Mobile Device Management Buyers Guide - Whitepaper

Mobile Device Management
Buyers Guide
Im sprichwörtlichen Motor, der ein Unternehmen in Gang hält,
kommt der IT-Abteilung die Funktion des Schmiermittels zu. Mit
der Möglichkeit zur Nutzung privater Mobilgeräte im Berufsalltag
(Bring Your Own Device: BYOD) können Sie Ihren Mitarbeitern
das Leben erheblich erleichtern. Doch mit dieser Bequemlichkeit
gehen immer auch Sicherheitskompromisse einher. Wie kann der
Balanceakt zwischen Sicherheit und Produktivität gelingen? In
diesem Guide machen wir Sie mit den verschiedenen Faktoren
vertraut, die es bei der Suche nach der für Sie besten Lösung zur
Verwaltung von Mobilgeräten zu berücksichtigen gilt.
Mobile Device Management Buyers Guide
Gestatten Sie Ihren Benutzern die Nutzung von
Privatgeräten im Arbeitsalltag?
Mit Mobile Device Management-Lösungen (MDM) können IT-Organisationen Mobilgeräte
zentral verwalten, überwachen und Support anbieten. Bei den verwalteten Geräten kann
es sich um Smartphones und Tablets unterschiedlicher Hersteller mit verschiedenen
Betriebssystemen handeln. Durch die Nutzung einer MDM-Lösung für Kontrolle und Schutz
der Daten und Konfigurationseinstellungen auf den Mobilgeräten Ihrer Mitarbeiter können Sie
die mit BYOD-Regelungen einhergehenden Supportkosten und Risiken senken.
Mit der richtigen MDM-Lösung können Sie Ihren Usern die Nutzung von
Privatgeräten im Arbeitsalltag gestatten, ohne dass die Risiken eines
Datenverlustes oder der Arbeitsaufwand Ihrer IT zunehmen.
BYOD – Risiken und Nutzen
BYOD bietet gleichermaßen Vorteile für Unternehmen und Endbenutzer.
Mitarbeiter, die mit eigenen Geräten arbeiten können, sind schlicht produktiver.
Ein vertrautes Gerät ist komfortabler, weil es genau auf die eigenen Vorlieben
abgestimmt ist und so die Produktivität innerhalb wie außerhalb des Büros
steigert.
Und auch bei der Einstellung neuer Mitarbeiter kann sich eine BYOD-Richtlinie als Vorteil
erweisen. Mitarbeiter möchten ihre persönlichen Smartphones und Tablets verwenden.
Sie möchten nicht auf die Geräte angewiesen sein, die das Unternehmen anbietet oder sich
mit einem zweiten Gerät vertraut machen und dieses stets mitführen müssen. So können
Unternehmen mit einer BYOD-Richtlinie technikbegeisterte Bewerber für sich gewinnen.
Doch wie bei allen Technologietrends gibt es auch hier Nachteile, die den Nutzen schmälern
können. BYOD ist mit zwei zentralen Herausforderungen verbunden: Datenschutz und
Verwaltung.
Datenschutz: Mobile Geräte können schnell verloren gehen oder gestohlen werden und
fördern logischerweise den Datenaustausch über öffentliche Netzwerke. Dadurch wird
Datenschutz zum zentralen Thema. Sie können sich nie sicher sein, wer über welchen Kanal
auf welche Daten zugreift.
Verwaltung: IT-Teams müssen die Geräte kontrollieren können, mit denen auf
Unternehmensdaten zugegriffen wird – und zwar unabhängig davon, in wessen Besitz diese
sind. Wenn Mitarbeiter ihre Privatgeräte nutzen, bedeutet das außerdem, dass eine Vielzahl
unterschiedlicher Geräte und Betriebssysteme verwaltet werden müssen. Dies kann sich als
erhebliche Belastung für die IT-Ressourcen erweisen. Alle Geräte einzeln zu verwalten ist
deshalb keine gangbare Lösung.
2
Mobile Device Management Buyers Guide
Worauf Sie bei der Wahl Ihres MDM-Anbieters
achten sollten
Sie wissen, dass Sie die Mobilgeräte in Ihrem Netzwerk kontrollieren und schützen müssen.
Doch wissen Sie auch, wie Sie den für Sie besten Anbieter finden? Zunächst einmal: Der
mögliche Umfang der Sicherheits- und Kontrollfunktionen von MDM-Lösungen wird durch
die Mobilgerätehersteller vorgegeben. Interessenten sollten deshalb mit Skepsis reagieren,
wenn MDM-Anbieter damit werben, explizite Einschränkungen einzelner Betriebssysteme
umgehen zu können. Das entspricht vermutlich nicht der Wahrheit oder gilt nur für gerootete
Geräte (Android) oder Geräte mit Jailbreak (iOS). Wie können Sie nun aber die MDM-Angebote
unterschiedlicher Anbieter bewerten? Wir haben Fragen und Antworten zu den wichtigsten
Auswahlkriterien für Sie zusammengestellt:
Bietet der Hersteller ein flexibles Bereitstellungsmodell an?
Der Anbieter sollte unterschiedliche Bereitstellungsmodelle anbieten, u. a. auch eine
lokal installierbare Lösung für größere Umgebungen. Obwohl solche Lösungen mit
Anfangsinvestitionen und Betriebskosten verbunden sind, ermöglichen sie durch die
vollständige Integration in die Unternehmens-IT doch auch eine feinere Abstufung der
Kontrolle. Lokale Installationen nutzen einen EAS-Proxy, Active Directory, eine LDAPVerbindung und bieten Backup-Optionen.
Während solche Systeme die verbreiteste Bereitstellungsmethode darstellen, sind sie aber
nicht die einzige. Einige MDM-Anbieter bieten auch Software-as-a-Service-Modelle (SaaS)
an. Diese sind ideal für Unternehmen, die schnell eine funktionierende Lösung benötigen.
Sie erfordern keine Installation oder Pflege von Software vor Ort und sparen so Zeit und
Betriebskosten. Und weil keine Veränderungen an der lokalen IT-Infrastruktur vorgenommen
und keine Hardware angeschafft werden muss, fallen auch keine Investitionskosten an.
SaaS gilt typischerweise als Lösung für große Organisationen, eignet sich aber auch gut
für kleinere Unternehmen oder bestimmte Benutzergruppen. Tatsächlich wird das Mobile
Device Management durch MDM-Angebote in der Cloud auch für kleinere Unternehmen und
Benutzergruppen realisierbar, die auf eine zentrale Kontrolle angewiesen sind, jedoch nicht
über die Ressourcen verfügen, um eine lokal installierte Installation zu implementieren und
zu verwalten. Unternehmen sollten nach einer Lösung suchen, die ihnen die erforderliche
Skalierbarkeit bietet, ohne überdimensioniert und deshalb übermäßig komplex zu sein.
Unterstützt die MDM-Lösung iPhone, iPad, Android, BlackBerry und Windows
Mobile?
Nicht alle MDM-Lösungen unterstützen alle mobilen Betriebssysteme und Plattformen.
Deshalb ist es wichtig, sich bereits bei der Wahl der Lösung Gedanken darüber zu machen,
welche Geräte Sie jetzt und in Zukunft einsetzen möchten. Eine Entscheidung für die
falsche Lösung kann dazu führen, dass Sie am Ende eine Reihe von Usern separat managen
müssen. Daten und Konfiguration nicht unterstützter Mobilgeräte müssen dann von den
Administratoren manuell kontrolliert und verwaltet werden. Das senkt den Return on
Investment und bringt Risiken mit sich.
3
Mobile Device Management Buyers Guide
Nutzt der Anbieter einen reduzierten, nativen MDM-Ansatz oder ein
aufwändiges Container-Modell?
Derzeit gibt es im Markt zwei Ansätze für Mobile Security und Datenschutz: Im reduzierten,
nativen MDM-Ansatz werden Geräte durch eine Kombination aus den Sicherheitsfunktionen
des Betriebssystems und Tools des MDM-Anbieters geschützt. Der komplexere ContainerAnsatz setzt auf eine proprietäre Anwendung (Container App), in der alle Daten hinterlegt und
Funktionen wie E-Mail, Kalender und Dokumentenbearbeitung angeboten werden.
Beide Modelle haben Vor- und Nachteile. Der Container-Ansatz bietet über die App
umfassende Kontrolle und ermöglicht beispielsweise die Verschlüsselung sowie die Trennung
beruflicher und privater Daten. Doch diese Kontrolle hat ihren Preis. Viele Mitarbeiter sind
wenig begeistert von den mit diesem Modell verbundenen Nutzungseinschränkungen und
seinen Auswirkungen auf die Leistung und Akkulaufzeit ihrer Geräte. Außerdem müssen
sie sich mit einer vollkommen neuen Benutzeroberfläche vertraut machen. Während
dieses Modell das selektive Löschen von Unternehmensdaten erleichtert, sind alle Daten
außerhalb des Containers nicht geschützt und die Lösung bietet keine Kontrolle über andere
Einstellungen.
Beim reduzierteren, nativen Ansatz bleiben die Originalfunktionen des Geräts unverändert
– das bedeutet weniger Schulungsaufwand und eine bessere Benutzerakzeptanz. Die
Administratoren können zwar eine größere Anzahl von Funktionen kontrollieren und
konfigurieren (z. B. Kamera, App Store, VPN-Einstellungen etc.), jedoch immer nur innerhalb
des durch das Betriebssystem vorgegebenen Rahmens. Dafür können Administratoren beim
nativen Ansatz auch den Gerätebestand verwalten, Compliance-Prüfungen durchführen und
die Softwaredistribution steuern – zentrale Erfolgsfaktoren jeder BYOD-Politik.
Bietet der Anbieter globalen 24/7-Support?
Technische Probleme können zu jeder Tages- und Nachtzeit auftreten. Ihre mobilen Benutzer
arbeiten rund um die Uhr, dasselbe sollte auch für den technischen Support Ihres MDMAnbieters gelten. Der Support sollte 24 Stunden am Tag, an 7 Tagen der Woche erreichbar
sein. Zudem sollte das Personal geschult sein und in Ihrer Landessprache kommunizieren.
Wünschenswert sind ferner kurze (oder keine) Wartezeiten. Achten Sie auf unabhängige
Audits und eine SCP-Zertifizierung (Service Capability and Performance Support Standard).
Die SCP-Standards bemessen die Effektivität des Kunden-Services und -Supports auf Basis
strenger Leistungskriterien und gelten als Leitlinien für die gesamte Branche.
Bietet der Hersteller umfassende Sicherheit für alle mobilen Mitarbeiter?
Eine MDM-Lösung dient dem zentralen Schutz und Management von Mobilgeräten, ist jedoch
nur ein Teil Ihrer Mobile Security-Gesamtstrategie. Denn mobile Anwendungen sind nicht auf
Smartphones und Tablets beschränkt. Berücksichtigen Sie auch, auf welchen weiteren Wegen
Unternehmensdaten das Unternehmen verlassen können – über Laptops, USB-Laufwerke
oder auch Collaboration-Lösungen wie Cloud-Speicher.
Um einem Datenverlust vorzubeugen, müssen Sie sicherstellen, dass sensible Informationen
nicht als Klartext gespeichert werden und dass keine Applikationen installiert sind, die
Sicherheitsrisiken bergen. Alle Daten müssen stets verschlüsselt sein und Geräte vor Malware
geschützt werden. Unternehmen sollten deshalb bei der Wahl einer MDM-Lösung darauf
achten, wie diese sich mit den anderen Sicherheitsaspekten vereinbaren lässt.
4
Mobile Device Management Buyers Guide
Ideal sind integrierte Suiten aus einer Hand, die alle Anforderungen abdecken. Das vereinfacht
die Sicherheitsadministration und senkt die Gesamtkosten. So können Sie beispielsweise
den Enterprise App Store Ihrer MDM-Lösung für das App-Management nutzen, aber auch
durchsetzen, dass Ihre Benutzer eine Antivirensoftware installieren.
MDM: Features und Funktionen
MDM-Lösungen verfügen über eine Reihe ähnlicher Funktionen. Doch werden Sie
Unterschiede in der Methodik der unterschiedlichen Anbieter und der Bedienerfreundlichkeit
feststellen. Bei der Evaluation sollten Sie Folgendes beachten.
Schutz Ihrer Unternehmensdaten
Oberstes Ziel einer MDM-Lösung ist der Schutz der Unternehmensdaten. Hierzu müssen die
Sicherheitsrichtlinien des Unternehmens durchgesetzt werden.
Bevor ein Datenzugriff erfolgen kann, muss das jeweilige Mobilgerät bei der MDM-Lösung
registriert sein. Verbindet sich ein registriertes Gerät, überprüft die MDM-Lösung die
Einhaltung einer Reihe von Unternehmensrichtlinien – und erkennt z. B., ob ein Jailbreak
vorgenommen wurde, prüft Kennwortkonfiguration und das Vorhandensein nicht zulässiger
Apps. Richtlinienkonforme Geräte erhalten dann Zugriff auf die Unternehmensdaten.
Dagegen wird der Zugriff von Geräten, die gegen die Richtlinien verstoßen, entweder
eingeschränkt oder verweigert. Für Benutzer nicht richtlinienkonformer Geräte kann der
Netzwerkzugriff vollständig gesperrt werden. Sie können eine E-Mail und/oder beschränkten
Zugriff erhalten. Einige Hersteller bieten außerdem Self-Service-Portale an, über die sich
Benutzer einloggen können, um selbst den Compliance-Status zu überprüfen und zu klären,
ob ihr Gerät richtlinienkonform ist (für Betriebssysteme, die diese Möglichkeit vorsehen, z. B.
iOS und Android).
Viele Mobilgeräte verfügen über native Sicherheitsfeatures – z. B. Einschränkungen der
Gerätefunktionalität (keine Kamera) und Verschlüsselung (iOS und Android 4). Manche
reduzierte MDM-Lösungen bieten die Möglichkeit, diese Features zu nutzen, um den
Datenschutz zu optimieren.
Die Möglichkeit, verlorene Geräte aus der Ferne zurückzusetzen ist unverzichtbar und
fester Bestandteil jeder MDM-Lösung. Sie bietet dem Administrator die Möglichkeit,
Unternehmensdaten auf einem Gerät zu löschen, das sich nicht orten lässt und im Besitz
eines unauthorisierten Benutzers sein könnte. Praktisch sind auch Lösungen, die die
Möglichkeit bieten, Geräte über eine Admin-Web-Konsole zu orten und zu sperren. So können
Sie Geräte auffinden und eine Nutzung unterbinden, bis sie wieder sicher zurück beim Besitzer
sind. Idealerweise können Benutzer ihre Geräte über ein Self-Service-Portal selbst orten,
sperren oder zurücksetzen.
5
Mobile Device Management Buyers Guide
Anwendungsmanagement
Eine MDM-Lösung kann desweiteren eine Möglichkeit zur Verwaltung der auf Mobilgeräten
installierten Apps bieten. So können Sie die Produktivität Ihrer Benutzer mit geeigneten
Tools unterstützen, und zugleich das Risiko für Ihre Unternehmensdaten auf ein Minimum
reduzieren.
Dieses Mobile Application Management (MAM) wird in der Regel über einen Enterprise App
Store umgesetzt, durch den Sie festlegen können, welche Apps die Benutzer installieren
können oder sollen – gleichermaßen für öffentlich verfügbare wie intern entwickelte
Anwendungen.
Idealerweise sollte eine MDM-Lösung die mit iOS 5 eingeführten Managed Apps unterstützen.
So können Unternehmen Apps per Push-Verfahren „over-the-air“ aus der Webkonsole an ihre
Benutzer übermitteln und verfügen über eine einfache Möglichkeit zu deren Installation und
Deinstallation.
Über den App Store sollten Sie eine Blacklist mit Apps anlegen können, die Benutzer nicht auf
ihren Geräten installiert haben sollten. Das können beispielsweise Anwendungen sein, die ein
Risiko für Unternehmensdaten darstellen und/oder die Produktivität der User beeinträchtigen.
Vereinfachte IT-Administration
Die IT ist mit ihren Aufgaben für Bereitstellung, Pflege und Support ohnehin bereits mehr
als ausgelastet. Ein BYOD-Programm sollte die User-Produktivität nicht auf Kosten der IT
steigern. Deshalb ist eine Vereinfachung der IT-Administration von zentraler Bedeutung – und
hier werden Sie beim Vergleich verschiedener MDM-Lösungen auch die größten Unterschiede
feststellen.
Es gibt mehre Möglichkeiten, wie MDM-Lösungen die Administration vereinfachen können.
Administration und Management over-the-air (OTA) ermöglichen der IT-Abteilung, die
Geräte jederzeit und standortunabhängig zu pflegen – ohne dass physisch darauf zugegriffen
werden muss. Auch das initiale Setup und die Konfiguration können aus der Ferne erfolgen.
Außerdem sollte die Möglichkeit bestehen, Geräte bei einer Registrierung über das SelfService-Portal automatisch bestehenden Gruppen im Benutzerverzeichnis zuzuordnen und die
entsprechenden Richtlinien anzuwenden.
Die zentrale Überwachung und Kontrolle aller registrierten Geräte ist ein zentrales Features
von MDM-Lösungen, doch bei Bedienungsfreundlichkeit und Granularität der einzelnen
Funktionen gibt es teilweise erhebliche Unterschiede. Empfehlenswert ist eine MDM-Lösung,
mit der Sie alle unterstützten Smartphones und Tablets unabhängig von Betriebssystem,
Mobilfunkanbieter, Netz oder Gerätestandort über eine Konsole verwalten können.
Werden in Ihrem Unternehmen auch BlackBerrys eingesetzt, ist es durchaus sinnvoll,
auch diese in die MDM-Lösung einzubinden, um sich einen zentralen Überblick über
alle Geräte zu verschaffen. Sie sollten in der Lage sein, alle registrierten Geräte zu
überwachen und entsprechende Berichte zu generieren, sowie sich über individuelle
Konfigurationseinstellungen, Seriennummern, Modellnummern, Hardwaredetails und
installierte Anwendungen zu informieren. Eine Dashboard-Anzeige bietet einen schnellen
Überblick über alle registrierten Geräte und informiert darüber, ob diese richtlinienkonform
sind. Mit Auditingfunktionen können Sie Änderungen an den Geräten und deren ComplianceStatus einfach nachvollziehen.
6
Mobile Device Management Buyers Guide
Grafisch aufbereitete Berichte sollten auf einen Blick Aufschluss über die wichtigsten Daten
bieten. So geben Grafiken Aufschluss über den Anteil richtlinienkonformer versus nicht
richtlinienkonformer, gemanagter versus unmanagter sowie unternehmenseigener versus
privater Geräte etc., ohne dass Sie sich diese Informationen aus verschiedenen Menüs
zusammensuchen müssen.
Nicht zuletzt sollte die Administrationsoberfläche aktivitätsorientiert und bedienerfreundlich
sein. Prüfen Sie, wie viele Klicks Sie für Basisfunktionalitäten benötigen; also um z.B.
Geräte auszumustern, die Betriebssystemdistribution einzusehen oder die von einer App
unterstützten Betriebssystemversionen zu bestimmen. Ein oder zwei Klicks sollten für diese
grundlegenden Aktivitäten ausreichen.
Self-Service-Portal eröffnet Benutzern neue Möglichkeiten
Ein Self-Service-Portal senkt den Arbeitsaufwand für die IT und eröffnet den Gerätebesitzern
neue Möglichkeiten. Benutzer können Routineaufgaben wie die Registrierung ihrer Geräte
oder die Annahme einer vom Unternehmen definierten Nutzungsrichtlinie selbst übernehmen.
Sobald ein Gerät registriert ist, kann die MDM-Lösung Benutzern oder Benutzergruppen auf
Basis ihrer Gruppenzugehörigkeit (z. B. in Active Directory) automatisch Profile und Richtlinien
zuordnen. Für die IT entsteht so keinerlei Aufwand durch Setup und Konfiguration der Geräte.
Wie bereits erwähnt, werden durch ein Self-Service-Portal die Datenschutzfunktionen auch für
Benutzer zugänglich. Sie können ihre Geräte selbst aus der Ferne orten, sperren, zurücksetzen
und neue Kennwörter vergeben, ohne dazu den Helpdesk kontaktieren zu müssen. Das spart
nicht nur der IT Zeit, sondern verbessert auch die Gesamtsicherheit.
Typischerweise weiß der Gerätebesitzer selbst als erstes, wenn ein Gerät verloren oder
gestohlen wurde. In der Zeit, die zwischen dieser Feststellung, dem Entschluss, sich an den
Helpdesk zu wenden, und der Zurücksetzung des Geräts durch die IT vergeht, können sensible
Daten bereits in falsche Hände geraten sein. Wenn Benutzer ihre Geräte selbst orten, sperren
oder zurücksetzen können, sparen Sie wertvolle Zeit.
Nicht zuletzt können sich Benutzer im Self-Service-Portal auch über den Gerätestatus und die
Einhaltung von Richtlinien informieren und beispielsweise erfahren, wieso sie keine E-Mails
mehr erhalten. So sinkt die Anzahl der Benutzer, die sich an den Helpdesk wenden, weil ein
Gerät nicht mehr richtlinienkonform ist und deshalb der E-Mail-Zugang blockiert wurde.
7
Mobile Device Management Buyers Guide
Zusammenfassung
Eine Mobile Device Management-Lösung sollte Ihnen die Möglichkeit bieten, alle Geräte
in Ihrem Netzwerk zu verwalten. Die Bedienung sollte sich einfach gestalten. Mit den
Informationen aus diesem Guide möchten wir Sie dabei unterstützen, die für Sie beste
Lösung zu finden. Testen Sie verschiedene MDM-Lösungen und überzeugen Sie sich selbst
von deren Bedienerfreundlichkeit. Beim Vergleich der Features und Funktionen unterstützt
Sie die folgende Tabelle. So finden Sie zuverlässig den Anbieter, der am besten zu Ihrem
Unternehmen passt.
Worauf Sie bei der Wahl Ihres MDM-Anbieters achten sollten
Entscheidungsfaktor
Wünschenswerte Optionen
Bereitstellungsoptionen
o Lokale Installation
o SaaS
Unterstützte Plattformen
o iPhone & iPad
o Android
o BlackBerry
o Windows Mobile
MDM-Ansatz
o Reduzierter, nativer Ansatz
o Komplexer Container-Ansatz
Technischer Support
o Globaler 24/7-Support
o Durch qualifizierte Mitarbeiter, in Landessprache
o Qualitätsgeprüft
Umfang des Mobile Security-Portfolios
o Lösung für die Datenverschlüsselung
o Malwareschutz für Mobilgeräte
o Sicherheitslösung für Laptops
o Schutz von Wechselmedien
o Dateibasierte Verschlüsselung für die Cloud
o DLP (Data Loss Prevention)
o Integrierter Sicherheitsansatz
8
Mobile Device Management Buyers Guide
MDM-Features und -Funktionen
Aufgabe
Wünschenswerte Funktionen
Datenschutz
o Überprüfung der Richtlinien-Compliance von Geräten
o Verschiedene Möglichkeiten zur Risikominimierung nicht
richtlinienkonformer Geräte, z. B. VPN-Blockierung, E-Mail-Blockierung,
Benutzerbenachrichtigung etc.
o Self-Service-Portal, in dem Benutzer sich selbst über den ComplianceStatus ihres Geräts informieren können
o Compliance-Status wird auf dem Mobilgerät angezeigt
o Admin kann native Sicherheitsfunktionen der Plattform aktivieren
o Verlorene Geräte können über die Admin-Konsole oder ein Self-ServicePortal für die Benutzer geortet, gesperrt oder zurückgesetzt werden
Anwendungsverwaltung
o Enterprise App Store für kommerzielle und interne Anwendungen
o Application-Blacklists
o Installation und Entfernen von Apps „over-the-air“
Unkomplizierte IT-Administration
o Administration und Verwaltung „over-the-air“
o Zentrale Verwaltung aller Geräte
o Dashboard-Anzeige des Compliance-Status
o Detaillierte grafische Reports
o Bedienerfreundliche Administrationsoberfläche
User-Self-Service-Portal
o Benutzer registrieren ihre Geräte selbst
o Benutzer können ihre Geräte selbst orten, sperren und zurücksetzen
o Benutzer können ihr Kennwort zurücksetzen
o Benutzer können ihre Compliance-Status einsehen
Sophos Mobile Control
20 Tage lang kostenlos testen
Sales DACH (Deutschland, Österreich, Schweiz)
Tel.: +49 611 5858 0
+49 721 255 16 0
E-Mail: [email protected]
Boston, USA | Oxford, UK
© Copyright 2012. Sophos Ltd. Alle Rechte vorbehalten.
Alle Marken sind Eigentum ihres jeweiligen Inhabers.
Sophos Buyers Guide 09.12v1.dNA