Unternehmen, die Mobilgeräte einsetzen, müssen für deren Sicherheit sorgen. Administratoren sollten diese sieben Best Practices befolgen, um Geräte und Daten optimal zu schützen.
Es ist Aufgabe der IT-Administratoren, den Angestellten das Arbeiten von ihren mobilen Geräten aus zu ermöglichen. Doch die Admins müssen neben der Benutzerfreundlichkeit vor allem auch an die mobile Sicherheit denken.
Anwender sind dann am produktivsten, wenn sie mobil auf ihre Unternehmensressourcen zugreifen können. Daher ist es für die meisten Organisationen ein wichtiges Ziel, diesen Zugriff zu gewährleisten – aber Mobilität ist komplex. Es ist nicht damit getan, Endbenutzern einfach ein Gerät zur Verfügung zu stellen und sie mit ihrem bevorzugten E-Mail-Client arbeiten zu lassen.
IT-Admins müssen darüber nachdenken, wie sie die Geräte in einen sicher verwalteten und produktiven Zustand bringen und gleichzeitig sicherstellen, dass der Onboarding-Prozess für die Endanwender einfach, ohne große Eingriffe und optimiert ist. Außerdem müssen sie garantieren, dass die Nutzer alle notwendigen Produktivitätsaufgaben in einer sicheren Umgebung durchführen können.
Mobile-Administratoren sollten die folgenden sieben Best Practices für die mobile Gerätesicherheit befolgen, um zu gewährleisten, dass sie diese Ziele erreichen.
1. Verwalten von mobilen Geräten mit einem MDM
Jedes Unternehmen, das den Zugriff auf Unternehmensdaten über mobile Geräte ermöglicht, sollte den Einsatz von Mobile Device Management (MDM) in Betracht ziehen. MDM ist die erste Verteidigungslinie eines IT-Admins, wenn es um den Schutz mobiler Geräte geht.
Die Aufgabe von MDM besteht darin, dem Unternehmen die Möglichkeit zu bieten, Kontrollen für die Sicherheits-Compliance auf den Geräten zu erzwingen (siehe Abbildung 1).
Abbildung 1: Richtlinien für die Geräte-Compliance, die IT-Admins für iOS-Geräte über MDM erzwingen können.
Zu den gängigsten Profil- und Compliance-Einstellungen gehören die folgenden Punkte:
Enterprise Wipe und komplettes Zurücksetzen von Geräten Over the Air.
Eine MDM-Plattform kann Geräte mit verschiedenen Betriebssystemen verwalten, unter anderem iOS, Android, Windows, macOS und in einigen Fällen sogar Chrome OS. MDM ist ein äußerst flexibles Tool, das Admins viele Kontrollmöglichkeiten bietet, um zu gewährleisten, dass die Geräte abgesichert und richtig unterstützt werden. Für rein geschäftlich genutzte Mobilgeräte sollten Sie sich außerdem einmal die Programme Apple Business Manager und Android Enterprise ansehen. Sie lassen sich in das MDM integrieren und geben Unternehmen mehr Rechte auf einem Gerät, um Sicherheitskonfigurationen auf einer übergeordneten Ebene zu erzwingen. Dies umfasst erweiterte Einschränkungen und Einstellungssteuerungen, Layout des Startbildschirms, Single-App-Modus, Multi-User- und Shared-Modi, Zero-Touch-Registrierungen und vieles mehr.
2. Authentifizierungs- und Zugriffsverwaltung
Es gibt viele unterschiedliche Ansätze, die IT-Administratoren wählen können, um die mobile Authentifizierung zu ermöglichen. Dazu zählen die folgenden zwei Optionen.
PIN-Code-Management
Die PIN dient oft als Passwort für mobile Geräte und verhindert, dass Angreifer sich unbefugten Zugriff auf ein Gerät verschaffen. Sowohl für die Sicherheit der Endanwender als auch des Unternehmens sollten Organisationen eine PIN-Code-Richtlinie durchsetzen. Diese Richtlinie könnte zum Beispiel ein Minimum von acht Ziffern für die PIN verlangen. Auf diese Weise ist die Geräte-Compliance immer sichergestellt. Die IT kann diese Automatisierung am besten über ein MDM implementieren.
Multifaktor-Authentifizierung
Admins mögen ihr Bestes tun, um die mobile Gerätesicherheit zu gewährleisten. Aber sobald ein Gerät das Bürogebäude verlässt, ist es anfällig für zahlreiche Angriffe. Ein Admin kann nicht immer kontrollieren, mit welchem Netzwerk sich das Gerät als nächstes verbindet oder welchen Risikobedingungen es ausgesetzt wird. Die Multifaktor-Authentifizierung (MFA) bietet eine umfassendere Sicherheit, indem sie bestätigt, dass der Endbenutzer, der sich anmeldet, derjenige ist, der er vorgibt zu sein. Sie erfordert zwei oder mehr Authentifizierungsmethoden, zu denen PIN oder Passwort, SMS-Verifizierung und die Authentifizierung über biometrische Faktoren gehören können. Ein Admin kann dann Parameter festlegen, wann MFA erforderlich ist, basierend auf den Vertrauens- und Risikobedingungen des Geräts. MDM kann auch ein Mechanismus sein, um die Anforderung an die Geräte zu verteilen, wobei die bevorzugte MFA in den MDM-Registrierungs-Workflow integriert wird. Zudem kann das MDM als zentraler Hub für alle Konfigurationen zur Gerätesicherheit und -registrierung dienen.
3. Richtlinien zum Schutz vor Datenverlust
Benutzer benötigen zahlreiche Anwendungen auf ihren mobilen Geräten, um ihre Arbeit zu erledigen. Deshalb müssen IT-Administratoren sicherstellen, dass keine Unternehmensdaten kopiert und in einer nicht verwalteten oder nicht vertrauenswürdigen Anwendung aufgerufen werden. Mithilfe von Richtlinien für App-Schutz und DLP lässt sich verhindern, dass Unternehmensdaten lokal auf dem Gerät gespeichert werden. IT-Admins können auch die Datenübertragung – oder die Option Öffnen in – zu anderen, nicht zugelassenen oder verwalteten Apps begrenzen und so bestimmte Funktionen, wie Copy and Paste, einschränken (siehe Abbildung 2).
Abbildung 2: Funktionen, die IT-Administratoren auf persönlichen Geräten mit einem Arbeitsprofil einschränken können.
Plattformen wie der Microsoft Endpoint Manager ermöglichen sogar App-Schutzrichtlinien für Microsoft-Anwendungen, ohne dass die Geräte im MDM registriert sein müssen. Für Geräte, die im MDM einer Organisation registriert sind, ist das MDM der Mechanismus zum Erstellen und Erzwingen dieser Sicherheitseinschränkungen, um den Schutz vor Datenverlust zu gewährleisten.
4. Richtlinien für Remote-Sperrung und -Zurücksetzung von unternehmenseigenen und BYOD-Geräten
Was passiert, wenn ein Mitarbeiter ein Gerät verliert oder das Unternehmen verlässt? Jedes Unternehmen sollte eine Richtlinie für geschäftlich genutzte und BYOD-Geräte entwickeln, die festlegt, wie mit Geräteverlusten und Datenlöschungen umgegangen wird.
Im Rahmen einer solchen Richtlinie kann das Unternehmen, sobald ein mobiles Gerät als verloren oder gestohlen gilt, Maßnahmen zum Schutz der Daten ergreifen, einschließlich Löschen und Zurücksetzen von Daten oder Sperren des Geräts.
Diese Art von Richtlinie dürfte in BYOD-Umgebungen problematisch sein. Nicht alle Benutzer bringen Verständnis dafür auf, dass die IT eine derart große Kontrolle über ihre persönlichen Geräte hat. Allerdings haben sowohl Google als auch Apple dieses Problem mit Updates ihrer Plattformen in Angriff genommen. Mit iOS 13 führte Apple die Benutzerregistrierung (User Enrollment) ein, was die Möglichkeiten einer MDM-Plattform für ein persönliches BYOD-iPhone erheblich einschränkt – unter anderem wurde die Option entfernt, ein Gerät auf die Werkseinstellungen zurückzusetzen. Bei Android-Geräten ermöglichen Enterprise-Arbeitsprofile den Nutzern die Trennung von beruflichen und privaten Anwendungen sowie Daten. Das Unternehmen verwaltet die Arbeitsanwendungen und -daten, während die Anwendungen, Daten und die Nutzung des Endanwenders unangetastet bleiben. Dies schränkt invasive Verwaltungsaufgaben ein, zum Beispiel das Zurücksetzen auf die Werkseinstellungen.
5. Aktualisieren von BYOD- und Unternehmensgeräten
Geräte auf dem neuesten Stand zu halten, ist keine leichte Aufgabe, aber von entscheidender Bedeutung. Zum Beispiel veröffentlichte Apple im März 2021 ein wichtiges iOS-Update – auf Version 14.4.2 –, das eine kritische Schwachstelle in WebKit behob, und riet allen Benutzern, es zu installieren. Mobile Geräte stehen immer mehr im Fokus von Malware und anderen Angriffen. Um sich möglichst effektiv davor zu schützen, sollte man sicherstellen, dass alle verwalteten Geräte immer auf dem aktuellen Stand sind.
MDM ist ein Management-Tool mit Sicherheitskontrollen auf Geräteebene. Es kann aber Angriffe von bösartigen Anwendungen, Netzwerken und Phishing nicht erkennen und verhindern.
Es gibt viele verschiedene Ansätze, die IT-Administratoren verfolgen können, um Geräte zeitnah mit Updates zu versorgen. Die Benutzer aufzufordern, Updates einzuspielen, ist eine einfache, aber nicht immer erfolgreiche Methode. Eine der besten Möglichkeiten, Endbenutzer zur Aktualisierung zu bewegen, ist die Erzwingung von Kontrollen über das MDM. Bei Geräten, die bei einer MDM-Plattform registriert sind, kann ein IT-Admin ein Update des mobilen Betriebssystems für alle Anwender planen – idealerweise zu einer Zeit, in der die Geräte wenig genutzt werden, beispielsweise mitten in der Nacht. Bei reinen Firmengeräten kann die IT-Abteilung noch einen Schritt weiter gehen, indem das MDM die Updates plant, herunterlädt und automatisch installiert.
In BYOD-Umgebungen kann das Ganze etwas kniffliger sein. Mobile IT-Admins können zwar den Nutzer per Zeitplan dazu auffordern, das Update herunterzuladen und zu installieren. Aber es liegt dann immer noch am Endbenutzer, den Prozess auch zu starten. Es gibt jedoch Mechanismen, die IT-Administratoren per MDM einrichten können. Ein solcher Mechanismus ist eine Compliance-Richtlinie. Eine Compliance-Richtlinie ermöglicht es einem Admin, eine Automatisierungs-Policy für Geräte in Form eines Wenn dies, dann das zu erstellen.
Ein Beispiel hierfür wäre eine Compliance-Richtlinie, die auf Geräte mit einer bestimmten Version von iOS abzielt. Ein Administrator kann eine Aktion festlegen, die einen Benutzer per Benachrichtigung auffordert, eine Aktualisierung vorzunehmen. Wenn das Gerät dann nach zwei Tagen nicht aktualisiert worden ist, kann ein Administrator weitere Schritte einleiten, zum Beispiel indem der Zugriff auf Unternehmens-E-Mails vom Gerät aus unterbunden wird. Diese Einschränkungen bleiben so lange bestehen, bis der Anwender das Betriebssystem des Geräts aktualisiert.
Diese Compliance-Richtlinien helfen dabei, die Unternehmensdaten zu schützen und gleichzeitig die Endbenutzer dazu zu bewegen, ihr System auf dem neuesten Stand zu halten. In diesem Beispiel geht es zwar um iOS, aber dieselben Arten von Richtlinien lassen sich auch auf Android-Geräte übertragen.
6. Monitoring der Geräte-Compliance und Automatisierung mit Mobile Threat Defense
MDM ist ein Management-Tool mit Sicherheitskontrollen auf Geräteebene. Es kann aber Angriffe von bösartigen Anwendungen, Netzwerken und Phishing nicht erkennen und verhindern. In letzter Zeit ist eine Zunahme von Phishing-Angriffen auf mobile Geräte zu beobachten.
Mobile Geräte sind nach wie vor Endpunkte, genau wie ein Desktop-Betriebssystem. Und in vielerlei Hinsicht muss die IT-Abteilung sie auch genauso absichern. MTD-Plattformen (Mobile Threat Defense) erkennen Man-in-the-Middle-Angriffe über WLAN, identifizieren verdächtiges Verhalten auf einem Gerät und suchen proaktiv nach Malware, schädlichen Anwendungen und mobilen Phishing-Attacken. Anschließend können Probleme mit verschiedenen Methoden behoben werden, etwa durch das Trennen der WLAN- oder Mobilfunkverbindung des Geräts, um weitere Datenlecks zu verhindern, oder durch die Zusammenarbeit mit einem MDM, um ein Gerät unter Quarantäne zu stellen. Eine MTD-Plattform kann auf hohem Niveau:
Die Aktivität eines Geräts überwachen, um Cyberangriffe in Echtzeit zu erkennen.
Geräteanwendungen auf verdächtiges Verhalten beobachten, das Benutzerdaten an nicht vertrauenswürdige Quellen weitergeben könnte.
De Netzwerkaktivitäten von Geräten auf Man-in-the-Middle-, SSL-Stripping- und SSL-Decryption-Versuche überwachen.
Zusammen bieten MTD- und MDM-Plattformen eine robustere Sicherheit für mobile Geräte und Benutzer.
7. Fortlaufende Information der Endanwender
Ganz gleich, wie viel Technologie IT-Admins einsetzen, um ein Problem zu lösen: Letztlich sind immer die Endanwender der Schlüssel zum Erfolg. Es ist wichtig, die Endbenutzer zu schulen und sie über aktuelle Bedrohungen und Schwachstellen auf dem Laufenden zu halten.
Wenn die Endnutzer mit Ihrer Hilfe die Bedeutung von Updates verstehen und wissen, wie sie sich auf Unternehmensdaten auswirken können, sollte es ihnen leichtfallen, die richtigen Entscheidungen in puncto Gerätesicherheit zu treffen.
