Laut einer Umfrage des Marktforschungsunternehmen IDC im Auftrag von Unisys in Europa bringen etwa 40 Prozent der Arbeitnehmer heute private Endgeräte mit an den Schreibtisch. Diese unter dem Stichwort „Bring Your Own Device“ diskutierte Entwicklung stellt IT-Verantwortliche vor völlig neue Herausforderungen. Ob von der IT gewünscht oder nicht: Mitarbeiter nutzen ihre privaten Geräte für die Arbeit. Nur Unternehmen, die diese Geräte unterschiedlicher Plattformen zentral und sicher managen, sind gewappnet für die entstehenden Herausforderungen.
Zu Recht steht das Thema Sicherheit im Mittelpunkt, wenn es um die Integration von mobilen Geräten geht. Gefragt ist der sichere Zugriff auf E-Mails, Kontakte und Aufgaben sowie auf Dateien, und die Geräte sollen unter Wahrung höchster Sicherheitskriterien zentral verwaltet werden. Remote-Desktop-Lösungen helfen hier nur begrenzt weiter. Sie sind zwar recht sicher, bieten aber bei schwankender Netzabdeckung keine Möglichkeit, auf dem Gerät wirklich Dateien zu bearbeiten.
Lizenzrechtlich sind sie zudem ein Desaster: Für jeden mobilen Mitarbeiter wird eine komplette Desktop-Lizenz fällig, selbst wenn er nur mobilen Zugriff benötigt. Die häufig eingesetzten Container-Lösungen erfreuen sich dagegen auf Nutzerseite keiner großen Beliebtheit. Zu beengend sind die Möglichkeiten, mobil zu arbeiten, so dass sie oft an den Bedürfnissen mobiler Mitarbeiter vorbeigehen. Die Folge: Mitarbeiter suchen sich einen Workaround, schicken Dateien an ihre privaten Mail-Acounts, ziehen sie sich auf USB-Sticks oder nutzen privaten Onlinespeicher, um sie anschließend bearbeiten zu können. All das ist fatal für die Sicherheit der Unternehmensdaten.
Das MDM-Potenzial von Exchange ActiveSync
Ideal wäre also eine offene Lösung, die die Bedürfnisse der Mitarbeiter erfüllt und die seitens der IT sicher gemanagt werden kann. Schnell wird da der Ruf nach einer Lösung für das Mobile Device Management (MDM) laut. Wer sich hier auf die Suche nach einer Lösung begibt, hat es nicht leicht. Der Markt ist mit circa 70 Anbietern (darunter vielen kleinen) sehr unübersichtlich. Zudem ist es schwer, sich einen Überblick darüber zu verschaffen, welche Lösung welche Features auf welchen Plattformen unterstützt. Zu der aufwändigen Prüfung kommt hinzu, dass beim Einsatz von MDM-Lösungen eine hohe Investition erforderlich wird und die Entscheidung für einen Anbieter in diesem unreifen Markt eine nicht unerhebliche Investitionsunsicherheit birgt.
Als erstes sollten Unternehmen daher prüfen, ob es auch ohne MDM-System und große Investition geht. Was in vielen IT-Abteilungen weitgehend unbekannt ist: Sehr viele MDM-Funktionen, wie zum Beispiel Remote Wipe, Erzwingen der Geräteverschlüsselung und komplexe Passwort-Richtlinien sind bereits mit Microsoft Exchange abgedeckt. Und: Fast alle namhaften Tablet- und Smartphone-Hersteller haben Exchange ActiceSync (EAS) zertifiziert. Insofern lohnt es, einen detaillierten Blick auf das MDM-Potenzial von EAS zu werfen.
Der Gerätefilter
Mit dem Gerätefilter des Exchange-Servers kann die IT-Abteilung die Anzahl der Geräte-IDs, die für einen Nutzer zugelassen sind (User ID), kontrollieren. Im Gegenzug kann Nutzern der Zugriff auf den Exchange-Server für ungewünschte Geräte und Dienste verweigert werden. Und: Mit „Set-CASMailbox“ lassen sich die „ActiveSyncBlockedDeviceIDs“ für den Exchange Zugriff regeln. Außerdem gibt es die Möglichkeit, zum Beispiel iPhones in der Firewall generell herauszufiltern beziehunsgweise den Zugriff von iPhones zu verhindern.
Zur Authentifizierung von Geräten können zusätzlich Zertifikate genutzt werden. Das heißt, der Anwender authentifiziert sich nicht nur mit seinem Benutzernamen und seinem Passwort, sondern zusätzlich über ein Client-Zertifikat am ActiveSync-Server. Hierüber lässt sich auch sicherstellen, dass jeder Nutzer nur eine gewisse Anzahl von Geräten verwendet. Das Zertifikat für die Client-Authentifizierung wird im Mobiltelefon gespeichert. Wenn ein nichtautorisierter Benutzer versucht, das Mobiltelefon-Kennwort zu umgehen, werden alle Benutzerdaten inklusive Zertifikat gelöscht.
Inventarisierung
Auch in Sachen Inventarisierung bietet EAS eine Reihe von Möglichkeiten, sich einen Überblick darüber zu verschaffen, welche Geräte mit welchem Nutzer verbunden sind. Mit „Get-ActiveSyncDeviceStatistics“ kann man einen Report generieren, der einem die Liste von mobilen Endgeräten anzeigt, die so konfiguriert sind, dass sie sich mit einer spezifischen Nutzer-Mailbox snychronisieren.
Fernlöschen
Wenn ein Mobiltelefon verloren geht oder gestohlen wird, kann auf dem Exchange-Server oder aus einem beliebigen Webbrowser mithilfe von Outlook Web App ein Befehl ausgegeben werden, durch den alle Daten vom Mobiltelefon gelöscht werden. Wichtig ist, dass Nutzer unbedingt regelmäßige Backups von ihren privaten Geräten ziehen. IT-Abteilungen sollten ihnen hier mit Anleitungen unter die Arme greifen. Das Recht, Daten fernzulöschen, sollte auch in einer zu unterschreibenden BYOD-Vereinbarung festgehalten werden finden.
EAS-Funktionen zur Gerätesicherheit
Mit EAS ist es möglich, die Kommunikation zwischen dem Exchange-Server und dem Mobiltelefon mit SSL (Secure Sockets Layer) zu verschlüsseln. Bei den sicherheitsrelevanten Gerätekennwörtern lassen sich die minimale Kennwortlänge (von bis zu 18 Zeichen), die minimale Anzahl von Zeichensätzen und die Verwendung eines alphanumerischen Kennworts (Verwenden von Klein-/Großbuchstaben, Symbolen und Zahlen) bestimmen. Die Option Leerlaufzeit regelt, nach welchem Intervall, in dem das Mobiltelefon inaktiv ist, der Benutzer zur Eingabe eines Kennworts aufgefordert wird, um die einsetzende Sperre für das Mobiltelefon aufzuheben.
Zudem kann ein Kennwortverlauf erzwungen werden, der Benutzer daran gehindert weerden, alte Kennwörter zu verwenden, und es ist eine Kennwortwiederherstellung aktivierbar, mit der Benutzer ihr Wiederherstellungskennwort nachschlagen und die Sperre für ihr Mobiltelefon aufheben können. Außerdem ist es möglich, den Speicher des Smartphones nach mehreren fehlgeschlagenen Kennworteingaben zu löschen.
EAS bietet ferner Möglichkeiten Bluetooth, WiFi, Browser, Kamera, Konsumenten-E-Mail, POPIMAP E-Mail, Remotedesktop, nicht signierten Anwendungen sowie eine Liste genehmigter Anwendungen zuzulassen oder zu sperren. Darüber, welche Möglichkeiten auf den einzelnen Plattformen unterstützt werden, darüber gibt eine Liste auf Wikipedia Auskunft.
Nicht zu vergessen: Dateizugriff
Ein wichtiger Aspekt, zu dem EAS und Stand heute auch fast alle MDM-Systeme keine passende Antwort haben, ist der gesicherte Zugriff von mobilen Geräten auf Dateien im Unternehmen. Gerade das ist aber insbesondere auch auf Tablet-PC gewünscht und wichtig. Ein offenes und sicheres Konzept bietet die Lösung Cortado Corporate Server. Die Anwender können mit ihr passwortgesichert auf Dateien im Unternehmen zugreifen. Dateien und Verbindung sind verschlüsselt. Der Zugriff erfolgt auf Basis der Rechte im Microsoft Active Directory. Das Unternehmen behält die Kontrolle und kann in einer zentralen Konsole managen, ob für den Nutzer oder eine Gruppe Rechte für den mobilen Gebrauch eingeschränkt werden sollen.
Fazit
Erstaunlicherweise kaum am Markt bekannt, bietet EAS – völlig ohne zusätzliche Investition – für die verschiedenen mobilen Plattformen recht umfassende MDM-Funktionen. IT-Verantwortliche sind daher gut beraten, zunächst diese quasi kostenlos erhältlichen Möglichkeiten zu prüfen und gegebenenfalls im Rahmen eines kleinen Pilotprojektes Erfahrungen zu sammeln. Im positiven Fall erspart man sich viel Geld und Arbeit, im negativen Fall entsteht als Ergebnis zumindest eine genaue Anforderungsliste für ein zusätzliches MDM-System.
... ist Manager Innovative Solutions bei der Cortado AG. Das Berliner Unternehmen bietet Cloud-Druck-Lösungen und Cloud-Desktop-Lösungen für Firmen an.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…