9 bewährte Verfahren für die Verwaltung mobiler Geräte
Unternehmen müssen bei der Bereitstellung mobiler Geräte deren Verwaltungsaufwand berücksichtigen. Die IT-Abteilung sollte diese Best Practices befolgen, um die Geräte zu verwalten.
Die Verwaltung mobiler Geräte gibt der IT-Abteilung die Kontrolle, Sicherheit und Transparenz, die zum Schutz moderner Arbeitsplätze erforderlich sind.
Mobile Geräte sind besonders anfällig für Verlust, Diebstahl und unbefugten Zugriff. Das beeinträchtigt die Datensicherheit und die Einhaltung gesetzlicher Vorschriften. IT-Administratoren müssen dafür sorgen, dass Geräte sicher verwaltet und produktiv genutzt werden können, während der Onboarding-Prozess für Endbenutzer einfach, minimalinvasiv und optimiert ist. Die Verwaltung mobiler Geräte ist somit nicht nur eine taktische IT-Aufgabe, sondern eine strategische Herausforderung.
Was ist Mobile Device Management (MDM)?
MDM-Software ermöglicht es der IT-Abteilung, mobile Geräte wie Smartphones, Tablets und Laptops zu kontrollieren, zu sichern und Richtlinien auf diesen Geräten durchzusetzen.
Sie stellt Administratoren Tools zur Verfügung, mit denen sie einheitliche Sicherheitseinstellungen anwenden, Updates bereitstellen, den Gerätestatus überwachen und Geräte aus der Ferne sperren oder löschen können, falls sie verloren gehen, gestohlen werden oder nicht den Richtlinien entsprechen. MDM ist ein grundlegender Bestandteil des Enterprise Mobility Managements (EMM) und des Unified Endpoint Managements (UEM).
Eine MDM-Plattform kann verschiedene Geräte verwalten, darunter iOS-, Android-, Windows-, macOS- und in einigen Fällen sogar ChromeOS-Geräte. MDM ist ein flexibles Tool, das Administratoren zahlreiche Kontrollmöglichkeiten bietet, um sicherzustellen, dass Geräte gesichert und ordnungsgemäß unterstützt werden. Darüber hinaus kann die IT-Abteilung Programme wie Apple Business Manager und Android Enterprise in Betracht ziehen. Diese lassen sich in MDM integrieren und gewähren Unternehmen so mehr Zugriffsrechte auf einem Gerät. Administratoren können dann Sicherheitskonfigurationen auf höherer Ebene durchsetzen, darunter erweiterte Einschränkungen und Einstellungssteuerungen, das Layout des Startbildschirms, den Einzel-App-Modus, Mehrbenutzer- und Freigabemodi sowie Zero-Touch-Registrierungen.
BYOD und MDM
Die Geräteeigentumsverhältnisse spielen eine wichtige Rolle im MDM. Insbesondere BYOD-Richtlinien können die Verwaltung zusätzlich erschweren. Im Rahmen dieser Richtlinien speichern Mitarbeiter Unternehmensdaten auf privaten Geräten und erledigen dort Arbeitsaufgaben. Die Herausforderung bei BYOD besteht darin, dass Benutzergeräte standardmäßig nicht verwaltet werden. Dadurch können Sicherheits- und Compliance-Risiken entstehen.
MDM-Plattformen helfen Unternehmen mithilfe von Containerisierungsmechanismen, Kontrollen auf App-Ebene sowie der Trennung von privaten und geschäftlichen Daten bei der Verwaltung von BYOD-Endgeräten. Administratoren können eine MDM-Plattform so konfigurieren, dass sie je nach Eigentumsstatus der Geräte die zulässige Nutzung, die Datenschutzgrenzen und die Durchsetzungsrichtlinien definiert. Dies schafft ein Gleichgewicht zwischen Flexibilität und Sicherheit.
1. Verwaltung mobiler Geräte per MDM-Richtlinie
Eine MDM-Plattform ist nur so effektiv, wie es die von der Organisation konfigurierten und durchgesetzten Richtlinien erlauben. Ein Framework für MDM-Richtlinien sollte Anforderungen an die Geräteregistrierung, Standards für die Sicherheitskonfiguration sowie Verfahren zur Überwachung der Compliance definieren. Anstatt MDM als rein technisches Werkzeug zu implementieren, legen die besten Strategien zur Geräteverwaltung klare, dokumentierte MDM-Richtlinien fest, die technische Kontrollen mit den Sicherheitszielen der Organisation in Einklang bringen.
MDM ermöglicht es Unternehmen, Sicherheits-Compliance-Kontrollen auf Geräten durchzusetzen. Abbildung 1 zeigt ein Beispiel für diese Kontrollen bei einem iOS-Gerät.
Abbildung 1: Richtlinien zur Gerätekonformität, die IT-Administratoren über MDM für iOS-Geräte durchsetzen können.
Zu den gängigsten Profil- und Compliance-Einstellungen gehören die folgenden Punkte:
PIN-Code und Geräteverschlüsselung.
zertifikatsbasierte Authentifizierung.
E-Mail-Konfiguration.
WLAN-Konfiguration.
Berechtigungen und Einschränkungen für Gerätefunktionen.
Blocklisting und Allowlisting von Anwendungen.
Single Sign-on (SSO).
Erzwingung und Automatisierung von iOS- und Android-Updates.
Funktionen zur Fernsperrung und Datenlöschung bei Verlust oder Kompromittierung von Geräten.
2. Authentifizierung und Zugriff verwalten
Die Zugriffsverwaltung auf Mobilgeräten sollte strenge Kontrollen für PINs und die Multi-Faktor-Authentifizierung (MFA) umfassen, die über MDM durchgesetzt werden.
PIN-Code-Management
Die PIN dient oft als Passwort für mobile Geräte und verhindert, dass Angreifer sich unbefugten Zugriff auf ein Gerät verschaffen. Sowohl für die Sicherheit der Endanwender als auch des Unternehmens sollten Organisationen eine PIN-Code-Richtlinie durchsetzen. Diese Richtlinie könnte zum Beispiel ein Minimum von acht Ziffern für die PIN verlangen. Auf diese Weise ist die Geräte-Compliance immer sichergestellt. Die IT kann diese Automatisierung am besten über ein MDM implementieren.
Multifaktor-Authentifizierung
Sobald ein Gerät das Unternehmensnetzwerk verlässt, ist es vertrauensunwürdigen Netzwerken und risikoreicheren Bedingungen ausgesetzt, die die IT-Abteilung nicht vollständig kontrollieren kann. MFA bietet einen umfassenderen Schutz, indem sie sicherstellt, dass sich der anmeldende Endbenutzer tatsächlich als die angegebene Person ausgibt. Dazu sind zwei oder mehr Authentifizierungsmethoden erforderlich, darunter PIN oder Passwort, SMS-Verifizierung und biometrische Authentifizierung. Ein Administrator kann dann anhand der Vertrauens- und Risikobedingungen des Geräts festlegen, wann MFA erforderlich ist.
MDM kann diese MFA-Anforderungen verteilen und durchsetzen, indem es bei der Registrierung und bei der Überprüfung der Gerätekonformität in die Identitäts- und Zugriffsmanagement-Plattform (IAM) des Unternehmens integriert wird. Dieser Ansatz bringt die mobile Authentifizierung mit der übergeordneten Zero-Trust- und IAM-Strategie in Einklang.
3. Richtlinien zum Schutz vor Datenverlust
Benutzer benötigen zahlreiche Anwendungen auf ihren mobilen Geräten, um ihre Arbeit zu erledigen. Deshalb müssen IT-Administratoren sicherstellen, dass keine Unternehmensdaten kopiert und in einer nicht verwalteten oder nicht vertrauenswürdigen Anwendung aufgerufen werden. Mithilfe von Richtlinien für App-Schutz und DLP lässt sich verhindern, dass Unternehmensdaten lokal auf dem Gerät gespeichert werden. IT-Admins können auch die Datenübertragung – oder die Option Öffnen in – zu anderen, nicht zugelassenen oder verwalteten Apps begrenzen und so bestimmte Funktionen, wie Copy and Paste, einschränken (siehe Abbildung 2).
Abbildung 2: Funktionen, die IT-Administratoren auf persönlichen Geräten mit einem Arbeitsprofil einschränken können.
Plattformen wie der Microsoft Endpoint Manager ermöglichen sogar App-Schutzrichtlinien für Microsoft-Anwendungen, ohne dass die Geräte im MDM registriert sein müssen. Für Geräte, die im MDM einer Organisation registriert sind, ist das MDM der Mechanismus zum Erstellen und Erzwingen dieser Sicherheitseinschränkungen, um den Schutz vor Datenverlust zu gewährleisten.
4. Richtlinien für Remote-Sperrung und -Zurücksetzung von unternehmenseigenen und BYOD-Geräten
Was passiert, wenn ein Mitarbeiter ein Gerät verliert oder das Unternehmen verlässt? Jedes Unternehmen sollte eine Richtlinie für geschäftlich genutzte und BYOD-Geräte entwickeln, die festlegt, wie mit Geräteverlusten und Datenlöschungen umgegangen wird.
Im Rahmen einer solchen Richtlinie kann das Unternehmen, sobald ein mobiles Gerät als verloren oder gestohlen gilt, Maßnahmen zum Schutz der Daten ergreifen, einschließlich Löschen von Daten und Zurücksetzen oder Sperren des Geräts.
Diese Art von Richtlinie dürfte in BYOD-Umgebungen problematisch sein. Nicht alle Benutzer bringen Verständnis dafür auf, dass die IT eine derart große Kontrolle über ihre persönlichen Geräte hat. Allerdings haben sowohl Google als auch Apple dieses Problem mit Updates ihrer Plattformen in Angriff genommen. Mit iOS 13 führte Apple die Benutzerregistrierung (User Enrollment) ein, was die Möglichkeiten einer MDM-Plattform für ein persönliches BYOD-iPhone erheblich einschränkt – unter anderem wurde die Option entfernt, ein Gerät auf die Werkseinstellungen zurückzusetzen. Bei Android-Geräten ermöglichen Enterprise-Arbeitsprofile den Nutzern die Trennung von beruflichen und privaten Anwendungen sowie Daten. Das Unternehmen verwaltet die Arbeitsanwendungen und -daten, während die Anwendungen, Daten und die Nutzung des Endanwenders unangetastet bleiben. Dies schränkt invasive Verwaltungsaufgaben ein, zum Beispiel das Zurücksetzen auf die Werkseinstellungen.
Abbildung 3: Übersicht, welche Daten MDM auf Apple‑ und Android-Geräten auslesen kann.
5. Fernzugriffsverwaltung und -überwachung aktivieren
Das Remote Access Management ermöglicht es der IT-Abteilung, Geräte aus der Ferne zu warten und zu steuern, ohne dass ein physischer Zugriff erforderlich ist. Die Überwachung nutzt zentralisierte Dashboards, um in Echtzeit Einblick in die Compliance, die Betriebssystemversion, den Sicherheitsstatus und andere Indikatoren für den Gerätestatus zu bieten, wie beispielsweise Standort, Nutzung und Bedrohungen.
Diese Funktionen unterstützen die Unternehmenssicherheit, indem sie eine schnelle Reaktion auf Vorfälle ermöglichen. So kann die IT-Abteilung Geräte innerhalb eines Geofences sperren, Bedrohungen unter Quarantäne stellen oder verlorene Geräte aus der Ferne löschen.
Bei der Implementierung sind strenge Sicherheitsmaßnahmen zu beachten, um sensible Daten zu schützen und die Funktionalität zu gewährleisten. Verwenden Sie sichere Kanäle mit Transport Layer Security-Verschlüsselung, Zertifikatsauthentifizierung und MFA für Administratoren. Die plattformübergreifende Unterstützung muss die Systeme iOS, Android, Windows und macOS abdecken. Die rollenbasierte Zugriffskontrolle (RBAC) beschränkt den Administratorzugriff auf sensible Aktionen und verringert so das Risiko versehentlicher oder unbefugter Änderungen wie das Löschen oder die Fernsperrung von Geräten. SIEM-Systeme (Security Information and Event Management) lassen sich in Fernzugriffstools integrieren, um Sicherheitsereignisse zu überwachen und zu protokollieren, Anomalien zu erkennen und Echtzeit-Warnungen zu potenziellen Bedrohungen auszugeben. Zusammen sorgen diese Maßnahmen dafür, dass das Fernzugriffsmanagement geräteübergreifend sicher und effektiv ist.
Weitere bewährte Verfahren sind unter anderem:
Setzen Sie das Prinzip der geringsten Berechtigungen für den Administratorzugriff durch.
Automatisieren Sie Warnmeldungen bei Verstößen oder bei der Erkennung von Jailbreaks.
Seien Sie transparent in Bezug auf den Datenschutz bei BYOD und überwachen Sie ausschließlich Unternehmensdaten.
Erstellen Sie regelmäßige Compliance-Berichte für Audits.
6. Aktualisieren von BYOD- und Unternehmensgeräten
Geräte auf dem neuesten Stand zu halten, ist keine leichte Aufgabe, aber von entscheidender Bedeutung. Zum Beispiel veröffentlichte Apple im März 2021 ein wichtiges iOS-Update – auf Version 14.4.2 –, das eine kritische Schwachstelle in WebKit behob, und riet allen Benutzern, es zu installieren. Mobile Geräte stehen immer mehr im Fokus von Malware und anderen Angriffen. Um sich möglichst effektiv davor zu schützen, sollte man sicherstellen, dass alle verwalteten Geräte immer auf dem aktuellen Stand sind.
Es gibt viele verschiedene Ansätze, die IT-Administratoren verfolgen können, um Geräte zeitnah mit Updates zu versorgen. Die Benutzer aufzufordern, Updates einzuspielen, ist eine einfache, aber nicht immer erfolgreiche Methode. Eine der besten Möglichkeiten, Endbenutzer zur Aktualisierung zu bewegen, ist die Erzwingung von Kontrollen über das MDM. Bei Geräten, die bei einer MDM-Plattform registriert sind, kann ein IT-Admin ein Update des mobilen Betriebssystems für alle Anwender planen – idealerweise zu einer Zeit, in der die Geräte wenig genutzt werden, beispielsweise mitten in der Nacht. Bei reinen Firmengeräten kann die IT-Abteilung noch einen Schritt weiter gehen, indem das MDM die Updates plant, herunterlädt und automatisch installiert.
In BYOD-Umgebungen kann das Ganze etwas kniffliger sein. Mobile IT-Admins können zwar den Nutzer per Zeitplan dazu auffordern, das Update herunterzuladen und zu installieren. Aber es liegt dann immer noch am Endbenutzer, den Prozess auch zu starten. Es gibt jedoch Mechanismen, die IT-Administratoren per MDM einrichten können. Ein solcher Mechanismus ist eine Compliance-Richtlinie. Eine Compliance-Richtlinie ermöglicht es einem Admin, eine Automatisierungs-Policy für Geräte in Form eines Wenn dies, dann das zu erstellen.
Die Benutzer aufzufordern, Updates einzuspielen, ist eine einfache, aber nicht immer erfolgreiche Methode.
Ein Beispiel hierfür wäre eine Compliance-Richtlinie, die auf Geräte mit einer bestimmten Version von iOS abzielt. Ein Administrator kann eine Aktion festlegen, die einen Benutzer per Benachrichtigung auffordert, eine Aktualisierung vorzunehmen. Wenn das Gerät dann nach zwei Tagen nicht aktualisiert worden ist, kann ein Administrator weitere Schritte einleiten, zum Beispiel indem der Zugriff auf Unternehmens-E-Mails vom Gerät aus unterbunden wird. Diese Einschränkungen bleiben so lange bestehen, bis der Anwender das Betriebssystem des Geräts aktualisiert.
Diese Compliance-Richtlinien helfen dabei, die Unternehmensdaten zu schützen und gleichzeitig die Endbenutzer dazu zu bewegen, ihr System auf dem neuesten Stand zu halten. In diesem Beispiel geht es zwar um iOS, aber dieselben Arten von Richtlinien lassen sich auch auf Android-Geräte übertragen.
7. MDM mit anderen IT- und IAM-Systemen integrieren
IAM ist ein System zur Verwaltung von Benutzeridentitäten und Steuerung des Benutzerzugriffs. Es umfasst Funktionen wie SSO und RBAC. Durch die Integration von IAM und MDM werden Benutzeridentitäten mit der Gerätekonformität synchronisiert, um eine einheitliche Sicherheit über alle Endgeräte hinweg zu gewährleisten.
Diese Integration kann bedingten Zugriff ermöglichen, was für eine effektive MDM-Richtlinie entscheidend ist. Mit bedingtem Zugriff können nur MDM-registrierte und konforme Geräte, die mit verifizierten Benutzeridentitäten verknüpft sind, auf Unternehmens-E-Mails, VPN oder SaaS-Anwendungen zugreifen. Die Bereitstellung und Entziehung von Benutzerzugriffen kann ebenfalls automatisiert werden. So erhalten neue Mitarbeiter sofort konforme Geräte, ausgeschiedene Benutzer verlieren den Zugriff und Unternehmensdaten werden selektiv gelöscht.
Die Implementierung umfasst API-Konnektoren zwischen MDM- und IAM-Plattformen. Gerätezertifikate und eindeutige Identifikatoren schaffen Vertrauen, während der kontinuierliche Gerätestatus in die Risikobewertung des IAM einfließt.
MDM lässt sich über das IAM hinaus mit E-Mail-Servern, SIEM-Tools und Endpunkt-Erkennungsplattformen integrieren, um Transparenz und automatisierte Reaktionen über alle IT-Systeme hinweg zu ermöglichen.
8. Monitoring der Geräte-Compliance und Automatisierung mit Mobile Threat Defense
MDMs bieten Sicherheitskontrollen auf Geräteebene, sind jedoch unter Umständen nicht in der Lage, Angriffe durch bösartige Apps, Netzwerke und Phishing-Kampagnen zu erkennen und zu verhindern. Um die Sicherheit mobiler Daten zu gewährleisten, sollten Unternehmen daher MDM durch Mobile Threat Defense (MTD) ergänzen.
MTD-Plattformen erkennen Man-in-the-Middle-Angriffe über WLAN, identifizieren verdächtiges Verhalten auf einem Gerät und suchen proaktiv nach Malware, schädlichen Anwendungen und mobilen Phishing-Attacken. Anschließend können Probleme mit verschiedenen Methoden behoben werden, etwa durch das Trennen der WLAN- oder Mobilfunkverbindung des Geräts, um weitere Datenlecks zu verhindern, oder durch die Zusammenarbeit mit einem MDM, um ein Gerät unter Quarantäne zu stellen. Eine MTD-Plattform kann auf hohem Niveau:
Die Aktivität eines Geräts überwachen, um Cyberangriffe in Echtzeit zu erkennen.
Geräteanwendungen auf verdächtiges Verhalten überwachen, das Benutzerdaten an nicht vertrauenswürdige Quellen weitergeben könnte.
De Netzwerkaktivitäten von Geräten auf Man-in-the-Middle-, SSL-Stripping- und SSL-Decryption-Versuche überwachen.
MTD- und MDM-Plattformen sorgen gemeinsam für mehr Sicherheit für mobile Geräte und Nutzer. MTD-Bedrohungssignale fließen in die MDM-Compliance-Richtlinien ein. Dadurch werden Geräte mit hohem Risiko automatisch als nicht konform gekennzeichnet und der Zugriff auf Unternehmensressourcen wird bis zur Behebung des Problems gesperrt. Dadurch ist eine kontinuierliche Erkennung von Bedrohungen in Verbindung mit einer automatisierten Durchsetzung der Richtlinien möglich.
9. Endanwender fortlaufend informieren
IT-Administratoren können so viel Technologie einsetzen, wie sie wollen, um ein Problem zu beheben – doch letztlich liegt der Schlüssel zum Erfolg bei den Endnutzern. Es ist unerlässlich, Endanwender zu schulen und sie über aktuelle Bedrohungen und Schwachstellen auf dem Laufenden zu halten.
In Schulungen zur mobilen Sicherheit sollte die Bedeutung von Updates, das Erkennen von Phishing-Versuchen, die Verwendung von MFA sowie die Sicherung von Geräten in öffentlichen WLAN-Netzwerken hervorgehoben werden. Dies befähigt Nutzer, sicherheitsbewusste Entscheidungen zu treffen, durch die sowohl persönliche als auch Unternehmensdaten geschützt werden.
Wenn Endnutzern die Bedeutung von Updates und deren Auswirkungen auf Unternehmensdaten vermittelt wird, sind sie besser in der Lage, die richtigen Entscheidungen in Bezug auf die Gerätesicherheit zu treffen.
Dieser Artikel wurde ursprünglich von Michael Goad verfasst und von Sean Michael Kerner überarbeitet und erweitert.
