Mobile IT-Infrastrukturen
Management, Sicherheit und Compliance
Gerhard Klett, Heinrich Kersten
Gerhard Klett, Heinrich Kersten
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <http://dnb.d-nb.de> abrufbar.
ISBN 978-3-8266-9635-0
1. Auflage 2015
www.mitp.de
E-Mail: mitp-verlag@sigloch.de
Telefon: +49 7953 / 7189 - 079
Telefax: +49 7953 / 7189 - 082
© 2015 mitp-Verlags GmbH & Co. KG
Dieses Werk, einschließlich aller seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.
Lektorat: Sabine Schulz, Ernst-Heinrich Pröfener
Sprachkorrektorat: Petra Heubach-Erdmann
Coverbild: © marrakeshh
electronic publication: III-satz, Husby, www.drei-satz.de
Dieses Ebook verwendet das ePub-Format und ist optimiert für die Nutzung mit dem iBooks-reader auf dem iPad von Apple. Bei der Verwendung anderer Reader kann es zu Darstellungsproblemen kommen.
Der Verlag räumt Ihnen mit dem Kauf des ebooks das Recht ein, die Inhalte im Rahmen des geltenden Urheberrechts zu nutzen. Dieses Werk, einschließlich aller seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheherrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und Einspeicherung und Verarbeitung in elektronischen Systemen.
Der Verlag schützt seine ebooks vor Missbrauch des Urheberrechts durch ein digitales Rechtemanagement. Bei Kauf im Webshop des Verlages werden die ebooks mit einem nicht sichtbaren digitalen Wasserzeichen individuell pro Nutzer signiert.
Bei Kauf in anderen ebook-Webshops erfolgt die Signatur durch die Shopbetreiber. Angaben zu diesem DRM finden Sie auf den Seiten der jeweiligen Anbieter.
|
ADK |
Additional Decryption Key |
|
AES |
Advanced Encryption Standard (Kryptoalgorithmus) |
|
BCM |
Business Continuity Management |
|
BDSG |
Bundesdatenschutzgesetz |
|
BIA |
Business Impact Analysis |
|
BSI |
Bundesamt für Sicherheit in der Informationstechnik |
|
BYOA |
Bring Your Own Apps |
|
BYOD |
Bring Your Own Device |
|
CCTA |
(UK) Central Computing and Telecommunications Agency |
|
CERT |
Computer Emergency Response Team |
|
CISA |
Certified Information Systems Auditor |
|
COBIT |
Control Objectives for Information and Related Technology |
|
COPE |
Company owned, personally enabled |
|
CSI |
Continual Service Improvement |
|
CYOD |
Choose Your Own Device |
|
DDoS |
Distributed Denial of Service |
|
DEP |
Device Enrollment Program |
|
DES |
Data Encryption Standard |
|
DMZ |
Demilitarisierte Zone |
|
EDGE |
Enhanced Data Rates for GSM Evolution |
|
EMM |
Enterprise Mobility Management |
|
FDE |
Full Device Encryption |
|
FIPS |
(US) Federal Information Processing Standard |
|
GPRS |
General Packet Radio Service |
|
GSM |
Global System for Communications |
|
GSRV |
Gesetze, Standards, Richtlinien, Vorgaben |
|
HIPAA |
(US) Health Insurance Portability and Accountability Act |
|
HSDPA |
High Speed Downlink Packet Access |
|
IDEA |
International Data Encryption Algorithm |
|
IEEE |
Institute of Electrical and Electronics Engineers |
|
IMEI |
International Mobile Equipment Identity |
|
IMSI |
International Mobile Subscriber Identity |
|
iOS |
ein Betriebssystem der Fa. Apple |
|
ISACA |
Information Systems Audit and Control Association |
|
ISAE |
International Standard on Assurance Engagements |
|
ISMS |
Information Security Management System |
|
ISO |
International Standards Organization |
|
IT |
Informationstechnik, informationstechnisch ... |
|
ITIL |
IT Infrastructure Library |
|
KMU |
Kleine und mittlere Unternehmen |
|
LAN |
Local Area Network |
|
LTE |
Long Term Evolution |
|
MAC |
Media Access Control |
|
MAM |
Mobile Application Management |
|
MDM |
Mobile Device Management |
|
MIM |
Mobile Information Management |
|
MPLS |
Multiprotocol Label Switching |
|
MTPD |
Maximum Tolerable Period of Disruption |
|
NFC |
Near Field Communication |
|
NOC |
Network Operation Center |
|
NSA |
(US) National Security Agency |
|
OS |
Operating System |
|
OTA |
Over the Air |
|
PAN |
Personal Area Network |
|
PC |
Personal Computer |
|
PCI(-DSS) |
Payment Card Industry (Data Security Standard) |
|
PDA |
Personal Digital Assistant |
|
PDCA |
Plan-Do-Check-Act |
|
PGP |
Pretty-Good-Privacy (Kryptoalgorithmus) |
|
PIM |
Personal Information Manager |
|
PIN |
Personal Identification Number |
|
PKI |
Public Key Infrastructure |
|
PUA |
Potential Unwanted Application |
|
RIPEMD |
RACE [1] Integrity Primitives Evaluation Message Digest |
|
RSA |
Rivest-Shamir-Adleman (Kryptoalgorithmus) |
|
SAS |
Statement on Auditing Standards |
|
SATA |
Serial Advanced Technology Attachment |
|
SHA |
Secure Hash Algorithm |
|
SIM |
Subscriber Identity Module |
|
SLA |
Service Level Agreements |
|
SMS |
Short Message Service |
|
SoA |
Statement of Applicability |
|
SPOF |
Single Point of Failure |
|
SSL |
Secure Socket Layer |
|
UDID |
Unique Device ID |
|
UMTS |
Universal Mobile Telecommunications System |
|
URL |
Uniform Resource Locator |
|
USB |
Universal Serial Bus |
|
VLAN |
Virtual LAN |
|
VPN |
Virtual Private Network |
|
VPP |
Volume Purchase Program |
|
WAN |
Wide Area Network |
|
WLAN |
Wireless LAN |
[1] EU Forschungsprogramm: RACE = Research and Development in Advanced Communications in Europe
Tabelle 2.1: Prozesse aus COBIT mit Einfluss auf mobile Infrastrukturen
Tabelle 6.1: Beispieltabelle zu den Aufgaben 4, 5 und 6 gemäß ISO 27001
Abbildung 1.1: Marktanteile mobiler Betriebssysteme (1)
Abbildung 1.2: Marktanteile mobiler Betriebssysteme (2)
Abbildung 1.3: Verteilung eingesetzter Android-Versionen
Abbildung 1.4: Apps in Blackberry World
Abbildung 1.5: Google Play Store
Abbildung 1.6: Apple App Store
Abbildung 1.7: Befragung von 300 IT-Verantwortlichen im Jahr 2012
Abbildung 1.8: Bereitstellung von MDM-Software in Unternehmen
Abbildung 1.9: Gartner Quadrant Mobile Device Management Software
Abbildung 1.10: Magic Quadrant for Enterprise Mobility Management Suites
Abbildung 2.1: Ebenen der IT-Infrastruktur
Abbildung 2.2: Steuerungszyklus von COBIT
Abbildung 2.3: Übersicht über IT-Prozesse im COBIT-5.0-Prozessmodell
Abbildung 2.4: Einbettung von COBIT in die Unternehmensstrategie
Abbildung 2.5: Übersicht ITIL-V3-IT -Services
Abbildung 2.6: Themenhierarchie IT Governance
Abbildung 3.1: Geschlossene Plattform (Walled Garden)
Abbildung 3.2: Offene Plattform
Abbildung 3.3: Beispiel einer NFC-App aus dem Google Play Store
Abbildung 3.4: NFC-Smartphone und NFC-Tags
Abbildung 3.5: Mobile Abfrage einer Datenbank über ein Web Application Interface
Abbildung 3.6: Replikationsserver für mobile Datenbanken
Abbildung 3.7: Verschiedene Möglichkeiten der MDM-Implementierung
Abbildung 3.8: Beispiel für »Open in« bei einer Android-App
Abbildung 4.1: Beispiel eines drahtgebundenen Netzwerks mit VPN Verbindung
Abbildung 4.2: Klassen und Kategorien bei strukturierter Verkabelung
Abbildung 5.1: Android: SpyApps
Abbildung 5.2: Häufigkeit des Aufrufs von Phishing-Websites nach Betriebssystem
Abbildung 5.3: Shoulder Surfing
Abbildung 5.4: Austausch der symmetrischen Schlüssel für die Cloud
Abbildung 6.1: Struktur einer Community Cloud
Abbildung 6.2: Übergang der Betriebsverantwortung bei unterschiedlichen Cloud-Modellen
Abbildung 6.3: Aufbau eines Secure Access Gateways für den Zugriff auf die Cloud
Abbildung 6.4: Komponenten einer Endpoint-Security-Lösung
Abbildung 6.5: Entwicklung der Endpoint-Security-Komponenten
Abbildung 6.6: Sicherheitskonzept nach ISO 27001
Abbildung 6.7: Sicherheitskonzept nach IT-Grundschutz
Abbildung 7.1: Schutzwirkung von Mobile-Security-Technologien
Abbildung 7.2: Zyklus des Betriebs von mobilen Infrastrukturen
Abbildung 7.3: Quarantäne-Netz mit Security Gateway
Abbildung 8.1: Planungsschritte für das Monitoring
Abbildung 8.2: Zusammenfassung Monitoring
Abbildung 9.1: Schutz von Apps und Daten auf der Applikationsebene
Abbildung 9.2: Zugriff auf virtuelle Arbeitsumgebungen
Abbildung 9.3: Citrix-EMM-System
Abbildung 9.4: Citrix-EMM-Komponenten
Abbildung 9.5: Architektur des Citrix Mobile Solution Bundle
|
BDSG |
Bundesdatenschutzgesetz, www.gesetze-im-internet.de |
|
CAG |
COBIT Assessor Guide: Using COBIT 5, www.isaca.org/COBIT |
|
CCA |
Sicherheitsempfehlungen für Cloud-Computing-Anbieter – Mindestanforderungen in der Informationssicherheit –, Eckpunktepapier des BSI (2012) |
|
CFA |
COBIT 5 for Assurance, www.isaca.org/COBIT |
|
CSAG |
COBIT Self-Assessment Guide, www.isaca.org/COBIT |
|
ISAE 3402 |
International Standard on Assurance Engagements (ISAE) 3402: Assurance Reports on Controls at a Service Organization, http://www.ifac.org/sites/default/files/downloads/b014-2010-iaasb-handbook-isae-3402.pdf |
|
ISO 20000 |
ISO/IEC 20000: Informationstechnik – Service Management (mit 5 Teilen) |
|
ISO 27001 |
ISO/IEC 27001:2013 Information Technology – Security Techniques – Information Security Management Systems – Requirements, www.iso.org (Deutsche Fassung 2014-02, www.beuth.de) |
|
ISO 27004 |
ISO/IEC 27004:2009 Information Technology – Security Techniques – Information Security Management – Measurement, www.iso.org |
|
ISO 27005 |
ISO/IEC 27005:2011 Information Technology – Security Techniques – Information Security Risk Management, www.iso.org |
|
ISO 27006 |
ISO/IEC 27006:2011 Information Technology – Security Techniques – Requirements for bodies providing audit and certification of information security management systems |
|
ISO 27007 |
ISO/IEC 27007:2011 Information Technology – Security Techniques – Guidelines for information security management systems auditing, www.iso.org |
|
ISO 27008 |
ISO/IEC TR 27008:2011 Information Technology – Security Techniques – Guidelines for auditors on information security management systems controls |
|
ITGS |
IT-Grundschutz, www.bsi.de/grundschutz, Bundesamt für Sicherheit in der Informationstechnik |
|
KK2012a |
Kersten H., Klett G.: Mobile Device Management, ISBN 978-3-8266-9214-7, Frechen, 2012 |
|
KK2012b |
Kersten H., Klett G.: Der IT Security Manager: Aktuelles Praxiswissen, ISBN 978-3-8348-8287-5, 3. Auflage, Wiesbaden, 2012 |
|
KRS2013 |
Kersten H., Reuter J., Schröder K. W.: IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz: Der Weg zur Zertifizierung, ISBN 978-3-658-01723-1, 4. Auflage, Wiesbaden, 2013 |
|
KSK2011 |
Klett G., Schröder K. W., Kersten H.: IT-Notfallmanagement mit System: Notfälle bei der Informationsverarbeitung sicher beherrschen, ISBN 978-3-8348-1288-9, Wiesbaden, 2011 |
|
TKG |
Telekommunikationsgesetz, www.gesetze-im-internet.de/tkg_2004 |
|
TMG |
Telemediengesetz, www.gesetze-im-internet.de/tmg/ |
Der fortgesetzte Trend zu BYOD in den Unternehmen hat die Architekturen der am Markt führenden MDM-Systeme neben einer Konsolidierung und Marktbereinigung durch Zukäufe nachhaltig verändert.
Bei Bring-Your-Own-Device sind die auf den mobilen Endgeräten enthaltenen Daten geschäftlicher sowie privater Natur. Dieser Mix wirft natürlich auch datenschutzrechtliche Fragen auf. Was ist dem Unternehmen beispielsweise im Falle eines Geräteverlusts erlaubt, um möglichen Schaden einzudämmen? Wie darf mit dem Gerät und den darauf enthaltenen Informationen umgegangen werden, wenn ein Mitarbeiter das Unternehmen verlässt? Hieraus erwächst eine der grundlegenden Herausforderungen für MDM in Sachen BYOD: das Separieren geschäftlicher von privaten Daten, um so die Voraussetzung für den größtmöglichen Schutz zu schaffen.
Die Trennung der unterschiedlichen Datenbereiche kann dabei auf verschiedene Art und Weise erfolgen:
Der erste Ansatz waren Container für dienstliche Daten und Apps, die in Form von Verwaltungs-Apps für das jeweilige MDM auf das Endgerät zu laden waren, dessen Inhalt vom MDM verwaltet werden sollte. Der Container bildet dabei einen verschlüsselten Bereich für Firmenanwendungen und entsprechende Daten und ist nach Eingabe eines Passworts zugänglich. Alles außerhalb des Containers ist privat und bleibt vom MDM unangetastet. Problematisch war die Durchlässigkeit der Container für Interprocess Communication und die häufig nicht vorhandene Integrität der mobilen Betriebssysteme (jailbroken, rooted), wenn Apps im Container auf Funktionen des Betriebssystems oder andere Apps zugreifen mussten.
Mittlerweile bieten die Hersteller von MDM Lösungen an, bei denen sich die Absicherung auf den Applikations-Layer konzentriert. Beim sogenannten App Wrapping werden unternehmensrelevante Apps mit Sicherheitsrichtlinien kombiniert und danach dem Nutzer zur Verfügung gestellt. So kann selbst auf einem unsicheren Tablet oder Smartphone sicher mit Unternehmensdaten gearbeitet werden. Durch die Separierung von privaten und gesicherten Firmen-Apps wird darüber hinaus sichergestellt, dass bei Bedarf nur die betrieblichen Daten von dem mobilen Gerät entfernt werden können. Sichere Authentifizierung, Datenschutz, sicherer Datentransfer und App-Management sind die Stärken des neuen App-Wrapping-Ansatzes.
Abb. 9.1: Schutz von Apps und Daten auf der Applikationsebene
BoxTone wurde im Februar 2014 von Good Technology übernommen und erweitert damit die MDM-Software Good for Enterprise. BoxTone wiederum kaufte zuvor 3LM (»three laws of mobility«) – ein Unternehmen, das Google im Rahmen seiner Übernahme von Motorola Mobility 2011 übernommen hatte. Das Portfolio von 3LM umfasst ein Application Program Interface (API) und eine Anwendungsplattform für Android, die in ihrer Funktionalität vergleichbar mit dem MDM-Interface von Apple sind. Die MDM-Lösung von Good unterstützt damit iOS, Android, Windows Phone sowie das 3LM API und Blackberry OS über seinen Zukauf BoxTone.
Weiter hat Good einen Cloud-Dienst mit Namen Good Pro in sein Portfolio aufgenommen und bietet Unternehmen ein vereinfachtes Management über die Cloud und eine Good Pro App an. Das Management erstreckt sich unter anderem auf Endpoint Security (Passcode, Wipe, WiFi etc.), Microsoft-Exchange-Konten, E-Mail, Kontakte, Termine und Links für File Sharing Services.
Good for Enterprise verwendet Active Directory für das Management des Lebenszyklus der Endgeräte mit Bereitstellung und Grundkonfiguration des Endgeräts sowie der abgesicherten Apps im Good Container, unabhängig von der Art des Beschaffungsmodells (BYOD = Bring your own Device oder COPE = Company owned, personally enabled).
Für die Absicherung von Apps muss nicht zwingend ein MDM eingesetzt werden. Der Datenaustausch zwischen Apps im Good Container und dem Unternehmensnetzwerk erfolgt generell mit einer FIPS[1]-zertifizierten Verschlüsselung. Der gesamte Datenverkehr mit Benutzer- und Endgeräte-Authentifizierung läuft über das Cloud-basierte Good Network Operation Center (NOC) mit Standort USA (!). Vom Unternehmensnetzwerk wird der Zugriff auf das NOC initiiert und erlaubt Verbindungen mit der DMZ oder VPN Appliances analog zu der bekannten Blackberry-Architektur.
Mit der MDM-Lösung wird für die mit Good abgesicherten Apps ein Enterprise App Store angeboten, in dem die Apps mit verbundenen Sicherheitsanforderungen für die eigenen Mitarbeiter, deren Daten sich in dem Active Directory befinden, als auch für Mitarbeiter von Fremdfirmen und Partnern verteilt werden. Für die gesicherten Apps ist ein Single Sign-On implementiert. Ist eine Authentifizierung für eine gesicherte App gültig, kann auf alle gesicherten Apps auf dem Endgerät zugegriffen werden. Wurden beim MDM Richtlinien für Compliance eingegeben, so werden diese bei jeder gesicherten App auf den mobilen Endgeräten überprüft und die mit Verstößen verbundenen Restriktionen wie Blockieren oder Löschen von Daten zur Anwendung gebracht.
Dem Nutzer steht eine begrenzte Anzahl von Aktionen (zum Beispiel die Auflistung aller aktivierten, gesicherten Apps) zur eigenen Ausführung zur Verfügung. Einige Device-Management-Aufgaben können ohne Help-Desk-Unterstützung vom Nutzer selbst durchgeführt werden, einschließlich Selbstregistrierung von Endgeräten, Fernzugriff zum Zurücksetzen des Gerätekennworts oder Sperren des mobilen Endgeräts.
In der MDM-Komponente für die Inventur lässt sich ein detaillierter Überblick über die verwendeten Betriebssysteme und die bereitgestellten Apps erzeugen. Die Herkunft der Apps, die »Wachstums-Rate« der installierten Apps, die bevorzugten Apps – aber auch die installierten, jedoch in einem vorgegebenen Zeitraum nicht verwendeten Apps sowie aktuelle und historische Trends der Nutzung lassen sich in die Reports der Inventarisierung aufnehmen.
Alle mit Good gesicherten Apps können erkennen, ob das Betriebssystem des Endgeräts, auf das sie geladen wurden, jailbroken oder rooted ist. Je nach festgelegten Richtlinien kann die App sich dann entweder sperren oder ihre Daten löschen.
Der Ansatz von Good, ohne große Eingriffe in eine bestehende Infrastruktur, sozusagen nicht-invasiv, ein EMM zu etablieren, ist für Unternehmen sehr interessant. Attraktiv für KMU dürfte sein, dass ein MDM nicht Voraussetzung ist. Mit Good abgesicherte Apps können auf demselben Endgerät mit nicht gesicherten, persönlichen Apps koexistieren. Das Unternehmen administriert und kontrolliert die Unternehmensdaten und sonst nichts. Da Apps nebeneinander existieren können, sind Endbenutzer nicht durch den Übergang zwischen Profilen (dienstlich, privat) behindert. Mit der Verwendung von Containern wird ein Schutz vor Datenlecks von Apps über alle unterstütze Geräteplattformen hinweg geboten.
Zunächst bestand die Mobile Strategy von Citrix darin, für möglichst viele Plattformen einen Receiver zu entwickeln. Der Receiver ist eine App, mit der auf eine virtuelle Arbeitsumgebung (XenDesktop) mit Apps und Datenquellen auf einem zentralen Server im Unternehmen oder in einer Cloud zugegriffen werden kann. Damit lassen sich beispielsweise Windows-Anwendungen auf fast allen Endgeräten nutzen. Die virtuelle Arbeitsumgebung wird vom Unternehmen bereitgestellt und verwaltet und bietet die bei BYOD zwingend erforderliche Separierung.
Abb. 9.2: Zugriff auf virtuelle Arbeitsumgebungen[2]
Virtuelle Arbeitsumgebungen sind allerdings von der Verfügbarkeit der Kommunikationswege abhängig. Wie greifen Mitarbeiter auch dann von ihrem mobilen Endgerät auf ihre Desktops und Daten zu, wenn keine Internetverbindung oder nur eine langsame Mobilfunk-Kommunikation via EDGE oder gar GPRS verfügbar ist?
Abb. 9.3: Citrix-EMM-System[3]
Mit dem schnell wachsenden Angebot an nativen Programmen für Android, iOS und andere mobile Betriebssysteme sind virtuelle Desktops als Mobile Application Management alleine nicht ausreichend. Citrix bietet mittlerweile XenMobile MDM und ein Mobile Solutions Bundle an. XenMobile basiert auf dem Zukauf von Zenprise Ende 2012. Kombiniert mit CloudGateway, einer Plattform für das Mobile Application Management, verfügt Citrix nun über ein umfassendes Portfolio für das Enterprise Mobility Management
XenMobile verfügt über die in dieser Produktkategorie typischen Funktionen:
Rollen-basierte Konfiguration von Geräten (abhängig von der Zugehörigkeit zu Gruppen im Active Directory)
Software-Verteilung, wobei User ihre Apps über ein Self-Service-Portal selbst auswählen können
Geräte remote löschen oder sperren, wenn sie verloren oder gestohlen wurden
Inventarisierung: Monitoring und Reporting, um Auskunft über den Status des Geräts und die Software-Ausstattung zu erhalten
Remote-Support und Troubleshooting für mobile Anwender
Abb. 9.4: Citrix-EMM-Komponenten[4]
CloudGateway beinhaltet einen App Store für Web- und XenApp-Anwendungen sowie ein Single Sign-on für die verschiedenen Applikationen. Unter dem Sammelbegriff MDX bietet CloudGateway folgende Komponenten für das Mobile Application Management:
MDX App Vault: App Wrapping für iOS und Android. Festlegung von Richtlinien auf Applikationsebene, Verschlüsselung, gezieltes Verwalten, Sperren oder Löschen der Firmen-Apps
MDX Web Connect: ein sicherer mobiler Webbrowser, der firmeninterne Web-Anwendungen ausführen soll. Er verschlüsselt Cache, History, Cookies und Bookmarks.
MDX Micro VPN erlaubt App-spezifischen sicheren Remote Access auf das Firmennetzwerk. Damit entfällt die Notwendigkeit für ein geräteübergreifendes VPN, das auch unsicheren Programmen bei korrumpiertem Betriebssystem Zugriff auf IT-Ressourcen im Unternehmen geben würde.
MDX Policy Orchestration: Administratoren können über Richtlinien die Ausführung von Apps (nativ und Web) kontrollieren, beispielsweise abhängig vom Netzwerk, dem benutzten Gerät oder einem erkannten Jailbreak.
Abb. 9.5: Architektur des Citrix Mobile Solution Bundle[5]
CloudGateway bietet mithilfe des Application Preparation Tools die Möglichkeit, auch selbst entwickelte oder gekaufte Apps zu »wrappen«, das heißt, wie eingangs erläutert, Apps auf der Applikationsebene in eine Sicherheitsschicht »einzuwickeln«, die alle vom Administrator definierten Regeln enthält und bei Bedarf ausführt.
Abbildung 9.5 zeigt das Mobile Solution Bundle im Überblick.
Das Citrix Mobile Solution Bundle dürfte derzeit die umfassendste, aber auch teuerste EMM-Lösung am Markt sein und ist für Unternehmen interessant, die bereits über eine Citrix-Infrastruktur verfügen.
Wie heute üblich, wird auch die EMM-Lösung von MobileIron als Software für die Installation auf eigener Hardware oder als Cloud-Service angeboten. MobileIron umfasst die Administration und Absicherung von mobilen Endgeräten, Dateninhalten sowie Applikationen und hat primär die marktführenden Betriebssysteme Android, iOS und Windows Phone im Fokus.
Explizit werden bei der Integration in bestehende Infrastrukturen die Sicherheitsfunktionen von Samsung KNOX und SAFE sowie Active Directory, ActiveSync und Exchange unterstützt.
Im MobileIron EMM lassen sich Unternehmensrichtlinien sowohl für die Einstellungen als auch für Daten im mobilen Endgerät und den Transfer der Daten von und zum Unternehmensnetzwerk hinterlegen, deren Einhaltung vom EMM überwacht wird. Die Architektur von MobileIron besteht hauptsächlich aus drei Komponenten:
MobileIron Core unterstützt die Integration und Erweiterung der IT-Infrastruktur über Verbindungen zum Active Directory und der Einrichtung von Datenbanken mit den Richtlinien und Konfigurationen für mobile Endgeräte, Daten und Apps.
MobileIron Client ist die Verwaltungs-App auf den mobilen Endgeräten, die vorgegebene Richtlinien auf dem Gerät umsetzt und deren Einhaltung überwacht.
MobileIron Sentry dient als Gateway zum sicheren, verschlüsselten Datenaustausch zwischen mobilem Endgerät und Unternehmens-Ressourcen.
Für die Entwicklung eigener Apps gibt es eine Umgebung mit der Bezeichnung MobileIron AppConnect, die eine Absicherung und Verwaltung von selbst programmierten Inhouse Apps erlaubt.
Für die mobilen Endgeräte gibt es eine Reihe zusätzlicher Client-Programme:
Apps@Work: Zugriff auf einen unternehmenseigenen App Store mit selbst entwickelten Inhouse Apps und Business Apps von Drittanbietern. Der interne App Store lässt sich von der Administration so konfigurieren, dass entsprechende Apps bezogen auf deren Rolle im Unternehmen angeboten werden.
Docs@Work: Ein sicherer Daten-Container auf dem Endgerät, der auch einen sicheren Zugriff auf SharePoint-Ressourcen ermöglicht. Docs@Work verschlüsselt Dokumente wie beispielsweise E-Mail-Anhänge, die über das MobileIron Gateway übertragen werden, und kann unerwünschten Datenabfluss verhindern.
Web@Work ist ein sicherer Browser für den Zugriff auf Web-Anwendungen innerhalb des Unternehmens-Intranets, ohne dass der Nutzer komplexe Prozeduren wie das Starten einer VPN-Verbindung ausführen muss.
Help@Work: Bei gewünschter Unterstützung durch das Help Desk kann der Nutzer von iOS-Endgeräten direkt Hilfe anfordern. Nach Bestätigung durch den Benutzer des mobilen Endgeräts wird für Mitarbeiter des Help Desks der Bildschirm-Inhalt des Geräts direkt auf die Verwaltungskonsole gespiegelt.
»Tunnel« ermöglicht Apps auf einem mobilen Endgerät mit iOS 8 (einschließlich Safari Browser) auf geschützte Unternehmensdaten und Inhalte hinter einer Firewall über eine Art VPN-Verbindung zuzugreifen, ohne dass das Gerät einen regulären VPN-Tunnel aufbauen muss. »Tunnel« nutzt Sicherheitsfunktionen von MobileIron, um die Gerätesicherheit kontinuierlich zu überwachen, bevor der Zugriff auf Unternehmensressourcen stattfindet. Allerdings basiert »Tunnel« auf SSL, was in der Vergangenheit mehrfach wegen Sicherheitslücken in der Diskussion war.
Schauen wir uns zum Abschluss dieses Kapitels die Erstellung und die Art der administrierbaren Richtlinien etwas näher an.
Die Komponente von MobileIron zur Verwaltung von Richtlinien (Policy Engine) ermöglicht die Administration mehrerer Klassen von Richtlinien in Abhängigkeit von den jeweiligen Risiken, denen die mobilen Endgeräte ausgesetzt sind. Beispielsweise kann ein Unternehmen die Regel in die Richtlinien aufnehmen, dass ein Gerät für einen Außendienst-Mitarbeiter mit einem rooted oder jailbroken Betriebssystem automatisch die betrieblichen Daten löscht.
Nachfolgend einige Klassen von Richtlinien von MobileIron für Endgeräte und Daten:
Datenschutz: Passwort für Zugriff, Verschlüsselung und Integrität des Betriebssystems (jailbroken, rooted)
Richtlinien für Container-Sicherheit (Apps und Dokumente): Authentifizierung, Autorisierung, Verschlüsselung, DLP-Maßnahmen, Verwendung von »Tunnel« bei der Übertragung
Blacklist/Whitelist für Applikationen: Richtlinien für erlaubte, nicht-erlaubte und erforderliche Apps
Zugriffskontrolle für E-Mail, Apps, Dokumente und Web
Datenschutz: Aktivieren und Deaktivieren der Nutzungs-Überwachung der auf dem Gerät befindlichen Apps, der geografischen Lokation etc.
Blockieren von Funktionen des Endgeräts
Überwachung des Datenverkehrs, insbesondere Roaming
Konfiguration der E-Mail- und Sicherheitseinstellungen
Die dabei eingesetzten kryptografischen Module sind ebenfalls FIPS-140-2-zertifiziert.
[1] (US) Federal Information Processing Standard
[2] Quelle: Citrix
[3] Quelle: Citrix
[4] Quelle: Citrix
[5] citrix-reference-architecture-for-mobile-device-and-app-management.pdf