MDM für Profis
Wie Sie eine sichere ByoD-Strategie durchsetzen
Viele Security-Verantwortliche bestätigen, dass die mobilen Endgeräte bisher nicht in die IT-Sicherheitskonzepte einbezogen wurden. Weil sich im Umgang mit den Devices zudem täglich etwas ändert, was Plattformen, Features und Anwendungen angeht, steigt das Risiko für Datenverluste in hohem Maße. Durch den Bring-your-own-Device-Trend (ByoD) und damit mehr und mehr Fremdgeräten in den Unternehmensnetzwerken ist die Notwendigkeit für ein ganzheitliches Sicherheitskonzept sogar noch gestiegen.
Grenzen der MDM-Systeme
Die üblichen Lösungen für das Mobile Device Management (MDM) zielen ähnlich wie das Management der stationären Clients vornehmlich darauf ab, beispielsweise ein Rollout der mobilen Endgeräte effizient durchzuführen, die notwendigen Konfigurationen von Anwendungen, Diensten und Funktionen sicherzustellen oder eine automatische Softwareverteilung vorzunehmen. Selbstverständlich bilden die MDM-Lösungen auch verschiedene Sicherheitsfunktionen ab, wie etwa das Aufspüren verloren gegangener Devices oder die Steuerung benutzerspezifische Sicherheitsregeln.
Solche MDM-Konzepte bieten im Regelfall jedoch keine Antwort darauf, wie mit SmartphonesSmartphones, TabletsTablets und anderen mobilen Endgeräten von internen oder externen Mitarbeitern umzugehen ist, auf denen keine Firmensoftware installiert werden darf oder kann, die für das Management jedoch zwingend notwendig ist. Alles zu Smartphones auf CIO.de Alles zu Tablets auf CIO.de
Netzzugang mit eigenem Kanal
Einen Security-Baustein für ByoD-Strategien, zumal vergleichsweise einfach zu realisieren, stellt hingegen eine Kombination aus einer Network-Access-Control-Lösung (NAC) und einem Intrusion Prevention System (IPS) dar. In ihrem Zusammenspiel lässt sich gewährleisten, dass Fremdgeräte über einen separaten, gesicherten Kanal kontrolliert in das Unternehmensnetz gelangen.
Das Ziel von NAC-Lösungen besteht grundsätzlich darin, das Netzwerk vor unautorisierten, nicht sicheren Geräten und internen Angriffen unabhängig der Gerätemodelle zu schützen. Dabei bilden sie zwei elementare Sicherheitsfunktionen ab:
-
Authentisierung: Alle Geräte, die einen Zugang zum Netzwerk suchen, müssen sich vorab authentisieren. Dieser Authentisierungsvorgang beinhaltet auch eine Klassifizierung der Endgeräte, um weitergehende Security-Entscheidungen auf Basis des Gerätetyps vornehmen zu können.
-
Autorisierung: Das NAC kann die Zugriffsrechte des Gerätes im Netzwerk entsprechend seiner Klassifizierung steuern. So werden beispielsweise IP-Telefone speziellen virtuellen LANs (VLAN) zugeordnet, wo sie Zugang zur benötigten Infrastruktur haben und aus Sicherheitsgründen vom Datennetz separiert sind. Auch mobile Geräte können Netzwerksegmenten mit geringeren Zugriffsmöglichkeiten zugeordnet werden, da sie grundsätzlich als gefährdeter als stationäre PCs eingeschätzt werden.
Wird in diesen Prüfprozessen ein Gerät als unbekannt identifiziert, löst das NAC einen Alarm aus und leitet bei entsprechender Konfiguration automatisch Gegenmaßnahmen ein, die von der E-Mail an den Administrator bis zur Sperrung des benutzten Switch-Ports reichen können.
- BYOD - CIOs müssen reagieren
Private iPhones und iPads akzeptieren oder aussperren? Über diese Frage zerbrechen sich viele IT-Verantwortliche die Köpfe. Trägt man die Empfehlungen der verschiedenen Analysten zusammen, ergibt sich folgendes Bild: - Tipp 1:
IT-Leiter sollten offen für die Wünsche der Anwender sein. Der Trend zur Consumerisierung lässt sich nicht aufhalten. Nur wer sich darauf einlässt, wird den wachsenden Druck meistern und die Vorteile umsetzen können. - Tipp 2:
Die IT-Organisation sollte eine Strategie ausarbeiten, wie sie ihre Client-Landschaft gestalten will und welche Techniken - etwa Desktop-Virtualisierung - sie dafür benötigt. Wichtig dabei ist auch festzulegen, welche Geräte wozu genutzt werden dürfen. - Tipp 3:
Sicherheit ist ein wichtiges Thema: Doch wer den Gebrauch privater Geräte rigoros zu reglementieren versucht, riskiert im Endeffekt ebenso viele Sicherheitslecks, weil die Devices dann an der IT vorbei ihren Weg ins Unternehmen finden werden. - Tipp 4:
Die Security-Infrastruktur muss in Ordnung sein. Die IT sollte Richtlinien aufstellen, wer auf welche Informationen zugreifen darf. Zudem sollte es Notfallpläne geben, für den Fall, dass Geräte mit sensiblen Daten abhandenkommen. - Tipp 5:
Beweisen Sie Fingerspitzengefühl bei der Definition der Regeln. Wer beispielsweise damit droht, die Geräte in bestimmten Situationen zu beschlagnahmen, treibt die User dazu, die Devices unter dem Radar der IT-Abteilung durchzuschleusen. - Tipp 6:
Angesichts der wachsenden Komplexität rund um neue Endgeräte und Apps empfiehlt Forrester Research, die Verantwortlichkeit für das Management der damit verbundenen Infrastruktur zu bündeln und beispielsweise die Position eines Chief Mobility Officer einzurichten.