Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Bring Your Own Device (BYOD) - Sicherheit für das Unternehmen und Zugriff für Firstline Worker

Bei der Einführung einer BYOD-Strategie gibt es für Unternehmen viele sicherheitskritische Aspekte, die bedacht werden müssen. Dieser Beitrag zeigt Ihnen die Möglichkeiten auf, die Sie mit Microsoft Intune haben.

Informationen sol­len von jedem Mitarbeiter über­all und jeder­zeit abge­ru­fen wer­den kön­nen. Das gilt sowohl für die Desktop-Arbeiter als auch für die Firstline Worker. Bring Your Own Device (BYOD), also die Nutzung von pri­va­ten Endgeräten im Firmenalltag, ist eine gute Möglichkeit die Außendienstmitarbeiter in die Unternehmenskommunikation und ‑kul­tur zu inte­grie­ren. Dennoch zögern viele Unternehmen bei dem Schritt hin zur BYOD-Strategie. Sie sehen die Hürden in vie­len sicher­heits­kri­ti­schen Aspekten und stel­len sich Fragen, wie:

  • Was pas­siert wenn ein Mitarbeiter sein Gerät verliert?
  • Wie sind die Daten auf dem Gerät gespeichert?
  • Achtet der Anwender auf die Aktualität sei­nes Gerätes?
  • Wie kann sicher­ge­stellt wer­den, dass keine Daten auf den pri­va­ten Geräten oder einer Cloud gespei­chert werden?

In die­sem Beitrag möch­ten wir Ihre Zweifel besei­ti­gen und Ihnen Möglichkeiten auf­zei­gen die Hürden in der BYOD-Strategie zu über­win­den. Erfahren Sie mehr über Mobile Application Management (MAM) mit Microsoft Intune, wel­che Vorteile es für Ihr Unternehmen bringt und wel­che Möglichkeiten Ihnen zur Verfügung stehen.

Mobile Application Management (MAM)

Mit MAM haben die Unternehmen die Möglichkeit Anwendungen zu kon­trol­lie­ren, anstelle des kom­plet­ten Gerätes. Die Konfigurationen zwi­schen Mobile Device Management (MDM) und MAM sind ähn­lich. Jedoch wer­den die MAM Richtlinien erst auf Ebene der Anwendung und der Anmeldung aktiv und geprüft. Wird bei der Prüfung fest­ge­stellt, dass die vom Unternehmen vor­ge­ge­bene Richtlinie nicht ein­ge­hal­ten wird, kann der Benutzer sich nicht an der Anwendung anmel­den und besitzt somit auch kei­nen Zugriff auf die Unternehmensdaten. Alle pri­va­ten Daten und Anwendungen blei­ben von den Richtlinien unbe­rührt und kön­nen von den Anwendern ohne Einschränkung ver­wen­det werden.

Die fol­gen­den Vorteile erge­ben sich beim Einsatz eines MAM (Microsoft):

Benutzerfreundlichkeit – Die MDM-Registrierung beinhal­tet viele Warnhinweise, die oft dazu füh­ren, dass der Benutzer seine E‑Mails letzt­lich doch nicht mehr auf sei­nem per­sön­li­chen Gerät abru­fen möchte. Bei MAM wird Ihnen ledig­lich ein­mal ein Popupfenster ange­zeigt, das Sie dar­über infor­miert, dass der MAM-Schutz aktiv ist.

Compliance – Einige Organisationen müs­sen sich an Richtlinien hal­ten, die weni­ger Verwaltungsfunktionen auf per­sön­li­chen Geräten erfor­dern. So kann MAM bei­spiels­weise nur Unternehmensdaten aus den Apps ent­fer­nen, wohin­ge­gen MDM alle Daten vom Gerät ent­fer­nen kann.

Intune als MAM

Microsoft hat in sei­ner popu­lä­ren Device Management Software Intune ein MAM inte­griert. Über Intune App Protection steht den Administratoren die Möglichkeit zur Verfügung für alle mobi­len Apps, wel­che sich gegen einen Office 365 Dienst ver­bin­den, Richtlinien zum Schutz der Anwendung zu defi­nie­ren. Die Definition wann eine Richtlinie gül­tig ist kann dabei auf ver­schie­dene Art gesteu­ert werden.

Für wel­che Plattformen, Geräte, Personen und Apps gel­ten Richtlinien?

Eine Richtlinie kann für die Plattformen iOS, Android und Windows 10 erstellt wer­den. Dabei muss für jede Plattform eine eigene Richtlinie defi­niert wer­den. Es ist aktu­ell nicht damit zu rech­nen, dass wei­tere Plattformen dazu kommen.

 

Eine MAM Richtlinie wird in den meis­ten Fällen nur bei pri­va­ten Geräten ange­wen­det, daher kann defi­niert wer­den, dass keine Intune Geräte über die MAM Richtlinien gesteu­ert wer­den sol­len. Somit wird sicher­ge­stellt, dass die Benutzer nicht zu vie­len Richtlinien unter­lie­gen und die Usability und die Akzeptanz der Benutzer gestei­gert wird.

Die Wirkung der Richtlinie wird immer auf Benutzergruppen defi­niert. Der Vorteil dabei ist, dass ver­schie­dene Regeln für ver­schie­dene Benutzergruppen erstellt wer­den kön­nen. Somit steht die Möglichkeit zur Verfügung einen erhöh­ten Schutz zu gewähr­leis­ten, wenn Personen dau­er­haft mit sen­si­blen Daten arbei­ten. Zum Beispiel gilt für Mitarbeiter mit Zugriff auf Personalinformationen eine stär­kere Regel als für die Mitarbeiter, wel­che weni­ger mit sen­si­blen Informationen zu tun haben. Auch der Ausschluss von Personengruppen kann expli­zit ange­ge­ben werden.

Im Standard wer­den von Microsoft nur die Apps unter­stützt, wel­che sich mit einem Office 365 Dienst ver­bin­den. Es gibt die Möglichkeit bran­chen­spe­zi­fi­sche Apps zu ver­wal­ten. Dabei han­delt es sich um Eigenentwicklungen, wel­che dann über Intune App Protection ver­wal­tet wer­den kön­nen. Eine kom­plette Liste der App ist bei Microsoft zu fin­den. Pro Richtlinie kann eine oder meh­rer Apps defi­niert wer­den, also bleibt auch hier die Flexibilität erhalten.

Richtlinien um die Unternehmensdaten zu schützen

Sind die Plattformen, Geräte, Personen und Apps defi­niert kann eine Regel für die Ziele defi­niert wer­den. Die Regeln pas­sen sich an die jewei­lige Plattform an und unter­stüt­zen dabei auch Funktionen der unter­schied­li­chen Plattformen (Bsp.: PIN per Fingerabdruck).

Im ers­ten Abschnitt "Datenverschiebung" wird kon­fi­gu­riert, wie die defi­nierte App sich zu ande­ren Apps und Diensten auf dem Gerät ver­hal­ten darf. Sie haben hier ver­schie­dene Möglichkeiten ein Abfließen von Daten zu ver­hin­dern (Bsp.: keine Speicherung von Daten in der iCloud).

Unter dem Punkt "Zugriff" wird dann defi­niert, wie der Nutzer die App öff­nen darf. Dabei wird ein PIN Verfahren (Numerisch / Kennung) gewählt. Dieser PIN dient gleich­zei­tig als Verschlüsselung für die App. Alle Daten in der App wer­den mit die­sem PIN ver­schlüs­selt und sind somit nicht aus­les­bar, falls das Gerät ver­lo­ren gehen sollte.

Als letz­ter Schritt kann noch defi­niert wer­den, wel­che Plattformversionen erlaubt sind oder nicht. Besteht also eine Sicherheitslücke in einem älte­ren Betriebssystem, kann dies über die Versionsnummer aus­ge­schlos­sen wer­den. Der Nutzer hat somit keine Möglichkeit auf die Unternehmensdaten zu zugrei­fen, ohne ein Update sei­nes Gerätes durchzuführen.

Sind alle Einstellungen gespei­chert, dann ist diese Richtlinie direkt aktiv für alle Benutzer, Geräte, Plattformen und Apps. Bei der ers­ten Anmeldung eines Nutzers muss die­ser sich einen PIN vergeben. 

Was wird für Intune App Protection benötigt?

Um das MAM zu ver­wen­den wird min­des­tens eine Intune Lizenz in Azure / Office 365 benö­tigt. Die Standalone Lizenz Intune ist das kleinste Paket aus der Enterprise Mobility + Security Suite. Die nächs­ten Ausbaustufen sind Enterprise Mobility + Security E3 / E5. In den E3 und E5 Plänen haben Sie erwei­tere Funktionen wie eine Mehrstufige Authentifizierung oder den beding­ten Zugriff auf Anwendungen (Bsp.: Zugriff und Authentifizierung abhän­gig vom Standort). Eine Übersicht der Dienste und Preise ist unter Microsoft.com zu finden.

Persönliche Einschätzung und Fazit

Mit Intune App Protection hat Microsoft es geschafft den Unternehmen eine Möglichkeit zu geben allen Mitarbeitern (Stichwort Firstline Worker) den Zugriff auf Informationen zu gewähr­leis­ten, ohne eine teure und auf­wän­dige Hardwarebeschaffung durch­zu­füh­ren. Die Daten des Unternehmens blei­ben dabei immer unter hohen Schutz und Kontrolle, wel­che zu jeder Zeit an die aktu­el­len Bedürfnisse ange­passt wer­den können.

Auch wenn die Konfiguration nicht schwie­rig erscheint, müs­sen einige Aspekte beach­tet wer­den. Grade das Zusammenspiel von zu vie­len Sicherheitsmechanismen und die feh­lende Transparenz zu den Mitarbeitern kann schnell dazu füh­ren, dass kein Interesse an der Anwendung besteht uns somit der Erfolg aus­bleibt. Für die rich­tige Planung, Umsetzung und Einführung braucht es Erfahrung in sol­chen Projekten. Kommen Sie auf uns zu und las­sen Sie sich beraten!

Related Posts

Pin It on Pinterest