Consumerization of IT – Welche Schutzmaßnahmen sind sinnvoll?

BYOD-Strategien im Griff mit dem Mobile Identity and Access Manager

| Autor / Redakteur: Markus Nispel / Andreas Donner

Nur mit einem ganzheitlichen Ansatz kann das Thema BYOD umfassend bewältigt werden
Nur mit einem ganzheitlichen Ansatz kann das Thema BYOD umfassend bewältigt werden (Bild: Enterasys Networks)

Enterprise Mobility ist eines der großen Themen für den CIO von heute. Dabei ist Sicherheit ein wichtiger Aspekt. Für einen zuverlässigen Schutz kommen Identity- und Access-Management- sowie Network-Access-Control-Lösungen in Kombination mit Mobile-Device-Management-Systemen zum Einsatz. Aber reicht die damit erzielbare Sicherheit aus?

Gartner zufolge ist „Consumerization of IT“ ein Trend, der die IT in den nächsten zehn Jahren maßgeblich beeinflussen wird. Er umfasst Mobile Device Management, Application Management, Data Protection, IT-Sicherheit und vieles mehr.

Laut Gartner werden bis 2016, mindestens die Hälfte aller Firmen-E-Mails nicht mehr über Desktop Clients, sondern über Browser, Tablets oder Mobile Clients versendet werden. Die Studie sagt außerdem voraus, dass Anzahl der auf Smartphones und Tablets abzielenden Mobile Application Development Projects bis 2015 die Anzahl üblicher PC-Projekte um ein Vierfaches übertreffen wird.

Dessen ungeachtet, versuchen viele Unternehmen weiterhin dem BYOD-Trend auszuweichen, da dieser als nicht managebar gilt, oder reagieren darauf mit kurzfristigen Insellösungen. Diese führen in der Regel jedoch nicht zu dem gewünschten Ergebnis. Im Gegenteil: Insellösungen führen zu höheren Betriebs- und Anschaffungskosten und stellen meist die Benutzer trotzdem nicht zufrieden. Zudem steigt das Risiko für das Unternehmen, da unkontrolliert Geräte und Applikationen ins Netz Einzug erhalten, wenn nicht entsprechende netzwerkbasierten Access-Control-Lösungen eingesetzt werden.

Ein vollständiger Überblick, welche Personen und Geräte sich in der Netzwerkinfrastruktur befinden, bleibt dann verwehrt.

Bestehende Lösungen oft nicht ausreichend

Unternehmen wird zunehmend bewusst, dass bisherige Identity- und Access-Management-Lösungen, die sich nur auf die Applikationswelt im eigenen Unternehmen fokussieren, nicht mehr ausreichend sind. Daher ist nicht nur eine Einbindung der Netzwerkinfrastruktur nötig, sondern auch die Einbindung der wichtigsten Cloud-basierten Dienste, um Sicherheit und Effizienz zu gewährleisten.

Die Nutzung Cloud-basierter Dienste, für die HTML und der Browser als primäre Interfaces genutzt werden, führt zu einem einfacheren Support-Modell für BYOD und Enterprise Mobility. Hier entfallen die komplexe Installation und Wartung von Software auf einer sich stetig erhöhenden Anzahl von unterschiedlichen Geräten und Betriebssystemen.

Auch Lösungen, die sich nur auf BYOD fokussieren und den Rest der Infrastruktur außer Acht lassen, sind hier nicht ausreichend. Die Trennung des Gästemanagements und der Zugriffssteuerung von BYODs und eigenen IT-Geräten ist weder betrieblich noch architektonisch sinnvoll, dann dabei kommen zu viele, nicht integrierte Tools zum Einsatz die hohe Kosten verursachen und schwerer zu skalieren sind. Auch bleibt die Flexibilität zur schnellen Bereitstellung neuer Dienste auf der Strecke.

Vollständige Transparenz durch Mobile IAM (Mobile Identity and Access Manager)

Um ein „mobiles“ Unternehmen kostengünstig und effizient unterstützen zu können, benötigt die IT eine Übersicht aller Nutzer und Geräte im Netz. Lösungen wie Mobile IAM von Enterasys adressieren dieses Problem ganzheitlich – egal ob Smartphones, Tablets, PCs, Laptops oder Video- und VoIP Geräte, und unabhängig davon, ob diese dem Unternehmen gehören und gemanaged werden oder nicht.

Um eine vollständige Transparenz und eine lückenlose Sicht auf die Netzinfrastruktur und die angeschlossenen Systeme herzustellen, kommen Auto Discovery und Device Profiling zum Einsatz. Hiermit gewinnt man einen Überblick darüber, welche Nutzer sich mit welchen Gerätetypen wo in der Netzwerkinfrastruktur befinden. Dem Betreiber wird eine Vielzahl an Attributen, aktuell und historisch, über Gerät und Nutzer angezeigt. Diese reichen von MAC- über IP-Adressen, Gerätetypen und Betriebssystemen über Switch und Port, AP und SSID, Intern oder Extern via VPN bis hin zu Nutzername, Ort und Zeit, etc. Anschließend ist es anhand dieser Informationen über eine kontext-basierte Policy Engine möglich, den Zugriff auf Applikationen anhand dieser Informationen zu steuern.

In der Regel geschieht das über Authentifizierungsverfahren, Geräteidentität, Gerätetyp, Nutzer(gruppe), Lokation und Uhrzeit. Dem Nutzer werden für die Nutzung eines BYOD-Gerätes Zugriffsrechte zugewiesen. Hier kann nochmals zwischen verschiedenen Geräten differenziert werden. Damit kann zum Beispiel unterschieden werden, ob ein iPad oder ein privater Laptop im Einsatz ist.

Automatisierte Verwaltung angeschlossener Systeme

Das Zusammenspiel eines Identity Management Systems (IDM) mit Mobile IAM bringt eine Vielzahl von Vorteilen. Durch die zentrale Verwaltung der Anwender des Netzwerks und aller laufenden Applikationen durch das IDM-System, kann ein automatischer Informationsaustausch und Abgleich zwischen dem IDM-System und anderen Anwendungen erfolgen.

Wenn beispielsweise ein Mitarbeiter das Unternehmen verlässt, übernimmt das IDM-System diese Information automatisch aus dem Personalsystem. Der Anwender wird aus dem IDM-System gelöscht. Somit wird sichergestellt, dass kein Zugriff auf Unternehmensinterna mehr möglich ist.

Weiterhin können User-basierte Systeme wie etwa File- und Print-Services, Telefonanlage und Datenbanken über den Einsatz einer IDM-Software gesteuert werden. Dies vereinfacht Updates und Aktualisierungen existierender Anwender erheblich. Falls sich beim Nutzer Veränderungen ergeben, liefert das IDM-System automatisch Informationen über die veränderte Rolle und die daraus resultierenden veränderten Rechte an das Mobile IAM System. Der Helpdesk muss hier nicht hinzugezogen werden und Prozesse werden somit beschleunigt.

Ein weiterer Vorteil dieser Kombination ist, dass der Zugang zu spezifischen Ressourcen einfach rollen- oder rechtebasiert gesteuert werden kann. Benutzer haben außerdem die Möglichkeit, über Self-Service-Funktionen zusätzliche Rechte anzufordern. Dieser Prozess läuft ebenfalls automatisch.

Das so genannte Onboarding ist ebenfalls ein wichtiger Bestandteil der Mobile IAM Lösung für BYOD. Die Option des Onboardings, ermöglicht es jedem Mitarbeiter, weltweit jedes Gerät an die Netzwerkinfrastruktur anzuschließen, solange er einen Account im zentralen Active Directory besitzt – wired, wireless oder auch VPN-basiert. Geräte, die nicht authentifiziert werden können, werden an den Gästeregistrierungsprozess weitergeleitet. Dieser ist ebenso automatisch wodurch für die Unternehmens-IT kein weiterer Aufwand entsteht.

Ist ein verbessertes Identity und Access Management ausreichend?

Identity und Access Management Lösungen bilden das Grundgerüst zur Sicherung von Daten und erlauben mit dem Management von Zugriffsrechten eine Effektivitätssteigerung im Unternehmensnetzwerk.

Mobile Device Management Lösungen ergänzen dieses Gerüst um eine zentrale Verwaltung von typischer Weise voll gemanagten mobilen Geräten im Unternehmen.

Eine Integration mit Enterasys Mobile IAM ist über die MDM Connect Lösung möglich. Unternehmen können dabei unter einer Vielzahl von MDM-Lösungen wählen – doch welche ist die Richtige? Diese Frage kann nicht allgemeingültig beantwortet werden und auch der Begriff MDM ist mit Vorsicht zu genießen. Denn wenn das Produkt der Wahl sich nicht auch auf Mobile Application Management und Data Management fokussiert, deckt es nicht die gesamten Anforderungen ab und ist vermutlich bereits veraltetet.

Markus Nispel, Chief Technology Strategist & Vice President Solutions Architecture bei Enterasys Networks
Markus Nispel, Chief Technology Strategist & Vice President Solutions Architecture bei Enterasys Networks (Bild: Enterasys)

Zudem muss auch sehr darauf geachtet, wie nahtlos sich eine solche Lösung ausrollen lässt und wie unauffällig diese im Betrieb agiert. Grundsätzlich sollte jedoch vorab eine genaue Schutzbedarfsanalyse der Daten erfolgen, auf die Mitarbeiter mit ihren mobilen Geräten zugreifen, um eine optimale Lösung für mobile Geräte und BYOD in der eigenen IT zu finden.

Über den Autor

Markus Nispel ist Chief Technology Strategist & Vice President Solutions Architecture bei Enterasys Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 36636670 / Wireless Security)