Wie funktioniert Mobile-Device-Management?
Mobile-Device-Management (MDM) bezeichnet zwei Dinge: erstens die Verwaltung mobiler Endgeräte im Unternehmen. Und zweitens die dafür genutzte Software.
MDM-Software dient zur Automatisierung bei der Einrichtung und Verteilung der Geräte sowie zur Kontrolle von administrativen Richtlinien („Compliance”).
MDM: Verantwortlichkeit
Für die Durchsetzung dieser Aufgabe ist in der Regel die IT-Abteilung des Unternehmens zuständig. Das MDM-System sorgt für die Bereitstellung von Richtlinien, Konfigurationen sowie Zertifikaten für das Gerätemanagement. Die Sicherheit sowie die Unterstützung von Mobilgeräten wird auf diese Weise optimiert.
Mobile-Device-Management rückt heutzutage stärker in den Vordergrund, weil Mobilgeräte immer häufiger genutzt werden. Mittlerweile ist MDM für die sichere Verwaltung von Daten auf Mobilgeräten unverzichtbar. MDM ist oft in ein noch weiter gefasstes Konzept eingebettet: Enterprise-Mobility-Management (EMM).
Mobile Sicherheitslücken sowie der großflächige Gebrauch mobiler Anwendungen sind wichtige Gründe für ein MDM. Mobilgeräte sind anfällig für Hacker und schädliche Viren. Außerdem gibt es datenschutzrechtliche Aspekte.
Beim Datenschutz müssen Unternehmen verantwortlich mit den Daten ihrer Mitarbeiter*innen und Kundschaft umgehen. Der mobile Zugriff der Angestellten auf wichtige Ressourcen ist jedoch ebenfalls sicherzustellen.
MDM beschränkt sich nicht nur auf Handys und Tablets. Auch das Management von Laptops gehört dazu (UEM = „Unified Endpoint Management“). In den nachfolgenden Abschnitten findest du nun weitere Erläuterungen zu MDMs.
MDM-Funktionen: das Wichtigste über die Verwaltung eines Mobilgeräts
DSGVO-Konformität
Für das mobile Arbeiten ist ein MDM-System für Unternehmen mittlerweile unverzichtbar. Denn nur so erfüllt ein Betrieb die umfassenden Vorschriften der DSGVO und entkommt hohen Bußgeldern. Dafür sorgt eine Container-Funktion, die den geschäftlich genutzten Teil des Geräte verschlüsselt und vom privat genutzten Teil trennt.
Mobile Betriebssysteme
Ein umfassendes MDM-System, was alle Voraussetzungen erfüllt, basiert auf einer Reihe wichtiger (Grund-)Funktionen. Es ist natürlich wichtig, dass ein MDM-Tool mit allen Plattformen kompatibel ist, die ein Unternehmen einsetzen möchte. Es gibt MDMs nur für iPhones/iPads oder auch ausschließlich für Android-Geräte. Im besten Fall integriert die MDM-Software aber sowohl Apple- als auch Android-Devices.
Betriebssystem-Updates
Um Updates der Betriebssysteme zu steuern, ist eine MDM-Software ebenfalls von großem Vorteil. Während es grundsätzlich wichtig ist, Updates auszurollen und nicht zu lange zu vertagen, kann es in Einzelfällen sinnvoll sein, eine Verzögerung einzubauen – zum Beispiel, wenn eigene Apps nachprogrammiert und angepasst werden müssen.
Compliance
Eine weitere Funktion ist die Gerätekonfiguration. Die Einrichtung von Zertifikaten und Richtlinien wird am besten über eine Konsole abgewickelt. Anschließend genügt ein Mausklick, um die entsprechenden Daten an die Mobilgeräte zu senden.
Beispiel iPhone: Mit dem Apple-Device-Enrollment-Program läuft der ganze Prozess einfacher und unkompliziert ab.
Datenschutz und Datensicherheit
Weitere MDM-Funktionen zum Datenzugriff sowie der Verschlüsselung von Daten zielen auf die Sicherheit ab. Ohne MDM-System ist die Nutzung von Mobilgeräten alles andere als sicher, vor allem in BYOD-Szenarien (BYOD = Bring your own Device), in denen Angestellte ihre Privatgeräte in die Arbeit mitbringen.
Gerätefunktionen restringieren (einschränken)
Um das Sicherheitslevel noch weiter zu erhöhen, können sich Unternehmen entscheiden, Gerätefunktionen auf den Smart Devices zu sperren. Dabei handelt es sich um eine sehr effiziente Maßnahme.
Geofencing
Dies kann zum Beispiel per Geofencing-Funktion erfolgen: Hier erstellt der IT-Administrator bzw. die IT-Administratorin ortsbezogene Richtlinien, die per GPS umgesetzt werden. So werden Einschränkungen nur an einem bestimmten Ort aktiv – zum Beispiel die Deaktivierung der Kamera in Fertigungsgebäuden zur Vermeidung von Industriespionage.
GPS-Tracking, Remote-Wipe, Remote-Lock
Ebenfalls per GPS und Ortungsfunktion lassen sich verlorengegangene Geräte sehr leicht aufspüren (sofern mit dem mobilen Internet verbunden). Dann können sogar die Geschäftsdaten aus der Ferne gelöscht (Remote-Wipe) und das ganze Gerät gesperrt werden (Remote-Lock).
Netzwerksegregation
Im MDM ist die sogenannte Netzwerksegregation möglich. Dies beschreibt die Separation eines Netzwerkes in Subnetze. Diese Netzwerksegregation verspricht einige Vorteile, wie z. B. eine optimierte Performance und Konnektivität. Alle Mobile-Device-Management-Features sind jeweils auf ein bestimmtes Subnetz zugeschnitten. Der Abruf von Domains erfolgt nach dem Need-to-know-Prinzip. Prozesse sind so vor schädlichen Eindringlingen und unbefugten Zugriffen gewappnet.
Zusammenfassung einiger MDM-Funktionen
- Unterstützung aller Betriebssysteme
- Gerätekonfiguration
- Fernwartung
- Compliance: Passwort-Anforderungen
- Datenverschlüsselung (Containerisierung)
- Restriktion: Sperrung von Funktionen
- Ortungsfunktion
- Remote-Lock
- Remote-Wipe
Die Verwaltung von unternehmensinternen Geräten wird damit stark vereinfacht. Die Funktionen können je nach Anbieter unterschiedlich gestaltet sein oder auch fehlen. Bei der MDM-Auswahl solltest du also vorher genau deine Anforderungen prüfen.
Welche Anforderungen gibt es bei den MDM-Funktionen?
Um MDM-Lösungen professionell umzusetzen, müssen bestimmte Voraussetzungen erfüllt sein. Diese Voraussetzungen erstrecken sich auf:
- Sicherheit: Security-Maßnahmen wie ein effektiver Passwortschutz
- Schutz: schnelle Sperrung eines Gerätes im Notfall notwendig
- Integration: Lösung muss mit IT-Struktur des Unternehmens kompatibel sein
- Adaption: Konfiguration von VPN, W-LAN sowie dem E-Mail-Verkehr
- Protokolle: Ermöglichung der Organisation von Berichten der Kommunikationsdokumentation
- Kontrolle: unternehmensinterne Daten sind zu jeder Zeit von Administrator*innen nachzuprüfen
Alternativen zu MDMs: Container-Lösungen und MAM
Nicht jedes Unternehmen benötigt ein vollwertiges MDM-System. Für weniger anspruchsvolle Set-ups gibt es diverse Basislösungen, wie zum Beispiel „Android Enterprise Essentials“ oder „Workspace ONE Essentials“.
Eine weitere Alternative können dedizierte Container-Anwendungen sowie Softwares für Mobile-Application-Management (MAM) sein. Die Anwendung von Container-Tools bedarf einiger Richtlinien. In den Paketen der hiesigen Anwender*innen sind Grundfunktionen wie z. B. E-Mail und Kontakte mit inbegriffen. Die Auswahl einer entsprechenden Lösung hängt nicht nur vom Serversystem, der Sicherheit und möglichen Anbindungen ab (Exchange/ActiveSync), sondern auch von Lösungen anderer Anbieter.
Mit Blick auf die Kosten von MDM-Lösungen und dem Vergleich zu Container-Tools empfiehlt es sich aus unserer Erfahrung meistens doch eher, sich für ein vollwertiges MDM zu entscheiden. Letztendlich hängt dies aber auch von den Unternehmensanforderungen ab. Lies mehr dazu in unserem Paper.