<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=798965790221670&amp;ev=PageView&amp;noscript=1">
108x92_business_blog_logo_speechbubble.png

Warum Sie vor dem Kauf von Smartphones das Konzept für die IT Security festlegen sollten

Autor Marcel Henrich am 12.9.2017

In Mobile Business, IT Sicherheit, Smartphones

IT-Security

Erst „schicke“ Geräte anzuschaffen, dann zu schauen, wie diese abgesichert werden können – führt im Extremfall in die totale Sackgasse, wenn es keine Sicherheitslösung für diese Hardware gibt. Das Problem zu ignorieren würde die Geschäftsführung haftungsrechtlich angreifbar machen, letztlich bleibt nur ein vollständiger Neukauf geeigneter Geräte. 

In diesem Beitrag zeigen wir, warum es wichtig ist vor dem Hardwarekauf ein IT-Security Konzept zu entwickeln und auf was Sie dabei achten müssen. 

Die Auswirkungen der Hardware- und Software-Verflechtung bei Smartphones und Tablets

Bei Desktop-PCs, Notebooks und Tablet-PCs auf Basis von x86-Plattformen sind die Anwender weitgehend frei, welche Betriebssysteme und Anwendungen sie auf ihrer Hardware laufen lassen. Lediglich MacOS ist an Apple-Hardware gebunden, ansonsten sind verschiedene Windows-Versionen und Linux-Derivate verfügbar sowie dazu passende Anwendungen. Nur wenige Sicherheitsfunktionen sind an eine Hardware-Security-Komponente wie das Trusted Platform Modul (TPM) gebunden. Aber in der Regel gibt es hier keine Einschränkungen bei der Auswahl der Sicherheitsmechanismen.

Bei Smartphones und Tablets, die auf ARM-basierenden CPUs aufsetzen, stellt sich die Lage völlig anders dar. Von den ehemals vier großen Betriebssystem-Plattformen sind lediglich zwei relevant: iOS von Apple und Android von Google. Windows 10 Mobile findet kaum Beachtung bei Kunden und Geräteherstellern, und das Blackberry-eigene Betriebssystem wird zum Jahresende eingestellt; aktuelle Blackberrys basieren auf Android. 

Wer ein Mobile Security Konzept für den Einsatz mobiler Geräte im Unternehmen erstellt, muss aber nicht nur nach Apple- oder Google-Welt unterscheiden. Bei Android sind zudem die zur Verfügung stehenden Funktionen eng an die Hardware geknüpft. Leistungsfähigkeit, verfügbare Android-Version und spezifische Anpassungen des Geräteherstellers schränken die Sicherheitsfunktionen stark ein. Deshalb gilt: Erst wenn die Sicherheitsstrategie geklärt ist, kann eine Entscheidung über die einzusetzende Hardware getroffen werden.

Kostenloses Whitepaper Mobile Sicherheit - jetzt herunterladen!

Ziele einer mobilen Unternehmens-IT definieren

Zunächst sollte geklärt werden, wofür die mobilen Helferlein verwendet werden sollen: Welche Tätigkeiten und Unternehmensprozesse sollen auch mobil zur Verfügung stehen? Dies ist keine rein betriebswirtschaftliche Frage, bei der es nur um die verbesserte Effizienz unternehmerischer Abläufe geht. Sondern hier können sich bereits Änderungen der bisherigen Tätigkeiten bis hin zu einem Wandel des Geschäftsmodells ergeben – die digitale Transformation ist eben nicht nur eine Fortsetzung des Alten mit neuen Mitteln.

Zumindest die Optionen für eine Weiterentwicklung der Geschäftsabläufe sollten geprüft und in die Konzeption mobiler Arbeitsprozesse integriert werden. Neben den reinen Business-Applikationen sind auch die Sicherheitslösungen zu hinterfragen: Welchen Datenschutz benötigt man? Welche Management- oder Security-Funktionen werden benötigt?

Anforderungen ableiten: Software...

Aus den so gewonnenen Erkenntnissen lassen sich bereits diverse Anforderungen ableiten. Beispielsweise welche Business-Applikationen grundsätzlich gebraucht werden oder auch welche Daten zwischen Unternehmensservern und mobilen Geräten ausgetauscht werden sollen. In der Regel werden die Informationen nur innerhalb einer Anwendung verfügbar gemacht und nicht in Form von Dateien auf dem Gerät abgelegt.

Hier gilt es zu klären, welche Schnittstellen benötigt werden, welche Datenformate zur Verfügung stehen, und welche Applikationen konkret mit diesen umgehen können. Gleiches gilt für die Security-Applikationen. Gibt es bereits Enterprise-Mobility- beziehungsweise Mobile-Device-Management-Lösungen (EMM/ MDM) im Unternehmen, auf die aufgesetzt werden soll? Welche Anwendungen ermöglichen die geplanten Schutzfunktionen?

...und Hardware

Wie bereits weiter oben gezeigt, sind die zur Verfügung stehenden Funktionen auch von der Geräte-Hardware abhängig, und diese ist wiederum eng mit dem Betriebssystem verflochten. Wer auf Apples iOS setzt, hat nur die Wahl zwischen wenigen Varianten des einen Herstellers, die sich nur geringfügig unterscheiden, nämlich – abgesehen von der Farbe und der Bildschirmgröße – vor allem in Speichergröße und der Integration von LTE.

Bei Android dagegen sind die Unterschiede enorm, da es ein breites Spektrum an Herstellern und Geräteklassen gibt. Günstige Consumer-Smartphones unterstützen beispielsweise oft nicht die Management-Funktionen eines MDM oder EMM. Hier sollte im Zweifelsfall der Anforderungskatalog mit dem Hardware-Lieferanten besprochen werden, um teure Fehlkäufe zu vermeiden.

Android versus iOS

Apple bietet mit iOS eine geschlossene Gerätewelt an. Hier kommen Hard- und Software aus einer Hand. Applikationen werden nur aus dem Apple-eigenen iTunes-Shop erlaubt, und Updates gibt es im Halbjahres-Turnus für alle Geräte, die noch nicht den „End of Life“-Status erreicht haben – bei Apple in der Regel nach fünf Jahren oder später. Der Hersteller von iPhones und iPads hat allerdings erkannt, dass die bisherige Strategie – Standardgeräte mit einem MDM-Profil nachzurüsten – keine ausreichende Funktionalität bietet. 

Das Device Enrollment Program (DEP) soll diese Mängel beheben. Unternehmenskunden müssen aber am Apple Deployment Program (ADP) teilnehmen, DEP-taugliche Geräte direkt bei Apple oder einem lizenzierten Partner beziehen und eine geeignete MDM-Lösung nutzen. Dann können die iOS-Devices jederzeit vollständig administriert werden, ohne dass die Unternehmens-IT physischen Zugriff auf das Gerät benötigt. Der Nutzer wiederum kann sich diesem Management nicht entziehen.

Google nutzt das Android-Betriebssystem nicht nur für die eigenen Geräte der Marke Nexus, sondern ist auch OS-Zulieferer für zahlreiche Hardware-Hersteller. Diese können das Betriebssystem in gewissen Grenzen für die eigenen Ansprüche modifizieren. Das heißt jedoch auch, dass jedes Android-Update vom Gerätehersteller speziell auf die eigene Hardware angepasst werden muss – das sparen sich viele Anbieter. So sind zahlreiche veraltete Varianten von Android im Umlauf, die bestimmte Funktionen nicht anbieten, dafür aber bekannte Lücken aufweisen, die nicht mehr gepatcht werden.

Die Auswahl der Hardware

Bei der Auswahl der Hardware ist demnach darauf zu achten, dass diese sowohl von der Leistungsfähigkeit und der Funktionsausstattung her für den Unternehmenseinsatz geeignet ist, als auch eine Update-Garantie für einen überschaubaren Zeitraum gegeben wird, in der das Betriebssystem vom Gerätehersteller regelmäßig und zeitnah gepflegt wird. Besondere Aufmerksamkeit verdienen HTC, Huawei und Samsung, die daran arbeiten, den Android-Befehlssatz um Corporate-Funktionen zu erweitern. Eine echte Alternative zu Apples DEP stellt auf der Android-Plattform Samsungs Lösung Knox Mobile Enrollment (KME) dar. Sie ermöglicht es, das Gerät automatisiert mit einem MDM-Profil des Unternehmens auszustatten und die MDM-Anwendung zu starten.

Dazu muss das Gerät lediglich zuvor in der MDM-Lösung des Unternehmens registriert werden. Sobald eine WLAN-Verbindung hergestellt wird, startet Knox Mobile Enrollment seinen Dienst. KME ist Teil der Knox-Plattform, die nicht auf allen Samsung-Geräten läuft. Auf der Samsung-Website findet sich eine Liste, welches Gerät Knox unterstützt und welche Software-Version damit kompatibel ist.

Fazit IT-Security Konzept

Damit es kein böses Erwachen nach der Kaufentscheidung für die Hardware gibt, ist es sinnvoll sich Gedanken über ein IT-Security Konzept zu machen. Zu Beginn stehen dabei die Anforderungen an eine moderne Unternehmens-IT, die in Folge zu einer Hardware und schließlich zu einer IT Security Lösung führen. 

 

Whitepaper Mobile Sicherheit