MobileIron: Sichere Verwaltung von Android-Geräten

In vielen Unternehmen nutzen Mitarbeiter ihre privaten mobilen Geräte. Unternehmen, die dieser Szenario erlauben, sollten sich Gedanken über eine leistungsfähige Enterprise Mobility Management Suite machen. Nur damit lassen sich Unternehmensdaten gegen nicht autorisierten Zugriff absichern.

Mitarbeitern die Erlaubnis für die Nutzung ihrer privaten Geräte zu erteilen, greift in immer mehr Unternehmen um sich. Laut einer von NetMediaEurope dieses Jahr durchgeführten Studie erlauben dies mehr als 60 Prozent der befragten Unternehmen. Dadurch versprechen sich die Firmen eine höhere Produktivität ihrer Mitarbeiter.

Mitarbeitern die Erlaubnis für die Nutzung ihrer privaten Geräte zu erteilen, greift in immer mehr Unternehmen um sich. Laut einer von NetMediaEurope dieses Jahr durchgeführten Studie erlauben dies mehr als 60 Prozent der befragten Unternehmen. Dadurch versprechen sich die Firmen eine höhere Produktivität ihrer Mitarbeiter.

Allerdings sehen viele Firmen auch Gefahren durch den BYOD-Einsatz. Viele befürchten, dass dadurch ein nicht-autorisierter Zugriff auf Firmendaten ermöglicht wird. Bei nicht verwalteten Geräte ist diese Gefahr nicht von der Hand zu weisen. Moderne Enterprise Mobility Management (EMM) Lösungen tragen dem Rechnung. Damit wird sichergestellt, dass keine wichtigen Daten des Unternehmens durch unsichere Apps, nicht gesicherte Smartphones oder Tablets oder unbedachten Anwendern verloren gehen.

Dabei sind zwei unterschiedliche Ziele zu vereinbaren. Auf der einen Seite möchten Anwender ihr privates Smartphone oder Tablet möglichst uneingeschränkt nutzen, während IT-Manager dazu neigen, diese Nutzung so einzuschränken, dass die Gefahr eines unautorisierten Zugriffs auf sensible Unternehmensdaten möglichst minimiert wird. Da kann es schnell passieren, dass der Anwender sein mobiles Gerät wegen allzu starken Einschränkungen nicht mehr nutzt, sodass die Produktivitätssteigerung durch BYOD dahin ist.

Es gilt also eine Balance zu finden, zwischen möglichst komfortabler Nutzung des Geräts bei gleichzeitiger Absicherung kritischer Unternehmensressourcen. Moderne EMM-Suites bieten in Verbindung mobilen Endgeräten genau dies. Ein solches Beispiel ist MobileIron.

Android for Work – Smartphones/Tablets im ByoD-Umfeld

Android ist der unbestrittene Marktführer auf dem Smartphone-Markt. Daher müssen Unternehmen, die Anwendern das Recht erteilen, mit dem privaten Smartphone auf Unternehmensdaten zuzugreifen, auch diese Plattform einbinden. Sicherheitstechnisch stellt Android wegen seines sehr offenen Ansatzes durchaus eine Herausforderung für Administratoren dar. MobileIron arbeitet daher seit Jahren mit Google zusammen, um Android im Unternehmensumfeld sicherer betreiben zu können.

Für Android steht ab Version 4 die Zusatzsoftware „Android For Work“ zur Verfügung. Mit Android 5 wurde diese Funktion deutlich verbessert, da neben einer App für die Anbindung an Unternehmensdaten, auch ein ganzes Benutzerprofil erstellt werden kann. Auch in Android 6 wird diese Technik weiterhin eingesetzt und noch ausgebaut.

Ab Android 5, auch in Android 6 lassen sich ganze Benutzerprofile erstellen. Das funktioniert  wesentlich besser als mit Android 4 (Screenshot: Thomas Joos).Ab Android 5, auch in Android 6 lassen sich ganze Benutzerprofile erstellen. Das funktioniert  wesentlich besser als mit Android 4 (Screenshot: Thomas Joos).

Diese Zusatzsoftware für Android erlaubt es, dass auf entsprechenden Endgeräten Unternehmensdaten von privaten Daten getrennt werden können. Außerdem lassen sich Richtlinien für die Installation von Apps und die Verwendung von Unternehmensdaten erstellen. Verwaltet werden müssen diese Funktionen aber von einer entsprechenden kompatiblen Software mit Enterprise Mobility Management-Funktionen (EMM).

MobileIron mit Android for Work einsetzen

Das EMM-System, beispielsweise MobileIron, stellt Unternehmens-Apps mit einem speziellen Profil auf Basis von Android for Work zur Verfügung. Werden noch Geräte mit Android 4 eingesetzt, installiert das System eine entsprechende App, da ältere Android-Versionen noch keine Benutzerprofile unterstützen. Ab Android 5 und auch in Android 6 lassen sich zusätzlich noch eigene Benutzerprofile und Benutzereinstellungen erstellen, ähnlich wie bei Desktop-Betriebssystemen.

Die Apps für den Einsatz mit Unternehmensdaten werden in Container abgeschottet und auf diesem Weg sicher betrieben. Die Richtlinien für die Verwendung der Apps erstellen Administratoren in der Verwaltungskonsole von MobileIron. Nachdem die Richtlinien erstellt sind, werden diese auf die Endgeräte übertragen und angewendet. Auf Basis der erstellten Richtlinie wird in Android ein neues Profil erstellt, mit dem EMM-System verbunden und auf diese Weise abgesichert.

Mobiles Anwendungsmanagement (MAM) – Das sind die Funktionen

MobileIron bietet außerdem ein Mobiles Anwendungsmangement (MAM), womit Apps auf den Android-Geräten installiert, aber auch wieder entfernt werden können, wenn ein Anwender eine Anwendungen nicht mehr benötigt oder das Unternehmen verlässt. Dabei kann MAM das Portal für die Installation der Apps verwalten, die Installation durchführen, Benutzer authentifizieren, Apps von privaten Daten und anderen Apps trennen und die Apps auch wieder deinstallieren. Auch für die sichere Kommunikation zwischen den Apps wird gesorgt.

Der MobileIron-Client Mobile@Work installiert dazu zusammen mit MobileIron Core Apps@Work eine Erweiterung für Unternehmensanwendungen. Mit dieser können Anwender selbst nach Apps suchen und diese installieren. Welche Apps die Anwender im Unternehmenseigenen Store sehen, hängt von der Rolle des Endbenutzers ab. Administratoren können die Installation von Apps auf Basis der Rolle aber auch mit Mobil@Work automatisieren. Auf diesem Weg lassen sich einzelnen Anwendern oder einer Gruppe eine Sammlung von Apps zuweisen. Administratoren können die Umgebung dabei so konfigurieren, dass Anwender nur mit Unternehmens-Apps auf Firmendaten zugreifen können.

Außerdem kann festgelegt werden, dass diese Apps Teil des sicheren MobileIron-Containers sein müssen. So können Administratoren genau steuern, wo und in welcher App Unternehmensdaten verwendet werden dürfen. Die Nutzung der Apps und Daten lässt sich überwachen und Berichte können Statistiken zur Verwendung erstellen. Die privaten Daten der Anwender bleiben davon natürlich unberührt.

 

Mit MobileIron sichern Unternehmen die Apps auf den Smartphones/Tablets ab. Die verwalteten Apps lassen sich in eigenen Containern betreiben (Screenshot: MobilIron)Mit MobileIron sichern Unternehmen die Apps auf den Smartphones/Tablets ab. Die verwalteten Apps lassen sich in eigenen Containern betreiben (Screenshot: MobileIron)

 

Apps und Daten in Container betreiben mit AppConnect

MobileIron AppConnect speichert Apps in jeweils eigenen Containern. Dabei lassen sich wichtige Daten absichern und vor Verlust oder Datenklau schützen. Administratoren können steuern, welche Apps sie mit AppConnect-Wrapper in Container kapseln. Im Container werden die Daten verschlüsselt. Die Kapselung von Daten und Apps lassen sich jederzeit wieder rückgängig machen, ohne dass Daten oder Einstellungen der Apps verloren gehen. Der Container stellt also eine komplett abgesicherte Umgebung für Apps und deren Daten dar.

In komplexeren Umgebungen, bei denen Apps Daten untereinander austauschen müssen, lassen sich mehrere sichere Container miteinander verbinden. Haben Administratoren mehrere Container über AppConnect verbunden, können die Apps in diesen Containern Daten untereinander austauschen und miteinander kommunizieren. Dies ermöglicht die gemeinsame Nutzung von Richtlinien und SSO-Szenarien. Alle App-Container sind dazu mit der zentralen Richtlinienverwaltung in MobileIron verbunden. Auf Basis von Richtlinien lassen sich DLP-Richtlinien festlegen. Über diese können Administratoren die Berechtigung zum Kopieren/Einfügen, Drucken oder Öffnen von Dateien steuern. Dadurch lässt sich zum Beispiel verhindern, dass sensible Daten den Container nicht verlassen können.

Sind für Apps Anmeldedaten notwendig, können Administratoren über AppConnect auch Single-Sign-On-Szenarien umsetzen. Anwender müssen sich in einem solchen Szenario nicht mehrmals an Apps anmelden, um auf Daten zuzugreifen, sondern nur noch einmal. Die Anmeldedaten werden zwischen den Containern synchronisiert, sodass von jeder App auf die gesicherten Unternehmensdaten zugegriffen werden kann.

AppConnect besteht aus vier Elementen, welche die Verteilung, Absicherung und Verwendung von mobilen Apps steuern:

AppConnect Config – Mit diesem Element werden die Anwendungen auf den Endgeräten bereitgestellt, konfiguriert und überwacht. AppConnect Config stellt das Zentrum der Bereitstellung von Apps über MAM mit MobileIron dar.

AppConnect Security – Mit diesem Element können Administratoren Authentifizierungen steuern, Apps vor Angriffen schützen und Richtlinien erstellen, welche die Apps weiter absichern. Administratoren können das Speichern oder Verwenden von Daten auf Basis der Gerätesicherheit.

AppTunnel – Das Element tunnelt den Datenverkehr zwischen einzelnen Apps und dem Unternehmensnetzwerk. Auch bei der Verbindung über das Internet ist kein weiteres VPN notwendig, alle notwendigen Verbindungen steuert AppTunnel.

App Ecosystem – Dabei handelt es sich um eine Sammlung von Unternehmens-Apps, welche die AppConnect-Technik unterstützen. Über ein SDK lassen sich auch selbst entwickelte Apps für AppConnect optimieren.

AppConnect bietet Unterstützung für zahlreiche Apps, auch ein eigener E-Mail-Client für die sichere Kommunikation zum E-Mail-Server steht zur Verfügung (Screenshot: MobileIron).

Daten selektiv löschen – Unternehmendaten vor Missbrauch schützen

Mit AppConnect können Administratoren auch selektives sicheres Löschen durchführen. Dabei lassen sich Unternehmensdaten remote löschen, ohne dass private Apps davon beeinträchtigt werden. Auch die privaten Daten werden nicht gelöscht.

Sinnvoll ist das zum Beispiel, wenn ein Anwender das Unternehmen verlässt, aber sein privates Smartphone angebunden hat, und auch noch Daten auf dem Endgerät speichert. Durch das Remotelöschen werden alle Unternehmensdaten zuverlässig entfernt, ohne dass der Anwender das verhindern kann, es bestätigen muss, oder Daten an anderen Stellen speichern kann. Auch die Unternehmens-Apps lassen sich auf diesem Weg zuverlässig entfernen.

Die Möglichkeit Daten selektiv zu löschen, spielt vor allem im Mobile Application Management-Infrastrukturen und Mobile Content Management-Infrastrukturen eine wichtige Rolle. Denn gerade hier ist der Daten- und App-Bestand auf Smartphones und Tablets der Anwender sehr fließend. Administratoren müssen in der Lage sein schnell und einfach wichtige Unternehmensdaten von den Geräten der Anwender zu löschen.

AppTunnel – Unternehmensdaten gesichert zum Smartphone/Tablet übertragen

Eine wichtige Funktion für den Einsatz von AppConnect ist AppTunnel. Diese Technik sorgt dafür, dass Unternehmensdaten gesichert zu den Endgeräten übertragen werden können. AppTunnel sichert die Datenübertragung vom Unternehmensnetzwerk zu jeder einzelnen App separat, die mit AppConnect in einem Container betrieben wird. Die Verbindung kann auch über das Internet erfolgen, Unternehmen benötigen für den Einsatz keinerlei weitere VPN-Produkte. Die Grundlage bildet die MobileIron Sentry-Technologie. Verbindungen der Apps lassen sich mit auf Zertifikaten basierende Authentifizierung herstellen. Das verhindert Man-in-the-Middle-Angriffe. Außerdem unterstützt die Technologie Regeln zur Zugriffskontrolle. Der Netzwerkzugriff kann blockiert werden, wenn die Sicherheit der App gefährdet ist.

Natürlich können Unternehmen mit MAM auch VPN-Produkte von Drittherstellern nutzen. Allerdings besteht beim Einsatz von VPN-Produkten das Problem, dass bei der Verbindung zum Unternehmen das komplette Smartphone/Tablet mit allem installierten Apps Zugriff auf das Unternehmen haben. Hier entstehen einige Sicherheitslücken. Außerdem muss beim Einsatz weiterer VPN-Produkte auch noch eine App auf den Geräten installiert, verwaltet und von Anwendern bedient werden. Das verkompliziert die Anbindung in vielen Fällen unnötig und stellt eine weitere Fehlerquelle dar. AppConnect kann sehr dediziert den Zugriff für einzelne Apps steuern. Alle anderen Apps sind vom Zugriff einer einzelnen App ausgesperrt.

Vor allem bei Bring-Your-Own-Device (BYOD)-Ansätzen wollen Administratoren verhindern, dass private Apps auf den Endgeräten der Anwender Zugriff auf das Unternehmensnetzwerk nehmen dürfen. Hier kann AppConnect sehr genau differenzieren. Die Lösung kann sehr flexibel steuern welche Apps auf welche Daten im Unternehmen zugreifen dürfen, und welcher Zugriff dabei erlaubt ist. Der Zugriff ist für Anwender vollständig transparent. Die Anwender müssen keine Konfiguration vornehmen, sondern die durch AppTunnel geschützte App genauso öffnen, wie jede andere App. Der Schutz wird im Vorfeld durch Administratoren konfiguriert. Anwender selbst bekommen von der Konfiguration nichts mit. Entwickeln Unternehmen eigene Apps, lassen sich diese durch das SDK von MobileIron für die Verwendung von AppTunnel und AppConnect anpassen.

Durch die neuen Prozesse und das Android 5.0-Profil für Android for Work können IT-Manager außerdem jede App im Google Play Store in einem sicheren Android Container bereitstellen, ohne dass eine zusätzliche Kapselung erforderlich ist.

Hybrid Web App Support mit MobileIron

AppConnect unterstützt auch Hybrid Web Apps, die auf Basis verschiedener Programmiersprachen entwickelt wurden. Unternehmen können Webansichten auf Basis von Java, HTML und CSS über AppConnect absichern. Auch Apps auf Basis von Android oder iOS können Hybrid Web Apps nutzen. Die Apps können mit AppTunnel Zugriff auf die Daten im Unternehmen erhalten. Neben der Anbindung an verschiedene Authentifizierungsmechanismen, können Unternehmen die Authentifizierung auch auf Basis von Zertifikaten vornehmen. Darüber hinaus besteht die Möglichkeit die Authentifizierung mit Active Directory-Umgebungen vorzunehmen. Die entwickelten Apps lassen sich problemlos zu Android und iOS portieren.

Client-Anbindung: MobileIron-App nutzen

Die Anbindung an die MobileIron-Infrastruktur erfolgt auch im Bereich des Anwendungsmanagements über eine App, die Anwender kostenlos vom jeweiligen Store herunterladen können. Die Anmeldung erfolgt über die E-Mail-Adresse, die in MobileIron hinterlegt ist.

Sobald die Anbindung erfolgt ist, werden die notwendigen Richtlinien und Einstellungen übertragen. Wurden bereits E-Mail-Konten auf dem Endgerät konfiguriert, sichert MobileIron diese ab. Auch die Dateianlagen in E-Mails werden durch MobileIron geschützt und in einem gesicherten Container mit einer gesicherten Viewer-App geöffnet. MobileIron bietet mit E-Mail+ aber auch eine eigene, sichere E-Mail-App für Android und iOS an.

Die Konfiguration dazu lässt sich über Richtlinien vorgeben. Enthalten E-Mails einen Link zu einer Internetseite, verwenden mit MobileIron verwaltete Geräte einen gesicherten Browser. Durch die Installation des Clients werden auch Samsung Knox-Sicherheitsfunktionen in MobileIron integriert.

Für die Fernwartung von Endgeräten lässt sich, ab Version 8 der App, auch TeamViewer Remote Control nutzen. Teamviewer und MobileIron sind aus diesem Grund eine Kooperation eingegangen. Anwender können mit Helpdesk-Mitarbeitern den Bildschirm teilen. Außerdem erlauben MobileIron gesicherte Geräte die Anmeldung per Fingerabdruck, auch für Samsung Knox Container.

Sobald die App installiert und eingerichtet ist, lassen sich auch Daten aus SharePoint nutzen, oder Telefonate über Skype for Business 2015 (ehemals Lync) führen. Auch andere Businessanwendungen werden problemlos unterstützt und lassen sich auch in Container absichern.

Probleme bei der Anbindung in Bring-Your-Own-Device-Ansätzen berücksichtigen

Auch wenn die Anbindung von MobileIron in Bring-Your-Own-Device-Ansätzen sehr oft problemlos funktioniert, kann es in Verbindung mit privaten Apps teilweise Schwierigkeiten geben. Der Akkuverbrauch von Smartphones, die mit MobileIron angebunden sind, kann höher ausfallen. Aus diesem Grund sollten Unternehmen vor dem produktiven Einsatz die Umgebung grundlegend testen, am besten für verschiedene Endgeräte.

Auch wenn die Absicherung von mobilen Endgeräten transparent für Anwender stattfindet und private Apps nicht beeinträchtigt werden, ist klar, dass es zu Problemen kommen kann, wenn zahlreiche Apps mit unterschiedlichen Versionen und verschiedenen Smartphones im Einsatz sind. Hier gilt abzuwägen, ob die sichere Arbeit im Vordergrund steht oder das Vermeiden von Problemen für private Apps. Teilweise kann es in solchen Infrastrukturen auch sinnvoll sein, den Anwendern eigene Geräte des Unternehmens zur Verfügung zu stellen, deren installierte Apps optimal mit MobileIron zusammen funktionieren.

 

Fazit

Neben der Sicherheit von Endgeräten spielt bei der Anbindung von mobilen Endgeräten in die Unternehmensinfrastruktur auch die Verwaltung von Apps eine zentrale Rolle. Administratoren müssen immer Kontrolle darüber haben, welche Unternehmens-Apps Anwender nutzen dürfen und auf welche Daten dabei zugegriffen wird.

Der Datenzugriff muss sicher sein, aber für Anwender transparent. Außerdem müssen Unternehmens-Apps Daten untereinander austauschen können. In dieser Hinsicht sticht MobileIron besonders hervor und erlaubt sowohl die sichere Konfiguration von Endgeräten, als auch die Verteilung und Absicherung von Apps.

Vor allem die Container-Technologie, die Zusammenarbeit der verschiedenen Container und der Datenaustausch, sowie die Möglichkeit, Daten selektiv zu löschen, sind enorm wichtige Funktionen, die ein MDM-System heute mitbringen muss.

Auch wenn Android mit der Erweiterung Android for Work eine für Unternehmen wichtige Eigenschaft zur Verwaltung und Absicherung mobiler Geräte mitbringt, sollten Admins den Einsatz zusätzlicher Verfahren zur Erhöhung der App-Sicherheit wie MobileIron AppConnect oder Samsung Knox – oder beides – erwägen.

Themenseiten: Android, Apple, BYOD by MobileIron, MobileIron

Artikel empfehlen: