Auf unserem Blog und unserer Website sprechen wir immer wieder davon, dass der Aufbau der IT- Sicherheit einer Zwiebel gleichen sollte: viele Schichten, um das wertvolle Innere zu schützen. Die Schichten der IT-Sicherheit beginnen mit dem Schutz der Daten auf dem Unternehmensserver, über das Zugangs-und Accountmanagement bis hin zum Endpoint Management, welches vor allem mobile Geräte verwalten soll. Ein MDM gehört in diese Zwiebel IT-Sicherheit, besteht aber auch selbst aus unterschiedlichen, miteinander verzahnten Schichten. Im sechsten Teil unserer FAQ Serie nehmen wir sie deshalb mit in die Zwiebel MDM.

Welche Funktionen eines MDM sind für die IT-Sicherheit besonders relevant?

Das Hauptziel eines MDMs ist es natürlich, die Sicherheit mobiler Geräte zu gewährleisten.
Daneben dient es zusätzlich noch zur Verwaltung und übersichtlichen Wartung der Geräte.
Der Großteil der MDM Funktionen deckt jedoch sicherheitsrelevante Bereiche ab:

Einrichtung & Verwaltung mobiler Geräte: 

App Management:

Daten Sicherheit & Sichere Kommunikation:

Diese Funktionen sind an sich relativ selbsterklärend. Dennoch fehlt oft die Kenntnis darüber, wie sie kombiniert werden können oder auch kombiniert werden müssen, um die IT Sicherheit vollumfänglich zu gewährleisten. Lassen Sie uns deshalb noch einmal einen genaueren Blick auf einzelne Sicherheitsaspekte werfen, die mit einem MDM abgedeckt werden können.

1. Einführung einer sicheren Kommunikationsinfrastruktur im Unternehmen für die IT-Sicherheit:

Die grundlegende Herausforderung hierbei ist, dass Unternehmen zunehmend auf mobile Kommunikationswege, wie zum Beispiel Microsoft Teams oder andere Messenger Apps, wie What’s App angewiesen sind, da Mitarbeitende öfter mobil und von überall her arbeiten.
Unternehmen befinden sich also im Zwiespalt, diese Art der Kommunikation zu ermöglichen, da sie zum einen die Arbeit erleichtert und auch den Arbeitgeber attraktiver macht, aber auf der anderen Seite auch Sicherheitsrisiken darstellen. Ausführlich berichten wir in diesem Blogartikel darüber.

Um Angreifern keine Chance zu geben, die IT-Sicherheit über Chats oder SMS (z.B. über Smishing ) zu gefährden, müssen deshalb bestimmte Sicherheitsrichtlinien über das MDM verteilt werden. Dabei hilft es, sich in die User*innen hinein zu versetzen, um potenzielle Gefahren zu erkennen.

1.1 Empfang und Versand von SMS regulieren:

Bei reinen Arbeitsgeräten kann eingestellt werden, ob SMS überhaupt empfangen oder versandt werden dürfen und wenn ja, für welche Nummern diese Freigabe gilt.
Es kann auch verboten werden, dass Websites aus unbekannten Quellen geöffnet werden dürfen und/oder dass Downloads ohne Autorisierung erfolgen.

1.2. Sichere E-Mail und Messenger Integration:

Grundsätzlich ist es empfehlenswert, eine E-Mail Anwendung zu integrieren, die speziell für Unternehmenszwecke geeignet und dementsprechend gesichert ist. Microsoft Outlook kann zum Beispiel in ein MDM integriert werden und auch Gmail kann in der Regel verwendet werden, ohne größere Sicherheitsbedenken.
Wichtig ist es jedoch die Nutzer*innen dazu anzuhalten, ihre Unternehmens-E-Mail nicht mit Online Shops etc. zu verknüpfen.
Bei der Nutzung eines Messengers raten wir grundsätzlich zur Installation einer sicheren Applikation. Der Facebook Messenger, Slack oder What’s App sollten nicht verwendet werden, um wichtige Daten auszutauschen.
Es sollte zudem der App-bzw. Playstore über das MDM so konfiguriert werden, dass der Download nicht autorisierter Messenger Apps nicht erfolgen kann.

2. IT-Sicherheit durch Problembehebung bei mobilen Geräten mithilfe des MDMs:

Ein weiterer Grund, ein MDM zur Erhöhung der IT-Sicherheit einzuführen, ist, dass auch technische Probleme teilweise über das MDM direkt behoben werden können.
Gerade Bedienfehler können mithilfe der Remote Support Funktion schnell geklärt werden.

2.1 Meldung und Vermeidung von Fehlern:

MobiVisor MDM verfügt als ganzheitliches MDM über eine Debuglog-Funktion.
Das heißt, der Admin kann über das MDM ein Log der letzten Aktivitäten des Gerätes anfordern. Sofern ein Fehler aufgetreten ist, kann so die Ursache entdeckt werden.
Kann der Admin den Fehler nicht direkt lösen, besteht die Möglichkeit den Bug dem MDM Anbieter zu melden. So können Fehler behoben werden, ohne jedesmal das Gerät zurückzusetzen.
Durch die zentral gesteuerte Einrichtung der mobilen Geräte mit allen Apps und Richtlinien, wird zudem von vornherein verhindert, dass sich Fehler einschleichen.

2.2. Vereinfachung der Bedienung durch den KIOSK Modus:

Geräte, die im KIOSK Modus laufen, zeichnen sich durch eine reduzierte Bedienoberfläche aus. Das heißt, es gibt nur wenige, vordefinierte Apps, die auf dem Handy verwendet werden können. Die Systemeinstellungen können in der Regel durch die Nutzer*innen nicht erreicht und somit auch nicht verändert werden. Dadurch können auch keine Einstellungen vorgenommen werden, die das Gerät ggf. lahmlegen oder das grundsätzliche Set-Up verhindern.
Ein weiterer Vorteil des KIOSK Modus ist, dass dieser als Bedienoberfläche über der eigentlichen Bedienoberfläche des mobilen Gerätes fungiert. Alle Änderungen, die vorgenommen werden, erfolgen demnach nur auf der KIOSK Oberfläche, nicht jedoch grundsätzlich im Gerät. Wird der KIOSK Modus wieder entfernt, würde somit auch eine evtl. fehlerhafte Einstellung wieder verschwinden.
Eine eindeutige Vorgabe, wie Geräte bedient werden müssen, erhöht grundsätzlich die IT-Sicherheit. Je weniger der Nutzer selbst entscheiden und einrichten muss, desto besser erfolgt die Umsetzung der Unternehmensinternen Sicherheitsrichtlinien.

3. IT-Sicherheit und Risikomanagement mithilfe des MDMs:

Bei der Nutzung von mobilen Geräten sind diese vielen Risiken ausgesetzt.
So können mobile Geräte leichter gestohlen werden, können verloren gehen oder es wird versucht, diese zu rooten, um Sicherheitseinschränkungen zu umgehen.
Auch öffentliche WLAN Netzwerke sind ein Risikofaktor, denn man kann hier nie nachprüfen, wie sicher diese sind. Dürfen die mobilen Geräte zudem auch für private Zwecke verwendet werden, besteht schnell die Gefahr, dass private und berufliche Daten vermischt werden.
Ein umfangreiches Risikomanagement erhöht also die IT-Sicherheit ungemein.

Mithilfe eines MDMs können Kontrollmechanismen für diese Bedrohungen der IT-Sicherheit eingeführt werden:

3.1. Datenrecovery bei Verlust oder Diebstahl:

Jedes Mobilgerät sollte regelmäßige Backups der wichtigen Daten durchführen.
Im Falle eines Verlustes des mobilen Gerätes kann dieses dann nämlich über das MDM gesperrt und gelöscht werden, ohne dass alle Daten auch vom Account des Nutzers gelöscht werden. Diese doppelte Datenhaltung ist zwar aufwändiger, aber auch unerlässlich, möchte man sicheres und effektives mobiles Arbeiten garantieren.

Sollte ein Gerät verloren gehen oder gestohlen werden, zeigt sich auch eine Stärke des MDMs: nämlich die eindeutige Zuordnung von Nutzern und Geräten. Dadurch kann das betroffene Gerät direkt aus dem Verkehr gezogen werden. Ein Versuch, darüber an Unternehmensdaten zu gelangen, kann so unterbunden werden.

3.2. Verhinderung der Entfernung des MDMs:

Es gibt zusätzlich die Funktion in MobiVisor, das Rooten oder das Zurücksetzten des Geräts als Sicherheitsverstoß zu melden. Diese Aktion kann dann nicht durchgeführt werden und zusätzlich wird eine Mitteilung an den Admin gesendet, dass versucht wurde MobiVisor MDM vom Gerät zu entfernen.

3.3. Sichere Internetverbindungen und saubere Datentrennung:

Es ist immer empfehlenswert, gerade bei Unternehmen mit sehr sensiblen Daten, festzulegen, welche Internetverbindungen über die mobilen Geräte verwendet werden dürfen.
Dafür gibt es die Funktion “Whitelist WiFi connection”. Somit wird verhindert, dass sich das Gerät automatisch in offene WLANs einwählt.
Werden mobile Geräte zusätzlich privat verwendet, kann aus rechtlichen Gründen die private Nutzung des Internets zwar nicht konfiguriert werden, aber indem man ein extra Arbeitsprofil auf dem mobilen Gerät installiert, trennt man zumindest sauber zwischen Arbeit und Privat.
So kann im Arbeitsprofil verhindert werden, dass unsichere Internetverbindungen verwendet werden. Grundsätzlich empfiehlt sich bei dieser Art der Gerätenutzung jedoch eine umfangreiche Schulung zur Sicherheit der Daten.

Fazit:

Mit einem MDM können verschiedene wichtige Schichten der IT-Sicherheit, gleich einer Zwiebel, abgedeckt werden. Angefangen von der fachgerechten Einrichtung der Geräte mit allen wichtigen Accounts und Apps, über die Festlegung von Sicherheitsrichtlinien - bis hin zur Vorgabe der Nutzungsweise und der Problembehebung. Das Thema IT-Sicherheit ist natürlich noch komplexer als die reine Absicherung der Hardware - doch grundsätzlich ist diese der erste Schritt, um Unternehmen und ihre Daten richtig zu schützen.