Mobile Device Management Buyers Guide - Whitepaper
Transcrição
Mobile Device Management Buyers Guide - Whitepaper
Mobile Device Management Buyers Guide Im sprichwörtlichen Motor, der ein Unternehmen in Gang hält, kommt der IT-Abteilung die Funktion des Schmiermittels zu. Mit der Möglichkeit zur Nutzung privater Mobilgeräte im Berufsalltag (Bring Your Own Device: BYOD) können Sie Ihren Mitarbeitern das Leben erheblich erleichtern. Doch mit dieser Bequemlichkeit gehen immer auch Sicherheitskompromisse einher. Wie kann der Balanceakt zwischen Sicherheit und Produktivität gelingen? In diesem Guide machen wir Sie mit den verschiedenen Faktoren vertraut, die es bei der Suche nach der für Sie besten Lösung zur Verwaltung von Mobilgeräten zu berücksichtigen gilt. Mobile Device Management Buyers Guide Gestatten Sie Ihren Benutzern die Nutzung von Privatgeräten im Arbeitsalltag? Mit Mobile Device Management-Lösungen (MDM) können IT-Organisationen Mobilgeräte zentral verwalten, überwachen und Support anbieten. Bei den verwalteten Geräten kann es sich um Smartphones und Tablets unterschiedlicher Hersteller mit verschiedenen Betriebssystemen handeln. Durch die Nutzung einer MDM-Lösung für Kontrolle und Schutz der Daten und Konfigurationseinstellungen auf den Mobilgeräten Ihrer Mitarbeiter können Sie die mit BYOD-Regelungen einhergehenden Supportkosten und Risiken senken. Mit der richtigen MDM-Lösung können Sie Ihren Usern die Nutzung von Privatgeräten im Arbeitsalltag gestatten, ohne dass die Risiken eines Datenverlustes oder der Arbeitsaufwand Ihrer IT zunehmen. BYOD – Risiken und Nutzen BYOD bietet gleichermaßen Vorteile für Unternehmen und Endbenutzer. Mitarbeiter, die mit eigenen Geräten arbeiten können, sind schlicht produktiver. Ein vertrautes Gerät ist komfortabler, weil es genau auf die eigenen Vorlieben abgestimmt ist und so die Produktivität innerhalb wie außerhalb des Büros steigert. Und auch bei der Einstellung neuer Mitarbeiter kann sich eine BYOD-Richtlinie als Vorteil erweisen. Mitarbeiter möchten ihre persönlichen Smartphones und Tablets verwenden. Sie möchten nicht auf die Geräte angewiesen sein, die das Unternehmen anbietet oder sich mit einem zweiten Gerät vertraut machen und dieses stets mitführen müssen. So können Unternehmen mit einer BYOD-Richtlinie technikbegeisterte Bewerber für sich gewinnen. Doch wie bei allen Technologietrends gibt es auch hier Nachteile, die den Nutzen schmälern können. BYOD ist mit zwei zentralen Herausforderungen verbunden: Datenschutz und Verwaltung. Datenschutz: Mobile Geräte können schnell verloren gehen oder gestohlen werden und fördern logischerweise den Datenaustausch über öffentliche Netzwerke. Dadurch wird Datenschutz zum zentralen Thema. Sie können sich nie sicher sein, wer über welchen Kanal auf welche Daten zugreift. Verwaltung: IT-Teams müssen die Geräte kontrollieren können, mit denen auf Unternehmensdaten zugegriffen wird – und zwar unabhängig davon, in wessen Besitz diese sind. Wenn Mitarbeiter ihre Privatgeräte nutzen, bedeutet das außerdem, dass eine Vielzahl unterschiedlicher Geräte und Betriebssysteme verwaltet werden müssen. Dies kann sich als erhebliche Belastung für die IT-Ressourcen erweisen. Alle Geräte einzeln zu verwalten ist deshalb keine gangbare Lösung. 2 Mobile Device Management Buyers Guide Worauf Sie bei der Wahl Ihres MDM-Anbieters achten sollten Sie wissen, dass Sie die Mobilgeräte in Ihrem Netzwerk kontrollieren und schützen müssen. Doch wissen Sie auch, wie Sie den für Sie besten Anbieter finden? Zunächst einmal: Der mögliche Umfang der Sicherheits- und Kontrollfunktionen von MDM-Lösungen wird durch die Mobilgerätehersteller vorgegeben. Interessenten sollten deshalb mit Skepsis reagieren, wenn MDM-Anbieter damit werben, explizite Einschränkungen einzelner Betriebssysteme umgehen zu können. Das entspricht vermutlich nicht der Wahrheit oder gilt nur für gerootete Geräte (Android) oder Geräte mit Jailbreak (iOS). Wie können Sie nun aber die MDM-Angebote unterschiedlicher Anbieter bewerten? Wir haben Fragen und Antworten zu den wichtigsten Auswahlkriterien für Sie zusammengestellt: Bietet der Hersteller ein flexibles Bereitstellungsmodell an? Der Anbieter sollte unterschiedliche Bereitstellungsmodelle anbieten, u. a. auch eine lokal installierbare Lösung für größere Umgebungen. Obwohl solche Lösungen mit Anfangsinvestitionen und Betriebskosten verbunden sind, ermöglichen sie durch die vollständige Integration in die Unternehmens-IT doch auch eine feinere Abstufung der Kontrolle. Lokale Installationen nutzen einen EAS-Proxy, Active Directory, eine LDAPVerbindung und bieten Backup-Optionen. Während solche Systeme die verbreiteste Bereitstellungsmethode darstellen, sind sie aber nicht die einzige. Einige MDM-Anbieter bieten auch Software-as-a-Service-Modelle (SaaS) an. Diese sind ideal für Unternehmen, die schnell eine funktionierende Lösung benötigen. Sie erfordern keine Installation oder Pflege von Software vor Ort und sparen so Zeit und Betriebskosten. Und weil keine Veränderungen an der lokalen IT-Infrastruktur vorgenommen und keine Hardware angeschafft werden muss, fallen auch keine Investitionskosten an. SaaS gilt typischerweise als Lösung für große Organisationen, eignet sich aber auch gut für kleinere Unternehmen oder bestimmte Benutzergruppen. Tatsächlich wird das Mobile Device Management durch MDM-Angebote in der Cloud auch für kleinere Unternehmen und Benutzergruppen realisierbar, die auf eine zentrale Kontrolle angewiesen sind, jedoch nicht über die Ressourcen verfügen, um eine lokal installierte Installation zu implementieren und zu verwalten. Unternehmen sollten nach einer Lösung suchen, die ihnen die erforderliche Skalierbarkeit bietet, ohne überdimensioniert und deshalb übermäßig komplex zu sein. Unterstützt die MDM-Lösung iPhone, iPad, Android, BlackBerry und Windows Mobile? Nicht alle MDM-Lösungen unterstützen alle mobilen Betriebssysteme und Plattformen. Deshalb ist es wichtig, sich bereits bei der Wahl der Lösung Gedanken darüber zu machen, welche Geräte Sie jetzt und in Zukunft einsetzen möchten. Eine Entscheidung für die falsche Lösung kann dazu führen, dass Sie am Ende eine Reihe von Usern separat managen müssen. Daten und Konfiguration nicht unterstützter Mobilgeräte müssen dann von den Administratoren manuell kontrolliert und verwaltet werden. Das senkt den Return on Investment und bringt Risiken mit sich. 3 Mobile Device Management Buyers Guide Nutzt der Anbieter einen reduzierten, nativen MDM-Ansatz oder ein aufwändiges Container-Modell? Derzeit gibt es im Markt zwei Ansätze für Mobile Security und Datenschutz: Im reduzierten, nativen MDM-Ansatz werden Geräte durch eine Kombination aus den Sicherheitsfunktionen des Betriebssystems und Tools des MDM-Anbieters geschützt. Der komplexere ContainerAnsatz setzt auf eine proprietäre Anwendung (Container App), in der alle Daten hinterlegt und Funktionen wie E-Mail, Kalender und Dokumentenbearbeitung angeboten werden. Beide Modelle haben Vor- und Nachteile. Der Container-Ansatz bietet über die App umfassende Kontrolle und ermöglicht beispielsweise die Verschlüsselung sowie die Trennung beruflicher und privater Daten. Doch diese Kontrolle hat ihren Preis. Viele Mitarbeiter sind wenig begeistert von den mit diesem Modell verbundenen Nutzungseinschränkungen und seinen Auswirkungen auf die Leistung und Akkulaufzeit ihrer Geräte. Außerdem müssen sie sich mit einer vollkommen neuen Benutzeroberfläche vertraut machen. Während dieses Modell das selektive Löschen von Unternehmensdaten erleichtert, sind alle Daten außerhalb des Containers nicht geschützt und die Lösung bietet keine Kontrolle über andere Einstellungen. Beim reduzierteren, nativen Ansatz bleiben die Originalfunktionen des Geräts unverändert – das bedeutet weniger Schulungsaufwand und eine bessere Benutzerakzeptanz. Die Administratoren können zwar eine größere Anzahl von Funktionen kontrollieren und konfigurieren (z. B. Kamera, App Store, VPN-Einstellungen etc.), jedoch immer nur innerhalb des durch das Betriebssystem vorgegebenen Rahmens. Dafür können Administratoren beim nativen Ansatz auch den Gerätebestand verwalten, Compliance-Prüfungen durchführen und die Softwaredistribution steuern – zentrale Erfolgsfaktoren jeder BYOD-Politik. Bietet der Anbieter globalen 24/7-Support? Technische Probleme können zu jeder Tages- und Nachtzeit auftreten. Ihre mobilen Benutzer arbeiten rund um die Uhr, dasselbe sollte auch für den technischen Support Ihres MDMAnbieters gelten. Der Support sollte 24 Stunden am Tag, an 7 Tagen der Woche erreichbar sein. Zudem sollte das Personal geschult sein und in Ihrer Landessprache kommunizieren. Wünschenswert sind ferner kurze (oder keine) Wartezeiten. Achten Sie auf unabhängige Audits und eine SCP-Zertifizierung (Service Capability and Performance Support Standard). Die SCP-Standards bemessen die Effektivität des Kunden-Services und -Supports auf Basis strenger Leistungskriterien und gelten als Leitlinien für die gesamte Branche. Bietet der Hersteller umfassende Sicherheit für alle mobilen Mitarbeiter? Eine MDM-Lösung dient dem zentralen Schutz und Management von Mobilgeräten, ist jedoch nur ein Teil Ihrer Mobile Security-Gesamtstrategie. Denn mobile Anwendungen sind nicht auf Smartphones und Tablets beschränkt. Berücksichtigen Sie auch, auf welchen weiteren Wegen Unternehmensdaten das Unternehmen verlassen können – über Laptops, USB-Laufwerke oder auch Collaboration-Lösungen wie Cloud-Speicher. Um einem Datenverlust vorzubeugen, müssen Sie sicherstellen, dass sensible Informationen nicht als Klartext gespeichert werden und dass keine Applikationen installiert sind, die Sicherheitsrisiken bergen. Alle Daten müssen stets verschlüsselt sein und Geräte vor Malware geschützt werden. Unternehmen sollten deshalb bei der Wahl einer MDM-Lösung darauf achten, wie diese sich mit den anderen Sicherheitsaspekten vereinbaren lässt. 4 Mobile Device Management Buyers Guide Ideal sind integrierte Suiten aus einer Hand, die alle Anforderungen abdecken. Das vereinfacht die Sicherheitsadministration und senkt die Gesamtkosten. So können Sie beispielsweise den Enterprise App Store Ihrer MDM-Lösung für das App-Management nutzen, aber auch durchsetzen, dass Ihre Benutzer eine Antivirensoftware installieren. MDM: Features und Funktionen MDM-Lösungen verfügen über eine Reihe ähnlicher Funktionen. Doch werden Sie Unterschiede in der Methodik der unterschiedlichen Anbieter und der Bedienerfreundlichkeit feststellen. Bei der Evaluation sollten Sie Folgendes beachten. Schutz Ihrer Unternehmensdaten Oberstes Ziel einer MDM-Lösung ist der Schutz der Unternehmensdaten. Hierzu müssen die Sicherheitsrichtlinien des Unternehmens durchgesetzt werden. Bevor ein Datenzugriff erfolgen kann, muss das jeweilige Mobilgerät bei der MDM-Lösung registriert sein. Verbindet sich ein registriertes Gerät, überprüft die MDM-Lösung die Einhaltung einer Reihe von Unternehmensrichtlinien – und erkennt z. B., ob ein Jailbreak vorgenommen wurde, prüft Kennwortkonfiguration und das Vorhandensein nicht zulässiger Apps. Richtlinienkonforme Geräte erhalten dann Zugriff auf die Unternehmensdaten. Dagegen wird der Zugriff von Geräten, die gegen die Richtlinien verstoßen, entweder eingeschränkt oder verweigert. Für Benutzer nicht richtlinienkonformer Geräte kann der Netzwerkzugriff vollständig gesperrt werden. Sie können eine E-Mail und/oder beschränkten Zugriff erhalten. Einige Hersteller bieten außerdem Self-Service-Portale an, über die sich Benutzer einloggen können, um selbst den Compliance-Status zu überprüfen und zu klären, ob ihr Gerät richtlinienkonform ist (für Betriebssysteme, die diese Möglichkeit vorsehen, z. B. iOS und Android). Viele Mobilgeräte verfügen über native Sicherheitsfeatures – z. B. Einschränkungen der Gerätefunktionalität (keine Kamera) und Verschlüsselung (iOS und Android 4). Manche reduzierte MDM-Lösungen bieten die Möglichkeit, diese Features zu nutzen, um den Datenschutz zu optimieren. Die Möglichkeit, verlorene Geräte aus der Ferne zurückzusetzen ist unverzichtbar und fester Bestandteil jeder MDM-Lösung. Sie bietet dem Administrator die Möglichkeit, Unternehmensdaten auf einem Gerät zu löschen, das sich nicht orten lässt und im Besitz eines unauthorisierten Benutzers sein könnte. Praktisch sind auch Lösungen, die die Möglichkeit bieten, Geräte über eine Admin-Web-Konsole zu orten und zu sperren. So können Sie Geräte auffinden und eine Nutzung unterbinden, bis sie wieder sicher zurück beim Besitzer sind. Idealerweise können Benutzer ihre Geräte über ein Self-Service-Portal selbst orten, sperren oder zurücksetzen. 5 Mobile Device Management Buyers Guide Anwendungsmanagement Eine MDM-Lösung kann desweiteren eine Möglichkeit zur Verwaltung der auf Mobilgeräten installierten Apps bieten. So können Sie die Produktivität Ihrer Benutzer mit geeigneten Tools unterstützen, und zugleich das Risiko für Ihre Unternehmensdaten auf ein Minimum reduzieren. Dieses Mobile Application Management (MAM) wird in der Regel über einen Enterprise App Store umgesetzt, durch den Sie festlegen können, welche Apps die Benutzer installieren können oder sollen – gleichermaßen für öffentlich verfügbare wie intern entwickelte Anwendungen. Idealerweise sollte eine MDM-Lösung die mit iOS 5 eingeführten Managed Apps unterstützen. So können Unternehmen Apps per Push-Verfahren „over-the-air“ aus der Webkonsole an ihre Benutzer übermitteln und verfügen über eine einfache Möglichkeit zu deren Installation und Deinstallation. Über den App Store sollten Sie eine Blacklist mit Apps anlegen können, die Benutzer nicht auf ihren Geräten installiert haben sollten. Das können beispielsweise Anwendungen sein, die ein Risiko für Unternehmensdaten darstellen und/oder die Produktivität der User beeinträchtigen. Vereinfachte IT-Administration Die IT ist mit ihren Aufgaben für Bereitstellung, Pflege und Support ohnehin bereits mehr als ausgelastet. Ein BYOD-Programm sollte die User-Produktivität nicht auf Kosten der IT steigern. Deshalb ist eine Vereinfachung der IT-Administration von zentraler Bedeutung – und hier werden Sie beim Vergleich verschiedener MDM-Lösungen auch die größten Unterschiede feststellen. Es gibt mehre Möglichkeiten, wie MDM-Lösungen die Administration vereinfachen können. Administration und Management over-the-air (OTA) ermöglichen der IT-Abteilung, die Geräte jederzeit und standortunabhängig zu pflegen – ohne dass physisch darauf zugegriffen werden muss. Auch das initiale Setup und die Konfiguration können aus der Ferne erfolgen. Außerdem sollte die Möglichkeit bestehen, Geräte bei einer Registrierung über das SelfService-Portal automatisch bestehenden Gruppen im Benutzerverzeichnis zuzuordnen und die entsprechenden Richtlinien anzuwenden. Die zentrale Überwachung und Kontrolle aller registrierten Geräte ist ein zentrales Features von MDM-Lösungen, doch bei Bedienungsfreundlichkeit und Granularität der einzelnen Funktionen gibt es teilweise erhebliche Unterschiede. Empfehlenswert ist eine MDM-Lösung, mit der Sie alle unterstützten Smartphones und Tablets unabhängig von Betriebssystem, Mobilfunkanbieter, Netz oder Gerätestandort über eine Konsole verwalten können. Werden in Ihrem Unternehmen auch BlackBerrys eingesetzt, ist es durchaus sinnvoll, auch diese in die MDM-Lösung einzubinden, um sich einen zentralen Überblick über alle Geräte zu verschaffen. Sie sollten in der Lage sein, alle registrierten Geräte zu überwachen und entsprechende Berichte zu generieren, sowie sich über individuelle Konfigurationseinstellungen, Seriennummern, Modellnummern, Hardwaredetails und installierte Anwendungen zu informieren. Eine Dashboard-Anzeige bietet einen schnellen Überblick über alle registrierten Geräte und informiert darüber, ob diese richtlinienkonform sind. Mit Auditingfunktionen können Sie Änderungen an den Geräten und deren ComplianceStatus einfach nachvollziehen. 6 Mobile Device Management Buyers Guide Grafisch aufbereitete Berichte sollten auf einen Blick Aufschluss über die wichtigsten Daten bieten. So geben Grafiken Aufschluss über den Anteil richtlinienkonformer versus nicht richtlinienkonformer, gemanagter versus unmanagter sowie unternehmenseigener versus privater Geräte etc., ohne dass Sie sich diese Informationen aus verschiedenen Menüs zusammensuchen müssen. Nicht zuletzt sollte die Administrationsoberfläche aktivitätsorientiert und bedienerfreundlich sein. Prüfen Sie, wie viele Klicks Sie für Basisfunktionalitäten benötigen; also um z.B. Geräte auszumustern, die Betriebssystemdistribution einzusehen oder die von einer App unterstützten Betriebssystemversionen zu bestimmen. Ein oder zwei Klicks sollten für diese grundlegenden Aktivitäten ausreichen. Self-Service-Portal eröffnet Benutzern neue Möglichkeiten Ein Self-Service-Portal senkt den Arbeitsaufwand für die IT und eröffnet den Gerätebesitzern neue Möglichkeiten. Benutzer können Routineaufgaben wie die Registrierung ihrer Geräte oder die Annahme einer vom Unternehmen definierten Nutzungsrichtlinie selbst übernehmen. Sobald ein Gerät registriert ist, kann die MDM-Lösung Benutzern oder Benutzergruppen auf Basis ihrer Gruppenzugehörigkeit (z. B. in Active Directory) automatisch Profile und Richtlinien zuordnen. Für die IT entsteht so keinerlei Aufwand durch Setup und Konfiguration der Geräte. Wie bereits erwähnt, werden durch ein Self-Service-Portal die Datenschutzfunktionen auch für Benutzer zugänglich. Sie können ihre Geräte selbst aus der Ferne orten, sperren, zurücksetzen und neue Kennwörter vergeben, ohne dazu den Helpdesk kontaktieren zu müssen. Das spart nicht nur der IT Zeit, sondern verbessert auch die Gesamtsicherheit. Typischerweise weiß der Gerätebesitzer selbst als erstes, wenn ein Gerät verloren oder gestohlen wurde. In der Zeit, die zwischen dieser Feststellung, dem Entschluss, sich an den Helpdesk zu wenden, und der Zurücksetzung des Geräts durch die IT vergeht, können sensible Daten bereits in falsche Hände geraten sein. Wenn Benutzer ihre Geräte selbst orten, sperren oder zurücksetzen können, sparen Sie wertvolle Zeit. Nicht zuletzt können sich Benutzer im Self-Service-Portal auch über den Gerätestatus und die Einhaltung von Richtlinien informieren und beispielsweise erfahren, wieso sie keine E-Mails mehr erhalten. So sinkt die Anzahl der Benutzer, die sich an den Helpdesk wenden, weil ein Gerät nicht mehr richtlinienkonform ist und deshalb der E-Mail-Zugang blockiert wurde. 7 Mobile Device Management Buyers Guide Zusammenfassung Eine Mobile Device Management-Lösung sollte Ihnen die Möglichkeit bieten, alle Geräte in Ihrem Netzwerk zu verwalten. Die Bedienung sollte sich einfach gestalten. Mit den Informationen aus diesem Guide möchten wir Sie dabei unterstützen, die für Sie beste Lösung zu finden. Testen Sie verschiedene MDM-Lösungen und überzeugen Sie sich selbst von deren Bedienerfreundlichkeit. Beim Vergleich der Features und Funktionen unterstützt Sie die folgende Tabelle. So finden Sie zuverlässig den Anbieter, der am besten zu Ihrem Unternehmen passt. Worauf Sie bei der Wahl Ihres MDM-Anbieters achten sollten Entscheidungsfaktor Wünschenswerte Optionen Bereitstellungsoptionen o Lokale Installation o SaaS Unterstützte Plattformen o iPhone & iPad o Android o BlackBerry o Windows Mobile MDM-Ansatz o Reduzierter, nativer Ansatz o Komplexer Container-Ansatz Technischer Support o Globaler 24/7-Support o Durch qualifizierte Mitarbeiter, in Landessprache o Qualitätsgeprüft Umfang des Mobile Security-Portfolios o Lösung für die Datenverschlüsselung o Malwareschutz für Mobilgeräte o Sicherheitslösung für Laptops o Schutz von Wechselmedien o Dateibasierte Verschlüsselung für die Cloud o DLP (Data Loss Prevention) o Integrierter Sicherheitsansatz 8 Mobile Device Management Buyers Guide MDM-Features und -Funktionen Aufgabe Wünschenswerte Funktionen Datenschutz o Überprüfung der Richtlinien-Compliance von Geräten o Verschiedene Möglichkeiten zur Risikominimierung nicht richtlinienkonformer Geräte, z. B. VPN-Blockierung, E-Mail-Blockierung, Benutzerbenachrichtigung etc. o Self-Service-Portal, in dem Benutzer sich selbst über den ComplianceStatus ihres Geräts informieren können o Compliance-Status wird auf dem Mobilgerät angezeigt o Admin kann native Sicherheitsfunktionen der Plattform aktivieren o Verlorene Geräte können über die Admin-Konsole oder ein Self-ServicePortal für die Benutzer geortet, gesperrt oder zurückgesetzt werden Anwendungsverwaltung o Enterprise App Store für kommerzielle und interne Anwendungen o Application-Blacklists o Installation und Entfernen von Apps „over-the-air“ Unkomplizierte IT-Administration o Administration und Verwaltung „over-the-air“ o Zentrale Verwaltung aller Geräte o Dashboard-Anzeige des Compliance-Status o Detaillierte grafische Reports o Bedienerfreundliche Administrationsoberfläche User-Self-Service-Portal o Benutzer registrieren ihre Geräte selbst o Benutzer können ihre Geräte selbst orten, sperren und zurücksetzen o Benutzer können ihr Kennwort zurücksetzen o Benutzer können ihre Compliance-Status einsehen Sophos Mobile Control 20 Tage lang kostenlos testen Sales DACH (Deutschland, Österreich, Schweiz) Tel.: +49 611 5858 0 +49 721 255 16 0 E-Mail: [email protected] Boston, USA | Oxford, UK © Copyright 2012. Sophos Ltd. Alle Rechte vorbehalten. Alle Marken sind Eigentum ihres jeweiligen Inhabers. Sophos Buyers Guide 09.12v1.dNA