Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Bring Your Own Device (BYOD) - Sicherheit für das Unternehmen und Zugriff für Firstline Worker

Bei der Einführung einer BYOD-Strategie gibt es für Unternehmen viele sicherheitskritische Aspekte, die bedacht werden müssen. Dieser Beitrag zeigt Ihnen die Möglichkeiten auf, die Sie mit Microsoft Intune haben.

Informationen sol­len von jedem Mitarbeiter über­all und jeder­zeit abge­ru­fen wer­den kön­nen. Das gilt sowohl für die Desktop-Arbeiter als auch für die Firstline Worker. Bring Your Own Device (BYOD), also die Nutzung von pri­va­ten Endgeräten im Firmenalltag, ist eine gute Möglichkeit die Außendienstmitarbeiter in die Unternehmenskommunikation und ‑kul­tur zu inte­grie­ren. Dennoch zögern viele Unternehmen bei dem Schritt hin zur BYOD-Strategie. Sie sehen die Hürden in vie­len sicher­heits­kri­ti­schen Aspekten und stel­len sich Fragen, wie:

  • Was pas­siert wenn ein Mitarbeiter sein Gerät ver­liert?
  • Wie sind die Daten auf dem Gerät gespei­chert?
  • Achtet der Anwender auf die Aktualität sei­nes Gerätes?
  • Wie kann sicher­ge­stellt wer­den, dass keine Daten auf den pri­va­ten Geräten oder einer Cloud gespei­chert wer­den?

In die­sem Beitrag möch­ten wir Ihre Zweifel besei­ti­gen und Ihnen Möglichkeiten auf­zei­gen die Hürden in der BYOD-Strategie zu über­win­den. Erfahren Sie mehr über Mobile Application Management (MAM) mit Microsoft Intune, wel­che Vorteile es für Ihr Unternehmen bringt und wel­che Möglichkeiten Ihnen zur Verfügung ste­hen.

Mobile Application Management (MAM)

Mit MAM haben die Unternehmen die Möglichkeit Anwendungen zu kon­trol­lie­ren, anstelle des kom­plet­ten Gerätes. Die Konfigurationen zwi­schen Mobile Device Management (MDM) und MAM sind ähn­lich. Jedoch wer­den die MAM Richtlinien erst auf Ebene der Anwendung und der Anmeldung aktiv und geprüft. Wird bei der Prüfung fest­ge­stellt, dass die vom Unternehmen vor­ge­ge­bene Richtlinie nicht ein­ge­hal­ten wird, kann der Benutzer sich nicht an der Anwendung anmel­den und besitzt somit auch kei­nen Zugriff auf die Unternehmensdaten. Alle pri­va­ten Daten und Anwendungen blei­ben von den Richtlinien unbe­rührt und kön­nen von den Anwendern ohne Einschränkung ver­wen­det wer­den.

Die fol­gen­den Vorteile erge­ben sich beim Einsatz eines MAM (Microsoft):

Benutzerfreundlichkeit – Die MDM-Registrierung beinhal­tet viele Warnhinweise, die oft dazu füh­ren, dass der Benutzer seine E‑Mails letzt­lich doch nicht mehr auf sei­nem per­sön­li­chen Gerät abru­fen möchte. Bei MAM wird Ihnen ledig­lich ein­mal ein Popupfenster ange­zeigt, das Sie dar­über infor­miert, dass der MAM-Schutz aktiv ist.

Compliance – Einige Organisationen müs­sen sich an Richtlinien hal­ten, die weni­ger Verwaltungsfunktionen auf per­sön­li­chen Geräten erfor­dern. So kann MAM bei­spiels­weise nur Unternehmensdaten aus den Apps ent­fer­nen, wohin­ge­gen MDM alle Daten vom Gerät ent­fer­nen kann.

Intune als MAM

Microsoft hat in sei­ner popu­lä­ren Device Management Software Intune ein MAM inte­griert. Über Intune App Protection steht den Administratoren die Möglichkeit zur Verfügung für alle mobi­len Apps, wel­che sich gegen einen Office 365 Dienst ver­bin­den, Richtlinien zum Schutz der Anwendung zu defi­nie­ren. Die Definition wann eine Richtlinie gül­tig ist kann dabei auf ver­schie­dene Art gesteu­ert wer­den.

Für welche Plattformen, Geräte, Personen und Apps gelten Richtlinien?

Eine Richtlinie kann für die Plattformen iOS, Android und Windows 10 erstellt wer­den. Dabei muss für jede Plattform eine eigene Richtlinie defi­niert wer­den. Es ist aktu­ell nicht damit zu rech­nen, dass wei­tere Plattformen dazu kom­men.

 

Eine MAM Richtlinie wird in den meis­ten Fällen nur bei pri­va­ten Geräten ange­wen­det, daher kann defi­niert wer­den, dass keine Intune Geräte über die MAM Richtlinien gesteu­ert wer­den sol­len. Somit wird sicher­ge­stellt, dass die Benutzer nicht zu vie­len Richtlinien unter­lie­gen und die Usability und die Akzeptanz der Benutzer gestei­gert wird.

Die Wirkung der Richtlinie wird immer auf Benutzergruppen defi­niert. Der Vorteil dabei ist, dass ver­schie­dene Regeln für ver­schie­dene Benutzergruppen erstellt wer­den kön­nen. Somit steht die Möglichkeit zur Verfügung einen erhöh­ten Schutz zu gewähr­leis­ten, wenn Personen dau­er­haft mit sen­si­blen Daten arbei­ten. Zum Beispiel gilt für Mitarbeiter mit Zugriff auf Personalinformationen eine stär­kere Regel als für die Mitarbeiter, wel­che weni­ger mit sen­si­blen Informationen zu tun haben. Auch der Ausschluss von Personengruppen kann expli­zit ange­ge­ben wer­den.

Im Standard wer­den von Microsoft nur die Apps unter­stützt, wel­che sich mit einem Office 365 Dienst ver­bin­den. Es gibt die Möglichkeit bran­chen­spe­zi­fi­sche Apps zu ver­wal­ten. Dabei han­delt es sich um Eigenentwicklungen, wel­che dann über Intune App Protection ver­wal­tet wer­den kön­nen. Eine kom­plette Liste der App ist bei Microsoft zu fin­den. Pro Richtlinie kann eine oder meh­rer Apps defi­niert wer­den, also bleibt auch hier die Flexibilität erhal­ten.

Richtlinien um die Unternehmensdaten zu schützen

Sind die Plattformen, Geräte, Personen und Apps defi­niert kann eine Regel für die Ziele defi­niert wer­den. Die Regeln pas­sen sich an die jewei­lige Plattform an und unter­stüt­zen dabei auch Funktionen der unter­schied­li­chen Plattformen (Bsp.: PIN per Fingerabdruck).

Im ers­ten Abschnitt "Datenverschiebung" wird kon­fi­gu­riert, wie die defi­nierte App sich zu ande­ren Apps und Diensten auf dem Gerät ver­hal­ten darf. Sie haben hier ver­schie­dene Möglichkeiten ein Abfließen von Daten zu ver­hin­dern (Bsp.: keine Speicherung von Daten in der iCloud).

Unter dem Punkt "Zugriff" wird dann defi­niert, wie der Nutzer die App öff­nen darf. Dabei wird ein PIN Verfahren (Numerisch / Kennung) gewählt. Dieser PIN dient gleich­zei­tig als Verschlüsselung für die App. Alle Daten in der App wer­den mit die­sem PIN ver­schlüs­selt und sind somit nicht aus­les­bar, falls das Gerät ver­lo­ren gehen sollte.

Als letz­ter Schritt kann noch defi­niert wer­den, wel­che Plattformversionen erlaubt sind oder nicht. Besteht also eine Sicherheitslücke in einem älte­ren Betriebssystem, kann dies über die Versionsnummer aus­ge­schlos­sen wer­den. Der Nutzer hat somit keine Möglichkeit auf die Unternehmensdaten zu zugrei­fen, ohne ein Update sei­nes Gerätes durch­zu­füh­ren.

Sind alle Einstellungen gespei­chert, dann ist diese Richtlinie direkt aktiv für alle Benutzer, Geräte, Plattformen und Apps. Bei der ers­ten Anmeldung eines Nutzers muss die­ser sich einen PIN ver­ge­ben. 

Was wird für Intune App Protection benötigt?

Um das MAM zu ver­wen­den wird min­des­tens eine Intune Lizenz in Azure / Office 365 benö­tigt. Die Standalone Lizenz Intune ist das kleinste Paket aus der Enterprise Mobility + Security Suite. Die nächs­ten Ausbaustufen sind Enterprise Mobility + Security E3 / E5. In den E3 und E5 Plänen haben Sie erwei­tere Funktionen wie eine Mehrstufige Authentifizierung oder den beding­ten Zugriff auf Anwendungen (Bsp.: Zugriff und Authentifizierung abhän­gig vom Standort). Eine Übersicht der Dienste und Preise ist unter Microsoft.com zu fin­den.

Persönliche Einschätzung und Fazit

Mit Intune App Protection hat Microsoft es geschafft den Unternehmen eine Möglichkeit zu geben allen Mitarbeitern (Stichwort Firstline Worker) den Zugriff auf Informationen zu gewähr­leis­ten, ohne eine teure und auf­wän­dige Hardwarebeschaffung durch­zu­füh­ren. Die Daten des Unternehmens blei­ben dabei immer unter hohen Schutz und Kontrolle, wel­che zu jeder Zeit an die aktu­el­len Bedürfnisse ange­passt wer­den kön­nen.

Auch wenn die Konfiguration nicht schwie­rig erscheint, müs­sen einige Aspekte beach­tet wer­den. Grade das Zusammenspiel von zu vie­len Sicherheitsmechanismen und die feh­lende Transparenz zu den Mitarbeitern kann schnell dazu füh­ren, dass kein Interesse an der Anwendung besteht uns somit der Erfolg aus­bleibt. Für die rich­tige Planung, Umsetzung und Einführung braucht es Erfahrung in sol­chen Projekten. Kommen Sie auf uns zu und las­sen Sie sich bera­ten!

Related Posts

Pin It on Pinterest