Mobile Device Management verwenden
Das BSI empfiehlt, alle Einstellungen, soweit möglich, über eine MDM-Software vorzunehmen, wie sie zahlreiche Hersteller anbieten. Die MDM-Software muss dabei alle konfigurierbaren Richtlinien der Apple iOS-Geräte unterstützen und sollte eine Möglichkeit bieten, Geräte mit Jailbreak im Netz und unautorisierte Software auf den Endgeräten zu erkennen und zu melden.
- Gartners Magic Quadrant
18 Lösungen für Mobile Device Management (MDM) hat Gartner in seine diesjährige Magic Quadrant-Studie aufgenommen. Unsere Bilderstrecke zeigt, wo die Analysten die Anbieter einstufen und wie sie ihre Stärken und Schwächen eingeschätzen. - Marktführer: Citrix
<b>Stärken: </b>Gartner streicht das starke und breite Angebot in allen wichtigen MDM-Gebieten und die integrierten Produkt-Lösungen heraus. Zudem sei Citrix einer der wenigen Anbieter, die sichere Container für Smartphones, Tablets, Macs und PCs anbieten. <br/><br/> <b>Schwächen: </b>Cloud kommt zuerst, On-Premise hinkt hinterher. Kleine und mittlere Firmen stehen nicht im Fokus, der Support für von Mitarbeitern mitgebrachte Consumer-IT ist ausbaufähig. Zudem gibt es XenMobile nur als alleinstehende MDM-Lösung oder als Teil einer ganzen Suite unter anderem im Paket mit MAM. Eine Zusammenstellung nach Wahl ist nicht möglich. - Marktführer: SAP
<b>Stärken: </b>Die Walldorfer Stärken sind vielfältig. Sie reichen laut Gartner von der langfristigen Mobility-Roadmap über die umfassende app-neutrale mobile Container-Strategie bis hin zum umfangreichen Netzwerk an Partnern weltweit. Afaria ist zudem über lange Zeit gereift. Synergien durch Integration mit SAP BusinessObjects oder SAP Hana erscheinen vielversprechend. <br/><br/> <b>Schwächen: </b>Das Kernproblem ist, dass Afaria bisher vorwiegend als ein Element eines SAP-Systems zu haben ist. Gartner erwartet, dass SAP das Tool künftig stärker als Stand-Alone-Lösung vermarkten wird - auf Cloud-Basis und mit niedrigen Per-Device-Tarifen, um Zugangsschranken abzubauen. - Visionär: Symantec
<b>Stärken: </b>Gartner konzediert ein breites integriertes MDM-Angebot, das alle kritischen Komponenten von MDM unterstützt. Hinzu kommen ein großes App-Angebot und integrierte Security-Features wie mobiler Schutz vor Datenverlust sowie Identity & Access Management. Weil Symantec im Consumer-Markt gut aufgestellt ist, ist der Anbieter laut Gartner ein besonders geeigneter Partner für BYOD-Initiativen. <br/><br/> <b>Schwächen: </b>In der breiten Angebotspalette gibt es nach Gartner-Einschätzung Überschneidungen, die manchmal verwirrend sind. Die Preise liegen über dem Durchschnitt. Im MDM-Segment hat Symantec seine Expertise noch nicht so umfassend nachweisen können wie für PCs und Laptops. - Nischenspieler: Sophos
<b>Stärken: </b>Sophos kommt bekanntlich von der klassischen Endpoint-Security-Seite. Gartner betont, dass sich mit ähnlichem Hintergrund nur insgesamt fünf Anbieter im Magic Quadrant positionieren konnten. Auch als MDM-Neuling genieße man da einen Vertrauensvorschuss bei den Kunden. Bereits entwickelt hat Sophos eine ganzheitliche File Sharing Utility mit transparenter Verschlüsselung von Dokumenten auf PCs und mobilen Endgeräten. <br/><br/> <b>Schwächen: </b>Im Vergleich zur Konkurrenz fehlt es an MAM-Funktionen. Im Bereich Zertifikate unterstützt Sophos bisher nur die Microsoft Certificate Services. - Nischenspieler: Trend Micro
<b>Stärken: </b>Das administrative User Interface ist herausragend und extrem übersichtlich aufbereitet. Berichte und Analysen sind pro User erhältlich. Der Enterprise App Store biete eine gemeinsame Sicht inklusive Status-Berichten über iOS und Android-Apps. <br/><br/> <b>Schwächen: </b>Laut Gartner bietet Trend Micro keine Container-Lösungen an. Es hapert an der Kooperation mit externen Zertifizierungsstellen. Überdies werde Datensicherheit als reine Data Loss Prevention-Baustelle begriffen. Deshalb muss man sich eigens für SafeSync anmelden, um File Sharing zu nutzen. Zudem fehlen laut Gartner geeignete Suchfilter zum Beispiel für kritische Emails.
Ein Problem bei der Verwendung von MDM bei iOS ist allerdings, dass der Anwender – wenn nicht der Supervised-Modus (Näheres dazu später) verwendet wird – an den auferlegten Richtlinien Änderungen vornehmen kann. Um dies zu verhindern, raten die Sicherheitsexperten, restriktive Einstellungen in einer Richtlinie mit für die Arbeit unerlässlichen, Einstellungen beispielsweise für den E-Mail Account zu verbinden. Möglich ist laut BSI auch, eine Einstellung pro Richtlinie zu nutzen und sie mit einem Passwort zu versehen. Sie können dann, mit Ausnahme der Basis-Richtlinie ("Enrollment Profile"), nicht mehr gelöscht werden. Entfernt ein Benutzer die Basis-Richtlinie, werden auch alle hierarchisch darunter liegenden Einstellungen gelöscht. Das iDevice ist danach nicht mehr im Firmennetz funktionsfähig.
Supervised-Modus nutzen
In dem iOS 6 verfügbaren Supervised-Modus kann der IT-Administrator mehr Kontrolle über das Gerät ausüben und zahlreiche sicherheitsrelevante Einstellungen vornehmen. So lässt sich beispielsweise der Zugriff zu Game Center, Bookstore und erotischen Büchern verbieten und ein globaler Proxy einrichten, über den sämtlicher HTTP-Verkehr geleitet wird. Außerdem erlaubt der Supervised-Modus eine Kiosk-Betriebsart (App-Lock), in der das Gerät nach dem Start nur eine definierte Anwendung ausführt, die der Benutzer nicht wechseln kann. Aus Sicherheitssicht ist besonders wichtig, dass Benutzer bei iOS-Geräten im Supervised-Modus MDM-Richtlinien nicht mehr entfernen können. Probleme kann jedoch laut BSI die nachträgliche Einrichtung des Supervised-Modus machen, da dieser eine Neuinstallation erfordert - wurde bereits mit dem Endgerät gearbeitet, müssen persönliche Daten und Apps vorher gesichert und wiederhergestellt werden
Copy & Paste abschalten
Für Einsatzgebiete mit sehr hohen Sicherheitsanforderungen hält es das BSI für sinnvoll, Kopieren und Einfügen (Copy & Paste) abzuschalten oder zu reglementieren. Diese Maßnahme verhindert, dass Daten aus geschützten in offene Anwendungen wie Web-Mail kopiert werden. Sie erfordert jedoch eine MDM-Lösung und kann nicht mit Bordmitteln umgesetzt werden.
Kein "Simple Passcode"
Der Passcode schützt iOS-Geräte vor unbefugtem Zugriff und sollte daher laut BSI immer aktiviert sein. Allerdings empfehlen die Sicherheitsexperten Unternehmen, sich nicht mit dem einfachen PIN aus vier Zahlen zu begnügen, sondern einen komplexeren Passcode vorzuschreiben. Zusätzlich biete Apple bei iOS im Zusammenhang mit dem Passcode einige weitere Schutzmaßnahmen an: Nach einer bestimmten Zahl von Fehleingaben wird das iOS-Gerät temporär gesperrt, um so zu verhindern, dass viele Kombinationen durchprobiert werden. Falls eine höhere Sicherheitsstufe gewünscht wird, lässt sich das iOS-Gerät nach mehr als zehn Fehleingaben löschen.
Profiles sicher verteilen
Richtlinien (Profiles) müssen auf einem sicheren Weg an die iOS-Geräte verteilt werden, da sie vertrauliche Benutzerinformationen enthalten können. Das kann laut BSI manuell mit dem iPhone Configuration Utility (iPCU) oder dem Apple Configurator über eine USB-Verbindung erfolgen oder, wenn vorhanden, mittels einer Certificate Authority mit LDAP-Directory, Simple Certificate Enrollment Protocol (SCEP) und einem Webserver.
Siri deaktivieren
Wie weitläufig bekannt ist, arbeitet die Spracherkennungssoftware Siri nicht lokal auf dem iOS-Gerät, sondern auf weltweit verteilten Servern. Zudem kann Siri auch Aktionen bei gesperrtem iOS-Gerät durchführen, wenn die Benutzer oder die Institution diese Funktion nicht explizit abgeschaltet haben. Das BSI legt daher Unternehmen nahe, je nach Sicherheitsanforderung zu überlegen, ob man Siri gänzlich abschaltet oder mit entsprechenden Profilen bei einer aktiven Bildschirmsperre deaktiviert.
Vorgehen bei Verlust oder Diebstahl regeln
Foto: Mücke Sturm & Company
Aus Sicht der Behörde sollten Unternehmen bereits im Vorfeld Prozesse etablieren, wie und unter welchen Voraussetzungen iOS-Geräte gelöscht werden können. Welche Methode dafür genutzt wird, hängt laut BSI auch davon ab, ob die Company oder ein Benutzer Eigentümer des Geräts ist. Besteht eine Netzverbindung zum iOS-Gerät, kann der Administrator die Sperrung über Exchange ActiveSync oder MDM-Software aus der Ferne einleiten. Ohne MDM-Lösung lässt sich dafür iCloud oder Mobile Me nutzen.
Sicheres Löschen
Auch wenn sich das iOS-Gerät in sicherer Nähe befindet, kann manchmal eine Komplettlöschung notwendig sein, zum Beispiel, wenn es ein neuer Mitarbeiter erhalten soll. Laut BSI stellt Apple dazu den Device Firmware Upgrade-Modus (DFU) oder die Systemeinstellung "Einstellungen und Inhalte löschen" bereit. Der DFU-Modus kann über iTunes ausgelöst werden, dazu muss iTunes keine vorherige Host-Verbindung mit dem iOS-Gerät etabliert haben. Wie die Behörde weiter ausführt, muss bei einer Erstverbindung mit dem Host für den Zugriff durch iTunes auf das Gerät der PIN Code eingegeben werden. Alternativ lässt sich der DFU-Modus durch eine Tastenkombination am iOS-Gerät starten. Daneben enthalten üblicherweise auch MDM-Lösungen eine entsprechende Funktionalität.