Das BSI erklärt Mobi­le Device Manage­ment (MDM) — Das The­ma per­fekt auf den Punkt gebracht!

Von einem Stu­den­ten, der der­zeit sei­ne Bache­lor­ar­beit zum The­ma Mobi­le Device Manage­ment (MDM) schreibt, wur­de ich auf das am 13.03.13 ver­öf­fent­lich­te White­pa­per des BSI zum The­ma MDM auf­merk­sam gemacht. Das BSI führt in dem neun­sei­ti­gen White­pa­per zum The­ma sehr gut aus, was bei der Ent­schei­dung für ein MDM-Sys­tem beach­tet wer­den muss. Der Titel der Ver­öf­fent­li­chung, die in der Rei­he BSI-Ver­öf­fent­li­chun­gen zur Cyber-Sicher­heit erschie­nen ist, lau­tet: EMPFEHLUNG: IT IM UNTERNEHMEN — Mobi­le Device Manage­ment.

Die­ses Doku­ment ist Pflicht­lek­tü­re für jeden, der vor der Aus­wahl eines MDM-Sys­tems steht, es gibt zu 100 % unse­re Auf­fas­sung zum The­ma wie­der, die wir — Gott sei Dank — lang und aus­führ­lich vor der Ver­öf­fent­li­chung die­ses Doku­men­tes hier im Blog dar­ge­legt haben. Wir plap­pern nicht nach, wie das Vie­le jetzt tun wer­den, wir sind das Ori­gi­nal! 😉

Bes­ser als das BSI es getan hat kann man das The­ma nicht dar­le­gen und die Quint­essenz der 9 Sei­ten ist im Kern eine Kauf­emp­feh­lung für datomo Mobi­le Device Manage­ment, denn kein ande­res MDM-Sys­tem auf dem Markt erfüllt die Anfor­de­run­gen des BSI ins­ge­samt bes­ser.

Für alle, die nicht das gesam­te Doku­ment lesen wol­len, an die­ser Stel­le eini­ge High­lights, die wir — oft in ähn­li­cher Form — auch schon so gesagt haben.

Pro­ble­ma­tisch ist dabei die Viel­falt der Platt­for­men von Smart­pho­nes und Tablet-Com­pu­tern mit ihren sys­tem­be­ding­ten Eigen­schaf­ten, die jeweils ein­zeln berück­sich­tigt wer­den müs­sen. …

Das Betriebs­sys­tem Andro­id – als mitt­ler­wei­le führendes mobi­les Betriebs­sys­tem (Stand 2012) – wird von den Smart­pho­ne-Her­stel­lern spe­zi­ell an die von ihnen ent­wi­ckel­ten Geräte ange­passt. Dabei wer­den auch grund­le­gen­de Funktionalitäten verändert wie bei­spiels­wei­se die Be­ dienoberfläche. Das Patch-Manage­ment liegt vollständig in den Händen die­ser OEM-Her­stel­ler. …

Oft kom­men neue Geräte schnel­ler auf den Markt, als vor­han­de­ne aktua­li­siert wer­den.

Das BSI weist hier auf eine der wich­tigs­ten Anfor­de­run­gen eines MDM-Sys­tems hin — die unter­stütz­te Gerä­te­viel­falt, die bei vie­len Sys­te­men aller­dings bes­ser Gerä­te­ar­mut hei­ßen soll­te. Die­sen Punkt bei der Beschaf­fung über­se­hen zu haben rächt sich beim Betrieb eines MDM-Sys­tems oft sehr schnell.

Bevor die Ent­schei­dung für eine bestimm­te MDM-Lösung getrof­fen wird, muss grundsätzlich fest­ge­legt wer­den, was die­se Lösung leis­ten soll.

Dies ist rich­tig und sehr wich­tig. Aus unse­rer täg­li­chen Arbeit wis­sen wir aller­dings, dass dies für die Anwen­der oft nicht ein­fach ist. Wie soll man etwas fest­le­gen, wovon man oft nur lücken­haf­te Kennt­nis­se besitzt. An die­ser Stel­le ist für vie­le Ent­schei­der und Anwen­der ein Mobi­li­ty Con­sul­ting zum The­ma sehr ziel­füh­rend.

Wenn man die­se Fra­gen beant­wor­tet hat und dazu einen ent­spre­chen­den Test­plan vor­be­rei­tet hat, soll­te man sich eine Vor­auswahl von MDM-Lösungen anse­hen. Ver­trau­en Sie nicht den Mar­ke­ting-Abtei­lun­gen der Anbie­ter. Auch das Stu­di­um der Pro­dukt­do­ku­men­ta­ti­on allein reicht nicht aus. Test­stel­lun­gen und eine inten­si­ve Beschäftigung mit dem The­ma sind not­wen­dig, um die Taug­lich­keit der bewor­be­nen Funktionali­täten auch wirk­lich in der Pra­xis bewer­ten zu können.

Auch hier­auf haben wir schon unzäh­li­ge Male hier im Blog hin­ge­wie­sen — nir­gends wird der­zeit mehr gelo­gen als im MDM-Markt!

Wer die Instal­la­ti­on einer eige­nen MDM-Lösung scheut und sich bewusst für einen Cloud­dienst entschei­det, muss sich darüber im Kla­ren sein, dass sämtliche mobi­len Daten – Geschäftsdaten, wie auch personen­bezogene Daten – auf einem Fremd­ser­ver gehos­tet wer­den. Wei­te­re Infor­ma­tio­nen dazu sie­he Kapi­tel „Da­tenschutz“. …

Flan­kie­rend zu der Absi­che­rung der Daten­kom­mu­ni­ka­ti­on zwi­schen mobi­lem Endgerät und MDM-Ser­ver soll­te sich ein Unter­neh­men auch über die Aus­wir­kun­gen des Ein­sat­zes einer sol­chen Lösung auf den Da­tenschutz im Kla­ren sein. Die meis­ten Anbie­ter von MDM-Lösungen stam­men nicht aus Deutsch­land oder der Europäischen Uni­on und betrei­ben ihre Ser­ver außer­halb die­ser Zone (etwa in den USA). Das heißt, dass die­se Fir­men nicht deut­schem oder europäischem Daten­schutz­recht unter­lie­gen, son­dern ent­we­der gar kei­nem oder einem von Euro­pa nicht aner­kann­ten Daten­schutz­recht. Aus die­sem Grund hat die Europäische Uni­on mit den USA das soge­nann­te „Safe Harbor“-Abkommen geschlos­sen, das die Übermittlung personen­bezogener Daten an Ser­ver in die USA zumin­dest recht­lich regelt (Safe Har­bor).

Außer­dem wird an die­ser Stel­le spe­zi­ell auf §11 des Bun­des­da­ten­schutz­ge­set­zes (BDSG) „Erhe­bung, Verar­beitung oder Nut­zung per­so­nen­be­zo­ge­ner Daten im Auf­trag“ hin­ge­wie­sen. Die­ser besagt, dass bei der Bear­beitung per­so­nen­be­zo­ge­ner Daten durch ande­re Stel­len (bei­spiels­wei­se bei Nut­zung einer Cloud-Lösung für MDM), der Auf­trag­ge­ber nach wie vor für die Ein­hal­tung des BDSG ver­ant­wort­lich ist.

All dies ist rich­tig, doch der Hin­weis auf Safe Har­bor sorgt für eine Unschär­fe, auch wenn ein­schrän­kend for­mu­liert wird: ‘zumin­dest recht­lich regelt’. Denn die­se Rege­lung nützt nichts, ame­ri­ka­ni­sche Behör­den sind im Fal­le von Ermitt­lun­gen durch Safe Har­bor in kei­ner Wei­se durch Safe Har­bor beschränkt, die Ver­ein­ba­rung hat im Kern kei­ne Kon­se­quen­zen, die wirk­li­chen Daten­schutz gewähr­leis­ten.

Sicher­heits­be­grif­fe wer­den in den Pro­dukt­be­schrei­bun­gen von MDM-Lösungen lei­der häufig verallgemei­nert, was bedeu­tet, dass bewor­be­ne Sicher­heits­ei­gen­schaf­ten oft nur auf eine Teil­men­ge der unterstützten Geräte einer Platt­form anwend­bar sind. So gibt es bei­spiels­wei­se Lösungen, die spe­zi­el­le Programmier­schnittstellen (APIs) bestimm­ter Hersteller/​OEMs nut­zen, um Andro­id-basier­te Smart­pho­nes zu ver­wal­ten und abzu­si­chern. Dass die­ser Mecha­nis­mus nicht für Geräte ande­rer Her­stel­ler gilt und zudem nur für be­stimmte Geräte eines Her­stel­lers nutz­bar ist, wird in der Produktpräsentation nicht genannt. Eben­so muss man sich darüber im Kla­ren sein, dass die Unterstützung unter­schied­li­cher Platt­for­men sowie deren Ver­waltung in einer gemein­sa­men Kon­so­le nicht bedeu­tet, dass Kon­fi­gu­ra­tio­nen und Richt­li­ni­en auf allen Platt­for­men in glei­cher Wei­se umge­setzt wer­den. So gibt es bei­spiels­wei­se sys­tem­be­ding­te Unter­schie­de zwi­schen iOS und Andro­id bei der Bereit­stel­lung von Apps in einem eige­nen App-Store (sie­he dazu Kapi­tel „App-Manage­ment“).

Ein sehr wich­ti­ger Hin­weis — die Wer­bung für MDM-Sys­te­me ist oft­mals bewusst irre­füh­rend, gera­de beim The­ma Andro­id.

Dane­ben gibt es die soge­nann­te Containerlösung. Es han­delt sich dabei um eine nor­ma­le Smart­pho­ne-App, in der die dienst­li­chen Belan­ge bear­bei­tet wer­den. …

Die­se Art der dienst­li­chen Ver­wen­dung führt beim Benut­zer häufig zu Akzep­tanz-Pro­ble­­men, kann man das Smart­pho­ne im dienst­li­chen Bereich doch nicht nach den Möglichkeiten nut­zen, die im Pri­vat­be­reich zur Verfügung ste­hen.

Genau so ist es. Wobei dies nicht die ein­zi­gen Pro­ble­me von Con­tai­nerlö­sun­gen sind, wir haben hier­zu oft und aus­führ­lich hier im Blog geschrie­ben.

Bei der dienst­li­chen Nut­zung von Privatgeräten bestehen recht­li­che Kon­flik­te bezüglich des Sof­t­­wa­re-Lizenz­rechts (dienst­li­che Nut­zung pri­va­ter Lizen­zen und umge­kehrt) sowie bezüglich Notfallmaßnah­men (Löschung des gesam­ten Daten­be­stands), Daten­schutz und -sicher­heit usw.

Außer­dem ist der Eigentümer nicht mehr Herr über sein Gerät, da es von der IT-Abtei­lung fern­ver­wal­tet wird. Dies kann zu Akzep­tanz-Pro­ble­men führen, ins­be­son­de­re, weil die IT-Abtei­lung die gewählten Konfi­gurationen auf den Smart­pho­nes durch­set­zen muss, was zwangsläufig zu Benutzereinschränkungen führt. …

Aus die­sen Gründen ist das Kon­zept „Bring Your Own Device“ für den Unter­neh­mens­ein­satz grundsätzlich abzu­leh­nen.

Das sagen und schrei­ben wir so seit 18 Mona­ten! Schön, dass uns das BSI nun auch unter­stützt. Wobei es noch weit mehr Nach­tei­le von BYOD gibt — lesen Sie hier im Blog ‘Alles zu BYOD’ hier­zu.

Dem Kon­zept „Bring Your Own Device“ steht ein ande­res Kon­zept „Pri­va­te Use Of Cor­po­ra­te Equip­ment“ (PUOCE) gegenüber. Das Unter­neh­men könnte Smart­pho­nes beschaf­fen, die alle plattformbe­dingten For­de­run­gen erfüllen, die von der MDM-Lösung vollständig unterstützt wer­den und in gewis­sem Maße pri­vat genutzt wer­den dürfen. Die oben genann­ten recht­li­chen Beden­ken blei­ben aber auch hier be­stehen.

Schön, dass das BSI auch auf das von uns ent­wi­ckel­te PUO­CE-Kon­zept ein­geht. Es ist rich­tig, dass eine PUO­CE-Lösung recht­lich nicht tri­vi­al bei der Imple­men­tie­rung ist. Im Gegen­satz zu BYOD-Kon­zep­ten ist eine Umset­zung von PUO­CE-Kon­zep­ten aber mög­lich.

Eine MDM-Lösung braucht in jedem Fall eine effek­ti­ve Jail­b­re­ak/Root-Erken­nung, die von der IT-Abtei­lung getes­tet wer­den muss. Nur so las­sen sich mani­pu­lier­te Geräte, von denen ein hohes Risi­ko für das Unter­nehmen aus­geht, erken­nen. Die IT-Abtei­lung muss daher auch ent­spre­chen­de Geräte zum Test vor­hal­ten.

Lei­der sind jedoch die Möglichkeiten von Tech­ni­ken zur Jail­b­re­ak/Root-Erken­nung begrenzt, da sie auf Soft­ware-Abfra­gen basie­ren und sol­che Funk­tio­nen durch geschick­te Gegen­maß­nah­men getäuscht wer­den können.

Hier wird auf die in vie­len Lösun­gen zwar behaup­te­te aber im Kern nicht vor­han­de­ne Jail­b­reak- und Roo­ting-Erken­nung Bezug genom­men, ein sehr wich­ti­ger Hin­weis.

Die regelmäßige Kon­trol­le der instal­lier­ten Apps auf dem Smart­pho­ne des Mit­ar­bei­ters ist not­wen­dig, um einer missbräuchlichen Ver­wen­dung des mobi­len Endgerätes ent­ge­gen­zu­wir­ken. Eini­ge MDM-Lösungen bie­ten dazu Inventarisierungs-Funktionalitäten an.

Der Umkehr­schluss ver­deut­licht die Rea­li­tät — die meis­ten ‘Lösun­gen’ bie­ten genau dies nicht!

Als Mandantenfähigkeit einer Ver­wal­tungs­soft­ware wird häufig die Möglichkeit bezeich­net, ver­schie­de­ne Unter­neh­men zu ver­wal­ten, also bei­spiels­wei­se ver­schie­de­ne Kun­den eines IT-Dienst­leis­ter. Dies ist nicht falsch, aber nur ein Teil­as­pekt die­ses The­mas. Bei der Ver­wal­tung mobi­ler Endgeräte steht die IT-Abtei­lung vor dem glei­chen Pro­blem wie auch bei der Ver­wal­tung von Desk­top-Com­pu­tern. Bei größeren Unterneh­men müssen ver­schie­de­ne Nie­der­las­sun­gen, Abtei­lun­gen und Grup­pen (bei­spiels­wei­se Ent­wick­lung, Ver­trieb, Ver­wal­tung) über eine Kon­so­le unter­schied­lich kon­fi­gu­riert wer­den können. Möglicherweise existie­ren ver­schie­de­ne Teil­net­ze in der IT-Infra­struk­tur, die geson­dert berücksichtigt wer­den müssen. Die IT- Infra­struk­tur muss also auch in der Ver­wal­tungs­kon­so­le der MDM-Lösung abbild­bar sein.

Dies ist einer der wich­tigs­ten Hin­wei­se der BSI-Ver­öf­fent­li­chung! Und genau dies kön­nen die aller­we­nigs­ten MDM-Sys­te­me.

Wir emp­feh­len unse­ren Lesern aus­drück­lich die Lek­tü­re des BSI-Doku­men­tes. Denn anschlie­ßend wis­sen Sie sehr genau, wor­auf bei der Aus­wahl eines MDM-Sys­tems zu ach­ten ist. Der nächs­te Schritt soll­te dann eine Test­stel­lung von datomo MDM sein, denn auch uns glau­ben Sie bit­te kein Wort. Tes­ten Sie datomo Mobi­le Device Manage­ment und stel­len Sie fest, ob wir die Wahr­heit sagen!

Wenn Sie ande­re Fra­gen zu mobi­len The­men haben, machen Sie es doch wie vie­le ande­re Unter­neh­men und Orga­ni­sa­tio­nen — fra­gen Sie uns ein­fach! Und wenn Sie glau­ben, dass die­ser Bei­trag auch für Ihre Freun­de und Bekann­ten inter­es­sant ist emp­feh­len Sie ihn auf Twit­ter, Goog­le oder Face­book wei­ter. Wir bedan­ken uns dafür schon ein­mal im vor­aus!


Ande­re inter­es­san­te Bei­trä­ge:
Mobi­le Device Manage­ment (MDM) und Bring Your Own Device (BYOD) — Von den Anwen­dern ler­nen
Wir haben schon vor eini­gen Jah­ren erkannt, dass wir dann die bes­ten Pro­duk­te lie­fern kön­nen, wenn wir auf die Anwen­der unse­rer Lösun­gen hören. Dies gilt für alle Pro­duk­te der datomo Mobi­li­ty Sui­te. Am meis­ten ler­nen wir der­zeit von den Anwen­dern von datomo Mobi­le Device Manage­ment, da dies aktu­ell …
MDM Essen­ti­als — Risi­ken von Mobi­le Device Manage­ment aus den USA und Kana­da
Manch Leser wird glau­ben, dass er die­ses The­ma schon hier gele­sen hat. Ja, das stimmt. Ich habe in vie­len Arti­keln dar­auf hin­ge­wie­sen, dass eine siche­re Lösung für Mobi­le Device Manage­ment nie­mals aus den USA oder von einer Fir­ma mit Sitz in den USA kom­men darf, weil jeder Her­stel­ler mit Sitz in den…
Mobi­le Device Manage­ment (MDM) im Kran­ken­haus und Gesund­heits­we­sen
Aus unse­rem All­tag wis­sen wir, dass das The­ma Mobi­le Device Manage­ment (MDM) zuneh­men­de Bedeu­tung im Gesund­heits­we­sen gewinnt. Unse­re Anwen­der­ba­sis von datomo Mobi­le Device Manage­ment in die­sem Sek­tor ist in den letz­ten Mona­ten stark gewach­sen, denn in kaum einem ande­ren Bereich des Lebens hat Daten…
MDM-Essen­ti­als — Was ist ein Enter­pri­se AppSto­re im Mobi­le Device Manage­ment?
Das The­ma Enter­pri­se AppSto­re ist eines der The­men im Bereich des Mobi­le Device Manage­ment über das weit ver­brei­tet Unklar­heit besteht. Erst ges­tern traf ich in einer Bera­tungs­si­tua­ti­on wie­der ein­mal auf den Glau­ben, dass es einen Enter­pri­se AppSto­re von Apple gibt, was schlicht falsch ist. Links i…
Mobi­le Device Manage­ment (MDM) 2013 — Wohin geht die Rei­se?
Vor uns liegt ein neu­es Jahr und das Jahr 2013 wird auch für das The­ma Mobi­le Device Manage­ment (MDM) Ver­än­de­run­gen brin­gen. Die Fra­ge ist bloß, wel­che dies sein wer­den. Wir als Her­stel­ler von datomo Mobi­le Device Manage­ment wis­sen dies heu­te auch noch nicht, aber wir ken­nen den Markt, die (tech­nisc…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.