MDM Essen­ti­als — War­um Con­tai­ner-Apps der fal­sche Weg sind — auch aus der Sicherheitsperspektive

Im Zusam­men­hang mit der Dis­kus­si­on um Bring-Your-Own-Device-The­men (BYOD) ist die Dis­kus­si­on um Con­tai­ner zum The­ma gewor­den, die in den USA, ange­führt von Gart­ner, als Con­tai­ne­ri­sa­ti­on dis­ku­tiert wird. Grund­idee ist, dass man einen Daten­be­reich in einem Con­tai­ner kap­selt, in den meis­ten Fäl­len sol­len dies die Fir­men­da­ten sein, wenn von BYOD die Rede ist.

Die­je­ni­gen, die sich die­se Kon­zep­te aus­ge­dacht haben, sind ent­we­der sehr jung und waren 2005 noch nicht im Busi­ness oder sind sehr ver­gess­lich. Alter­na­tiv besteht noch die Mög­lich­keit, dass sie über­haupt kei­ne Ahnung vom The­ma haben, was bei Con­sul­tants von Gart­ner und ande­ren Anbie­tern häu­fig die Regel ist.

Also gehen wir ein­fach ein­mal zurück ins Jahr 2005. Damals gab es eini­ge Auf­satz­lö­sun­gen, die Exchan­ge mit allen Funk­tio­nen in eine App (damals hiess das noch nicht so, man sprach noch von (mobi­len) Pro­gram­men), auf den damals markt­be­herr­schen­den Nokia-Gerä­ten dar­stel­len konn­ten. Ich erin­ne­re mich noch sehr gut dar­an, dass mir Nokia-Ver­tre­ter dies als die Zukunft der Mobi­li­ty anprie­sen. Dum­mer­wei­se für Nokia hat sich das Kon­zept nie durch­ge­setzt, hier liegt in mei­nen Augen ein Aus­gangs­punkt für den Nie­der­gang die­ses einst so stol­zen Herstellers.

Denn zu die­ser Zeit mach­te RIM mit sei­nem Black­Ber­ry noch alles rich­tig! Man hat­te erkannt, dass die Benut­zung von PIM-Daten (Exchan­ge, Domi­no, Group­wi­se) auf den mobi­len Gerä­ten intui­tiv sein muss­te und inte­grier­te dies daher mit den nati­ven Appli­ka­tio­nen des Tele­fons. Dies war ein wesent­li­cher Grund für die Akzep­tanz und den Sie­ges­zug des BlackBerry-Konzeptes.

Und 2007 mach­te auch Apple sehr schnell alles rich­tig, indem sie Exchan­ge nativ in die Funk­tio­nen des Tele­fons inte­grier­ten, wodurch die Nutz­bar­keit und Akzep­tanz gege­ben war und ist.

Und nun taucht auf ein­mal die durch­ge­knall­te Idee BYOD auf und alle schmei­ßen jeg­li­che Erkennt­nis der Ver­gan­gen­heit flugs über Bord, um ein zum Schei­tern ver­ur­teil­tes Kon­zept zum Flie­gen zu brin­gen! Denn rich­tig ist zwei­fels­frei, dass man BYOD nur mit Con­tai­ner­lö­sun­gen, sprich sepa­ra­ten Apps, über­haupt dar­stel­len kann. Dies führt bei BYOD-Kon­zep­ten dann meis­tens dazu, dass dem Mit­ar­bei­ter die nati­ven Funk­tio­nen des Gerä­tes gelas­sen wer­den sol­len und die Fir­ma den Con­tai­ner nutzt, also den Bereich, mit dem die Leu­te schon vor 7 Jah­ren Pro­ble­me hat­ten und den sie nicht akzep­tier­ten! Denn wenn man es anders her­um macht, pro­tes­tie­ren die Mit­ar­bei­ter sehr rasch, dass sie ihr Gerät nicht mehr ver­nünf­tig nut­zen kön­nen, nie­mand will pri­vat in einem Con­tai­ner arbeiten.

Des­halb ist das PUO­CE-Kon­zept (Pri­va­te Use of Com­pa­ny Equip­ment) der bes­se­re Weg — für alle Betei­lig­ten, Infor­ma­tio­nen zum Kon­zept fin­den Sie hier im Blog unter „Alles zu MDM”. Hier­bei ist sicher­ge­stellt, dass der Mit­ar­bei­ter die nati­ven Funk­tio­nen des Gerä­tes für sei­ne Arbeit mit Fir­men­da­ten nutzt und er zusätz­li­che Apps für die pri­va­te Nut­zung in ska­lier­ba­rem Umfang bereit­ge­stellt erhält. Denn man stößt bei dem The­ma Con­tai­ne­riz­a­ti­on schnell an eine wei­te­re Gren­ze. Kein Con­tai­ner-Kon­zept ist so fle­xi­bel ska­lier­bar, dass es alle denk­ba­ren Nut­zungs-Sze­na­ri­en abde­cken kann, wovon es hun­der­te ver­schie­de­ne gibt. Inso­fern begibt sich ein Unter­neh­men bei der Nut­zung von Con­tai­ner-Kon­zep­ten ohne Not auf unsi­che­ren Grund, wenn es erwägt, für die Fir­men­da­ten ein Con­tai­ner-Kon­zept zu nut­zen, denn vie­les kann damit nicht abge­bil­det wer­den — selbst wenn dies zum aktu­el­len Zeit­punkt noch nicht gewünscht ist, kann der Wunsch in der Zukunft sehr schnell ent­ste­hen. Unter­neh­men ver­bau­en sich defi­ni­tiv mög­li­che Wege in der Zukunft bei der Nut­zung von Container-Konzepten.

Zuletzt sei dar­auf hin­ge­wie­sen, dass Con­tai­ner-Kon­zep­te gera­de auch aus Sicher­heits­grün­den für den Unter­neh­mens­ein­satz grund­sätz­lich aus­schei­den. War­um? Wenn ein Unter­neh­men sei­ne Daten in einem Con­tai­ner prä­sen­tie­ren will, erfolgt dies in den meis­ten Fäl­len auf dem Gerät des Mit­ar­bei­ters, ande­re Sze­na­ri­en geben wenig bis kei­nen Sinn. Wenn man nun das Gerät nicht eng und sicher managt, bil­det der Con­tai­ner ein gro­ßes Risi­ko, denn dem Mit­ar­bei­ter kön­nen auf einem nicht oder nur schwach gema­nag­ten Gerät pro­blem­los Schad­pro­gram­me wie z.B. Key­log­ger unter­ge­scho­ben wer­den, die die gesam­ten Inhal­te des Con­tai­ners unbe­merkt im Hin­ter­grund an Drit­te über­tra­gen kön­nen. Die Maß­nah­me dage­gen, enges und siche­res Manage­ment, grenzt für einen Mit­ar­bei­ter in einem BYOD-Kon­zept schnell an Ent­eig­nung, denn er kann das Gerät nicht mehr so nut­zen, wie es ihm oder ihr gefällt und Spaß macht.

Auch beim Ein­satz des Con­tai­ners für pri­va­te Daten kann ein Con­tai­ner sehr schnell zum Risi­ko wer­den, denn wenn man nicht kon­se­quent die zuläs­si­gen Funk­tio­nen und Inhal­te managt, ist auch der umge­kehr­te Angriffs­weg aus dem Con­tai­ner auf das Gerät denk­bar — zur Zeit ist mir kein Con­tai­ner bekannt, der dies ermög­licht. Es ist aber nur eine Fra­ge der Zeit, wann sol­che Soft­ware auf­taucht, bei wach­sen­der Popu­la­ri­tät von BYOD in den USA kann man sicher davon aus­ge­hen, dass bestimm­te Ent­wick­ler dar­an schon „for­schen”.

Ein wei­te­res Risi­ko ist, dass vie­le Con­tai­ner-Kon­zep­te aus den USA kom­men und die Ver­schlüs­se­lung somit nicht sicher ist, da sie den ame­ri­ka­ni­schen Behör­den offen­ge­legt wer­den muss. Inso­fern sind bei Nut­zung einer ame­ri­ka­ni­schen Con­tai­ner-Lösung grund­sätz­lich Sicher­heit und Daten­schutz nicht vor­han­den, mehr hier­zu lesen Sie hier.

Wenn Sie ande­re Fra­gen zu Mobi­li­ty haben, fra­gen Sie uns bit­te. Wir haben die Ant­wort — Garan­tiert! Und hel­fen Sie uns bit­te auch, unse­re Infor­ma­tio­nen zu ver­brei­ten! Wir freu­en uns über jede Emp­feh­lung auf Twit­ter, Face­book und Google.


Ande­re inter­es­san­te Beiträge:
datomo Mobi­le Device Manage­ment 3.13.2, 3.13.3, 3.13.4 — Neue­run­gen für Android, iOS und Win­dows Pho­ne
Im Febru­ar 2014 haben wir inner­halb kür­zes­ter Zeit 3 wei­te­re Updates von datomo Mobi­le Device Manage­ment ver­öf­fent­licht. Über die Inhal­te infor­mie­ren wir in die­sem zusam­men­fas­sen­den Bei­trag. Die­se wei­ter­hin hohe Update-Geschwin­dig­keit ermög­licht es unsm unse­re markt­füh­ren­de Stel­lung wei­ter auszubaue…
MDM-Essen­ti­als — Ein­füh­rung von Mobi­le Device Manage­ment — Ein How­To für Sicher­heit beim Pro­zess
Wir erle­ben immer wie­der, dass Anwen­der mit der von Ihnen ein­ge­führ­ten Lösung für Mobi­le Device Manage­ment unzu­frie­den sind und hier­durch im zwei­ten Anlauf zu uns fin­den. Grund hier­für ist in den meis­ten Fäl­len, dass die Ein­füh­rung nicht rich­tig geplant wur­de und es kein Ein­füh­rungs­kon­zept gab. Ohne…
Mobi­le Device Manage­ment FAQ – Kom­po­nen­ten der Base Agent Richt­li­nie in datomo MDM
Wir wer­den immer wie­der gefragt, ob wir ein gutes MDM-Wiki oder ein Lexi­kon zu MDM ken­nen und müs­sen das ver­nei­nen. So ent­stand die Idee zu die­sem MDM FAQ. Machen Sie uns ger­ne Vor­schlä­ge wor­über wir schrei­ben sol­len – wir wer­den es tun. Die Kom­po­nen­ten sind ein Teil der Base Agent Richt­li­nie in …
datomo Mobi­le Device Manage­ment 3.10.4 — Neue Fea­tures bei der iOS-Unter­stüt­zung
2013 ist noch kei­ne zwei Mona­te alt und wir ver­öf­fent­li­chen schon das vier­te Update für datomo Mobi­le Device Manage­ment! Im Schnitt lie­fern wir alle zwei Wochen ein neu­es Update, wel­ches den Vor­sprung von datomo MDM kon­ti­nu­ier­lich aus­baut und fort­lau­fend neue Fea­tures in die Lösung inte­griert, viele…
Mobi­le Device Manage­ment (MDM) und iOS — Ist das Upgrade von iOS 5 auf iOS 6 sinn­voll?
iOS 6 ist jetzt 10 Tage auf dem Markt und das iPho­ne 5 gibt es seit einer Woche. Aber zufrie­de­ne Anwen­der wur­den damit bis­her eher nicht erzeugt, was ges­tern schließ­lich in einem für Apple bis­her ein­zig­ar­ti­gen offe­nen Brief von Tim Cook (CEO) an die Kun­den gip­fel­te — A let­ter from Tim Cook on Maps. …

2 Kommentare

Schreibe einen Kommentar»
  1. […] Inso­fern ist App Wrap­ping ein vir­tu­el­les Kon­zept mit äußerst gerin­gem prak­ti­schen Nutz­wert – die poten­ti­ell mög­li­chen Ein­satz­sze­na­rien lie­gen nahe Null. Dar­über hin­aus ist die Sicher­heit die­ses ‘Kon­zep­tes’ mit grenz­wer­tig noch wohl­wol­lend posi­tiv for­mu­liert! App Wrap­ping Prot­ago­nis­ten glau­ben, dass durch das Manage­ment einer App Sicher­heit in die­ser App und für die­se App erzielt wer­den kann. Dies ist falsch und genau­so gro­ßer Blöd­sinn wie das Ver­spre­chen von Sicher­heit bei Con­tai­ner-​Kon­zep­ten, zu deren Frag­wür­dig­keit Sie hier im Blog diver­se Arti­kel fin­den wie bei­spiels­weise den Bei­trag MDM Essen­ti­als — War­um Con­tai­ner-​Apps der fal­sche Weg sind — auch aus der Sicherheits.… […]

  2. […] 2. Das erleb­te Ver­hal­ten der Con­tainer­lö­sung ist kei­ne Aus­nahme – es ist die Regel. Auf der Stre­cke Ham­burg – Ber­lin sind Con­tai­ner weit­ge­hend unbe­nutz­bar. Grund hier­für ist die durch­gän­gig deso­late Mobil­funk­ver­bin­dung bei allen Car­ri­ern. Die­se reicht aus um die nati­ve Push­mail von iOS zu bedie­nen und Mail zu über­tra­gen – für Con­tai­ner, die alle kei­ne Push­mail beherr­schen, aller­dings nie­mals. Mehr zu den Pro­ble­men, die Con­tai­ner für Anwen­der ver­ur­sa­chen kön­nen, fin­den Sie im Bei­trag MDM Essen­ti­als — War­um Con­tai­ner-​Apps der fal­sche Weg sind — auch aus der Sicherheits.… […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.