Enterprise Mobility
Was leisten Container-Lösungen?
Im Unternehmenseinsatz stellte sich für firmeneigene Geräte nur selten die Frage nach einer Alternative beziehungsweise Ergänzung zum klassischen Mobile Device Management (MDM). Sollen jedoch Mitarbeiter mit ihren privaten Endgeräten oder externe Dienstleister auch Zugriff auf Unternehmensressourcen bekommen, ist MDM oft kein gangbarer Weg: Mitarbeiter sorgen sich häufig um ihre Privatsphäre, da ein durch MDM gemanagtes Endgerät viele Details (z. B. zuletzt besuchte Orte, installierte Anwendungen usw.) über sich und somit auch über den Nutzer preisgeben kann. Externe Mitarbeiter haben gegebenenfalls schon ein durch ihre entsendende Firma gemanagtes Endgerät und dieses erlaubt kein weiteres Management. Somit stellt sich die Frage wie man Anwendungen sicher auf vermeidlich unsicheren Endgeräten betreiben kann.
Managen von Geräten vs. Managen von Applikationen
Mobile Device Management
MDM-Systeme bieten die Möglichkeit einer zentralisierten Verwaltung mobiler Endgeräte. Hier werden neben der Inventarisierung von Hardware und Software auch diverse Sicherheitseinstellungen an den Geräten von zentraler Stelle vorgenommen. So kann jederzeit sichergestellt werden, dass die gemanagten Geräte sicher betrieben werden, da sie in regelmäßigen Abständen ihre Konfiguration mit der Zentrale abgleichen müssen. Sollte bei so einer im Hintergrund durchgeführten Kontrolle ein Fehler wie z. B. Jailbreak/Rooting oder auch die Installation von nicht freigegebener Software festgestellt werden, sind Sanktionen möglich. Der Admin kann, je nach Konfiguration des MDM, veranlassen, dass das Gerät neu konfiguriert wird oder gar Firmenzugriff und alle schützenswerten Daten entfernen. Hier lassen sich in den MDM-Systemen so genannte Eskalationsregeln definieren, auf deren Grundlage dann die entsprechenden Maßnahmen ergriffen werden.
Mobile Application Management
Mobile-Applikation-Management-Systeme bieten Unternehmen die Möglichkeit, einzelne Applikation und deren Daten zu verteilen ohne direkten Zugriff auf das Gerät haben zu müssen. Ganz im Gegenteil zu MDM kann hier mehr als ein MAM-System an ein Endgerät angebunden werden und zum Beispiel in einem ByoD-Szenario (Bring your own Device) für Mitarbeiter oder beim Einsatz externen Dienstleister Verwendung finden. Bei MAM stellt die Firma lediglich eine Plattform zur Verfügung, über die sie die Applikationen, die entsprechenden Konfigurationen und Sicherheitseinstellungen ihren Anwendern anbietet. Die Administratoren haben dann, im Gegensatz zu MDM, nur Zugriff auf die von der Firma verantworteten Anwendungen und Daten. Ein Zugriff auf das Endgerät ist bei MAM nicht vorgesehen.
Containerisierung
Durch das reine Managen der Applikationen werden diese jedoch nicht unbedingt sicher. Hier kommen Container-Lösungen zum Einsatz. Sie dienen dazu mögliche Schwachstellen am Gerät oder Fehler des Anwenders weitestgehend zu eliminieren. Dies stellen sie sicher, indem sie die Anwendungen und ihre Daten in einem abgeschotteten Umfeld (Container) laufen lassen. So wird unter anderem verhindert, dass Daten unkontrolliert ab- oder einfließen beziehungsweise manipuliert werden können.
Bei einer sicher konfigurierten Container-Lösung lässt sich beispielsweise verhindern, dass Firmeninformationen per Copy & Paste auf Facebook oder Twitter landen. Hier wäre der Zugriff aus dem Firmenkontext auf die private Facebook oder Twitter App schlichtweg nicht möglich. Hier ist auch wichtig, dass der Wechsel zwischen den Firmenanwendungen und den privaten Apps für den Anwender deutlich sichtbar ist, damit ihm immer unmissverständlich klar ist, in welchem Kontext er sich befindet. Durch Container können somit einige Schwachstellen eliminiert werden.
Die meisten Container-Lösungen bringen allerdings ein Risiko mit sich. Sie gehen davon aus, dass sie selbst sicher sind. Wenn beispielsweise eine Container-App nicht aus dem AppStore installiert wird, sondern eine durch Codeinjektion veränderte (z. B. via SMALI unter Android) Version zum Einsatz kommt, kann diese unter Umständen eine Backend-Verbindung aufbauen und so Daten transferieren bzw. manipulieren. Für dieses Angriffsszenario gibt es meist keinen hundertprozentigen Schutz. Die Hersteller der Container-Lösungen müssen hier ständig tätig werden und die Container immer wieder anpassen, damit sie den aktuellen Bedrohungsszenarien des Marktes standhalten können.
Durch eine MAM-Lösung oder MDM-Lösung kann in Verbindung mit der Containerisierung somit sichergestellt werden, dass die schützenswerten Anwendungen und Daten auch weitestgehend sicher genutzt werden können. Dabei bleibt bei MAM die Privatsphäre des Anwenders jederzeit gewahrt, da das MAM-System keinen Zugriff auf das Endgerät hat.
- Was Unternehmen erwarten
Einer Studie von IDC Deutschland zufolge erwarten sich deutsche Unternehmen vom Einsatz von Mobilsystemen handfeste wirtschaftliche Vorteile. Eine höhere Zufriedenheit von Mitarbeitern spielt eine untergeordnete Rolle. - Hürden in Sachen Mobility
Einer Umfrage von Citrix unter IT-Fachleuten zufolge sind potenzielle Sicherheitsrisiken ein Grund dafür, dass Mobility-Strategien in Unternehmen nur zögerlich oder gar nicht umgesetzt werden. - Apple vor Android
Apples iOS knapp vor Android: In Unternehmen in Deutschland, Frankreich, Großbritannien und der Schweiz waren nach einer Untersuchung der Beratungsfirma Pierre Audoin Consultants (PAC) im vergangenen Jahr im Schnitt 2,4 Mobilbetriebssysteme im Einsatz. Auch Blackberry hielt sich trotz der wirtschaftlichen Probleme des Herstellers RIM beachtlich. - Länderverteilung
Nach Angaben des Marktforschungsinstituts PAC setzen deutsche Firmen vor allem auf Mobilgeräte mit Apples Betriebs iOS und Android-Systeme. Immer noch stark vertreten ist RIM mit Blackberry. - Strikte Regeln
PAC zufolge bestehen vor allem deutsche Unternehmen auf strikten Regeln bei der Nutzung mobiler Geräte und dem Umfang mit entsprechenden Daten. - App-Regeln
Viele Firmen verzichten darauf, Regeln für die Nutzung von Apps auf Mobilgeräten zu definieren. Im Gegensatz dazu existieren in den meisten Organisationen Vorgaben, welche Mobilsysteme verwendet werden dürfen. - Private Apps
Laut einer Untersuchung von Citrix von 2013 nutzen an die 19 Prozent der Arbeitnehmer auf Mobilsystemen, die sie auch für berufliche Zwecke einsetzen, private Apps Dies kann Sicherheitsrisiken mit sich bringen. - Der Citrix-Ansatz
Mit MDX von Citrix kann ein User von seinem Mobilgerät aus über ein Virtual Private Networks auf Daten und Anwendungen im Firmenrechenzentrum zugreifen. Die Apps und lokalen Daten auf dem Mobilsystem werden mithilfe von Wrapping und Containern geschützt. - Schutzwirkung
Die amerikanische Sicherheitsfirma Mobile Active Defense hat Mobile-Security-Technologien anhand ihrer Schutzwirkung klassifiziert. Ein Mobile Device Management (MDM) alleine ist demnach unzureichend. - Zugriffs-Policies
Eine Beispiel für abgestufte Zugriffsregelungen für Nutzer von Mobilgeräten: Nutzer von Android-Geräten mit dem Original-Betriebssystem und MDM können auf weniger IT-Ressourcen zugreifen als User von Android-Systemen, deren Betriebssystem-Kernel für ein umfassendes Remote-Management modifiziert wurde. - Pro und Contra
Vor- und Nachteile unterschiedlicher Mobile-Security-Verfahren aus Sicht des amerikanischen Mobility-Spezialisten Mobile Spaces - Die Techniken
Unterschiedliche Ansätze: Um mobile Applikationen und Daten auf sichere Weise bereitzustellen, haben IT-Abteilungen die Wahl zwischen einer Vielzahl von Verfahren. Etliche, etwa das Wrapping von Anwendungen, erfordern teilweise den Einsatz von Software Development Kits (SDKs) und Eingriffe in den Programmcode von Applikationen. - Urteil des Fachmanns
Rüdiger Trost, Sicherheitsfachmann von F-Secure: "Zu einer Mobile-Security-Strategie gehören nicht nur Container für Apps und Daten, sondern auch die Absicherung der Verbindungen zwischen Mobilgerät und Firmennetz sowie speziell abgesicherte Online-Plattformen für den Datenaustausch zwischen Mitarbeitern."