aus dem Netzwerk Insider September 2021
Handys, Smartphones und Tablets sind aus der heutigen Arbeitswelt nicht mehr wegzudenken. Diese und ähnliche Geräte bieten eine Fülle an Funktionen, sie sind mobil einsatzbar und im Prinzip immer „online“, also mit dem Internet verbunden. Wir haben uns schon so an die ständige Verfügbarkeit von Informationen und Kommunikationsmitteln gewöhnt, dass ein Tag ohne Smartphone für viele gar nicht mehr vorstellbar erscheint. Zudem bieten Smartphones und Tablets eine technische Ausstattung vergleichbar zu Laptops. Zumindest Prozessor und Speicher haben ähnliche Leistungswerte. Da ist es nicht weiter verwunderlich, dass man zumindest theoretisch ausschließlich mit einem Smartphone arbeiten kann.
Hierzu bieten die Hersteller spezielle Peripherie an, insbesondere einen Adapter zum Anschluss von Monitor, Tastatur und Maus. Dadurch werden jedoch zunehmend kritische Daten auf mobilen Geräten gespeichert und verarbeitet. Bei Laptops entspricht es dem Standardvorgehen, die Geräte sowie die Daten abzusichern, beispielsweise per Virenscanner, zertifikatsbasierter Authentisierung am internen Unternehmensnetz, zentraler Software-Verteilung etc. Folglich ist auch eine Absicherung mobiler Geräte sowie der auf den Geräten gespeicherten Daten und Informationen über entsprechende Sicherheitsmaßnahmen notwendig. Hierzu sind auf dem Markt verschiedene Produkte aus den Bereichen Mobile Device Management (MDM), Enterprise Mobility Management (EMM) und Unified Endpoint Management (UEM) verfügbar. Doch was bieten diese Lösungen und wie gut integrieren sie sich in die schon vorhandene Unternehmens-IT? Welche Sicherheitsmechanismen lassen sich mit den Lösungen auf die Geräte bringen? Und ist eine absolute Absicherung überhaupt möglich und wünschenswert? Auf diese Fragestellungen werden wir im folgenden Artikel eingehen.
Aus MDM wird UEM
Doch zunächst wollen wir uns die Entwicklung von MDM-Lösungen anschauen. In der Anfangszeit von Smartphones waren solche Lösungen auf die Verwaltung der Geräte sowie der Nutzer fokussiert. Die Lösungen konnten je nach Leistungsumfang Smartphones mit den folgenden Betriebssystemen verwalten: Google Android, Apple iOS, Windows Phone und BlackBerry OS (wobei die letzten beiden mittlerweile nicht mehr am Markt anzutreffen sind). Im Rahmen des Onboarding-Prozesses werden die Geräte im MDM erfasst und anhand der Vorgaben entsprechende Sicherheitsrichtlinien auf die Geräte verteilt. Die Anbieter der Lösungen waren sehr vielfältig: Von Herstellern von Anti-Viren-Software über Hersteller mobiler Betriebssysteme (wie es BlackBerry seinerzeit war) bis hin zu Anbietern aus dem Bereich der Virtualisierungslösungen, wie VMware und Citrix.
Doch je mehr kritische Daten und Dokumente auf den Geräten verarbeitet wurden, desto klarer wurde die Notwendigkeit weiterer Funktionen. So gehören zu einer umfassenden Lösung zum Management mobiler Geräte auch die Verwaltung der Applikationen (kurz Apps genannt) sowie die Verwaltung von auf den Geräten gespeicherten Informationen. Dies wird meist mit den Begriffen Mobile Applikation Management (MAM) sowie Mobile Information Management (MIM) bezeichnet. Die Verbindung aus MDM, MAM und MIM bezeichnet man als Enterprise Mobility Management (EMM). Solche Lösungen bieten neben der Verwaltung der Geräte auch Möglichkeiten zur Verwaltung und Absicherung der gespeicherten Informationen und Daten.
Mit zunehmendem Funktionsumfang stellt sich jedoch die Frage, warum mit Hilfe einer EMM-Lösung lediglich mobile Geräte wie Smartphones und Tablets verwaltet werden. Schließlich sind Laptops ebenso mobil einsetzbar und zudem durch WLAN und integrierte Mobilfunkmodule ständig mit dem Internet verbunden. Daher ist es nicht verwunderlich, dass die Hersteller von EMM-Lösungen auch Funktionen zum Management von PCs und Laptops integrieren und somit für sämtliche Standard-Clients für die Bereiche Büro, Produktion und Internet of Things (IoT) einsetzbar sind. Dies wird aktuell mit dem Begriff Unified Endpoint Management (UEM) bezeichnet.
Es haben also nicht nur die Endgeräte selbst eine Entwicklung und stetige Steigerung im Funktionsumfang erlebt, sondern auch die zur Verwaltung und Absicherung eingesetzten Produkte (siehe Abbildung 1).
Funktionen typischer UEM-Lösungen
Die Aufgabe heutiger UEM-Lösungen ist es, ein Gerät über den gesamten Lebenszyklus, von der Inbetriebnahme über die Nutzungsdauer bis hin zur Außerbetriebnahme, umfänglich zu verwalten und abzusichern. Hierbei wird zunächst keine Unterscheidung gemacht, ob das Gerät Eigentum des Unternehmens ist oder ob das Gerät Eigentum des Nutzers ist. Im zweiten Fall spricht man von „Bring Your Own Device“ (BYOD), das heißt, der Nutzer kann sein privates Gerät auch für dienstliche Belange einsetzen. Im ersten Fall wird noch die Unterscheidung getroffen, ob das Gerät ausschließlich für dienstliche Zwecke verwendet werden soll oder ob das Gerät auch privat genutzt werden darf. Man spricht hier von Corporate Owned Business Only (COBO) für die rein dienstliche Nutzung bzw. von Corporate Owned Personally Enabled (COPE) für die dienstliche und private Nutzung. In Abhängigkeit vom gewählten Bereitstellungsmodell greifen nun die UEM-Lösungen mehr oder weniger stark in die Geräte ein.
Es werden insbesondere die folgenden Aspekte durch eine UEM-Lösung unterstützt:
- BeschaffungVor der Konfiguration und der Nutzung eines Gerätes muss dieses zunächst ausgewählt und beschafft werden. Hierbei können UEM-Lösungen in automatisierte Bestell- und Genehmigungsprozesse integriert werden, sodass Nutzer aus einer Auswahl von Geräten ihr präferiertes Gerät auswählen können. Die endgültige Genehmigung kann dann entweder automatisiert oder manuell durch eine weitere Freigabe erfolgen.
- InbetriebnahmeIm Rahmen der Inbetriebnahme wird das Gerät einem Nutzer zugewiesen und anhand von vorher definierten Profilen konfiguriert. Hierbei werden auch die entsprechenden Sicherheitsrichtlinien in Abhängigkeit vom gewählten Betriebsmodell (BYOD, COBO oder COPE) auf das Gerät übertragen. Bei BYOD-Szenarien werden die Sicherheitsrichtlinien ausschließlich auf den Teil des Gerätes angewendet, der zur dienstlichen Nutzung vorgesehen ist. Dies kann beispielsweise ein Container auf den Geräten oder eine Reihe von dediziert abgesicherten Apps sein. Im COPE- sowie im COBO-Modell werden zudem allgemeine Richtlinien, beispielsweise eine Bildschirmsperre sowie Anforderungen an die Komplexität von Passwörtern, auf die Geräte verteilt. Im COBO-Modell werden zudem die installierbaren Apps durch das Unternehmen vorgegeben. COPE-Modell hingegen kann der Nutzer einen Bereich auf den Geräten nutzen, der nicht den Sicherheitsvorgaben des Unternehmens unterliegt. Hier können auch eigenständig Apps aus den offiziellen App-Stores installiert werden.
- BetriebszeitWährend der Betriebszeit können die Geräte sowie die installierten Applikationen kontinuierlich überwacht werden. Hierbei werden insbesondere die Versionen der Apps und des Betriebssystems auf den Geräten überwacht. Dies ist essentiell, da gerade die Betriebssysteme mindestens im monatlichen Rhythmus Updates erhalten, zumindest sofern der Hersteller des Gerätes bzw. des Betriebssystems diese Updates zur Verfügung stellt. Die Geräte sollten daher möglichst mit den jeweils aktuellen Betriebssystem-Versionen sowie den aktuellen Sicherheitsupdates ausgestattet sein. Eine UEM-Lösung kann dies überprüfen und, sofern notwendig, die Nutzer über neue Updates informieren oder direkt die Installation der Updates forcieren. Darüber hinaus können UEM-Lösungen überprüfen, ob die Geräte sowie die Betriebssysteme ungewünschte Veränderungen aufweisen und dann entsprechende Warnungen an die Administratoren ausgeben. Hierbei ist insbesondere das sogenannte „rooten“ oder „jailbreaken“ von Geräten zu nennen. Über diese Verfahren verschaffen sich Angreifer Zugang zu tief liegenden Funktionen der Betriebssysteme und könnten im schlimmsten Fall die Sicherheitsrichtlinien umgehen. Daher gehört die „Root-Detection“, also das Erkennen von solchen Manipulationen, zu den Standardfunktionen von UEM-Lösungen.
- AußerbetriebnahmeBei der Außerbetriebnahme von Geräten ist zunächst zu prüfen, ob die auf den Geräten vorhandenen Daten auf ein neues Gerät übertragen werden müssen oder ob die Daten vollständig gelöscht werden sollen. Dies gilt sowohl bei einer planmäßigen als auch bei einer unplanmäßigen Außerbetriebnahme, die beispielsweise durch Verlust des Gerätes notwendig wird. Die Übertragung von Daten auf neue Geräte ist immer dann eine Herausforderung, wenn das Alt-Gerät und das neue Gerät unterschiedliche Betriebssysteme aufweisen (also wenn ein Wechsel von Android auf iOS oder umgekehrt erfolgt). Doch selbst wenn beide Geräte Android nutzen, aber von unterschiedlichen Herstellern sind, ist die Datenübertragung nicht trivial. Dies liegt unter anderem daran, dass jeder Hersteller von Android-Smartphones das Betriebssystem individuell anpasst und gegebenenfalls stark auf herstellereigene Apps setzt. Lediglich beim Wechsel von einem Apple iPhone zu einem neueren iPhone ist die Datenübertragung unproblematisch.Aber auch bei der Löschung von Daten gilt es einige Punkte zu beachten. Vor allem bei Betriebsmodellen, bei denen auch private Daten auf den Geräten sind, sollten nur die Unternehmensdaten und nicht die privaten Daten automatisch gelöscht werden. Je nach Vorgabe an die sichere Löschung von Daten müssen Geräte nach der Nutzungsdauer auf den Werkszustand zurückgesetzt werden oder sogar vernichtet werden. Letzteres ist dann notwendig, wenn sichergestellt werden muss, dass der Speicher vollständig vernichtet wird. Dies ist durch die integrierte Bauweise nur durch die Zerstörung des gesamten Gerätes gewährleistet.
Die Abbildung 2 stellt den Lebenszyklus mobiler Endgeräte sowie eine Zusammenfassung der Aufgaben im jeweiligen Status dar.
Absicherung mobiler Endgeräte
Eine der Kernaufgaben von UEM-Lösungen ist die Absicherung der Geräte und der Daten. Wie oben dargestellt ist die Absicherung schon bei der Inbetriebnahme vorzusehen. Hierbei sollten insbesondere in Bezug auf folgende Aspekte Sicherheitsrichtlinien auf die Geräte transportiert werden:
- BildschirmsperreEs sollte ein sicheres Passwort für das Entsperren des Smartphones konfiguriert werden. Das bei den Nutzern sehr beliebte Wischmuster sollte beispielsweise nicht verwendet werden, sondern es sollte auf eine PIN oder ein alphanumerisches Passwort zurückgegriffen werden. Ebenso können biometrische Faktoren wie der Fingerabdruck oder die Gesichtserkennung genutzt werden.
- NetzanbindungEs können Vorgaben hinsichtlich der Netzanbindung (Mobilfunk und WLAN) gemacht werden. Beispielsweise können Passwörter für unternehmensinterne WLAN-Netze oder Konfigurationen für den Zugang zum mobilen Internet, die sogenannten Access Point Names (APN), auf die Geräte gebracht werden. Mit Hilfe von privaten APNs, die beispielsweise durch die Provider zur Verfügung gestellt werden, kann der Zugriff auf Unternehmens-IT über das Mobilfunknetz abgesichert werden.
- Verschlüsselung erzwingenDie Verschlüsselung des Geräte-Speichers gehört mittlerweile zum Standard bei Android- und iOS-Geräten. Allerdings ist es möglich, den Speicher von Apps oder sogar ganze Apps zusätzlich zu verschlüsseln. Hierzu wird meist mit Containern gearbeitet, innerhalb derer eine zusätzliche Verschlüsselung erzwungen werden kann. So können gerade in BYOD oder COPE-Szenarien die Unternehmensdaten vor unberechtigtem Zugriff durch Apps, die der Nutzer installiert, geschützt werden.
- Lockdown-FunktionGeht ein Gerät verloren, sollte es schnellstmöglich gesperrt und somit für unbefugte Nutzer unbrauchbar gemacht werden. Die Bildschirm-Sperre sowie das notwendige Passwort schützen zwar vor dem Gebrauch durch Unbefugte, diese können jedoch unter Umständen umgangen oder ausgehebelt werden. Eine PIN oder ein Passwort kann beispielsweise mit Hilfe von Social Engineering erraten werden. Daher bieten heutige UEM-Lösungen auch Optionen für das endgültige Sperren von Geräte sowie das Löschen von Daten. Dies kann sogar aus der Ferne heraus initiiert werden, sofern eine entsprechende Konnektivität vorhanden ist.
- Erlaubte AppsDie Apps, die auf den Geräten installiert werden, können ein Sicherheitsrisiko darstellen. Dies betrifft sowohl Apps, die über die offiziellen App-Stores von Google oder Apple installiert werden, als auch Apps, die aus anderen Quellen bezogen werden. In [1] ist beispielsweise ein Angriff über eine aus dem Google Play Store geladene App beschrieben. Diese App führt neben ihrer Hauptfunktion Angriffe auf die Privatsphäre des Nutzers unter Zuhilfenahme der Facebook-App aus. Hierzu „belauscht“ sie das Verhalten des Nutzers und springt in den Vordergrund, sobald ein Login über die Facebook-App erkannt wird. Für den Nutzer sieht dies nach einem normalen Login aus, jedoch erhalten so die Entwickler der App Zugang zu Benutzernamen und Passwörtern, die wiederum für weitere Angriffe genutzt werden. Daher sollten die Apps, die auf den Geräten installiert werden, mit Hilfe von Black- oder White-Listing kontrolliert werden.
- Speicherung und Bearbeitung von DatenDa auf mobilen Geräten eine Fülle an Daten gespeichert und unter Umständen auch verarbeitet wird, ist die Absicherung der Daten von zentraler Bedeutung. Beispielsweise können auf den Geräten selbst keine Word- oder PDF-Dateien gespeichert, sondern lediglich betrachtet werden. Die Dateien selbst sind dann in der Regel auf Servern innerhalb der Unternehmens-IT gespeichert und der Nutzer kann über eine spezielle App diese Dateien auf einem Smartphone oder Tablet betrachten. Dies setzt natürlich voraus, dass ein sicherer Zugriff auf die Daten gewährleistet ist, über einen VPN-Tunnel oder über ein Gateway der UEM-Lösung, das den Zugriff steuert.
Insgesamt wird deutlich, dass die Absicherung der mobilen Geräte sowie Laptops und PCs in einer mobilen Welt zunehmend an Bedeutung gewinnt.
Fallstricke bei der Absicherung von mobilen GerätenAllerdings gibt es bei der Absicherung von Geräten und Daten immer den Konflikt zwischen Sicherheit und Nutzbarkeit. Auf der einen Seite kann ein Smartphone mit den Apps und gespeicherten Daten nach allen Regeln der Kunst abgesichert werden. Wenn es aber für die Nutzer sehr umständlich ist, auf die Funktionen zuzugreifen, weil beispielsweise ein 12-stelliges Passwort mit Zahlen, Sonderzeichen, Groß- und Kleinschreibung zum Entsperren eingegeben werden muss, wird das Gerät sicherlich keine adäquate Akzeptanz finden. Entweder werden die Nutzer dann schlicht auf den mobilen Zugriff auf Informationen verzichten oder, schlimmer noch, private Geräte nutzen und über Umwege an die Informationen gelangen. So ist es bei einem Kunden tatsächlich geschehen: Die vom Unternehmen bereitgestellten Smartphones wurden lediglich zum Telefonieren genutzt; E-Mails und Dokumente wurden hingegen per Weiterleitung an private E-Mail-Adressen gesendet und mit privaten Smartphones geöffnet. Daher sollten bei der Aufstellung der Sicherheitsrichtlinien für mobile Geräte zumindest die relevanten Anwendungsfälle betrachtet und deren Umsetzbarkeit analysiert werden.
Ebenso sollten die Berechtigungen, die die Apps nach Installation verlangen, untersucht werden. Es ist zwar auf der einen Seite sinnvoll, dass beispielsweise eine Navigations-App Zugriff auf die Kontakte anfragt, damit der Nutzer schnell zur Adresse seiner Kontakte navigieren kann. Auf der anderen Seite können so aber Kontakt-Informationen das Unternehmen verlassen und in die Hände von Unbefugten gelangen. Hier kann eine Abwägung in Abhängigkeit von der konkreten Navigations-App getroffen werden.
Marktüberblick
In den letzten Jahren hat der Trend der Konsolidierung auch nicht vor dem Bereich der UEM-Lösungen Halt gemacht. Dies wird beim Blick auf den Magic Quadrant von Gartner zum Thema UEM-Lösungen aus 2020 deutlich (siehe Abbildung 3).
Seit Veröffentlichung des Magic Quadrant hat Ivanti die Lösung von MobileIron übernommen (siehe [3]). Der Magic Quadrant von Gartner hat zwar den US-Amerikanischen Markt als Zielmarkt, jedoch lassen sich hieraus auch Rückschlüsse auf die für den deutschen Markt relevanten Lösungen ziehen.
Eine Übersicht über Lösungen, die wir häufig in unseren Projekten antreffen, sind in der Tabelle unten (UEM-Hersteller und deren Produkte) dargestellt. Neben den relevanten Lösungen aus dem Gartner Magic Quadrant sind hier noch zwei deutsche Lösungen, von Baramundi und von Matrix42, enthalten.
Hersteller | Produkt |
Baramundi | Baramundi UEM-Suite |
BlackBerry | BlackBerry UEM |
Citrix | Citrix Endpoint Management |
IBM | MaaS360 |
Matrix42 | Matrix42 UEM |
Microsoft | MS Endpoint Manager |
MobileIron / Ivanti | MobileIron UEM |
VMware | Workspace One |
Im Leaders-Quadranten in Abbildung 3 fällt ein Hersteller direkt ins Auge: Microsoft hat mit dem „Endpoint Manager“ die Funktionen des Cloud-basierten Tools „Microsoft Intune“ sowie dem „System Center Configuration Manager“, das on-premises installiert werden kann, vereint und bietet so für die Verwaltung und Absicherung sowohl von Standard-PCs und Laptops als auch von mobilen Endgeräten wie Smartphones und Tablets eine Lösung. Allerdings beinhaltet diese Lösung weiterhin die ursprünglichen Produkte, sodass für die Verwaltung von mobilen Endgeräten weiterhin eine Cloud-basierte Komponente notwendig ist.
Neben Microsoft sind noch VMware, die in 2014 die MDM-Lösung „AirWatch“ übernommen und in ihre Virtualisierungsumgebung integriert haben (siehe [4]) und IBM im Leaders-Quadranten. VMware bietet mit der Lösung „Workspace One“ eine umfassende UEM-Lösung, die natürlich von den Erfahrungen im Umfeld von Anwendungsvirtualisierung profitiert. So können mit Hilfe von VMware NSX und AirWatch Tunnel dedizierte Datentunnel je Applikation genutzt werden. Workspace One kann als Cloud-Dienst, als On-Premises-Installation oder über hybride Deployment-Modelle genutzt werden. Die Lösung von IBM, MaaS 360, ist ausschließlich als Cloud-Dienst verfügbar, bietet jedoch durch die Anbindung an die IBM-Infrastruktur einige KI-basierte Funktionen im Bereich des Mobile Threat Managements. Die Cloud-Lösung kann schnell eingeführt werden und ist somit vor allem für kleinere und mittelständische Unternehmen interessant.
BlackBerry, einer der ersten Anbieter von mobilen Endgeräten für den Einsatz im Unternehmensumfeld, hat sich nach dem Scheitern des eigenen mobilen Betriebssystems auf die Absicherung von Android und iOS-Smartphones fokussiert. Hierzu hat BlackBerry in 2015 einen der damaligen Marktführer im Bereich der MDM-Lösungen, nämlich GoodTechnologies, übernommen (siehe [5]) und mit dem eigenen Produkt, dem BlackBerry Enterprise Server, vereint. Im Laufe der Jahre hat BlackBerry weitere Zusatzprodukte akquiriert und bietet neben den Standard-UEM-Funktionen Zusatzdienste wie die BlackBerry 2-Factor-Authentication, über die kritische Daten mittels eines One-Time-Password-Tokens abgesichert werden können. Diese Funktion ist auch für Geräte einsatzbar, die nicht über die BlackBerry UEM-Lösung verwaltet werden.
Citrix ist ebenso wie VMware ein Hersteller aus dem Bereich der Virtualisierungslösungen. Daher ist es nicht verwunderlich, dass auch hier Techniken aus diesem Bereich angewendet werden. Ein Fokus von Citrix ist der sichere Zugriff auf Unternehmensdaten und Applikationen: So bietet die „Workspace App“ eine Sammlung von mobilen Apps, Dokumenten und Citrix Virtual Apps in einer Oberfläche. Die UEM-Lösung kann als Cloud-Dienst oder als On-Premises-Installation genutzt werden. Eine wirtschaftliche Nutzung der On-Premises-Variante ist jedoch nur möglich, wenn im Unternehmen ohnehin schon Lösungen von Citrix eingesetzt werden.
Ivanti vertreibt seit Anfang 2021 die Lösung von MobileIron. Diese bietet mit der @Work-Suite eine Sammlung von Apps, die einen sicheren mobilen Zugriff auf Daten und Informationen bietet. Zudem können mit Hilfe von AppConnect mehrere Apps innerhalb eines Containers sicher miteinander kommunizieren, sodass beispielsweise Daten zwischen einer E-Mail-App und einer App zur Bearbeitung von Dokumenten ausgetauscht werden können.
Mit Baramundi sowie Matrix42 möchten wir hier kurz auf zwei deutsche Hersteller eingehen. Baramundi bietet mit der Baramundi Management Suite eine Lösung für die Verwaltung und Administration sowohl von klassischen Clients als auch von Smartphones und Tablets. Der Ansatz ist klar: eine (modulare) Plattform und ein einheitliches Management für alle Clients. Durch die Modularität können bedarfsgerecht die Bausteine genutzt werden, die für die individuellen Anforderungen des Unternehmens benötigt werden. Dies schlägt sich auch in der transparenten Lizensierung der jeweiligen Funktionen nieder. Matrix42 war in 2019 noch im Gartner Magic Quadrant vertreten, ist aber aus Sicht der amerikanischen Analysten aufgrund des geringen Funktionsumfanges nicht mehr im aktuellen Quadranten vertreten. Für den deutschen Markt ist die Lösung jedoch weiterhin relevant, da Matrix42 neben der UEM-Lösung weitere Produkte aus den Bereichen Service Management und Asset Management bietet und sich somit durch den Einsatz mehrerer Produkte Synergieeffekte erzielen lassen. Matrix42 bietet zudem in Kombination mit dem Digital Workspace Management Module für die sichere Bereitstellung von mobilen Arbeitsplätzen.
Über die oben genannten Produkte hinaus gibt es noch eine Vielzahl weiterer Lösungen, die UEM-Funktionen bereitstellen. Hierbei reicht die Palette von Herstellern von Anti-Virus-Software, die passend zu ihren Lösungen entsprechende UEM-Module anbieten, über Open-Source-Lösungen bis hin zu Providern wie Telekom und Vodafone, die gerade für kleine und mittelständische Unternehmen UEM-Funktionen mit Angeboten für die mobile Netzanbindung verknüpfen.
Insgesamt gibt es trotz des Trends der Konsolidierung eine Vielzahl an UEM-Lösungen, die neben den typischen Funktionen zur Absicherung mobiler Endgeräte jeweils individuelle Zusatzdienste bereitstellen.
Die (besondere) Rolle von Microsoft
Wir möchten aber noch einmal kurz das Augenmerk auf die (besondere) Rolle von Microsoft legen. Zum einen hat sich Microsoft nun fest im Leaders-Quadranten etabliert. Zum anderen bietet Microsoft im Rahmen von Microsoft 365 einige Cloud-basierte Sicherheitsfunktionen insbesondere für die mobile Datenverarbeitung und die Absicherung mobiler Endgeräte sowie von Laptops und PCs. Hier sei insbesondere die Plattform Microsoft Enterprise Mobility + Security (EMS) genannt, die beispielsweise neben der Verwaltung von mobilen Endgeräten eine Komponente zur Absicherung des Cloud-Zugangs beinhaltet. Zudem ist auch der Microsoft Endpoint Manager mit Microsoft Intune ein Bestandteil von EMS. Daher stellt sich bei Nutzung der Microsoft-365-Produkte sowohl technisch als auch kommerziell die Frage, ob nicht schon die von Microsoft gebotenen Funktionen ausreichen oder ob darüber hinaus weitere Lösungen notwendig sind. Schließlich möchte man unnötige Kosten für zwei Lösungen, die einen ähnlichen Funktionsumfang in Bezug auf UEM bieten, vermeiden.
In einigen Fällen ist jedoch auch die Koexistenz, also die parallele Nutzung der Microsoft Produkte und einer weiteren UEM-Lösung, sinnvoll. Dies ist jedoch abhängig von den konkreten Anforderungen und der UEM-Lösung selbst. Denn nicht alle UEM-Lösungen bieten Schnittstellen zum Microsoft Endpoint Manager zur Synchronisation der Daten, die in beiden Lösungen erfasst werden. Folglich müssten dann die Geräte sowie die Nutzer in zwei Produkten parallel gepflegt werden, was insbesondere bei Änderungen zu Konfigurationsfehlern führen kann. Daher sollten die notwendigen Funktionen geprüft und gegebenenfalls gemeinsam mit dem Hersteller der UEM-Lösung mögliche Integrationen in die Produkte von Microsoft geprüft werden.
Fazit
So vielfältig die Welt der mobilen Endgeräte ist, so vielfältig ist auch die Welt der Möglichkeiten zur Absicherung der Geräte und vor allem der Daten auf den Geräten. Heutige Lösungen zum Management mobiler Geräte, sogenannte UEM-Lösungen, bieten eine Fülle an Funktionen: Umsetzung von Passwortrichtlinien, Überprüfung von Betriebssystemen und Apps sowie Zugriffskontrolle und Datenschutz in der Cloud und viele weitere. Hersteller wie BlackBerry, VMware und Microsoft gehören zu den Marktführern, an denen (fast) kein Weg vorbeigeht. Welche Lösung jedoch für die Anforderungen des eigenen Unternehmens die richtige ist, lässt sich nicht pauschal beantworten. Dies hängt von verschiedenen Faktoren ab. Soll die Lösung als On-Premises-Lösung oder als Cloud-basierte Lösung genutzt werden? Welche Funktionen und Zusatzdienste werden konkret benötigt? Welche weiteren Lösungen sind gegebenenfalls schon im Einsatz? Um nur ein paar der entscheidenden Faktoren zu nennen. Erschwerend kommt noch das Zusammenwachsen der klassischen Client-Welt mit PCs und Laptops mit den mobilen Clients wie Smartphones und Tablets hinzu. Dies lässt sich auch bei den Anbietern von UEM-Lösungen beobachten, die zunehmend Funktionen zum Management weiterer Clients bieten und ihre Produkte tatsächlich in die Richtung eines einheitlichen Client Managements entwickeln.
Letztendlich werden auch die Anforderungen an das Management mobiler Geräte und der auf den Geräten verarbeiteten Daten im Rahmen von entsprechenden Konzeptionierungen betrachtet und anschließend die verschiedenen Lösungsansätze der Hersteller bewertet werden müssen.
Verweise
[2] https://www.gartner.com/doc/reprints?id=1-1ZNT00BW&ct=200812&st=sb
[3] https://www.ivanti.de/company/press-releases/2020/ivanti-acquires-mobileiron-and-pulse-secure
[4] https://www.wr.de/agenturmeldungen/vmware-besiegelt-airwatch-uebernahme-id9042538.html