18.06.2014

MDM: Zentralisierte Verwaltung von Mobilgeräten

Würde man heute in einer Statistik einmal märchenhafte Werte von an die 100% erreichen wollen, müsste man nicht – wie in so manchem undemokratischen Staatswesen – erst umständlich Wahlen fälschen. Es reichte bereits, in einem Vertriebsunternehmen mittlerer Grösse nach der Verbreitung von Smartphones zu fragen. An das Thema Sicherheit denken dabei jedoch zu wenige. Wir verraten Ihnen hier, wie Sie mit dem Thema MDM beim nächsten IT-Fachgespräch punkten können.

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
MDM

Nicht nur die mobilen Geräte der Firma Apple werden immer beliebter. Smartphones allgemein – Android, iPhone, Blackberry und Co. – sind in. Ihre Nutzer schätzen die vielfältigen Möglichkeiten, die sich aus der Nutzung der digitalen Engerlinge ergeben. Administratoren und IT-Verantwortlichen treiben die elektronischen Winz-Computer (etwas anderes sind sie, technisch betrachtet, ja nicht) hingegen eher Sorgenfalten auf die Stirn. Zu schlecht lassen sich die Geräte ins Unternehmensnetz integrieren, zu gross ist die Vielfalt an darunter liegenden Betriebssystemen und das Thema Datenschutz lässt sicherheitsbewusste EDV-Experten nicht nur beim Stichwort Apple schlecht schlafen.

Wenn Mitarbeiter ihre Smartphones vom Unternehmen zugeteilt bekommen, könnte man meinen, dass dem Aspekt der Sicherheit bereits Genüge getan ist: schliesslich gibt es ja IT-Abteilungen, Administratoren oder externe Dienstleister, die auch Firmen-PCs und Laptops erst nach entsprechender Präparierung in die freie Wildbahn entlassen. Eingeschränkte Rechte für die normalen Benutzer, ausgewählte Software und automatische Updates gehören hier zum Standard. Dies alles wird bei Smartphones aber zum Problem: oder haben Sie schon einmal einen Administratoren-Account auf einem iPhone gesehen? Dabei gibt es root- oder Administratoren-Accounts durchaus auch auf Androids und iPhones und die Integration von Blackberrys ins Unternehmensnetzwerk ist fast schon ein alter Hut. Gefragt ist ein Mobile Device Management, kurz MDM.

MDM: Gesicherter Zugang zum Netzwerk unabdingbar

Basis jedweden MDM ist immer der gesicherte Zugang zum Unternehmensnetz, dem LAN. Naturgemäss wird dieser Zugang über das drahtlose Netzwerk, das WLAN, geschehen. Damit muss vorab geklärt werden, ob es nur um den Zugang innerhalb der Reichweite des Unternehmens-WLANs geht oder zusätzlich noch um die Einwahl vom Netzwerk ausserhalb dessen – also von jedem beliebigen Punkt der Welt aus über das jeweils gewählte Telefonnetz. Letzterer Punkt lässt sich, aufmerksame Leser und Leserinnen ahnen es, mit dem Stichwort VPN und einer klassischen Roadwarrior-Situation beschreiben – also der Rolle des Einzelkämpfers in der rauen Welt des globalen Netzwerks, der sich über sein Smartphone auf gesichertem und vertraulichen Wege ins Firmennetz einwählen soll. Das Einmaleins der VPNs, der virtuellen privaten Netzwerke wollen wir hier nicht erneut herunterbeten. Kurz aufgeführt seien nur die wichtigsten Techniken für den VPN-Zugang:

  • IPSec: galt lange als State-of-the-Art der VPN-Techniken, sehr sicher (wenn man es richtig konfiguriert), aber auch sehr aufwändig einzurichten. Viele kommerzielle Lösungen (Cisco, Juniper, Fortigate) basieren auf IPSec-VPNs. Durch die neue Version 2 des Internet-Key-Exchange-Protokolls (IKEv2, hierauf beruht IPSec grösstenteils) sind Aufbau und Einrichtung einfacher geworden. So gibt es beispielsweise für das IPhone einen Cisco-Client namens Anyconnect, der IKEv2 unterstützt.
  • SSL-VPNs: hierunter zählen viele kommerzielle Lösungen ebenso wie das inzwischen sehr populäre OpenVPN. Gerade letzteres löst immer öfter viele proprietäre, kommerzielle (und somit in der Regel teure) Lösungen von Cisco, Fortigate und Co. ab. OpenVPN gilt als sehr sicher, ist recht einfach einzurichten und zu administrieren.
  • PPTP, das alte Point-To-Point-Tunneling-Protokoll, ist nach wie vor auf mobilen Geräten anzutreffen - obwohl hierin lediglich mit einem (mehr oder weniger sicheren) Passwort verschlüsselt wird und PPTP in einem Unternehmens-VPN eigentlich nichts mehr zu suchen hat.

Und gleich ein Wermutstropfen vorweg: aktuelle iPhones und iPads unterstützen von Haus aus zwar IPSec und das überholte PPTP, unverständlicherweise aber keine Verbindung zu einem OpenVPN-Gateway. Einzige Lösung zurzeit ist das so genannte Jailbreaken des iPhones oder iPads: Apple erlaubt nur einen Weg der Installation von Software auf seinen mobilen Geräten, nämlich den über den iTunes-AppStore. Hier hinein hat es jedoch noch kein OpenVPN-Client geschafft. Mit dem jailbreaken befreit man das Gerät aus diesem Gefängnis und es steht einem eine Vielzahl weiterer Applikationen zur Verfügung, unter anderem auch ein OpenVPN-Client. Apple selbst aber rät vom Jailbreaken ab. Unserer Erfahrung nach ist es auch nicht ganz trivial umzusetzen, und durch die selektive Auswahl Apples, welche Applikationen es in den AppStore schaffen, geht vermutlich auch eine gewisse Sicherheit einher. Darauf vertrauen sollte man natürlich nicht.

Zugangskontrolle auch im Firmennetz

Wie kann der Zugang innerhalb des Firmennetzes geschützt werden? Standard bei PCs und Laptops sind NAC-Systeme (Network Access Control). Diese stellen sich zwischen das Gerät, welches Zutritt zum Netzwerk erlangen möchte und das lokale Netzwerk. Werden bestimmte Sicherheitsprüfungen nicht erfüllt, wird das Gerät ausgesperrt. Viele NAC-Systeme prüfen das Vorhandensein bestimmter Sicherheitsfeatures und sind bemüht, diese auf dem unbekannten Gerät zu installieren, bevor es Zutritt zum Netzwerk erhält. An diesem Punkt scheitern viele mobile Geräte logischerweise, ein Antivirenprogramm für einen PC ergibt auf einem Android ja auch nicht unbedingt Sinn. Hier könnte eine Lösung für MDM in diesen drei Möglichkeiten liegen:

  • Grundsätzlich erhalten nur Smartphones des Unternehmens vollen Zugang zum WLAN.
  • Private Geräte von Mitarbeitern oder Smartphones von sonstigen Externen erhalten nur Zugang zu einer Art Quarantänenetz.
  • Für Smartphones von Externen, die dennoch Zugang zum Netzwerk benötigen, sorgen proprietäre Softwarelösungen für einen kontrollierten Zugang.

Proprietäre Softwarelösungen

Eine integrierte Lösung, die sowohl VPN-Zugänge, Verschlüsselung der übertragenen Daten wie weitere sicherheitsrelevante Features bietet, kommt von Mobile Iron – gemäss einer Studie von Gartner einem der führenden Unternehmen im Bereich des MDM. Das Angebot richtet sich dabei sowohl an Androids wie iPhones und iPads, Blackberry, Windows Phone und Symbian.

Das Unternehmen Swisscom vertreibt eine eigene Software, mit der Smartphones in Unternehmen integriert werden können. Diese Remote Management genannte Lösung unterstützt sämtliche mobilen Betriebssysteme, auch das unter Datenschützern eher berüchtigte iOS, das auf Apples iPhones und iPads für bunte Bildchen und Datenfluss sorgt. Mit Remote Management können Smartphones, Tablets und Co. ins eigene Netzwerk integriert und zentral verwaltet werden. Administratoren können zum Beispiel einsehen, welche Apps auf den Geräten installiert sind, welche Einstellungen der Mitarbeiter vorgenommen hat oder ob das erwähnte Jailbreaken durchgeführt wurde.

Bewährte Hausmittel für MDM

Mit Hausmitteln lässt sich übrigens bereits ein guter Schutz durch das erwähnte Quarantänenetz erreichen. Ähnlich den Zugängen, die in Internet-Cafés üblich sind, erhält das mobile Gerät zwar Zugang zum WLAN, der weitere Zugriff auf Ressourcen ist aber erst nach einer personengebundenen Authentifizierung möglich. Stichwort RADIUS und 802.1q-Sicherheit durch vom übrigen Netz abgetrennte VLANs (nicht zu verwechseln mit einem WLAN). An dieser Stelle haben Administratoren zudem die Möglichkeit, bestimmte Geräte von der Kontrolle freizuschalten oder sogar gänzlich vom Zugang auszusperren.

Zum Abschluss noch ein Tipp aus der Rubrik Binsenwahrheiten: in weitaus höherem Masse als durch die Einbindung eines Smartphones sind vertrauliche Daten Ihres Netzwerks durch den Verlust eines mobilen Geräts gefährdet. Telefonnummern, vertrauliche Emails, vorbereitete VPN-Zugänge und möglicherweise Dokumente mit sensiblen Inhalten lagern auf so manchem Smartphone. Im Falle eines Verlusts durch Diebstahl oder Verlieren stellen üblichen PIN-Codes nur einen äusserst dürftigen Schutz dar. Sensibilisieren Sie Ihre Mitarbeiter (und natürlich sich selbst!) also vor allem dazu, stets ein waches Auge auf das Smartphone zu werfen, Passwörter in Email-, Web- und VPN-Zugängen niemals abzuspeichern, sondern jedesmal direkt einzugeben und vorhandene Sicherheitsfeatures so rigoros wie möglich einzusetzen. So bieten beispielsweise iPhones das Löschen des Inhalts nach mehrfacher falscher PIN-Angabe an und ein versehentlich durch den eigentlich befugten Besitzer gelöschtes iPhone ist weniger dramatisch als der Verlust vertraulicher Daten, in ersterem Fall lässt sich jedes iPhone nämlich durch das Backup über iPhone schnell wiederherstellen.

MaLiWi IT

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Verträge entwerfen und verhandeln

Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

Gehen Sie rechtssicher mit IT-Outsourcing und Cloud Computing um. Lernen Sie die Rahmenbedingungen kennen, schätzen Sie Risiken realistisch ein und beurteilen Sie Verträge professionell.

Nächster Termin: 22. November 2018

mehr Infos

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • Moderne Kommunikation in der Arbeitswelt

    Moderne Kommunikation in der Arbeitswelt

    So punkten Sie mit Briefen, Mailings und Facebook

    Mehr Infos

  • Imagepflege in digitalen Medien

    Imagepflege in digitalen Medien

    So managen Sie Ihre Online-Reputation

    Mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos