Enterprise-Mobility-Management: mobile Endgeräte sicher einsetzen

Unter Enterprise-Mobility-Management (EMM) versteht man zweierlei. Erstens: einen ganzheitlichen Ansatz zur sicheren Verwendung mobiler Endgeräte wie Smartphones, Tablets und Laptops im Unternehmen. Zweitens werden auch die hierzu dienenden Software-Lösungen (EMM-Suiten) manchmal so genannt.

Enterprise Mobility Management - everphone - 800

Wozu das Ganze? „EMM“ und „BYOD“

Leider herrscht im gesamten Themenfeld Enterprise Mobility ein ziemliches Durcheinander von Abkürzungen: Da wird von MDM, MCM, MIM, MAM, UEM und EMM gesprochen, von BYOD, COPE und CYOD. Das erschwert einen klaren Blick auf die Dinge. Im Folgenden bringen wir etwas Licht ins Dunkel.

Enterprise-Mobility-Management wurde vor dem Hintergrund mobilen Arbeitens und des zunehmend beliebten „Bring Your Own Device “-Ansatzes relevant (IT-Consumerization). Unternehmen, die ihren Angestellten den Einsatz privater mobiler Endgeräte im Unternehmenskontext gestatten wollen, sehen sich dabei vor die Herausforderung gestellt, unterschiedliche Geräteplattformen, mobile Betriebssysteme etc. sauber und vor allem sicher in die Firmenumgebung einzubinden.

Aber auch Unternehmen, die ein COPE- oder CYOD -Deployment von Mobilgeräten bevorzugen, müssen die Geräte möglichst effizient und sicher konfigurieren und administrieren.

Dies bezieht sich im Wesentlichen auf drei Bereiche.

1. Datensicherheit

Eine der wichtigsten Fragen in dem Zusammenhang ist die nach der Sicherheit der Unternehmensdaten. Mit einer EMM-Suite lassen sich Sicherheitsvorgaben leichter umsetzen (IT-Compliance) und Sicherheitslücken von vornherein schließen.

Beispielhaft seien hier Password Policies genannt: Die IT-Administration kann mithilfe der EMM-Lösung festlegen, welchen Kriterien Passwörter für bestimmte Apps oder Zugänge entsprechen müssen.

Datensicherheit-in-Unternehmen_Mobile-Security Datensicherheit ist eines der Kernanliegen von EMM-Suiten.

2. Datenschutz

Spätestens seit Mai 2018 (Inkrafttreten der EU-DSGVO) stellen BYOD-Ansätze auch ein Datenschutzproblem dar. Es genügt beispielsweise bereits, wenn Angestellte einen Geschäftskontakt auf einem Smartphone speichern, auf welchem Whatsapp installiert ist, um einen Datenschutzverstoß zu begründen. In Zeichen verstärkter Datenschutzkontrollen und DSGVO-Strafen ein echtes Risiko für Unternehmen.

Lesen Sie mehr hierzu unter Whatsapp und DSGVO – wo ist das Problem? und Whatsapp auf dem Firmenhandy . Detaillierte Infos enthält auch unser Download „DSGVO und BYOD”.

3. Produktivität und Mobiles Arbeiten

Neben Datensicherheit und Datenschutz wollen Unternehmen natürlich auch die Produktivität erhöhen. Nicht nur muss das Ausrollen („Deployment“) und die Verwaltung der mobilen Endgeräte ressourcenschonend erfolgen – schließlich hat die IT in nahezu jedem Unternehmen Kapazitätsengpässe.

Auch die Bedürfnisse der Mitarbeiter*innen gilt es zu berücksichtigen: Mobile Apps und andere Produktivanwendungen sollten so nutzerfreundlich wie möglich sein – ohne aber die Unternehmenssicherheit zu kompromittieren oder Compliance-Vorgaben aufzuweichen.

Klassische Consumer-Apps kommen da schnell an ihre Grenzen und eignen sich daher nicht für die Ausstattung eines digitalen Arbeitsplatzes. Oft werden sie daher gar nicht in die IT-Sicherheitsarchitektur eingebunden und landen auf einer Blacklist. Für die Mitarbeiterzufriedenheit sind aber hochfunktionale Produktivitäts-Apps unerlässlich.

EMM-Suites können hier für einen Ausgleich zwischen den Erwartungshaltungen der Nutzer einerseits und den Security Guidelines der Unternehmen andererseits sorgen. Maßnahmen hierzu erstrecken sich mittlerweile auch auf Desktop- und weitere Endgeräte. In diesem Fall wird dann oft von Unified-Endpoint-Management gesprochen (UEM).

Mobile Sicherheit durch EMM-Suites

Mobile Sicherheit wird durch drei Faktoren bedroht: durch die Mobilgeräte selbst (zum Beispiel bei Diebstahl des Firmenhandys), durch die Nutzer*innen (sofern sie unsichere Apps installieren oder ihr Telefon rooten/jailbreaken) sowie durch unsichere Netzwerk- und Datenverbindungen.

Entsprechend dieser drei möglichen Einfallstore umfasst Enterprise-Mobility-Management (EMM) drei Teilbereiche:

Mobile-Device-Management,
Mobile-Application-Management,
Mobile-Information-Management/Mobile-Content-Management.

1. Mobile-Device-Management (Mobilgeräteverwaltung)

Mobile-Device-Management (MDM) bedeutet die zentrale Verwaltung mobiler Geräte im Unternehmen. Zur Verwaltung im Sinne eines MDM gehören Enrollment, Konfiguration und Administration von Firmenhandys oder mitgebrachten BYOD-Geräten.

Die Mobilgeräteverwaltung per MDM kann durch automatisierte Schritte für deutliche Entlastung in der IT sorgen.

Apple bietet für seine iPhones zum Beispiel ein automatisiertes Enrollment (früher DEP = „Device Enrollment Program“, heute „Automatisierte Geräteregistrierung“). Samsung hingegen erlaubt IT-Admins eine Massenregistrierung seiner Mobilgeräte per Knox-Lösung (Knox Mobile Enrollment).

Das erleichtert die Verwaltung ganzer Smartphone-Flotten natürlich enorm und minimiert den Einsatz der IT-Teams – die vom redundanten Einbinden der Mobilgeräte im Akkord noch nie besonders begeistert waren.

Die Geräteregistrierung kann schnell zur Sisyphosarbeit werden.

Das Mobile-Device-Management legt außerdem großes Augenmerk auf die Mobile Sicherheit und unterstützt diese zum Beispiel mit Authentifizierungsverfahren, Zertifikaten und Verschlüsselungen.

2. Mobile-Application-Management

Im Gegensatz zum MDM stehen beim Mobile-Application-Management (MAM) die mobilen Anwendungen (Apps) im Vordergrund. Das MAM legt fest, welche Anwendungen überhaupt installiert werden dürfen („Whitelisting“) beziehungsweise welche definitiv unzulässig sind („Blacklisting“).

Genehmigte Anwendungen können dann in einem sogenannten Enterprise-App-Store bereitgestellt und von den Anwender*innen bedenkenlos installiert werden. Per App-Richtlinien kann zudem festgelegt werden, ob zum Beispiel Daten aus dem privaten Gerätebereich auch in den Workspace kopiert werden können oder nicht, Stichwort: DSGVO und Firmenhandys .

Klicken Sie auf den unteren Button, um den Inhalt von www.linkedin.com zu laden.

Inhalt laden

Ein weiterer Vorteil: Kritische Softwareupdates („Patches“) können von der IT per Push über eine Funkschnittstelle vorgenommen werden (SOTA = Software over the Air).

So lassen sich Apps und mobile Betriebssysteme stets auf dem aktuellen Stand halten. Das ist wichtig, denn Updates und Fixes sind sowohl unter iOS als auch unter Android notwendig, um Sicherheitslücken zu schließen.

Lies hierzu auch:

3. Mobile-Information-Management

Da das Kürzel „MDM“ im Mobile-Kontext bereits vergeben ist, entfällt die eigentlich sinnvollste Bezeichnung „Mobile-Data-Management“.

Sinnvollste Bezeichnung? Ja, denn: Es geht vornehmlich um Kontrolle und Verwaltung von Datenströmen – dies ist Aufgabe des Mobile-Information-Management (MIM). Weil sich die Speicherung, Synchronisierung und Verteilung auf Daten und Dokumente bezieht, spricht man auch von Mobile-Content-Management (MCM). Im besten Fall lassen sich die MIM-Funktionen in das Dokumentenmanagementsystem des Unternehmens integrieren.

Ein wichtiger Bestandteil des MIM ist die Bereitstellung eines sogenannten Sicherheits-Containers, welcher die privaten Daten auf dem Gerät von den geschäftlichen trennt (Stichwort: „Containerisierung“) und sich bei Verlust des Geräts aus der Ferne löschen lässt („Remote Wipe“).

Das MIM legt zudem fest, welche Unternehmensdaten nur vor Ort gespeichert werden. Zum Zweck der mobilen Verfügbarkeit werden ausgewählte Datenbestände aber auch in der Cloud bereitgestellt.

Enterprise-Mobility-Management (EMM): ohne geht’s nicht mehr

Unternehmen, die ihre Smartphoneflotte oder größere Stückzahlen anderer Mobilgeräte sicher und mit transparentem Aufwand einbinden wollen, können nicht nichts tun. Dazu sind die Bedrohungen durch Cyberkriminelle und Wirtschaftsspione zu ernst.

Zudem besteht das Risiko empfindlicher Strafen, wenn im Rahmen der DSGVO gegen Datenschutzbestimmungen verstoßen wird.

Für die Realisierung bedarf es zunächst einer dezidierten Strategie für Mobile Security, der Sensibilisierung der Beschäftigten sowie einer geeigneten technischen Lösung. Diese kann von einer einfachen Container-App bis zu einer umfänglichen EMM-Suite reichen und sollte unter Beteiligung relevanter Stakeholder im Unternehmen ausgewählt und eingeführt werden. Insbesondere die IT-Abteilung darf dabei nicht übergangen werden. Aus diesen und vielen anderen Gründen empfehlen wir von Everphone tendenziell eher, das Vergabemodell BYOD zu überdenken und im Rahmen von „Choose Your Own Device“ Firmenhandys zu mieten.