Sicherheit bei EMM-Lösungen

ManagementMobileMobile OSSmartphoneTablet

Sicherheit gehört eigentlich in jedem EMM-Funktionsbereich zu den Kernthemen. In diesem Abschnitt geht es um die übergreifenden Sicherheitsfunktionen, die anschließend von Gerät und allen Modulen genutzt werden können.

Sicherheit bei EMM-Lösungen steht bei den Bedürfnissen von Unternehmen heute ganz vorne, denn unsichere Umgebungen kann sich kein professioneller Anwender leisten. Mobile Geräte erschweren den Aufbau sicherer Infrastrukturen mehrfach: sie können auch außerhalb der Firma entwendet oder liegengelassen werden und somit leichter in die Hände von Unbefugten geraten und es gibt es sehr viele unterschiedliche Mobilgerätetypen: von den unzähligen Smartphone-Varianten bis hin zu konventionellen Laptops.

Work- Live-Balance

Kompliziert wird die Situation dadurch, dass viele Mobilsysteme gleichzeitig privat und beruflich genutzt werden. Dann stellt sich die Frage, wie im Falle eines Gerätediebstahls mit dem privaten Gerätebereich, etwa dort gespeicherten Daten oder Adressen, umzugehen ist. Ziel ist immer, Vertraulichkeit (Zugriff haben nur Befugte), Integrität (die Daten können nicht unbefugt verändert werden) und Verfügbarkeit (alle Daten und Anwendungen stehen immer, wenn sie benötigt werden, zur Verfügung) von Daten und Anwendungen sicherzustellen.

Beim Aufbau einer sicheren Infrastruktur gilt es, nach den Regeln des Risikomanagements vorzugehen: Risiken definieren, potentiellen Schaden der Risiken beziffern, Risiken entsprechend priorisieren und dann geeignete Maßnahmen oder Lösungen festlegen. Eine vom EMM unabhängige Grundregel für die Implementierung besteht darin, mobile Devices in einem separaten Netzsegment zu platzieren.

Generell sollte das EMM als Teil der übergreifenden Sicherheitsarchitektur betrachtet werden. Deshalb sollten Unternehmen jede erwogene EMM-Lösung besonders sorgfältig auf ihre Sicherheitsfunktionen prüfen– auch darauf, ob diese mit einer eventuell bereits vorhandenen Sicherheitsinfrastruktur kompatibel sind und/oder  in sie integriert werden können.

Vielfältige Sicherheitsfunktionen

Nun zu den Eigenschaften der evaluierte Produkte. Hier sollte man keinesfalls davon ausgehen, dass die so wichtigen Sicherheitsfunktionen von allen Herstellern vollständig ins Produkt eingebaut wurden. Das gilt auch für die Großen der Branche: Citrix fehlen verschlüsselte Ordner und Malware-Detektion. Good versagt bei Geofencing, Timefencing und Malware-Detektion und nutzt statt mobiler Standard-VPNs eine eigene, patentierte Technologie, was man als Vor- oder auch als Nachteil verstehen kann. IBM hat keine Firewall, keine Multifaktor-Authentisierung und kein Timefencing, Mobileiron fehlen Time- und Geofencing, VMware Firewall und Mobile VPN. Nur ein einziger Hersteller im Feld, nämlich Pretioso, bietet alle abgefragten Funktionen.

Tower One Tarmac hat insgesamt nur eine rudimentäre Ausrüstung mit spezialisierten Sicherheitsfunktionen, weil sich der Hersteller auf die Umsetzung bereits vorhandener iOS-Funktionen in einen EMM für Apple-Endgeräte beschränkt. Die übrigen Anbieter liegen irgendwo dazwischen. Eine Eigentümlichkeit des Kaspersky-Produktes ist, dass viele Funktionen nur für ein oder zwei Betriebssysteme umgesetzt werden.

Sicherer Browser

Einen sicheren Browser liefern bis auf Absolute Software, Sophos, Landesk und Tower One alle evaluierten Produkte mit, Sophos plant ihn  für eine der nächsten Versionen. Bei Symantec gilt er nur für interne Applikationen. Auf die Einrichtung mobiler VPNs für alle oder lediglich spezifische Applikationen muss man bei nur wenigen Herstellern verzichten. Sophos liefert diese Funktion nur für Apple-Endgeräte. Auf eine Firewall muss man bei Apptec, Cortado, Sophos und Tower One verzichten.

Single Sign-on bedeutet, mit nur einem Login-Vorgang alle Funktionen zu aktivieren. Dieses Feature fehlt bei sechs Anbietern. Nur etwa die Hälfte der Anbieter beherrschen die Multifaktor-Authentisierung, also beispielsweise per Passwort und Dongle. Cortado wird sie in einer der nächsten Versionen unterstützen.

Der Nutzen von Black- und Whitelists ist wegen der schnellen Veränderungen im Internet nicht unumstritten. Bei manchen Herstellern wird eine solche Lösung optional zusammen mit einem Dienstleister angeboten, der das Web regelmäßig auf nicht vertrauenswürdige Websites überprüft und diese auf die Blacklist stellt. Diesen Weg gehen beispielsweise 7 Principles und Pretioso. Der Spezialanbieter Excitor realisiert dies wie auch viele andere Funktionen mit Hilfe des Partners Soti. Im übrigens ist die Funktion bei jedem bis auf Tower One vorhanden.

DLP (Data Leak/Data Loss Prevention) bedeutet den Schutz vor unbemerkten Datenabflüssen. Dafür werden verschiedene Technologien verwendet. Entsprechende Funktionen haben alle Systeme bis auf sechs, und zwar auch für Mail-Anhänge. Sophos plant die Umsetzung.

Rootzugriff

Eine besonders wichtige Funktion, nämlich festzustellen, ob unbefugt auf Root- oder sonstige geschützte Funktionen in einem Mobilgerät zugegriffen wird, können außer Tower One alle Lösungen feststellen.

Verschlüsselung sorgt dafür, dass auch Geräte, die in fremde Hände geraten, keine Informationen preisgeben. Das gesamte Gerät können alle Lösungen bis auf Tower One verschlüsseln, Excitor wiederum über Soti. Einige Lösungen sind dabei auf bestimmte Handy-Betriebssystemtypen beschränkt.

Nicht so selbstverständlich ist, dass nur einzelne Ordner verschlüsselt werden können, obwohl dies für den Anwender durchaus praktisch sein kann. Wenn Dateien ohnehin in einem verschlüsselten Container liegen, wie etwa bei Citrix, ist das allerdings unnötig. Neun Systeme bieten die Funktion nicht an, die meisten haben einen Container im Funktionsumfang. Die Verschlüsselung von Mail-Texten beherrschen sieben Lösungen nicht.

Geo- und Timefencing

Zwei relativ neue Komfortfunktionen sind Geo- und Timefencing: Geofencing bedeutet, dass das Gerät nur innerhalb vordefinierter geografischer Zonen funktioniert. Wer also horrende Mobiltelefonrechnungen seiner Mitarbeiter wegen deren Reisetätigkeit verhindern oder unerlaubte Zugriffe in Ländern, die durch ihre aktive Spionagetätigkeit bekannt sind, kann diese mit Geofencing einfach aus dem Betriebsbereich ausschließen. Dasselbe gilt für die Nutzungszeit (Timefencing): Will beispielsweise ein Unternehmen sicherstellen, dass seine Mitarbeiter nach 20 Uhr nicht mehr mobil telefonieren, kann es das Smartphone ab 20 Uhr abends regelmäßig deaktivieren. Die beiden Funktionen bieten derzeit Citrix, Absolut, SAP, Pretioso und VMware an, geplant sind sie bei Apptec und Cortado. Geofencing ist zudem bei IBM, Landesk und Soti möglich.

Malware können sechs Lösungen nicht detektieren. Bei dieser Aufgabe arbeitet Pretioso mit einem externen Dienstleister zusammen, Excitor mit Soti.

Übersicht über mobile Sicherheitsfunktionen von Enterprise Mobility Management Lösungen verschiedener Hersteller. (Grafik: A. Rüdiger/silicon.de)