DE | Deutsch
Modern Workplace 19.07.2019

Agil Arbeiten: Immer, überall, von jedem Gerät – und sicher? Das geht ...

In einer Zeit, in der Smartphones und Tablets zu unseren täglichen Begleitern geworden sind, gilt es mehr denn je die Firmendaten sicher bereitzustellen. Im Bechtle Blog erfahren Sie, welche Möglichkeiten es gibt …

Artikel teilen

Smartphones sind in unserem Alltag allgegenwärtig. Nicht nur im privaten Umfeld, sondern vor allem im geschäftlichen Kontext spielen Smartphones und Tablets eine bedeutende Rolle, wenn es um Erreichbarkeit und mobiles Arbeiten geht. Vor allem Tablets sind aufgrund leistungsstarker Hardware und Software mehr denn je eine Alternative zu klassischen Notebooks.

 

Mobiles Arbeiten bedeutet aus Sicht der Unternehmen aber auch, dass sich die Geräte wenig bis gar nicht im internen Firmennetzwerk befinden und somit deutlich ungeschützter sind, als stationäre Desktop-Umgebungen. Cloudbasierte Dienste, die den Zugriff jederzeit, von überall und mit jedem Gerät ermöglichen, sollen im Idealfall genauso sicher bereitgestellt werden, wie das bisher mit einer klassischen OnPremise Server-Infrastruktur der Fall ist.

 

Wie stellen wir also sicher, dass Firmendaten und geschäftliche Kontakte sicher auf mobilen Endgeräten bereitgestellt werden? Nachfolgend stellen wir Ihnen einige Möglichkeiten vor.

 

Apple iOS.

Apple stellt Unternehmen mit dem Business Manager, und den damit verbundenen Programmen zur Geräteverwaltung (DEP) und zum Lizenzmanagement für Apps (VPP), eine Plattform zur Verfügung, mit der Firmengeräte bereits bei der Erst-Inbetriebnahme mit einer aus Firmensicht wichtigen Konfiguration ausgestattet werden können - dem supervised Mode (betreuter Modus).

 

Dieser Modus ermöglicht es Firmen, die eigenen Geräte mit einer Mobile Device Management (MDM) Lösung deutlich besser und sicherer zur Verfügung zu stellen. Nicht nur, dass damit Betriebssystem-Updates auf den Endgeräten forciert werden können, der betreute Modus erlaubt auch das dauerhafte Sperren verlorener oder gestohlener Geräte durch den „Lost Mode“ sowie durch die DEP Registrierung selbst.

 

 

Eine weitere Anforderung, nicht erst seit dem Inkrafttreten der DSGVO, ist der Schutz der geschäftlichen Kontakte, so dass diese nicht durch private Applikationen auf fremde Server übertragen werden. Seit iOS 11.3 können geschäftliche Kontakte via der Konfiguration für „Managed Contacts“ so bereitgestellt werden, dass der Zugriff privater Apps auf die geschäftlichen Kontakte nicht möglich ist. Heißt, WhatsApp und Co. können auf diese Daten auf geschäftlichen Geräten, die privat genutzt werden dürfen, nicht zugreifen.

 

Neben den geschäftlichen Kontakten gilt es natürlich ebenso Unternehmensdaten auf Endgeräten sicher bereitzustellen. Via MDM kann die Weitergabe und Nutzung von Daten aus bereitgestellten Firmen-Anwendungen und Exchange Accounts in privaten Apps technisch verboten werden. Der Anwender kann somit Dokumente nicht vorsätzlich oder aus Versehen im privaten Cloudspeicher ablegen.

 

Android.

Einen ähnlichen Ansatz, jedoch visuell für den Anwender sichtbar, geht Google mit Android Enterprise. Auf kompatiblen Geräten kann dem Anwender ein geschäftlicher Bereich bereitgestellt werden. Dieser kann zusätzlich zum Geräte-Passwort mit einer weiteren Kennwort Abfrage vor Fremdzugriff geschützt werden. Welche Daten aus dem geschäftlichen in den privaten Bereich, und umgekehrt, übergeben werden dürfen, steuert das Unternehmen via Management-Lösung.

 

Der geschäftliche Bereich selbst verfügt über einen eigenen App Store. In diesem sind nur die durch das Unternehmen freigegebenen Applikationen sichtbar. Die Installation privater Anwendungen im geschäftlichen Bereich ist nicht möglich.

 

Analog zu Apple iOS stehen die geschäftlichen Kontakte privaten Anwendungen nicht zur Verfügung. Anrufer werden dennoch korrekt identifiziert und für den Angerufenen ist klar ersichtlich, ob es sich um einen geschäftlichen oder privaten Kontakt handelt – vorausgesetzt die Rufnummer ist im privaten oder geschäftlichen Adressbuch gepflegt.

 

Mit der Ankündigung durch Google, dass ab Android 10 Geräte nur noch via Android Enterprise zu verwalten sind, sollten sich Unternehmen zeitnah mit dem Thema auseinandersetzen.

 

Microsoft Windows.

Entgegen den klassischen und stationären Windows-Desktop-Umgebungen, die in der Regel via Active Directory Richtlinien, GPOs, verwaltet werden, ergibt sich durch den Einsatz von Surface und anderen Tablets eine neue Herausforderung für Unternehmen.

 

Durch die zunehmende Mobilität dieser Geräte sind diese kaum bis nicht mit dem internen Netzwerk verbunden, was die Bereitstellung entsprechender Management-Richtlinien und -Konfigurationen deutlich erschwert. Firmen müssen sich neben dem bisher gewohnten Management der Geräte (Legacy Management) ebenso mit modernen Verwaltungsmöglichkeiten via MDM beschäftigen, um diese Geräte ebenso sicher bereitzustellen und zu verwalten.

 

Lösungen wie MobileIron Bridge erweitern das Modern Management um die Komponente des klassischen Managements, indem über eine auf dem verwalteten Gerät bereitgestellte Applikation Scripts und GPOs bereitgestellt, umgesetzt und ebenso wieder entfernt werden können – ohne dass sich das Gerät dabei im Unternehmensnetzwerk befinden muss. Je nach Funktionsumfang und Einsatzzweck der mobilen Windows-Geräte kann dies den Einsatz von VPN Lösungen überflüssig machen.

 

Cloud Services.

Neben der Absicherung und des Schutzes der Endgeräte und der sich darauf befindlichen lokalen Daten wird der Schutz von cloudbasierten Diensten immer wichtiger. Viele Unternehmen setzen bereits auf cloudbasierte Services wie Office365 mit Outlook Online, Salesforce und weitere. Aus Sicht der Anwender sind diese Services sehr komfortabel, kann der Zugriff theoretisch doch von jedem Gerät und jeder kompatiblen App, zu jeder Zeit und von jedem Ort aus erfolgen.

 

Aus Unternehmenssicht stellt das jedoch ein extremes Risiko für die Sicherheit der Unternehmensdaten dar. Es gilt zu gewährleisten, dass der Zugriff auf diese Daten nur von geschützten Firmengeräten und bereitgestellten Applikationen erfolgt, damit Firmendaten nicht auf privaten Geräten abgelegt oder weiterverwendet werden können.

 

Conditional Access Regularien überwachen den Zugriff auf cloudbasierte Dienste und überprüfen Verbindungen anhand vorab definierter Richtlinien wie Gerätezustand, Applikation und anderen.

Für die eigenen Applikationen stellt Microsoft eigene Services zur Verfügung. Setzt der Kunde verschiedene Authentifizierungsmethoden oder Cloud Services ein, so kann MobileIron Access eine passende Lösung sein.

 

Word, Excel, PowerPoint und weitere Applikationen kann das Unternehmen mittels sogenannter App Protection Richtlinien konfigurieren. Diese verhindern, dass ein Anwender beispielsweise Dokumente in fremden Clouddiensten ablegt oder lokal druckt.

matthias_beck.png
Matthias Beck
Teamleitung System Engineers