MDM für Profis

Wie Sie eine sichere ByoD-Strategie durchsetzen

02.05.2013
Von Christian Bücker
Der Anteil stationärer PCs in den Unternehmen schwindet zugunsten mobiler Endgeräte. Dennoch sind bisher kaum durchgängige Security-Strategien für die Notebooks, Tablets und Smartphones anzutreffen. Ein Beispiel, wie sich Sicherheit und Verwaltbarkeit bewerkstelligen lassen könnten.

Viele Security-Verantwortliche bestätigen, dass die mobilen Endgeräte bisher nicht in die IT-Sicherheitskonzepte einbezogen wurden. Weil sich im Umgang mit den Devices zudem täglich etwas ändert, was Plattformen, Features und Anwendungen angeht, steigt das Risiko für Datenverluste in hohem Maße. Durch den Bring-your-own-Device-Trend (ByoD) und damit mehr und mehr Fremdgeräten in den Unternehmensnetzwerken ist die Notwendigkeit für ein ganzheitliches Sicherheitskonzept sogar noch gestiegen.

Grenzen der MDM-Systeme

Die üblichen Lösungen für das Mobile Device Management (MDM) zielen ähnlich wie das Management der stationären Clients vornehmlich darauf ab, beispielsweise ein Rollout der mobilen Endgeräte effizient durchzuführen, die notwendigen Konfigurationen von Anwendungen, Diensten und Funktionen sicherzustellen oder eine automatische Softwareverteilung vorzunehmen. Selbstverständlich bilden die MDM-Lösungen auch verschiedene Sicherheitsfunktionen ab, wie etwa das Aufspüren verloren gegangener Devices oder die Steuerung benutzerspezifische Sicherheitsregeln.

Solche MDM-Konzepte bieten im Regelfall jedoch keine Antwort darauf, wie mit SmartphonesSmartphones, TabletsTablets und anderen mobilen Endgeräten von internen oder externen Mitarbeitern umzugehen ist, auf denen keine Firmensoftware installiert werden darf oder kann, die für das Management jedoch zwingend notwendig ist. Alles zu Smartphones auf CIO.de Alles zu Tablets auf CIO.de

Netzzugang mit eigenem Kanal

Einen Security-Baustein für ByoD-Strategien, zumal vergleichsweise einfach zu realisieren, stellt hingegen eine Kombination aus einer Network-Access-Control-Lösung (NAC) und einem Intrusion Prevention System (IPS) dar. In ihrem Zusammenspiel lässt sich gewährleisten, dass Fremdgeräte über einen separaten, gesicherten Kanal kontrolliert in das Unternehmensnetz gelangen.

Das Ziel von NAC-Lösungen besteht grundsätzlich darin, das Netzwerk vor unautorisierten, nicht sicheren Geräten und internen Angriffen unabhängig der Gerätemodelle zu schützen. Dabei bilden sie zwei elementare Sicherheitsfunktionen ab:

  • Authentisierung: Alle Geräte, die einen Zugang zum Netzwerk suchen, müssen sich vorab authentisieren. Dieser Authentisierungsvorgang beinhaltet auch eine Klassifizierung der Endgeräte, um weitergehende Security-Entscheidungen auf Basis des Gerätetyps vornehmen zu können.

  • Autorisierung: Das NAC kann die Zugriffsrechte des Gerätes im Netzwerk entsprechend seiner Klassifizierung steuern. So werden beispielsweise IP-Telefone speziellen virtuellen LANs (VLAN) zugeordnet, wo sie Zugang zur benötigten Infrastruktur haben und aus Sicherheitsgründen vom Datennetz separiert sind. Auch mobile Geräte können Netzwerksegmenten mit geringeren Zugriffsmöglichkeiten zugeordnet werden, da sie grundsätzlich als gefährdeter als stationäre PCs eingeschätzt werden.

Wird in diesen Prüfprozessen ein Gerät als unbekannt identifiziert, löst das NAC einen Alarm aus und leitet bei entsprechender Konfiguration automatisch Gegenmaßnahmen ein, die von der E-Mail an den Administrator bis zur Sperrung des benutzten Switch-Ports reichen können.

Zur Startseite