:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
So funktioniert Bring your own Device (BYOD) Enterprise Mobility Management im Fokus
Mobile Device Management ist ein wichtiger Baustein einer Enterprise Mobility Management-Strategie (EMM) – aber eben nur einer von vielen. Denn während es bei MDM meist nur um das Geräte- und Lifecycle-Management geht, kümmert sich EMM ganzheitlich um das Thema – einschließlich des App-Managements.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Tragbare Client Devices im Unternehmen sind eigentlich nichts Neues: Notebooks gehören allerorten zur Standardausrüstung reisender Mitarbeiter, und Smartphones sind ebenfalls völlig selbstverständlich Teil des Geschäftsalltags. Neu ist aus der Sicht des IT-Leiters aber, dass die Anwender heute statt der bewährten BlackBerrys und Windows-Notebooks vorrangig Apple-Geräte mit dem bequem bedienbaren iOS-Betriebssystem oder Geräte mit Googles Android-Plattform fordern – eben die angesagten Consumer-Gadgets statt der bisher üblichen Business-Ausrüstung.
Das große Problem dabei: Die beliebten Geräte sind für den Privatanwender-Markt konzipiert, nicht für den Unternehmenseinsatz – deshalb lassen sie sich nur relativ schwer zentral verwalten. Dafür sind sie aber schicker, intuitiver zu bedienen, leistungsstärker und dank einer Fülle von Apps flexibler einsetzbar als ein Notebook, BlackBerry oder gar der Desktop-PC. Deshalb bringen die Endanwender diese Devices mit ins Unternehmen – mal von der Unternehmensleitung gefördert, mal von dieser geduldet, mal gänzlich ohne Wissen des Chefs. Dieses BYOD-Phänomen ist deshalb der derzeit meistdiskutierte Aspekt der Consumerization.
Siegeszug von iPad und Co.
Manche Entscheider halten BYOD nach wie vor für einen kurzlebigen Trend. Allerdings spricht die Entwicklung bei den Consumer Devices eine andere Sprache. Im hart umkämpften Gadget-Markt beschleunigen sich die Vermarktungszyklen zusehends, während die Unternehmensgeräte aufgrund fest verankerter Evaluierungs- und Ausschreibungsprozesse sowie vorgegebener Abschreibungszeiträume weiterhin vergleichsweise langsam erneuert werden. Die Kluft zwischen dem brandaktuellen Consumer Device, das der Mitarbeiter in der Jackentasche trägt, und dem herkömmlichen Unternehmens-PC wird damit immer größer.
Vom Risiko zum Strategiebaustein
Vor diesem Hintergrund verändert sich die Debatte um BYOD: Anfangs standen insbesondere in Deutschland Skepsis, Zweifel und die – durchaus berechtigte – Sorge um potenzielle juristische, betriebswirtschaftliche und datenschutzrechtliche Risiken des BYOD-Konzepts im Vordergrund. Die Fragen rund um Verbieten, Blockieren oder wenigstens Kontrollieren mobiler Geräte im Unternehmen drehten sich allerdings fast immer um private Devices der Mitarbeiter.
Ein näherer Blick offenbart: Ein Großteil dieser Probleme stellt sich unabhängig davon, ob es sich um private (BYO-) Devices oder unternehmenseigene Geräte handelt. Ist die private Nutzung eines vom Arbeitgeber gestellten Smartphones oder iPads nicht explizit untersagt, so ist die Herausforderung für die IT-Organisation sogar weitgehend identisch. Deshalb gehen innovative Unternehmen allmählich dazu über, BYOD als Bestandteil einer umfassenden Enterprise-Mobility-Strategie zu begreifen. Der wesentliche Nutzen der aktuellen Mobile-Device-Generation rührt aus deren Flexibilität, der sofortigen Verfügbarkeit von Informationen und Applikationen – sowie aus der Bereitschaft der Endanwender, die Devices überall und jederzeit zu nutzen. Dabei ist es letztlich unerheblich, wem das Endgerät gehört, solange die Arbeitsfähigkeit des Mitarbeiters, die Applikationszugriffe und die unternehmenseigenen Datenbestände stets gesichert sind, ohne dass gesetzliche Vorgaben etwa zu Datenschutz oder Compliance verletzt würden.
BYOD sollte aber dennoch nicht unkontrolliert ins Unternehmen einsickern, ein gezieltes Vorgehen ist zwingend erforderlich. Um BYOD sinnvoll sowie unter Vermeidung unnötiger Risiken oder unkalkulierbarer Zusatzkosten in den Alltag eines Unternehmens einzubinden, sind folgende Schritte angeraten:
- 1. Definition einer Enterprise-Mobility-Strategie: Kritische Evaluierung und Festlegung der Ziele, die das Unternehmen mit dem Einsatz mobiler Endgeräte und BYOD verfolgt.
- 2. Definition einer Mobile-Device-Richtlinie (Policy): Klärung der Frage „Wer darf wann und unter welchen Umständen was und mit welchem Endgerät?“
- 3. Kommunikation der Mobile Device Policy gegenüber den Mitarbeitern bei zeitgleicher Aufklärung über die Risiken, die Notwendigkeit der Sicherheitsmaßnahmen und die Möglichkeiten des Einzelnen, aktiv an der IT-Sicherheit des Unternehmens mitzuwirken (Security Awareness).
- 4. Etablierung einer Betriebsvereinbarung unter Hinzuziehen von Fachjuristen für Arbeitsrecht und Datenschutz sowie des Betriebsrats.
- 5. IT-gestützte Maßnahmen zur Verwaltung und Absicherung der Netzwerk-, Applikations- und Datenzugriffe: Etablierung von Rollen und Berechtigungen, die auch unternehmensfremde Devices berücksichtigen, sowie geeignete Prozesse, Workflows und Werkzeuge zur Durchsetzung der Mobile Device Policy, zur Betreuung mobiler Endanwender, zur Verwaltung von Endgeräten, Applikationen und Informationsbeständen sowie für die Client-, Netzwerk- und Informationssicherheit.
weiter mit: MDM greift zu kurz
MDM greift zu kurz
Während der oben beschriebenen frühen Phase des BYOD-Trends, in der sich IT-Verantwortliche im Wesentlichen auf die Risiken und Fragen des Risikomanagements konzentrierten, entstand ein enormes Interesse an Lösungen für die Verwaltung mobiler Endgeräte (Mobile Device Management, MDM). Heute sind Werkzeuge gefragt, die es ermöglichen, die Vielzahl der neuen, ihnen nicht vertrauten mobilen Endgeräte zu erfassen und überwachen zu können.
Ein Blick auf die hier skizzierten fünf Schritte zur Einbindung von BYOD in eine Strategie für das Enterprise Mobility Management (EMM) zeigt jedoch: In der Tat ist Mobile Device Management ein wichtiger Baustein einer EMM-Strategie – aber eben nur einer von vielen. Denn während die zentralen Fragen im Bereich EMM von der Informationssicherheit über Datenschutz und Compliance bis hin zu Aspekten wie Security Awareness und der Benutzbarkeit reichen, konzentrieren sich die MDM-Anbieter auf die Fragen des Geräte- oder des Lifecycle-Managements (und dies meist ausschließlich für iOS- und Android-Geräte). Erst in jüngster Zeit schicken sich einige der MDM-Anbieter an, auch das Management der (Business-)Apps und der auf den Endgeräten gespeicherten Unternehmensinformationen mit zu berücksichtigen – all dies aber meist ausgehend von einem klar gerätezentrischen Ansatz.
Dieser Fokus auf MDM allein reicht nicht aus: Die Umsetzung einer Enterprise Mobility Management-Strategie erfordert den Einsatz einer vollwertigen Enterprise Mobility Management-Lösung. Eine solche EMM-Lösung muss eine Vielzahl von Funktionen bieten, die vom Management der Endgeräte, Apps und Daten über das Monitoring der Mobilfunknutzung bis hin zum Support von Prozessen wie dem On-/Off-Boarding von Mitarbeitern oder deren Unterstützung beim Fernzugriff durch den Helpdesk reichen. Für eine wirkungsvolle EMM-Strategie müssen alle folgenden Bereiche sinnvoll integriert sein: Mobile Device-, Mobile Application-, Mobile Information- und Mobile Expense Management.
Eine EMM-Lösung muss die volle Bandbreite an Funktionalitäten bieten, um die verschiedenen Einsatzvarianten mobiler Geräte im Unternehmen abzudecken. Hier bildet der klassische, vollständig zentral verwaltete Client (Locked-Down Device, LDD) das eine Ende des Spektrums, während BYOD das andere Extrem markiert. Auf halbem Wege dazwischen findet man den COPE-Ansatz (Corporate-Owned, Personally Enabled): Das Gerät gehört zwar dem Arbeitgeber, aber der Endanwender hat innerhalb gewisser Vorgaben dennoch große Freiheiten auf dem Gerät. Im Fall einer PC-Umgebung wäre dies zum Beispiel ein Notebook, für das der Anwender Admin-Rechte besitzt, im Fall eines iPads die Erlaubnis, auch private Apps zu installieren.
Nur die Kombination der diversen Mobile-Managementdisziplinen schafft die nötige Flexibilität, die den Anwendern in jedem Fall Produktivität garantiert. Denn je nach Einsatzfall – LDD, COPE oder BYOD – greift mal die eine, mal die andere Managementvariante:
- MDM ist nützlich, um unternehmenseigene Geräte zentral zu verwalten (Blacklists, Whitelists, Zertifikate, Fernlöschung beziehungsweise Remote Wipe).
- Mobile Application Management (MAM) erlaubt es dem Unternehmen im COPE- oder BYOD-Szenario, Business-Apps von privaten Apps klar zu trennen. MAM-Anbieter arbeiten gerne mit einem so genannten „Dual Persona“-Ansatz, bei dem jeweils eine Business- und eine private E-Mail-App vorliegen, was aber die Benutzerfreundlichkeit reduziert. Nützlicher ist der Einsatz von Verschlüsselung und per Wrapping abgesicherter nativer Apps. Die Kommunikation zwischen den Apps erfolgt dabei über App-spezifische Micro-VPNs.
- Mobile Information Management (MIM) dient der zentralen Bereitstellung von Informationen, aber auch der Vermeidung von Datenverlusten (Data Loss Prevention, DLP), etwa wenn der Anwender privat unsichere Dienste wie Dropbox statt sicherer Enterprise-Services nutzt. MIM ist ein wichtiger EMM-Baustein: Es muss sichergestellt sein, dass Business-Dokumente immer verschlüsselt gespeichert werden, nur mit einer gesicherten Business-App zu öffnen sind und sich nicht an private Apps oder File-Services weiterleiten lassen.
- Mobile Expense Management (MEM) unterstützt die Kontrolle und Verwaltung der Kosten, die durch mobile Endgeräte und deren Netzanbindung entstehen, zum Beispiel durch Roaming-Gebühren. MEM ist insbesondere bei unternehmenseigenen Endgeräten von Bedeutung, aber auch dann, wenn zwischen Unternehmen und Endanwender eine Rückerstattung beruflich anfallender Kosten vereinbart ist.
Jenseits dieser Facetten des Managements mobiler Endgeräte muss garantiert sein, dass der Anwender stets einen sicheren, hochverfügbaren Zugang zum Unternehmensnetz, seinen Desktop-Anwendungen beziehungsweise seinem Virtual Desktop (VDI) im Data Center erhält. Auch diese Netzanbindung muss performant und von zentraler Stelle aus detailliert zu verwalten sein. Dies stellt sicher, dass die Netzanbindung immer den Benutzeranforderungen entspricht.
Fazit
Trends wie Consumerization und BYOD können IT-Verantwortliche um den Schlaf bringen, wenn Unternehmen diese Entwicklungen nicht mit passenden Strategien auffangen. Dabei aber nur auf MDM zu setzen ist zu kurz gedacht – erst eine umfassende EMM-Lösung bietet eine brauchbare Basis für erfolgreiche Programme im Unternehmen.
Über den Autor
Markus Klein ist Director Systems Engineering Central Europe bei Citrix
(ID:39338520)
:quality(80)/images.vogel.de/vogelonline/bdb/1947600/1947663/original.jpg "Je mehr Unternehmen Informationssicherheit als Grundlage in all ihren Prozessen und Systemen etablieren und offen mit den Mitarbeitern darüber kommunizieren, desto besser sind sie vor der zunehmen Zahl an Angriffen geschützt. (Romolo Tavani - aodbe.stock.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1952400/1952426/original.jpg "Mit Azure Conditional Access lassen sich Benutzerkonten, Gruppen und die Anmeldungen an Azure absichern. (everythingpossible - stock.adobe.com)")