Enterprise Mobility Management: mobile Endgeräte sicher einsetzen

Unter Enterprise Mobility Management (EMM) versteht man zweierlei. Erstens: einen ganzheitlichen Ansatz zur sicheren Verwendung mobiler Endgeräte wie Smartphones, Tablets und Laptops im Unternehmen. Zweitens werden auch die hierzu dienenden Software-Lösungen (EMM-Suiten) manchmal so genannt.

Wozu das Ganze? „EMM“ und „BYOD“

Leider herrscht im gesamten Themenfeld Enterprise Mobility ein ziemliches Durcheinander von Abkürzungen: Da wird von MDM, MCM, MIM, MAM, UEM und EMM gesprochen, von BYOD, COPE und CYOD. Das erschwert einen klaren Blick auf die Dinge. Im Folgenden bringen wir etwas Licht ins Dunkel.

Enterprise Mobility Management wurde vor dem Hintergrund mobilen Arbeitens und des zunehmend beliebten „Bring Your Own Device 500“-Ansatzes relevant (IT-Consumerization). Unternehmen, die Ihren Angestellten den Einsatz privater mobiler Endgeräte im Unternehmenskontext gestatten wollen, sehen sich dabei vor die Herausforderung gestellt, unterschiedliche Geräteplattformen, mobile Betriebssysteme etc. sauber und vor allem sicher in die Firmenumgebung einzubinden.

Aber auch Unternehmen, die ein COPE- oder CYOD 500-Deployment von Mobilgeräten bevorzugen, müssen die Geräte möglichst effizient und sicher konfigurieren und administrieren.

Dies bezieht sich im Wesentlichen auf drei Bereiche.

1. Datensicherheit

Eine der wichtigsten Fragen in dem Zusammenhang ist die nach der Sicherheit der Unternehmensdaten. Mit einer EMM-Suite lassen sich Sicherheitsvorgaben leichter umsetzen (IT-Compliance) und Sicherheitslücken von vornherein schließen.

Beispielhaft seien hier Password Policies genannt: Die IT-Administration kann mithilfe der EMM-Lösung festlegen, welchen Kriterien Passwörter für bestimmte Apps oder Zugänge entsprechen müssen.

Datensicherheit-in-Unternehmen_Mobile-Security Datensicherheit ist eines der Kernanliegen von EMM-Suiten. Sie verhindern

2. Datenschutz

Spätestens seit Mai 2018 (Inkrafttreten der EU-DSGVO) stellen BYOD-Ansätze auch ein Datenschutzproblem dar. Es genügt beispielsweise bereits, wenn Angestellte einen Geschäftskontakt auf einem Smartphone speichern, auf welchem Whatsapp installiert ist, um einen Datenschutzverstoß zu begründen. In Zeichen verstärkter Datenschutzkontrollen 500und DSGVO-Strafen 500ein echtes Risiko für Unternehmen.

Lesen Sie mehr hierzu unter Whatsapp und DSGVO – wo ist das Problem? 500 und Whatsapp auf dem Firmenhandy 500. Detaillierte Infos enthält auch unser Download „DSGVO und BYOD”. 500

3. Produktivität und Mobiles Arbeiten

Neben Datensicherheit und Datenschutz wollen Unternehmen natürlich auch die Produktivität erhöhen. Nicht nur muss das Ausrollen („Deployment“) und die Verwaltung der mobilen Endgeräte ressourcenschonend erfolgen – schließlich hat die IT in nahezu jedem Unternehmen Kapazitätsengpässe.

Auch die Bedürfnisse der Mitarbeiter gilt es zu berücksichtigen: Mobile Apps und andere Produktivanwendungen sollten so nutzerfreundlich wie möglich sein – ohne aber die Unternehmenssicherheit zu kompromittieren oder Compliance-Vorgaben aufzuweichen.

Klassische Consumer-Apps kommen da schnell an ihre Grenzen und eignen sich daher nicht für die Ausstattung eines digitalen Arbeitsplatzes. Oft werden sie daher gar nicht in die IT-Sicherheitsarchitektur eingebunden und landen auf einer Blacklist. Für die Mitarbeiterzufriedenheit sind aber hochfunktionale Produktivitäts-Apps unerlässlich.

EMM-Suites können hier für einen Ausgleich zwischen den Erwartungshaltungen der Nutzer einerseits und den Security Guidelines der Unternehmen andererseits sorgen. Maßnahmen hierzu erstrecken sich mittlerweile auch auf Desktop- und weitere Endgeräte. In diesem Fall wird dann oft von Unified Endpoint Management gesprochen (UEM).

Mobile Sicherheit durch EMM-Suites

Mobile Sicherheit wird durch drei Faktoren bedroht: durch die Mobilgeräte selbst (zum Beispiel bei Diebstahl des Firmenhandys 500), durch die Nutzer (sofern sie unsichere Apps installieren oder ihr Telefon rooten/jailbreaken) sowie durch unsichere Netzwerk- und Datenverbindungen.

Entsprechend dieser drei möglichen Einfallstore umfasst Enterprise Mobility Management drei Teilbereiche:

Mobile Device Management,
Mobile Application Management,
Mobile Information Management/Mobile Content Management.

1. Mobile Device Management (Mobilgeräteverwaltung)

Mobile Device Management (MDM) bedeutet die zentrale Verwaltung mobiler Geräte im Unternehmen. Zur Verwaltung im Sinne eines MDM gehören Enrollment, Konfiguration und Administration von Firmenhandys oder mitgebrachten BYOD-Geräten.

Die Mobilgeräteverwaltung per MDM kann durch automatisierte Schritte für deutliche Entlastung in der IT sorgen.

Apple bietet für seine iPhones zum Beispiel ein automatisiertes Enrollment (früher DEP = Device Enrollment Program, heute „Automatisierte Geräteregistrierung“). Samsung hingegen erlaubt IT-Admins eine Massenregistrierung seiner Mobilgeräte per Knox-Lösung 500 (Knox Mobile Enrollment).

Das erleichtert die Verwaltung ganzer Smartphone-Flotten natürlich enorm und minimiert den Einsatz der IT-Teams – die vom redundanten Einbinden der Mobilgeräte im Akkord noch nie besonders begeistert waren.

Die Geräteregistrierung kann schnell zur Sisyphosarbeit werden

Das Mobile Device Management legt außerdem großes Augenmerk auf die Mobile Sicherheit und unterstützt diese zum Beispiel mit Authentifizierungsverfahren, Zertifikaten und Verschlüsselungen.

2. Mobile Application Management

Im Gegensatz zum MDM stehen beim Mobile Application Management (MAM) 500 die mobilen Anwendungen (Apps) im Vordergrund. Das MAM legt fest, welche Anwendungen überhaupt installiert werden dürfen („Whitelisting“) beziehungsweise welche definitiv unzulässig sind („Blacklisting“).

Genehmigte Anwendungen können dann in einem sogenannten Enterprise App Store bereitgestellt und von den Anwendern bedenkenlos installiert werden. Per App-Richtlinien kann zudem festgelegt werden, ob zum Beispiel Daten aus dem privaten Gerätebereich auch in den Workspace kopiert werden können oder nicht, Stichwort: DSGVO und Firmenhandys 500.

Klicken Sie auf den unteren Button, um den Inhalt von www.linkedin.com zu laden.

Inhalt laden

Ein weiterer Vorteil: Kritische Softwareupdates („Patches“) können von der IT per Push über eine Funkschnittstelle vorgenommen werden (SOTA = Software over the Air).

So lassen sich Apps und mobile Betriebssysteme stets auf dem aktuellen Stand halten. Das ist wichtig, denn Updates und Fixes sind sowohl unter iOS als auch unter Android notwendig, um Sicherheitslücken zu schließen.

Lesen Sie hierzu auch:

3. Mobile Information Management

Da das Kürzel „MDM“ im Mobile-Kontext bereits vergeben ist, entfällt die eigentlich sinnvollste Bezeichnung „Mobile Data Management“.

Sinnvollste Bezeichnung? Ja, denn: Es geht vornehmlich um Kontrolle und Verwaltung von Datenströmen – dies ist Aufgabe des Mobile Information Management (MIM). Weil sich die Speicherung, Synchronisierung und Verteilung auf Daten und Dokumente bezieht, spricht man auch von Mobile Content Management (MCM). Im besten Fall lassen sich die MIM-Funktionen in das Dokumentenmanagementsystem des Unternehmens integrieren.

Ein wichtiger Bestandteil des MIM ist die Bereitstellung eines sogenannten Sicherheits-Containers, welcher die privaten Daten auf dem Gerät von den geschäftlichen trennt (Stichwort: „Containerisierung“) und sich bei Verlust des Geräts aus der Ferne löschen lässt („Remote Wipe“).

Das MIM legt zudem fest, welche Unternehmensdaten nur vor Ort gespeichert werden. Zum Zweck der mobilen Verfügbarkeit werden ausgewählte Datenbestände aber auch in der Cloud bereitgestellt.

Enterprise Mobility Management: ohne geht’s nicht mehr

Unternehmen, die Ihre Smartphoneflotte oder größere Stückzahlen anderer Mobilgeräte sicher und mit transparentem Aufwand einbinden wollen, können nicht nichts tun. Dazu sind die Bedrohungen durch Cyberkriminelle und Wirtschaftsspione zu ernst.

Zudem besteht das Risiko empfindlicher Strafen, wenn im Rahmen der EU-DSGVO gegen Datenschutzbestimmungen verstoßen wird.

Für die Realisierung bedarf es zunächst einer dezidierten Strategie für Mobile Security, der Sensibilisierung der Beschäftigten sowie einer geeigneten technischen Lösung. Diese kann von einer einfachen Container-App bis zu einer umfänglichen EMM-Suite reichen und sollte unter Beteiligung relevanter Stakeholder im Unternehmen ausgewählt und eingeführt werden. Insbesondere die IT-Abteilung darf dabei nicht übergangen werden. Aus diesen und vielen anderen Gründen empfehlen wir von Everphone tendenziell eher, das Vergabemodell BYOD zu überdenken und im Rahmen von „Choose Your Own Device“ Firmenhandys zu mieten. 500