
Enrollment Relution MDM - Step 7
...und bestätigt den Enrollment-Vorgang durch die Eingabe des Freischaltungscodes...
Enrollment Relution MDM - Step 8
...erscheint eine Anzeige mit den freigegebenen Verwaltungsfunktionen und die Registrierung ist somit abgeschlossen.
Enrollment Relution MDM - Step 9
Das Gerät ist erfolgreich im MDM registriert und es können die gewünschten Geräteeinstellungen vorgenommen werden.

 

Welche Geräte darf ich im MDM verwalten?

Vom Unternehmen erworbene Geräte dürfen selbstverständlich im MDM registriert und verwaltet werden, allerdings muss der Nutzer trotzdem darüber informiert und in Kenntnis gesetzt werden. Befinden sich nicht nur „Corperate Owned“-Geräte im Unternehmenseinsatz, sondern auch mobile Endgeräte, die von Mitarbeitern privat erworben wurden (wir sprechen hierbei von Bring Your Own Device (BYOD), ein sehr großer Bereich des Enterprise Mobility, welcher in einem späteren Part erörtert werden soll) und zusätzlich zu dienstlichen Zwecken verwendet werden. Diese Geräte dürfen im MDM aufgenommen werden, falls der Endnutzer diesem Vorgang zustimmt. Oft wird zwischen Unternehmen und Mitarbeiter ein Kompromiss getroffen. Das Unternehmen entschädigt die Endnutzer monetär, damit diese ihr Mobilgeräte im MDM registrieren und die Funktionalitäten ihres Devices dadurch teilweise einschränken.2 Diese Thematik soll im letzten Teil des EMBG näher besprochen werden. 

Hilfe, ich werde überwacht!

Wahrscheinlich werden sich nun viele denken, dass ein Registrieren des Devices im MDM das Ende ihrer Privatsphäre bedeutet, doch diese Vermutung ist falsch. Das MDM hat nicht die Absicht, Nutzer und ihre Daten auszuspähen oder ein komplettes Aktivitätsprotokoll zu erstellen. Die Hauptaufgabe besteht darin, Verwaltungsmöglichkeiten für das Unternehmen bereitzustellen und dient somit der Gewährleistung des Schutzes und der Sicherheit von Unternehmensdaten (Kundendaten mit inbegriffen). Ein MDM bietet allerdings noch keine vollständige Sicherheit, sondern auch Mitarbeiter müssen in die mobile Sicherheitspolitik integriert werden. Nur so kann ein sicherer Einsatz von mobilen Endgeräten im Unternehmen gewährleistet werden. Durch Workshops können Mitarbeiter im Umgang mit mobilen Endgeräten für den Unternehmenseinsatz geschult und das Know-how zu den Themen Datenschutz und Sicherheit gestärkt werden.

Fazit

Enteprise Mobility Circle Part 3

Die erste Komponente unserer Mobility Plattform ist also das Mobile Device Management. Werden mobile Endgeräte für dienstliche Zwecke eingesetzt, ist die Verwendung eines MDM unabdingbar. Es bietet essentielle Funktionalitäten zur Verwaltung der Geräte und bietet Unternehmen somit die Chance, das angestrebte Sicherheitsniveau garantieren zu können. Die richtige Konfiguration des MDM ist hierbei genau so wichtig wie das Know-how der Mitarbeiter, nur so kann der Einsatz von Mobilgeräten genehmigt werden.

Lessons learned

  • Ein Mobile Device Management dient der zentralisierten Verwaltung von mobilen Endgräten und bietet somit die Grundlage für den Einsatz von mobilen Endgeräten im Unternehmen.
  • Nur durch eine adäquate Konfiguration des MDM kann dessen volles Potenzial ausgeschöpft werden.
  • Die vollständige Mitarbeiterüberwachung ist nicht das Ziel eines MDM. Es soll ein einheitliches Sicherheits- und Organisationsniveau geschaffen werden.

Lesen Sie hier weiter: EMBG Teil 4 – MEAP und App-Entwicklung

 

Quellen:
[1] Kaspersky Lab „Security in а multi-device world“, 2013
[2] § 670 BGB Ersatz von Aufwendungen

 

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *