Unternehmen, die ihre Mitarbeiter mit Mobilgeräten ausstatten, sollten einem Aspekt im Geräte-Lebenszyklus besondere Aufmerksamkeit schenken: Nicht selten gehen Smartphones oder Tablets verloren, ohne dass sie jemals wiederauftauchen. Wie Sie diesem Risiko bereits bei der Beschaffung der Hardware und der Umsetzung Ihrer MDM-Strategie (Mobile Device Management) ausreichend Beachtung schenken und die Sicherheit auf dem Gerät befindlicher Daten wahren, erfahren Sie in diesem Artikel.
Smartphones und Tablets drängen mehr und mehr in bestehende Arbeitsprozesse und eröffnen ganz neue Möglichkeiten im Arbeitsalltag. Mit ihnen kommen jedoch auch große Herausforderungen auf Unternehmen zu, die neben der technischen Umsetzung viele administrative und organisatorische Prozesse betreffen. Dies beginnt schon bei der Beschaffung der Geräte, geht weiter über die Verteilung, den Austausch und die Rücknahme der mobilen Devices.
Neben dem rein finanziellen Schaden, der durch das Abhandenkommen von Hardware entsteht, hat das Unternehmen mögliche Ausfallzeiten des Mitarbeiters, Wiederbeschaffungskosten und nicht zuletzt potentiell immaterielle Schäden durch den Verlust auf dem Gerät befindlicher Daten zu verbuchen.
MDM-Tipp 1: Auf Geräte mit Find-Device-Funktionen setzen
Die Möglichkeit, abhandengekommene Geräte wiederzufinden, aus der Ferne zu sperren und Daten zu löschen, sollte aus Unternehmenssicht bereits bei der Geräteauswahl höchste Priorität haben. Die beiden Branchenriesen Apple und Google bieten auf ihren Plattformen mit den Diensten Find My iPhone bzw. Find My Device umfangreiche Möglichkeiten.
iOS- und Android-Nutzer können sich etwa den aktuellen Standort des gesuchten Gerätes anzeigen lassen, Inhalte entfernen und alle Einstellungen zurücksetzen. Vorausgesetzt, sie haben zuvor die Einrichtung eines Google- bzw. iCloud-Accounts auf dem jeweiligen Gerät vorgenommen und den Dienst zum Finden des Gerätes aktiviert.
Im Unternehmenskontext ist das Vorhandensein eines Google- oder iCloud-Accounts nicht unbedingt vorauszusetzen. Außerdem sollte die Einrichtung dieser Dienste nicht einzig und allein in Mitarbeiterhänden liegen. Dies kann durch den Einsatz eines Mobile-Device-Management-Systems gelöst werden.
MDM-Tipp 2: Geräte im voll-verwalteten Modus betreiben
Unternehmen, die ein MDM-System einsetzen, können über die Find-Device-Funktionen hinaus von weiteren iOS- und Android-eigenen Sicherheitsfunktionen profitieren. Einzige Voraussetzung auf beiden Plattformen ist dabei immer der Einsatz von voll-verwalteten Geräten, die in einem COBO (Corporate-Owned Business-Only) oder COPE (Corporate-Owned Personally-Enabled)-Szenario eingebunden werden.
Für iOS-Geräte bedeutet dies, Smartphones und Tablets nur im Supervised Mode zu betreiben. Android-Geräte müssen in den Fully Managed Mode (auch Work Managed Device) versetzt werden. Eine Einbindung in Ihr MDM-System verlangt hierbei die Einrichtung bereits bei der ersten Inbetriebnahme der Geräte.
MDM-Tipp 3: Trennung von privaten und geschäftlichen Daten für BYOD-Geräte sicherstellen
Bei dem Verlust von BYOD (Bring Your Own Device)-Geräten, also privaten Geräten im geschäftlichen Gebrauch, sollte unverzüglich der geschäftliche Bereich auf dem betreffenden Device aus der Ferne gelöscht werden. Voraussetzung hierfür ist die Trennung geschäftlicher und privater Daten auf den Geräten.
Für iPads und iPhones kann diese Trennung über einen nativen Business Container realisiert werden. Android hingegen bietet für diesen Zweck ein separates Arbeitsprofil. Die Wiederbeschaffung privater Mobilgeräte ist dann aber nicht die Aufgabe des Unternehmens.
MDM-Tipp 4: Lost-Mode-Unterstützung für Android prüfen
Unter iOS kann bei Verlust eines voll-verwalteten Gerätes der sogenannte Lost Mode jederzeit MDM-seitig aktiviert werden. Dieser sperrt das Gerät dann ähnlich dem zuvor beschriebenen Find My iPhone-Feature. Wichtiger Unterschied ist jedoch, dass das Gerät nur über die MDM-Konsole wieder entsperrt werden kann. Auch das Entsperren durch die Eingabe einer PIN, wie beim Find My iPhone Feature möglich, ist nicht vorgesehen.
Lediglich im Lost Mode ist es bei Einsatz eines MDM-Systems auch möglich, den Standort des iOS-Gerätes zu ermitteln – sofern in dem Moment überhaupt die entsprechenden Voraussetzungen auf dem iPhone oder iPad bestehen (etwa dass das Gerät online ist).
Im Gegensatz zu Apple, das alle MDM-Funktionen bereits von Anfang an als Teil des Betriebssystems umgesetzt hat, sind Unternehmen mit Android-Geräten stark vom Funktionsumfang des MDM-Systems abhängig. Hier muss der MDM-Anbieter die Lost-Mode-Funktionalität in Eigenregie umsetzen und mittels einer App die Bereitstellung auf den Geräten ermöglichen.
Aufgrund der Fragmentierung des Android-Betriebssystems gestaltet sich die Implementierung des Lost Mode für die Android-Plattform jedoch sehr schwierig, was sich in Unterschieden in der Funktionalität widerspiegelt. Auch wenn die meisten MDM-Lösungen primär den Zugang zum Android-Gerät sperren und der Standort ermitteln können, sollten Sie bei der Auswahl ihres MDM-Systems auf die folgenden Punkte achten:
- Bei der Sperrung eines Android-Gerätes sollte es möglich sein, gleichzeitig WLAN-, LTE- und GPS-Verbindungen zu aktivieren, um die Erfolgschancen einer Geräterückmeldung an das MDM-System zu erhöhen.
- Ein Zurücksetzen des Gerätes, der Zugang über USB-Schnittstellen zum Dateitransfer oder ein Debugging muss ebenfalls verhindert werden können.
- Alle Veränderungen des Gerätestatus, wie z.B. der Wechsel einer SIM-Karte, der nahende Batterietod oder eingehende Anrufe, können durch das MDM gemeldet werden.
- Kann das Gerät mittels Ortung nicht aufgefunden werden, sollte es in letzter Konsequenz möglich sein, es vollständig zu löschen (Full Wipe). Inwiefern das Gerät hierzu noch erreicht werden kann, ist zwar fraglich. Der Löschbefehl sollte dennoch immer abgesetzt werden.
MDM-Tipp 5: Massenbereitstellungsprogramme nutzen
Unternehmen können außerdem weitere technische Maßnahmen einsetzen, die unautorisierten Personen die Nutzung der Hardware erschwert. Hierfür kommen spezielle Unternehmensdienste von Apple und Google zum Einsatz.
Apples Device Enrollment Program (DEP) bzw. Googles Zero-Touch Enrollment sind zwei Dienste zur Massenbereitstellung von Mobilgeräten für MDM-Systeme. Diese Dienste ermöglichen es Unternehmen beim Einkauf von autorisierten Händlern, die Geräte beim ersten Einschalten automatisch mit einem konfigurierbaren MDM-Server zu provisionieren.
Beim Start kommunizieren die Geräte automatisch mit Apple- bzw. Google-Servern und stellen anhand eindeutiger Gerätemerkmale fest, ob diese für das DEP- oder Zero-Touch-Programm konfiguriert wurden. Ist dies der Fall, verbindet sich das Gerät automatisch mit dem MDM-System desUnternehmens und richtet das Gerät nach den vorab definierten Richtlinien ein.
Diese Funktionalität kann auch beim Zurücksetzen eines verlorenen Gerätes genutzt werden. Sollte eine unbefugte Person ein Gerät in den Werkszustand zurücksetzen, würde ein DEP- oder Zero-Touch-aktiviertes Smartphone oder Tablet automatisch versuchen, wieder Kontakt mit dem MDM-Server aufzunehmen. Bei der folgenden Einrichtung des Gerätes werden dann die Zugangsdaten des MDM-Systems abgefragt. Dieser Prozess kann nur sehr schwer durchbrochen werden und verringert die Möglichkeit und den Anreiz, Hardware unautorisiert in Betrieb zu nehmen.
Fazit
Zusammenfassend sollten Unternehmen MDM-Systeme auch zur Risikominimierung bei Geräteverlusten einsetzen. Dabei sollten sie auf MDM-Lösungen mit Lost-Mode-Unterstützung für iOS und Android, wie Cortado MDM, setzen. Außerdem müssen zwingenderweise voll-verwaltete Geräte mit zusätzlicher DEP- oder Zero-Touch-Aktivierung zum Einsatz kommen, um Geräte kontinuierlich vor unbefugtem Zugriff zu schützen.