Mobile Device Management

Tipps zur Einführung einer MDM-Lösung

15.11.2013 von Jürgen Dick
Die Zahl digitaler und mobiler Arbeitsplatz wächst unaufhaltsam. Das stellt Unternehmen in Hinblick auf die interne IT-Infrastruktur vor neuen Herausforderungen. Was eine intelligente und flexible Mobile-Device-Management-Lösung ausmacht, erfahren Sie in unserem Beitrag.

Mobilgeräte sind weltweit auf dem Vormarsch: Bereits 40 Prozent aller Deutschen besitzen ein Smartphone, die meisten davon benutzen es täglich. Doch auch vor Unternehmen macht diese Entwicklung nicht Halt, denn Mitarbeiter wollen ungern auf ihre gewohnten Geräte und die bequeme Nutzung verzichten. Doch was ist mit Branchen, in denen die Datensicherheit eine besonders große Rolle spielt, wie beispielsweise Banken und Versicherungen? Wenn der mobile Zugang zu Unternehmensdaten sowie zum Netzwerk nicht geregelt ist oder die unkontrollierte Einbindung mobiler Geräte geduldet wird - was aktuell oft der Fall ist - nehmen Unternehmen ein großes Risiko in Kauf.

Im Finanzbereich ist es zum Beispiel ein absolutes Muss für Unternehmen, sich mit diesem Thema zeitnah auseinanderzusetzen. Mobile Geräte, egal ob privat oder vom Unternehmen beschafft, müssen sicher und organisiert in die IT-Infrastruktur eingebunden werden. Das Stichwort lautet hier Mobile Device Secure Management (MDSM) - eine Lösung, die ein kontrolliertes, sicheres und zentrales Verwalten von mobilen Endgeräten möglich macht.

MobileIron
Bei der MDM-Software des kalifornischen Anbieters MobileIron ist die virtuelle Appliance VSP der Dreh- und Angelpunkt, der alle Aufgaben erledigt und auch ein Repository beinhaltet.
MobileIron
Hier hat ein Anwender sein Betriebssystem auf dem Smartphone "unlocked", womit es nicht mehr den Sicherheitsrichtlinien des Unternehmens genügt.
MobileIron
: Ein kompromittiertes mobiles Gerät ist gefunden und wird aus diesem Grund in die Quarantäne verschoben.
MobileIron
Der Anwender muss bei vielen Update- und Installationsvorhaben jeweils die Aktion an seinem Telefon entsprechend bestätigen.
Matrix42
Ein Beispiel, das zeigt, wie die Verwaltung mobiler Geräte mit anderen Managementbereichen der IT verknüpft ist: die Konvergenz zwischen den Bereichen MDM, VDI (Virtual Desktop Infrastructure), BYOD (Bring Your On Device) und letztlich auch ITSM (IT Service-Management).
Matrix42
Der Anwender kann über ein entsprechendes Portal seine mobilen Geräte selbst verwalten, ohne dass dabei Firmenrichtlinien verletzt oder die Sicherheit beeinträchtigt wären.
Matrix42
Ein neues Gerät muss im Firmennetzwerk zunächst einmal aktiviert werden. So wird auch sichergestellt, dass sich nur Geräte im eigenen Netz befinden, die den vorgegebenen Richtlinien entsprechen.
Matrix42
Der Anwender muss zustimmen und bekommt dabei auch gleich mitgeteilt, welche Vollmachten er dem Administrator damit auf seinem Smartphone einräumt.
Baramundi Software
Die Lösung von Baramundi ist in dieser Version nur für die Betreuung und Verwaltung von mobilen Endgeräten unter iOS gedacht - hier die Geräte im Überblick.
Baramundi Software
Die Lösung gibt dem Administrator einen schnellen Überblick über die auf dem Gerät vorhandenen Apps.
Microsoft
Das aktuelle Microsoft-Betriebssystem für die mobilen Systeme bietet bereits einige gute Verwaltungsansätze, die so aber nur für Privatanwender praktikabel sind.

Und gerade im Finance-Umfeld können Unternehmen massiv vom Mobility-Trend profitieren: Mit der Nutzung von Smartphones und Tablet-PCs in der Kundenkommunikation kann die Erreichbarkeit der Berater sowie die Qualität der Beratung verbessert werden - und letztendlich ein Beitrag zur Kundenzufriedenheit geleistet werden. Daneben ergeben sich auch interne Synergieeffekte. Die Mitarbeiter können flexibler arbeiten, unterwegs oder auch zuhause und erhalten so einen zusätzlichen Motivationsanreiz.

Technische Umsetzung der Mobilitäts-Strategie

Zunächst bedarf es der grundsätzlichen Überlegung, welche Rolle Mobilität innerhalb des Unternehmens einnimmt und wie sich diese Rolle in den nächsten Jahren verändern wird. Auf welche Mobilitäts-Strategie setzt das Unternehmen? Die zweite wichtige Entscheidung: Darf der Mitarbeiter sein eigenes privates Gerät beruflich verwenden oder werden firmeneigene Mobilgeräte genutzt und neu angeschafft?

Da die zweite Variante in punkto Sicherheit weniger Risiken birgt, ist sie im Finanzbereich beliebter. Eine Festlegung auf ein Betriebssystem (iOS, Android oder Windows) erleichtert die weitere Umsetzung.

Organisatorisches Vorgehen

In der frühen Planungsphase einer MDM-Lösung liegt das Augenmerk meist auf der Technik und ein anderer wichtiger Aspekt wird oft vernachlässigt: die organisatorische Planung. Ein wichtiger Akteur ist der Betriebsrat, den es zu einem möglichst frühen Zeitpunkt mit in den Prozess einzubeziehen gilt. Denn der Betriebsrat achtet genau darauf, ob die Work-Life-Balance und Mitarbeiterschutz noch gewährleistet werden können, wenn die Mitarbeiter potentiell ständig erreichbar sind.

Regelungen zur Nutzung des mobilen Gerätes, Pflichten und Rechte von Arbeitnehmern und Arbeitgebern sollten in der Nutzungsvereinbarung festgehalten werden. Weitere Bestandteile der Nutzungsvereinbarung sind geldwerte Vorteile - die Nutzung ist für einen bestimmten Zeitraum gestattet, Eigentümer bleibt allerdings das Unternehmen - sowie das Fernmeldegeheimnis. Dies ist relevant, da bei erlaubter Privatnutzung des Mobilgeräts die Einwilligung des Mitarbeiters notwendig ist, dass der Arbeitgeber beispielsweise auf der Telefonrechnung den Einzelverbindungsnachweis mit privat gewählten Telefonnummern einsehen könnte.

Ein besonderer Fokus auf organisatorische Seite gilt dem Datenschutz. Schließlich sind auf dem Gerät liegende, personenbezogene Daten dem potentiellen Zugriff des Arbeitgebers ausgesetzt. Personal-, Rechts-, IT-Abteilung und Betriebsrat müssen vorab einen Konsens finden, wie mit dieser Problematik umgegangen werden soll.

Ein weiterer Punkt, den man nicht unterschätzen darf: Wenn das Finanzunternehmen die mobilen Geräte selbst auswählt, ist eine Mitarbeiterschulung unverzichtbar. Gerade langjährige Mitarbeiter sind es oft nicht gewöhnt, mit Touchscreens und den vielen verschiedenen Applikationen eines Smartphones umzugehen. Die Sorgen der Mitarbeiter müssen auf jeden Fall ernst genommen werden und gerade in der Anfangszeit sollte ein Mitarbeiter für Support und Fragen zur Verfügung stehen.

Sicherheit von Daten und Geräten garantieren

Sicherheit, Kontrolle und Compliance sind die Schlagwörter im hochsensiblen Finanzumfeld. Ein ganzheitliches Sicherheitskonzept fußt auf einer mehrschichtigen MDM-Lösung, die in der Regel als Software as a Service (SaaS) angeboten wird. Auf der untersten Ebene geht es um die Verwaltung des Geräts, darüber folgt das Management der Daten und schließlich die Überwachung der Geräte-Nutzung. Die Durchsetzung der unternehmens- und branchenspezifischen Sicherheitsrichtlinien für sämtliche mobilen Endgeräte, die für das Unternehmen im Einsatz sind, ist das Ziel. Die granulare Einstellung der Geräte basierend auf MDM erlaubt eine Trennung von geschäftlichen und privaten Anwendungen und stellt damit die Durchsetzung der Datenschutzrichtlinien sicher.

Natürlich müssen die vertraulichen Unternehmensdaten auf den mobilen Geräten verschlüsselt abgelegt werden. Die Verschlüsselung basiert auf anerkannten Standards für die Anforderungen der Finanzbranche, die für den zuverlässigen und transparenten Schutz der Daten sorgen. Mit Hilfe der MDM-Lösung können Daten kontrolliert gelöscht werden, wie zum Beispiel Unternehmens-E-Mails, PIM (Personal Information Manager)-Daten oder App-Profile, um die Abgrenzung von den Unternehmensdaten sicherzustellen.

Verschiedene Nutzerrollen, z. B. für Geschäftsführung, Marketing und Vertrieb, Controlling oder IT können angelegt und die entsprechenden Zugriffsrechte individuell angepasst werden. Sicherheitssperren können festgelegt und konfiguriert werden, wie z. B. die Sperrung von Kamera, iTunes, die Installation bestimmter Apps und Browser oder die Nutzung von WLAN oder Bluetooth. Jailbreaks oder Rootkits erkennt MDM sofort. Per Echtzeitüberwachung werden Policy-Vorgaben zu jedem Zeitpunkt überwacht - gerade beim Arbeiten mit kritischen Datensätzen wie personenbezogenen Daten, Kontodaten und anderen vertraulichen Informationen eine absolute Notwendigkeit. Die Sicherheitsansprüche der Finanzbranche erfordern mehr als nur die normale vierstellige Zugangs-PIN auf dem Endgerät: ein Passwort oder eine mindestens sechsstellige PIN ist unumgänglich. Zum Thema Passwort empfehlen sich die "Sicherer IT-Betrieb" (SITB)-Richtlinien, ein Produkt der Sparkassen-Gruppe.

Zusätzliche Sicherheit bieten Security Token wie sie RSA und andere Hersteller sie anbieten. Für einen absolut sicheren, rollenbasierten Datenaustausch hochsensibler Dokumente empfiehlt sich die Einrichtung eines Secure Data Rooms. Dieser ist vollständig isoliert und durch multiple Sicherheitsstandards vor unbefugten Zugriffen gesichert. Dem Secure Data Room sind Rollenrechte hinterlegt, so dass bestimmte, authentifizierte Nutzergruppen auf diesen Raum zugreifen können. So lässt sich z. B. für die Vorstandsebene ein Secure Data Room anlegen, in dem Geschäftsberichte und Verträge abgelegt und - je nach erlaubten Bearbeitungsstufen - eingesehen oder auch bearbeitet werden können.

Der Umgang mit Apps

Ein erheblicher Risikofaktor für Unternehmensdaten sind Apps. Die Wachstumsraten des App-Marktes sind gigantisch - mittlerweile gibt es weltweit etwa eine Milliarde App-Nutzer, mit steigender Tendenz. Unmöglich für Unternehmen, das alles kontrollieren zu wollen! Eine gute Möglichkeit ist daher ein "Corporate App Store" mit ausgewählten, geprüften Applikationen, die vom Unternehmen vorgegeben und installiert werden. Dies kann jedoch für die Mitarbeiter unbefriedigend sein, wenn sie Apps, die sie privat nutzen nicht im Corporate App Store wieder finden. Eine Alternative bietet das "White Listing", bei dem das Unternehmen eine Liste der zugelassenen Apps zusammenstellt.

Revisionssichere Mandantentrennung

Eine weitere Anforderung an eine MDM-Lösung für den Finanzbereich ist eine revisionssichere Mandantentrennung beim Provider. Die Trennung darf nicht nur auf Dashboard-Ebene erfolgen, sondern komplett bis auf Datenbank-Ebene reichen - eine wichtige Anforderung, da die Kunden in keinem Fall gegenseitigen Einblick in Daten oder Benutzerverwaltung erhalten dürfen. So empfehlen Experten bei Finanz Informatik Technologie Service (FI-TS): "Da MDM für die meisten Finanzhäuser aktuell noch Neuland ist, sollten diese besonders in die organisatorische und technische Begleitung solcher Lösungen eingebunden werden. "

Werden die notwendigen Schritte der operativen Unterstützung und technischen Umsetzung unter frühzeitiger Einbindung aller Beteiligten aus Technik und Organisation gleichzeitig angestoßen, steht einer MDM-Lösung, die auf einer breiten Vertrauensbasis zwischen Arbeitgeber- und Arbeitnehmerseite fußt, nichts im Wege. Die Nutzung mobiler Endgeräte wird in den kommenden Jahren wesentlich zunehmen -sowohl beruflich als auch privat. Und mit einer an ihre Bedürfnisse angepasste MDM-Lösung sind Finanzunternehmen gut auf die Herausforderungen von heute und morgen vorbereitet.