Büro, Home-Office, im Zug, auf der Raststätte, am Tag und sogar beim Schlafen. Noch nie war die Welt so sehr vernetzt wie heute. Wir leben in der Zeit der Smartphones, Tablets und was sonst noch kommen mag. Damit tummeln sich TikTok und Instagram neben Outlook und MS-Teams mit dem nicht mehr wegzudenkenden Sicherheitsstandart der Multi Faktor Authentifikation (MFA) auf dem Smartphone. So verbindet sich die Arbeits- mit der privaten Welt.

Damit beide Seiten miteinander koexistieren können, bietet uns das Mobile Device Management (MDM) die Möglichkeit unseren Sicherheitsstandard zu erhöhen und zu halten. Wie genau das funktionieren soll, wird euch dieser Blogbeitrag etwas genauer zeigen.

Warum Mobile Device Management?

Jeder, der schonmal ein Flugzeug, ein Konzert oder einen anderen Sicherheitsbereich betreten wollte, kennt das Abtasten auf unerwünschte Gegenstände oder sonstige Sicherheitsrisiken. Hier wird kein Unterschied bei Größe, Alter oder Aussehen gemacht. Auch in der Firmenwelt kann man nicht bei den Notebooks halt machen. Smartphones sind sehr mächtige Werkzeuge und eine genauso große Anfälligkeit im System bei fahrlässigem Umgang.

MDM bietet Unternehmen die Möglichkeit Mobilgeräte zentral zu verwalten. Unabhängig vom Standort, egal ob für Privat- oder Firmengeräte, die für Unternehmenszwecke benutzt werden. Mit Hilfe des MDMs können Sicherheitsrichtlinien festgelegt werden, um bereits an der Eingangstür Sicherheitsrisiken zu erkennen und den Zugang zu verwehren.

Geräte Bereitstellung

Ein großes Thema in der IT ist das Bereitstellen der Geräte.

Eine gewisse Vorkonfiguration der Geräte ist weiterhin notwendig, wie z. B. Einrichtung des Betriebssystems und Netzwerkkonfiguration. Ist das geschafft, kann mit der Geräte-ID oder auch mit dem „Azure AD Join“ bzw. „Device Enrollment Program“ die Registrierung vorgenommen werden. Nun werden die von der IT festgelegten Richtlinien auf die Geräte gespielt und über einen selbst definierbaren App-Store können die bereitgestellten Apps heruntergeladen werden.

Die Sicherheitsrichtlinien

Wann werden die Sicherheitsrichtlinien angewendet

Sobald eine Verbindung zu den internen Systemen hergestellt wird, muss die App Unternehmensportal eingerichtet werden. Das Unternehmensportal prüft, ob das Gerät die von der IT festgelegten Richtlinien einhält und fordert diese bei Bedarf an, bevor die Verbindung freigegeben wird. Dieser Prozess wird beispielsweise durch die Anmeldung an ein Microsoft-Konto getriggert.

Inhalt der Sicherheitsrichtlinien

Hier ist beispielhaft eine kleine Übersicht an Richtlinien, die mir als sehr nützlich ins Auge gesprungen sind.

  • die Kriterien des lokalen Passwortes
    • Passwort beim Entsperren des Geräts
    • Art der Zeichen
    • Anzahl der Zeichen
  • eine aktivierte Firewall
  • aktive Festplattenverschlüsselung
  • aktives Antivirenprogramm und regelmäßiger Scan
  • aktuelle OS-Version
  • kein Jailbreak
  • aktivierter Secure Boot
  • automatische Sperrung bei Inaktivität

Anwendungsmanagement und Aktualisierungen

Die Richtlinien werden vom MDM durchgesetzt, wodurch es nicht mehr möglich ist, auf Unternehmensdaten zuzugreifen, ohne die gewünschten Sicherheitsstandards einzuhalten. Das MDM steuert diese Richtlinien zentral und synchronisiert Änderungen auf allen registrierten Geräten. Dadurch können Anpassungen vorgenommen werden, um schnell auf den stetigen Wandel der Zeit zu reagieren und alle Geräte zu erreichen.

Aktualisierung

Bei der Aktualisierung können in den Richtlinien Mindest-Betriebssystemversionen definiert werden. Um sicherzustellen, dass Updates nicht übersehen oder vergessen werden, kann zusätzlich im MDM ein Updatezyklus festgelegt werden. Dabei können die neuesten und gewünschte Versionen oder ein Versionsstopp festgelegt werden. In bestimmten Zeitintervallen kann dann beispielsweise auf die neuesten Updates geprüft und entweder auf Nachfrage oder automatisch installiert werden. Um Störungen während der Hauptarbeitszeiten zu vermeiden, kann ein Zeitraum festgelegt werden, in dem die Updates installiert werden sollen. Wenn dieser Zeitpunkt nicht passend ist, besteht die Möglichkeit, die Installation zu verschieben, bis sie erzwungen wird.

Unterschiede Privat- und Firmengeräte

Damit Privatgeräte weiter unter der Kontrolle des Besitzers bleiben, gibt es einige Unterschiede wie Privat- und Firmengeräte gehandhabt werden.

So bleiben die meisten Daten der privaten Geräte dem Admin verborgen. Zum Beispiel werden die nicht vom MDM bereitgestellten Apps nicht gelistet. Der Admin kann also sehen, dass Outlook installiert ist, TikTok jedoch nicht. Fotos, Kalenderdaten, Kontakte und ähnliche persönliche Daten sind grundsätzlich nicht einsehbar.

Die zuvor genannten Richtlinien können unterschiedlich definiert werden. Z.B. möchte man vielleicht den App-Store bei Privatgeräten nicht unterbinden, aber bei Firmengeräten schon.

Hier kann jeder einen eigenen Mittelweg finden zwischen Freiheit und Sicherheit.

Verbesserung der Sicherheit

Zugriffsmanagement

Jedes Gerät, das auf Firmendaten zugreifen kann, wird vom MDM erfasst und in einer Liste aufgeführt. Dadurch behält man stets den Überblick darüber, welche Geräte auf Firmendaten zugreifen können. Diese Zugriffsmöglichkeit kann auch jederzeit widerrufen werden, indem das Gerät entweder aus dem System entfernt wird, um den weiteren Zugriff zu verhindern, das Unternehmensprofil gelöscht wird oder das Gerät zurückgesetzt wird. So kann sichergestellt werden, dass Geräte keine Firmendaten mehr enthalten, wenn sie das Unternehmen verlassen.

Applikationsmanagement

IT-Administratoren können nicht nur Passwortrichtlinien durchsetzen, sondern auch den Zugriff auf Unternehmensdaten einschränken. Das MDM bietet außerdem die Möglichkeit zur Bereitstellung vertrauenswürdiger Apps und damit auch die Auswahl der verfügbaren Apps zu begrenzen. Mit der Bereitstellung der Apps hat man auch die Möglichkeit bestimmte Versionen, sowie die aktuellste Version bereit zu stellen.  Unternehmen können einerseits benötigte Apps aus dem App-Store freigeben und andererseits eigene Apps hochladen und für die jeweiligen Betriebssysteme bereitstellen. Dadurch kann ein kunden- oder benutzerspezifischer App-Store zusammengestellt werden, in dem Programme sicher zentralisiert hinterlegt sind, sodass der Endbenutzer bedenkenlos auf „Download“ klicken kann. Der Administrator kann die installierten Apps einsehen und so unbefugte App erkennen.

Lokalisation

Im Falle eines Verlusts oder Diebstahls eines bereits registrierten Geräts bietet das MDM einige nützliche Werkzeuge. Beispielsweise ist es möglich, trotz Stummschaltung einen Signalton abzuspielen. Dies kann mit Warnsignalen wie bei Unwetterwarnungen verglichen werden. Eine andere Option ist die GPS-Lokalisierung. Diese ist jedoch nicht dauerhaft aktiv, sondern wird nur auf expliziten Wunsch des Nutzers aktiviert. Dabei wird dem Gerät eine Benachrichtigung gesendet, dass der Standort freigegeben wird. So kann der Endnutzer beruhigt sein, dass sein Standort trotzdem nicht dauerhaft erfasst und überwacht wird.

Gruppenrichtlinien

Auch die Gruppenrichtlinien können über das MDM definiert und bei bestehender Internetverbindung synchronisiert werden. Der große Vorteil gegenüber Gruppenrichtlinien vom Domain Controller ist, dass keine aktive VPN-Verbindung benötigt wird, um diese zu erhalten.  Wenn Änderungen also getätigt werden, werden auch die Kollegen auf dem neuesten Stand gehalten, die sich nicht oft im Büro befinden.

Fazit

Trotz unserer heutigen Mobilität, muss nicht die IT in dem gleichen Ausmaß mobil sein, um Wartungen an allen Standorten und Geräten durchzuführen. Stattdessen können wir das Mobile Device Management nutzen, um zentralisiert alle Geräte zu konfigurieren oder zu überarbeiten, auf Einhaltung der Sicherheitsrichtlinien prüfen sogar noch bevor Zugriff erteilt wird. Man kann bequem sicherstellen, dass die Firmendaten entfernt werden und Gerätschaften wieder finden, falls man sie aus den Augen verliert.

Sie haben Fragen zum Thema Mobile Device Management? Einfach schreiben an service@inwerken.de. Unser IT-Infrastruktur-Team meldet sich bei Ihnen! Leistungen darüber hinaus finden Sie in unserem Portfolio.