Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
+49 (0) 351/8 33 82-0

Bring Your Own Device (BYOD) – Sicherheit für das Unternehmen und Zugriff für Firstline Worker

Bei der Einführung einer BYOD-Strategie gibt es für Unternehmen viele sicherheitskritische Aspekte, die bedacht werden müssen. Dieser Beitrag zeigt Ihnen die Möglichkeiten auf, die Sie mit Microsoft Intune haben.

Informationen sollen von jedem Mitarbeiter überall und jederzeit abgerufen werden können. Das gilt sowohl für die Desktop-Arbeiter als auch für die Firstline Worker. Bring Your Own Device (BYOD), also die Nutzung von privaten Endgeräten im Firmenalltag, ist eine gute Möglichkeit die Außendienstmitarbeiter in die Unternehmenskommunikation und -kultur zu integrieren. Dennoch zögern viele Unternehmen bei dem Schritt hin zur BYOD-Strategie. Sie sehen die Hürden in vielen sicherheitskritischen Aspekten und stellen sich Fragen, wie:

  • Was passiert wenn ein Mitarbeiter sein Gerät verliert?
  • Wie sind die Daten auf dem Gerät gespeichert?
  • Achtet der Anwender auf die Aktualität seines Gerätes?
  • Wie kann sichergestellt werden, dass keine Daten auf den privaten Geräten oder einer Cloud gespeichert werden?

In diesem Beitrag möchten wir Ihre Zweifel beseitigen und Ihnen Möglichkeiten aufzeigen die Hürden in der BYOD-Strategie zu überwinden. Erfahren Sie mehr über Mobile Application Management (MAM) mit Microsoft Intune, welche Vorteile es für Ihr Unternehmen bringt und welche Möglichkeiten Ihnen zur Verfügung stehen.

Mobile Application Management (MAM)

Mit MAM haben die Unternehmen die Möglichkeit Anwendungen zu kontrollieren, anstelle des kompletten Gerätes. Die Konfigurationen zwischen Mobile Device Management (MDM) und MAM sind ähnlich. Jedoch werden die MAM Richtlinien erst auf Ebene der Anwendung und der Anmeldung aktiv und geprüft. Wird bei der Prüfung festgestellt, dass die vom Unternehmen vorgegebene Richtlinie nicht eingehalten wird, kann der Benutzer sich nicht an der Anwendung anmelden und besitzt somit auch keinen Zugriff auf die Unternehmensdaten. Alle privaten Daten und Anwendungen bleiben von den Richtlinien unberührt und können von den Anwendern ohne Einschränkung verwendet werden.

Die folgenden Vorteile ergeben sich beim Einsatz eines MAM (Microsoft):

Benutzerfreundlichkeit – Die MDM-Registrierung beinhaltet viele Warnhinweise, die oft dazu führen, dass der Benutzer seine E-Mails letztlich doch nicht mehr auf seinem persönlichen Gerät abrufen möchte. Bei MAM wird Ihnen lediglich einmal ein Popupfenster angezeigt, das Sie darüber informiert, dass der MAM-Schutz aktiv ist.

Compliance – Einige Organisationen müssen sich an Richtlinien halten, die weniger Verwaltungsfunktionen auf persönlichen Geräten erfordern. So kann MAM beispielsweise nur Unternehmensdaten aus den Apps entfernen, wohingegen MDM alle Daten vom Gerät entfernen kann.

Intune als MAM

Microsoft hat in seiner populären Device Management Software Intune ein MAM integriert. Über Intune App Protection steht den Administratoren die Möglichkeit zur Verfügung für alle mobilen Apps, welche sich gegen einen Office 365 Dienst verbinden, Richtlinien zum Schutz der Anwendung zu definieren. Die Definition wann eine Richtlinie gültig ist kann dabei auf verschiedene Art gesteuert werden.

Für welche Plattformen, Geräte, Personen und Apps gelten Richtlinien?

Eine Richtlinie kann für die Plattformen iOS, Android und Windows 10 erstellt werden. Dabei muss für jede Plattform eine eigene Richtlinie definiert werden. Es ist aktuell nicht damit zu rechnen, dass weitere Plattformen dazu kommen.

 

Eine MAM Richtlinie wird in den meisten Fällen nur bei privaten Geräten angewendet, daher kann definiert werden, dass keine Intune Geräte über die MAM Richtlinien gesteuert werden sollen. Somit wird sichergestellt, dass die Benutzer nicht zu vielen Richtlinien unterliegen und die Usability und die Akzeptanz der Benutzer gesteigert wird.

Die Wirkung der Richtlinie wird immer auf Benutzergruppen definiert. Der Vorteil dabei ist, dass verschiedene Regeln für verschiedene Benutzergruppen erstellt werden können. Somit steht die Möglichkeit zur Verfügung einen erhöhten Schutz zu gewährleisten, wenn Personen dauerhaft mit sensiblen Daten arbeiten. Zum Beispiel gilt für Mitarbeiter mit Zugriff auf Personalinformationen eine stärkere Regel als für die Mitarbeiter, welche weniger mit sensiblen Informationen zu tun haben. Auch der Ausschluss von Personengruppen kann explizit angegeben werden.

Im Standard werden von Microsoft nur die Apps unterstützt, welche sich mit einem Office 365 Dienst verbinden. Es gibt die Möglichkeit branchenspezifische Apps zu verwalten. Dabei handelt es sich um Eigenentwicklungen, welche dann über Intune App Protection verwaltet werden können. Eine komplette Liste der App ist bei Microsoft zu finden. Pro Richtlinie kann eine oder mehrer Apps definiert werden, also bleibt auch hier die Flexibilität erhalten.

Richtlinien um die Unternehmensdaten zu schützen

Sind die Plattformen, Geräte, Personen und Apps definiert kann eine Regel für die Ziele definiert werden. Die Regeln passen sich an die jeweilige Plattform an und unterstützen dabei auch Funktionen der unterschiedlichen Plattformen (Bsp.: PIN per Fingerabdruck).

Im ersten Abschnitt „Datenverschiebung“ wird konfiguriert, wie die definierte App sich zu anderen Apps und Diensten auf dem Gerät verhalten darf. Sie haben hier verschiedene Möglichkeiten ein Abfließen von Daten zu verhindern (Bsp.: keine Speicherung von Daten in der iCloud).

Unter dem Punkt „Zugriff“ wird dann definiert, wie der Nutzer die App öffnen darf. Dabei wird ein PIN Verfahren (Numerisch / Kennung) gewählt. Dieser PIN dient gleichzeitig als Verschlüsselung für die App. Alle Daten in der App werden mit diesem PIN verschlüsselt und sind somit nicht auslesbar, falls das Gerät verloren gehen sollte.

Als letzter Schritt kann noch definiert werden, welche Plattformversionen erlaubt sind oder nicht. Besteht also eine Sicherheitslücke in einem älteren Betriebssystem, kann dies über die Versionsnummer ausgeschlossen werden. Der Nutzer hat somit keine Möglichkeit auf die Unternehmensdaten zu zugreifen, ohne ein Update seines Gerätes durchzuführen.

Sind alle Einstellungen gespeichert, dann ist diese Richtlinie direkt aktiv für alle Benutzer, Geräte, Plattformen und Apps. Bei der ersten Anmeldung eines Nutzers muss dieser sich einen PIN vergeben. 

Was wird für Intune App Protection benötigt?

Um das MAM zu verwenden wird mindestens eine Intune Lizenz in Azure / Office 365 benötigt. Die Standalone Lizenz Intune ist das kleinste Paket aus der Enterprise Mobility + Security Suite. Die nächsten Ausbaustufen sind Enterprise Mobility + Security E3 / E5. In den E3 und E5 Plänen haben Sie erweitere Funktionen wie eine Mehrstufige Authentifizierung oder den bedingten Zugriff auf Anwendungen (Bsp.: Zugriff und Authentifizierung abhängig vom Standort). Eine Übersicht der Dienste und Preise ist unter Microsoft.com zu finden.

Persönliche Einschätzung und Fazit

Mit Intune App Protection hat Microsoft es geschafft den Unternehmen eine Möglichkeit zu geben allen Mitarbeitern (Stichwort Firstline Worker) den Zugriff auf Informationen zu gewährleisten, ohne eine teure und aufwändige Hardwarebeschaffung durchzuführen. Die Daten des Unternehmens bleiben dabei immer unter hohen Schutz und Kontrolle, welche zu jeder Zeit an die aktuellen Bedürfnisse angepasst werden können.

Auch wenn die Konfiguration nicht schwierig erscheint, müssen einige Aspekte beachtet werden. Grade das Zusammenspiel von zu vielen Sicherheitsmechanismen und die fehlende Transparenz zu den Mitarbeitern kann schnell dazu führen, dass kein Interesse an der Anwendung besteht uns somit der Erfolg ausbleibt. Für die richtige Planung, Umsetzung und Einführung braucht es Erfahrung in solchen Projekten. Kommen Sie auf uns zu und lassen Sie sich beraten!

Kommentar hinterlassen