:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mobiles Arbeiten Trend Micro Safe Mobile Workforce 1.5 im Test
Ein Datenverlust kann Unternehmen bares Geld kosten. Safe Mobile Workforce von Trend Micro soll potenziellen Datenabfluss auf Basis einer virtuellen, gehärteten Android-Umgebung verhindern. Security-Insider hat sich den virtuellen Arbeitsbereich einmal angesehen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Die Sicherheit von Daten auf mobilen Geräten spielt in Zeiten des zunehmenden Einsatzes von Smartphones und Tablets im Unternehmensumfeld eine immer wichtigere Rolle. Mobile Geräte können leicht verloren gehen oder gestohlen werden. In diesem Fall kommt es immer wieder vor, dass wichtige Informationen verschwinden oder in falsche Hände geraten.
IT-Verantwortliche müssen Datenverluste also im Idealfall vollkommen ausschließen können und entsprechende Lösungen implementieren. Safe Mobile Workforce (SMW) von Trend Micro nimmt sich des Problems an und sorgt dafür, dass Geschäftsinformationen gar nicht erst auf die mobilen Geräte gelangen.
Mit Safe Mobile Workforce stellt Trend Micro eine Virtualisierungsinfrastruktur bereit, die eine Android-Umgebung (gehärtetes Android 4.0.4) auf mobile Geräte unter Android, iOS und Windows RT/Phone streamt. Die Anwender rufen im laufenden Betrieb auf ihren Endgeräten eine App auf und loggen sich bei dem SMW-Server ein. Der Server steht dabei entweder bei einem Dienstleister oder befindet sich im Unternehmensnetz.
Schlanke Alternative zur Virtual Desktop Infrastructure
Nach dem Login erscheint die Arbeitsfläche des virtuellen Android-Betriebssystems auf dem Bildschirm. Die Benutzer arbeiten hier mit den von der IT-Abteilung auf den virtuellen Systemen installierten Apps. Da die Arbeit über eine Online-Verbindung abläuft, liegen stets alle Daten auf dem Server. Nichts wird aus dem Unternehmensnetz auf die Clients kopiert.
Zugegeben, der gleiche Effekt ließe sich auch durch die Bereitstellung von virtuellen Desktops (VDI) realisieren, auf die die Unternehmensmitarbeiter von unterwegs aus zugreifen können. Diese lassen sich aber von Smartphones und Tablets schlecht bedienen, da die Anwendungen nicht auf die Arbeit mit Touch-Screens ausgelegt sind.
Deswegen ist es sinnvoll, auf einem mobilen Endgerät auch ein mobiles Betriebssystem zu virtualisieren. Das vereinfacht nicht nur die Bedienung und damit die Benutzerakzeptanz, sondern profitiert auch von vielen weiteren Funktionen, die mobile Geräte mit sich bringen. So rotiert die Safe Mobile Workforce-App beispielsweise auf Smartphones und Tablets den Bildschirminhalt, wenn der Anwender sein Gerät dreht.
Der Test
Für den Test stellte Trend Micro einen Zugang auf die in Irland gehostete Demo-Installation von Safe Mobile Workforce bereit. Außerdem erhielt der Autor die Software für einen eigenen SMW-Server, den er im Testlabor installierte. Der Autor nutzte die Demo-Installation in Irland über mehrere Monate und griff auch während diverser Pressereisen aus dem Ausland auf die virtualisierte Android-Umgebung (VM) zu.
Im eigenen Testlabor wurde der SMW-Server aus Sicht des Administrators unter die Lupe genommen. Dazu wurden unterschiedliche Benutzerprofile mit verschiedenen Rechten angelegt und diverse VM-Images mit unterschiedlichen Benutzer-Apps erzeugten. Zum Schluss nutzte der Autor diese VMs ebenfalls mit der Client-App.
Die Arbeit mit der Demo-Umgebung
Im Test kamen diverse Endgeräte zum Einsatz. Unter Android gehörten dazu ein Tablet vom Typ Arnova 10c G3 mit Android 4.0.3 sowie ein Samsung Galaxy S2 mit Android 4.1.2 und ein Samsung Galaxy S4 mit Android 4.4.2. Hinzu kamen ein iPhone 4s mit iOS 8.1.2 und ein iPad Mini, ebenfalls mit iOS 8.1.2.
Nachdem die Client-Apps aus den App Stores von Apple und Google auf den Endgeräten eingespielt waren, meldete sich der Autor mit den Zugangsdaten bei den Servern in Irland an. Danach fragte die App, ob man den Zugang auf die virtuelle Umgebung zusätzlich noch mit einem Entsperrmuster, einer PIN oder einem Passwort sichern wolle.
Die zusätzliche Sicherung ergibt in Umgebungen Sinn, in denen der Anwender die Login-Daten für Safe Mobile Workforce direkt auf dem Client speichert. Zu einem solchen Szenario könnte es beim Einsatz aufwendiger Passwörter kommen, die sich schlecht über die Tastatur des mobilen Geräts eingeben lassen. Da dies ein potenzielles Sicherheitsrisiko darstellt, können die Administratoren das Speichern der Passwörter auf den Clients auch untersagen.
Nachdem die PIN vergeben war, begann der Autor direkt mit der Arbeit. Trend Micro hatte in der Test-VM bereits diverse Standard-Apps eingerichtet, mit der sich die üblichen Arbeitsschritte eines Business-Users abbilden lassen. Neben dem Android-Browser gehörten dazu unter anderem ein E-Mail-Programm, ein Kalender, eine Adressverwaltung, ein Taschenrechner und WPS Office.
Der Autor arbeitete im Wesentlichen mit dem Browser und der Office-Anwendung, die zum Erstellen von Notizen diente. Die Arbeit über schnelle Netze wie WLAN oder 3G-, HSPA- und LTE-Netzwerke lief dabei problemlos. Ein flüssiges Arbeiten über GRPS- und EDGE-Netze ist nicht möglich. In der Regel – beispielsweise in Flughafen-WLANs oder in Hotelzimmern – funktioniert der Betrieb der Lösung aber reibungslos.
Der Safe Mobile Workforce Server
Wenden wir uns nun dem Safe Mobile Workforce Server im Testlabor zu. Nachdem diese eingerichtet war, kann man sich mit den Standard-Credentials „admin/admin“ über die URL HTTPS://{IP-Adresse des Management-Interfaces} anmelden. Nach dem Login wird eine Dashboard-Übersicht aufgerufen, die die fünf Top-User, den Benutzerstatus (Active, Idle, Offline, Disabled), die Top 5-Apps und die Top 5-Web Clips anzeigt. Die Web-Clips bieten die Möglichkeit, URL-Schnellzugriffe auf Webseiten oder Sharepoint-Inhalte bereit zu stellen.
Insgesamt wurde das Management-Interface in acht Bereiche aufgeteilt. Der zweite nennt sich „Users“ und befasst sich mit der Benutzerverwaltung. Das Sicherheitsprodukt unterstützt zwei verschiedene Ansätze zum Management der Benutzerkonten. User lassen sich zum einen innerhalb der SMW-Umgebung manuell anlegen. Dies ist in Testumgebungen sinnvoll, für den Produktiveinsatz unterstützt das Produkt aber die Zusammenarbeit mit einem Active-Directory-Server.
Stellt der IT-Verantwortliche eine Verbindung zwischen dem Safe Mobile Workforce Server und einem Active Directory her, so kann er alle bereits vorhandenen Benutzerkonten auch für die mobile Sicherheitslösung verwenden. Das lohnt sich insbesondere in großen Umgebungen mit vielen Anwendern – in denen die Lösung von Trend Micro wohl meistens zum Einsatz kommen dürfte. Im Test verwendeten wir sowohl lokale als auch Active Directory-Konten, beide Account-Typen funktionierten reibungslos.
Einrichtung von Profilen und Apps
Die Profile – also die Vorlagen für die Android-Arbeitsumgebungen – verwalten die Administratoren im nächsten Konfigurationspunkt des Benutzerinterfaces. Sie lassen sich genau wie Benutzer anlegen, löschen und bearbeiten. Sie umfassen im Wesentlichen ein Hintergrundbild und die Apps, die den Benutzern zur Verfügung stehen sollen.
Wenden wir uns jetzt der Definition der Apps zu. Die Anwendungen, die in Verbindung mit Safe Mobile Workforce zum Einsatz kommen können, müssen als APK-Datei vorliegen. Klickt ein Administrator auf „Add App“, so erhält er die Möglichkeit, zur APK-Datei zu browsen und in das System hochzuladen.
Dabei ist es auch möglich, sie mittels App Wrapping in die Single-Sign-On-Umgebung des Unternehmens einzubinden. Das stellt eine sehr wichtige Funktion dar, da sie dafür sorgt, dass die Anwender nicht für jede App, die sie nutzen möchten, eigene Benutzerdaten eintippen müssen. Das spart folglich Zeit und Fummelei und trägt so zur Akzeptanz der Sicherheitslösung bei.
Reporting und Administration
Die Server-Verwaltung ermöglicht das Starten, Stoppen, Hinzufügen, Entfernen und Aktualisieren der Safe Mobile Workforce Server und die Reports verschaffen den zuständigen Mitarbeitern einen umfassenden Überblick über das System. Die letzten beiden Punkte des Web-Interfaces stellen eine Online-Hilfe zur Verfügung und ermöglichen die Administration der SMW-Umgebung.
Dabei legen die IT-Mitarbeiter das Passwort der Konfigurationsoberfläche fest und nehmen die E-Mail-Konfiguration mit Mail Server und Authentifizierung vor. Außerdem lassen sich an dieser Stelle diverse externe Dienste in die Umgebung mit einbinden. Dazu gehört zunächst einmal das Active Directory.
Darüber hinaus haben die zuständigen Mitarbeiter auch die Möglichkeit, den so genannten SafeSync-Dienst mit der Safe Mobile Workforce-Umgebung zu verbinden. Dieser stellt den Benutzern einen privaten Cloud-Speicher zur Verfügung, in dem sie ihre Daten ablegen und dann von anderen Geräten aus darauf zugreifen können.
Auf die gleiche Weise lassen sich auch Exchange- und Proxy-Server in die Umgebung einbinden. Das gleiche gilt auch für externe NFS-Freigaben, eine Alternative für Unternehmen, die einen externen Speicher benötigen.
Nutzung in der Praxis
Im Betrieb richteten wir zunächst einmal diverse Apps wie die Verschlüsselungslösung EDS Lite, Readfy und das WPS Office für die Nutzung mit Safe Mobile Workforce ein. Das funktionierte auf Anhieb und wir konnten die Apps danach bei der Definition der Profile direkt zuweisen und nutzen.
Den Zugriff auf den Server von außen stellten wir über Port-Forwarding sicher. Unternehmen, denen das nicht ausreicht, können zu diesem Zweck aber auch auf den „Safe Mobile Workforce Secure Access Server“ zurückgreifen, der sich der Installation als eine Art Proxy vorschalten lässt und beispielsweise in DMZs zum Einsatz kommen kann.
Fazit
Im Betrieb konnte Safe Mobile Workforce überzeugen, eine schnelle Internet-Anbindung vorausgesetzt. Die Konfiguration eigener Apps in Verbindung mit den beliebig anpassbaren Profilen machen Firmen-App-Stores überflüssig. Für Administratoren ist das System leicht einzurichten und zu bedienen, letzteres gilt auch für den Anwender. Das Web-Interface wurde übersichtlich gestaltet und bietet alle notwendigen Funktionen zum Verwalten und Überwachen der mobilen Sicherheit.
Positiv hervorzuheben sind die Zusatzfunktionen wie das Einbinden externer Speicher und Exchange Server sowie SSO-Unterstützung. Dank ihrer Hilfe fügt sich Safe Mobile Workforce nahtlos in eine Unternehmensumgebung ein. Unter dem Strich sorgt die Lösung dafür, dass kritische Daten gar nicht erst auf die Endgeräte gelangen.
(ID:43174660)
:quality(80)/images.vogel.de/vogelonline/bdb/1883500/1883553/original.jpg "Damit E-Mail-Verschlüsselung auch genutzt wird, muss das komplexe Thema so umgesetzt werden, dass sich die Verschlüsselung leicht in den täglichen Betrieb integrieren lässt. (peterschreiber.media - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942600/1942654/original.jpg "Die Zukunft der Unternehmens-IT liegt in der Cloud, wie Zero Trust und SSE unterstreichen und die hybride Arbeitswelt fordert. (thodonal - stock.adobe.com)")