Endgeräte-Sicherheit für Unternehmen

Grundlagen des Enter­prise Mobility Management

| Autor / Redakteur: Stefan Mutschler / Peter Schmitz

Abhängig davon, woher, mit welchem Gerät und über welche Verbindung sich ein Nutzer am Unternehmensnetz anmeldet, kann ein EMM-System unterschiedliche Rollen zuweisen und Zugriffsrechte gewähren.
Abhängig davon, woher, mit welchem Gerät und über welche Verbindung sich ein Nutzer am Unternehmensnetz anmeldet, kann ein EMM-System unterschiedliche Rollen zuweisen und Zugriffsrechte gewähren. (© Andrey Popov - stock.adobe.com)

Nichts fürchten IT-Verantwortliche mehr als den Kontrollverlust. Und genau der schien mit der Flut privater Smartphones und Tablets im Un­ter­neh­mens­ein­satz – Stichwort BYOD (Bring Your Own Device) – eine Zeitlang un­aus­weich­lich. Inzwischen bietet der Markt aber Security- und Management-Lösungen, mit denen man die Herausforderungen der mobilen Geräte gut in den Griff bekommt.

Es gibt eine Reihe von Punkten, welche die Sicherung und das Management von mobilen Endpoints erheblich schwieriger machen als bei stationären Geräten: die schiere Masse, gemischte Besitzverhältnisse, unternehmensunabhängiger Netzwerkzugang über mobile Netzwerke und nicht zuletzt eine vielfältige Landschaft aus mobilen Betriebssystemen mit jeweils eigenem App-Universum, Herstellern und Content-Plattformen. Dabei geht es vor allem um Smartphones und Tablets, die klassischen Laptops sind wegen ihrer desktopähnlichen Software-Infrastruktur, weitaus geringeren Zahl und Anbindung über das Unternehmens-WLAN meist schon gut in das IT-Management integriert.

Erste Ansätze: MDM, MAM und MIM

Im Zuge der Versuche, die Komplexität des Themas Mobility in den Griff zu bekommen, entstand eine Reihe von Ansätzen wie etwa Mobile Device Management (MDM), Mobile Application Management (MAM) und Mobile Information Management (MIM). Je nach Ansatz steht die Kontrolle von Geräten, von Applikationen oder von Daten im Mittelpunkt. In der Praxis gibt es aber heute kaum ein MDM-Tool, das nicht auch zumindest Teilfunktionen aus dem App- und Datenmanagement mitbringt. So geht es beim MDM zunächst einmal um die IT-technische Erfassung der mobilen Geräte samt Inventarisierung, Zuordnung zu Abteilungen und/oder Personen. Des Weiteren lassen sich mit MDM-Tools in der Regel Apps vom Unternehmen aus installieren und löschen, die Nutzung bestimmter Apps einschränken oder verbieten, Daten sichern, bei Diebstahl oder Verlust auch löschen, Compliance-Richtlinien verteilen und einiges mehr. Mit dazu gehört auch die Überwachung von Art, Qualität und Sicherheitsstatus der Verbindung.

Enterprise Mobility Management (EMM)

Jede genannte Tool-Kategorie deckt nur einen begrenzten Umfang an Funktionen ab. Soll Mobility gezielt als Teil einer auf Effizienz gerichteten Unternehmensstrategie aufgesetzt werden, lässt sich das am sinnvollsten über einen umfassenden Ansatz lösen, wie ihn Tools aus der Kategorie Enterprise Mobility Management (EMM) verfolgen. Hier sind in der Regel alle Ansätze vollständig integriert. Die Unterscheidung der verschiedenen Kategorien ist dabei heute nicht mehr so einfach. Im Laufe der Jahre haben fast alle Hersteller ihre ursprünglichen Lösungen um Elemente aus den anderen Kategorien erweitert. Wenn man so will, gibt es heute mit Blick auf den Funktionsumfang hauptsächlich noch kleinere und größere EMM-Lösungen.

In der Oberliga bieten EMM-Lösungen oft noch wichtige Zusatzfunktionen, mit welchen sich beispielsweise Unternehmens-Apps in Container fassen, Daten umfassend schützen und Compliance-Richtlinien über mobile Betriebssysteme hinweg durchsetzen lassen. Auch ist in dieser Klasse ein deutlicher Trend zu beobachten, weg von der Geräte-, Applikations- oder Daten-/Content-zentrischen Herangehensweise, hin zu einem auf den Nutzer beziehungsweise eine Rolle bezogenem Management. Im Mittelpunkt steht dessen Identität, oft erweitert um zusätzliche Merkmale wie Typ und Compliance-Zustand des Geräts, Betriebssystem/Version, Besitzverhältnis, aktueller Aufenthaltsort, Art der Netzwerkverbindung und einigem mehr.

Abhängig davon, von wo, mit welchem Gerät und über welche Verbindung sich ein Nutzer am Unternehmensnetz anmeldet, weist ihm das EMM eine unterschiedliche Rolle zu, zu der jeweils ganz spezifische Zugriffsrechte gehören. Ein und derselbe Nutzer mag also sehr unterschiedliche Befugnisse im Netz erhalten, je nachdem, ob er sich innerhalb des Unternehmens, von zuhause aus oder vom WLAN am Sportplatz anmeldet. Steht das entsprechende Gerät unter der Verwaltung des EMM, kann dieses einen angemessenen Geräteschutz (zum Beispiel Installation einer Anti-Malware-Software) einfordern. Handelt es sich aber beispielsweise um ein Gerät, das in der Hotellobby für alle Gäste zur Verfügung steht, ist dessen Sicherheitsstatus nicht überprüfbar – die meisten Unternehmen räumen dem Nutzer in diesem Fall nur sehr eingeschränkte Rechte ein.

Sicherheit durch Cloud

Für den Schutz mobiler Geräte steht eine breite Auswahl an Lösungen zur Verfügung. Die gängigen Client-Werkzeuge umfassen den Schutz vor Malware verschiedener Art (Exploits, Chargeware, Adware, Spyware, Trojaner etc.), Surf-Schutz, Schutz vor unsicheren WLAN-Netzwerken und Privatshären-Schutz bei allzu neugierigen Apps. Darüber hinaus werden oft noch App-Scanner, Diebstahlschutz (Ortung, remote Alarmauslöser, remote Sperren/Löschen etc.) und Backup der Gerätedaten in einer Cloud angeboten. Die Unternehmensversionen dieser Tools bieten zentrales Management und zentrale Kontrolle. Bietet der Hersteller auch eine MDM- oder EMM-Suite an, sind die Schutzfunktionen meist darin integriert.

Beim Schutz von mobilen Geräten kommt der Cloud eine besondere Bedeutung zu. Grund ist unter anderem die begrenzte Rechen- und Akku-Leistung auf Smartphones und Tablets. Häufige Sicherheits-Scans von Apps und Dateien können die Performance drücken und den Nutzer häufiger an die Steckdose zwingen. Laufen die Checks in der Cloud, bleibt das Gerät selbst unbelastet. Gerade im Bereich mobiler Geräte hat sich inzwischen ein umfangreiches Angebot an Cloud-Services etabliert: von der Prüfung gerade heruntergeladener Apps über URL-Filtering, Scannen auf bösartige Inhalte wie Phishing oder Malware bis hin zu Verschlüsselung. Über die Cloud können IT-Manager auch Security- und Compliance-Richtlinien unabhängig vom eingesetzten Mobilgerät durchsetzen. Die Cloud fungiert als Sicherheitsinstanz, die zwischen mobilem Gerät und Unternehmen, beziehungsweise Internet liegt.

Tools und Cloud bilden ein gutes Gespann für Sicherheit und Management mobiler Geräte. Mit dem Internet der Dinge rollt allerdings bereits die nächste Herausforderung auf die Unternehmen zu – und die wird auch EMM-Anbieter sicher noch lange beschäftigen.

Dieser Text stammt aus dem Security-Insider Kompendium „Endpoint & Mobile Device Security“.

Kompendium „Endpoint & Mobile Device Security“

Endpoint & Mobile Device SecurityDie kontinuierlich fortschreitende Digitalisierung der deutschen Wirtschaft fordert die IT-Sicherheit zunehmend heraus. Der einzelne Endpunkt – egal ob PC, Notebook, mobiles Gerät oder IoT-Device – steht weiter im Fokus der Angriffe durch Cyberkriminelle, so lange es sich lohnt, diese Systeme anzugreifen. Eine gut funktionierende und moderne Endpoint Security ist deshalb heute mehr denn je unverzichtbar! (PDF | ET 29.06.2018)

Kompendium herunterladen »

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45376788 / Endpoint)