Mit Mobile Device Management das Sicherheitsrisiko mindern 10 Tipps für den Umgang mit mobilen Endgeräten in Unternehmen

Redakteur: Florian Karlstetter

Smartphones und Tablets gehören heute ebenso zum Arbeitsalltag wie der klassische PC. Allerdings bergen mobile Arbeitsgeräte auch ein Sicherheitsrisiko, wenn diese nicht entsprechend administriert werden. Was Firmen beim Umgang mit mobilen Endgeräten beachten sollten, haben die Spezialisten von Aagon Consulting in zehn Tipps zusammengefasst.

Firmen zum Thema

Mobile Device Management: Mit der richtigen Strategie lassen sich auch mobile Endgeräte wie Smartphones und Tablets im Unternehmen sicher einsetzen.
Mobile Device Management: Mit der richtigen Strategie lassen sich auch mobile Endgeräte wie Smartphones und Tablets im Unternehmen sicher einsetzen.
(© patrimonio designs - Fotolia.com)

Auf Smartphones und iPads befinden sich immer mehr, teils auch sensible Unternehmensdaten, deren Verlust von ärgerlich bis teuer werden kann. Hinzu kommen Apps, die das Unternehmensnetzwerk unter Umständen empfindlich stören können. Abhilfe schafft Mobile Device Management (MDM). Aagon Consulting nennt zehn Tipps für den richtigen Umgang:

Zunächst sollte die Frage gestellt werden, wer überhaupt ein Mobile Device Management benötigt. Eine Faustregel besagt, dass sich der Einsatz eines klassischen Clientmanagement-Systems zur Administration von Arbeitsplatz-PCs irgendwo zwischen 20 bis 50 Rechnern anfängt zu lohnen. Diese Formel gilt bei Smartphones und Tablets nicht mehr, sobald auf den Geräten vertrauliche Unternehmensdaten gespeichert sind. Denn im Gegensatz zum PC auf dem Schreibtisch sind die mobilen Geräte mit ihrem Benutzer regelmäßig unterwegs – und gehen dabei verloren, werden gestohlen oder von Dritten "ausgeliehen".

Bildergalerie

Wer im Fall eines Verlusts das betroffene Smartphone oder Tablet aus der Ferne nicht sperren oder besser löschen kann, gibt leichtfertig sensible Daten in fremde Hände – und seien es auch "nur" firmeninterne E-Mails. Für mobile Geräte gilt daher, dass selbst bei nur einigen wenigen Mobilgeräten zumindest ein rudimentäres MDM vorhanden sein sollte, um im Fall des Falles entsprechend reagieren zu können.

Mythos BYOD

Bring your own device (BYOD) ist derzeit in aller Munde und wird von Softwareherstellern oft als Grund angeführt, warum Unternehmen unbedingt ein Mobile-Device-Management-System kaufen sollten. Doch ist BYOD nach Ansicht von Aagon bei näherer Betrachtung für Unternehmen nicht unbedingt die bessere Alternative. Denn die vordergründige Ersparnis bei der Beschaffung der Endgeräte (sofern diese wirklich vom Anwender selbst gekauft werden, was zumindest hierzulande eher die Ausnahme ist) wird schnell von einem viel aufwändigeren Management und vor allem von rechtlichen und administrativen Herausforderungen zunichte gemacht. Besser ist es, wenn das Unternehmen selbst die gewünschten Endgeräte beschafft und diese seinen Mitarbeitern zur Verfügung stellt – und zwar mit ganz genauen Richtlinien auch für die private Nutzung.

Gerätebereitstellung seitens des Unternehmens

Wer mobile Endgeräte administriert, wird in den allermeisten Fällen bestimmte Nutzungsbereiche einschränken. Beispielsweise könnten Unternehmen die Funktion der Kamera in sicherheitssensiblen Bereichen deaktivieren, die Installation unerwünschter Anwendungen verbieten, einen Sperrbildschirm mit Passworteingabe auf dem Smartphone verlangen oder bei Verdacht auf Diebstahl Daten auf dem Gerät löschen.

Wer dies als Unternehmen auf dem, von einem Mitarbeiter privat beschafften und bezahltem Endgerät tun möchte, wird hier sehr schnell auf Unverständnis stoßen. Kauft hingegen die Firma ihren Angestellten das neueste iPhone und erlaubt ihnen auch die private Nutzung innerhalb bestimmter Spielregeln, ruft dies wahrscheinlich vornehmlich positive Reaktion hervor und motiviert die Mitarbeiter.

Homogenität statt Gerätewildwuchs

Wenn Unternehmen selber über die Auswahl der mobilen Endgeräte entscheiden, haben sie unter anderem die Kontrolle darüber, welche Devices mit welchen Betriebssystemen zum Einsatz kommen. Auf diese Weise lässt sich eine relativ homogene mobile Infrastruktur herstellen - mit entsprechend vereinfachter Administration.

Wer beispielsweise nur iPhones der vierten Generation mit iOS 6 verwalten muss, tut sich deutlich leichter als ein Unternehmen, das verschiedenste Geräte von HTC, Samsung, Apple und Blackberry mit unterschiedlichen Speicherkapazitäten, Bildschirmauflösungen, Prozessoren und mit allein 24 verschiedenen Android-Versionen seit Android 2.0, mehreren Versionen von iOS sowie diversen Varianten des Blackberry-OS unterstützen muss.

Kontrollierter Zugang zum Firmennetz

Nahezu jedes Unternehmen mit Internetzugang betreibt zumindest eine Firewall, um sich vor unerwünschten Besuchern zu schützen. Doch um mobilen Mitarbeitern zentrale IT-Ressourcen zur Verfügung zu stellen, müssen diese auch von unterwegs aus erreichbar sein. Am sichersten ist hierbei immer noch der Zugang über ein VPN, was jedoch auch mit einem hohen Administrationsaufwand verbunden ist. Alternativ kann auch ein Mobile-Device-Management-System die Aufgabe der Zugangskontrolle übernehmen und nur ihm bekannten Geräten den Zugriff auf zentrale Anwendungen und Daten gestatten. Das MDM-System fungiert dabei als den Anwendungen vorgeschalteter Proxy-Server.

Usability als Schlüsselfunktion

Alle Hersteller von Lösungen für das Mobile Device Management kochen nur mit Wasser. Damit meinen die Experten von Aagon Consulting, dass sich die Lösungen bezüglich ihrer Möglichkeiten zur Administration der verschiedenen Mobilgeräte, nicht groß voneinander unterscheiden – sofern die Hersteller alle von den mobilen Betriebssystemen bereitgestellten Schnittstellen entsprechend implementiert haben. Denn was aus der Ferne etwa auf einem iPhone an Einstellungen und Aktionen möglich ist, entscheidet letztlich nicht der Entwickler einer MDM-Software, sondern in diesem Fall Apple.

Android-Geräte beschränken sich analog auf die von Google bereitgestellten Managementfunktionen mit der Ausnahme von Samsung, das erst kürzlich zusätzliche Administrationsmöglichkeiten für MDM-Systeme auf seinen Android-Smartphones implementiert hat.

Umso wichtiger ist es, dass ein Mobile-Device-Management-System eine einfach zu benutzende Oberfläche bereitstellt, die auch unerfahreneren Administratoren eine schnelle Nutzung des Systems ermöglicht. Ist die Benutzerschnittstelle zu komplex, wird das MDM nicht oder nicht richtig genutzt – mit den entsprechend negativen Auswirkungen auf die Sicherheit des Unternehmens.

Jailbreak und Root müssen draußen bleiben

Bei der Auswahl eines MDM-Systems ist es wichtig, dass dieses sowohl Jailbreaks auf iOS-Geräten als auch "gerootete" Android-Devices erkennt – und per Einstellung am besten gleich abweist. Denn Geräte, bei denen sich der Benutzer an den Sicherheitsmaßnahmen der Hersteller vorbei den Vollzugriff auf Betriebssystem und Hardware verschafft hat, können auf keinen Fall mehr als sicher betrachtet werden.

Für den Einsatz in Unternehmen gibt es zudem – dank entsprechender Enterprise App Stores – keinen Grund mehr, ein Mobiltelefon mit Jailbreak einzusetzen, um eigene Anwendungen auf dem Gerät betreiben zu können. Anders formuliert: Wer trotzdem Telefone mit Jailbreak oder Root-Zugriff in seinem Netz erlaubt, kann seinen Anwendern auch gleich das Administratorpasswort für den Firmenserver übergeben.

Restriktionen nicht übertreiben

Auch wenn moderne MDM-Systeme unzählige Möglichkeiten bieten, Funktionen auf den damit verwalteten mobilen Endgeräten einzuschränken, sollten Unternehmen dies mit Augenmaß einsetzen. Denn ein "komplett sicheres" iPhone, auf dem nicht einmal ein privates Spiel installiert werden darf, wird Mitarbeiter sicher nicht unbedingt motivieren.

Bei den Einschränkungen sollte daher gelten: So viel wie nötig und so wenig wie möglich. Ein Beispiel für eine in den meisten Fällen zu strenge Regel wäre etwa, alle Inhalte auf einem Smartphone nach dreimalig falscher Eingabe der PIN komplett zu löschen. Auch die Vorgabe von zehnstelligen Passwörtern mit Sonderzeichen sowie Groß- und Kleinschreibung wird spätestens dann wütende Anrufe beim Support auslösen, wenn der erste Mitarbeiter versucht, sein Gerät einhändig im Auto zu bedienen.

Mobile Device Management frühzeitig einsetzen

Wer zu spät mit der Einführung eines Mobile-Device-Management-Systems beginnt, der riskiert, dass sich die Mitarbeiter bereits an ihre grenzenlose Freiheit bei der Nutzung von Smartphones und Tablets mit firmeneigenen Daten gewöhnt haben. Jede, wenn auch so sinnvolle, Beschränkung der Nutzer wird dann schnell als Schikane wahrgenommen. Besser ist es, so früh wie möglich die Spielregeln für den Einsatz mobiler Endgeräte im Unternehmen festzulegen und den Mitarbeitern klar zu kommunizieren.

Als zehnten und letzten Tipp nennen die Experten von Aagon Consulting die frühzeitige Einbindung von Mitarbeitern und Betriebsrat in geplante MDM-Projekte. Denn da auf Smartphones und Tablets neben Firmendaten auch persönliche Informationen gespeichert sein können, ist es ratsam, etwaige Bedenken gleich von Anfang an auszuräumen. Und auch hier empfiehlt es sich, durch klare Richtlinien – in diesem Fall für die Administratoren – eine missbräuchliche Nutzung des MDM zu unterbinden.

Artikelfiles und Artikellinks

(ID:36097270)