Enterprise Mobility Management - IT-Sicherheit im Unternehmen - Heise Partnerzones IT-Sicherheit im Unternehmen . IT-Security, Industriespionage, Enterprise Mobility Management, IT-Sicherheit, c't . Herzlich willkommen zur c't-Sonderausgabe "IT-Security im Fokus" online. /styles/zones/basis.css

Enterprise Mobility Management

Es vergeht kaum eine Woche ohne schlechte Nachrichten für die Sicherheit von IT-Systemen. Schwachstellen in der Software, Malware, die vom Nutzer eingeschleppt wird, schlecht konfigurierte Sicherheitssysteme, die Fremden Zugriff zu unternehmensinternen Systemen geben. Es scheint weniger die Frage, ob man erfolgreich angegriffen wird, sondern lediglich wann. Besonders gefährdet sind mobile Geräte.

Autor: Volker Weber

 - 

Quelle: Oleskiy Mark - Fotolia.com

Der Siegeszug der Mobilgeräte stellt die etablierte IT-Organisation auf den Kopf. Die Anwender wollen Geräte und Cloud-Dienstleistungen, die sie privat schätzen gelernt haben, nun auch beruflich zu ihrem Vorteil einsetzen. Laut Peter Hortensius, CTO von Lenovo, sind die Geräte “Lifestyle, nicht nur als modische Erscheinung, sondern wie ich in meinem Leben lebe.“ Und er droht inflexiblen Organisationen: “Eine IT, die sich daran anpassen kann, der wird es gut gehen, und eine IT, die das nicht kann, wird wahrscheinlich Mitarbeiter austauschen. Das ist wie eine Kraft der Natur, die das erzwingen wird.“

Mit Hilfe von Managementsoftware versucht man diese Kraft einzufangen und zu leiten. Man spricht mittlerweile von EMM (Enterprise Mobility Management) und subsummiert darunter drei Bereiche: MDM (Mobile Device Management), MAM (Mobile Application Management) und MCM (Mobile Content Management). Die Software hat stets einen Agenten auf dem Endgerät und einen Server, der diesen Agenten über Policies steuert.

Microsoft Exchange Server

Die einfachste Form von MDM nutzt einen Microsoft Exchange Server. Dort kann man ein kleine Zahl von Direktiven einstellen, zum Beispiel, dass ein Passwort auf dem Endgerät gesetzt sein muss, wie komplex das Passwort sein muss, wie oft es geändert werden muss, nach wie langer Zeit es erneut einzugeben ist. Der Server kann das Passwort zurücksetzen sowie das Gerät sperren oder löschen. Der Umfang der Löschung hängt dabei von der Implementierung ab: Das Endgerät kann entweder nur das Exchange Konto entfernen oder gleich den gesamten Speicher löschen.

Reichen diese einfachen Möglichkeiten nicht aus, dann wählt man eine zusätzliche Management-Lösung. Hier ist nicht der Exchange Client, sondern ein anderer Agent auf dem Gerät zuständig. Anders als bei der Fernwartung von PCs kann der Management-Anbieter aber nicht so leicht ins System eingreifen, weil er den Agenten nicht auf Systemebene implementieren kann. Der Gerätehersteller gibt vor, welche Policies das Gerät unterstützt.

 - 

Quelle: Nach einer Vorlage von Gartner Juni 2015

Fragmentierte Android-Plattform

Hier zeigen sich große Unterschiede zwischen den verschiedenen Plattformen. Bei Apple und BlackBerry kommen Geräte und Software aus einer Hand, entsprechend einheitlich sind die Möglichkeiten innerhalb der Plattform. Bei Windows Phone stellt Microsoft zwar nicht unbedingt die Geräte her, erlaubt den Herstellern aber keine Modifikationen. Allerdings hat Windows Phone erst ab Version 8.1 nennenswerte Management-Fähigkeiten. Bei Android zeigt sich ein anderes Defizit. Da jeder Hersteller seine eigene Software auf Basis von Android zusammenbaut, ist es weitaus schwieriger bis unmöglich, alle Android-Geräte zu verwalten. Samsung hat hier Abhilfe versucht, in dem sie einen Satz von Policies unter der Marke SAFE (Samsung Approved for Enterprise) standardisiert haben. SAFE ist mittlerweile in der Marke KNOX aufgegangen, ein Marketingbegriff, der verschiedene Systeme subsummiert.

Vorreiter in diesem Bereich war BlackBerry. Bei BlackBerry OS 7 gab es mehr als 500 Policies, mit denen kleinste Details der Geräte einzustellen waren. Die Kanadier haben in zehn Jahren keine neuen Features eingeführt, ohne sie nicht gleichzeitig wieder abschaltbar zu machen. Das lag vor allem daran, dass BlackBerry viele Kunden aus regulierten Branchen wie dem Gesundheits- oder Finanzwesen bedient, bei denen es umfangreiche Vorschriften gibt. Bei BlackBerry 10 wurden diese zum Teil historisch zu erklärenden Policies modernisiert. Als Erster etablierten die Kanadier eine strikte Trennung von privaten und geschäftlichen Daten und Anwendungen. Hierbei kontrolliert das Unternehmen nur einen abgeschlossenen Teil des Gerätes und überlässt die private Nutzung allein dem Anwender. So haben etwa Apps für soziale Netzwerke im privaten Teil des Gerätes keinen Zugriff auf das Adressbuch im geschäftlichen Teil. Dennoch kann der Anwender eine gemeinsame Ansicht aller seiner Kontakte nutzen, die Einträge aus beiden Bereichen vereint. Ist der Mitarbeiter im Business-Bereich angemeldet, dann tauchen Termine und Mails im BlackBerry Hub auf. Meldet er sich ab, verschwinden sie wieder. Das gleiche passiert, wenn der Business-Bereich nach einem Time-Out automatisch gesperrt wird.

1 | 2 | 3