Was ist ein MDM-System?
MDM steht für Mobile Device Management - unter Mobilgeräte versteht man hierbei alles vom Smartphone über das Tablet bis hin zum Laptop.
Biographie
Andreas Ferber ist die Anlaufstelle, um komplexe IT-Projekte zu orchestrieren. Ferner beschäftigt er sich leidenschaftlich gerne mit neuen IT-Trends, Automatisierung und dem effizienten Zusammenspiel unterschiedlicher IT-Systeme.
MDM steht für Mobile Device Management (dt: Mobilgeräteverwaltung) - unter Mobilgeräte versteht man hierbei alles vom Smartphone über das Tablet bis hin zum Laptop.
Die Mitarbeiter vieler Unternehmen werden zunehmend mit Geräten dieser Art ausgestattet. Ob dies nun geschieht, um die Mitarbeiterbindung zu steigern, Home-Office-Arbeitsplätze auszustatten, die Digitalisierung im Unternehmen voranzutreiben oder die Erreichbarkeit der Mitarbeiter zu verbessern - die Aufgaben dieser kleinen Helferlein werden immer mehr. Damit steigt die Anzahl der geschäftlichen Daten, die auf solchen Geräten gespeichert sind, die Anforderungen an die Geräte und auch der Schutzbedarf.
So praktisch diese Geräte sind, bieten sie auch eine zusätzliche Angriffsfläche und damit Gefahrenpotential hinsichtlich der Datensicherheit im Unternehmen. Verlustmeldungen und Diebstahlanzeigen gehören zur Alltagsrealität in vielen Unternehmen weltweit.
Und dann war da noch so eine Sache mit den Updates... Viele Hersteller von mobilen Apps sind redlich bemüht den Funktionsumfang stetig zu verbessern und gleichzeitig mögliche Schwachstellen ihrer angebotenen Programme zu schließen.
Wäre es hier nicht hilfreich eine Möglichkeit zu haben, das Unternehmen davor zu schützen, Unternehmensdaten zu verlieren und damit einen Datenschutzverstoß zu riskieren?
Das BSI, die diversen Datenschutz-Organisationen und Hersteller von Mobilgeräten haben bereits viele Vorgaben gemacht, wie man hier für mehr Sicherheit sorgen kann. Doch in der Praxis sind diese komplex zu verstehen und noch komplexer für jeden einzelnen Mitarbeiter umzusetzen.
Durch den Einsatz eines MDM-Systems können Sie nicht nur für die Umsetzung dieser technischen Vorgaben sorgen, sondern sparen dabei auch noch eine Menge Zeit. Die Vorgaben müssen mit einem MDM-System nicht von jedem Arbeitnehmer auf jedem seiner Geräte einzeln umgesetzt (und im Fall von Änderungen oder Updates immer wieder angepasst) werden, sondern können zentral und gleichzeitig granular geregelt werden.
Welche Funktionen bietet ein MDM-System?
Ein MDM-System bietet eine Reihe von nützlichen Funktionen, um die Verwaltung von Mobilgeräten in Unternehmen zu erleichtern und die Sicherheit zu gewährleisten. Hier sind einige der wichtigsten Funktionen im Überblick:
- Geräteübersicht: Mit einem MDM-System können Sie leicht den Überblick über die aktuelle Gerätelandschaft in Ihrem Unternehmen behalten. Sie wissen immer, welche Geräte im Einsatz sind und welche Konfigurationen sie haben. Dies ist besonders nützlich, wenn es beispielsweise darum geht, ob die Geräte vom Hersteller noch mit Betriebssystemupdates versorgt werden oder bestimmte Modelle ausgetauscht werden müssen, weil sie die den Anforderungen des Unternehmens nicht mehr entsprechen.
- App-Verwaltung: Sie können geschäftlich benötigte Apps, Weblinks und andere Inhalte einfach bereitstellen, aktualisieren und bei Bedarf löschen, auch wenn diese nicht in öffentlichen Appstores verfügbar sind.
- Konfigurationsverwaltung: MDM ermöglicht die einfache Verteilung, Aktualisierung und Entfernung von Konfigurationen, sei es für Mailprofile, WLAN-Einstellungen, Bildschirmhintergründe oder App-Konfigurationen.
- Updates: Das System überwacht Betriebssystem- und App-Updates und ermöglicht es, diese zu erzwingen oder zu unterbinden, um die Sicherheit und Leistung der Geräte zu gewährleisten.
- Sicherheit: MDM-Systeme unterstützen die Implementierung von Sicherheitsmechanismen wie einer verschlüsselten Verbindung ins Unternehmensnetzwerk, komplexen Passwörtern und Geräteverschlüsselung, um die Daten vor unbefugtem Zugriff zu schützen.
- Fernzugriff und -löschung: Im Falle eines Problems kann der Benutzer des Gerätes den Zugriff für einen Spezialisten freigeben, ohne dass dieser physisch präsent sein muss. Ebenso können im Fall eines Verlusts oder Diebstahls verwaltete Geräte und deren Inhalte aus der Ferne gelöscht werden, um sensible Daten zu schützen.
- App-Sperrung: Sie können bestimmte Apps und Systemfunktionen sperren, um die Nutzung der Geräte gemäß Unternehmensrichtlinien zu steuern.
- Einfache Einrichtung: MDM-Systeme vereinfachen den Einrichtungsprozess neuer Geräte, was Zeit und Aufwand spart.
- Trennung von Daten: Eine wichtige Funktion ist die Trennung von privaten und geschäftlichen Daten auf den Geräten, um die Privatsphäre der Mitarbeiter zu respektieren und Unternehmensdaten zu schützen.
Insgesamt bietet ein MDM-System eine umfassende Lösung zur Verwaltung und Sicherung von Mobilgeräten in Unternehmen, und diese Funktionen tragen dazu bei, die Effizienz und Datensicherheit zu steigern.
MDM-Strategien im Überblick
Die Wahl der richtigen MDM-Strategie für Ihr Unternehmen hängt von verschiedenen Faktoren ab, darunter Ihre Ziele und Ihr Budget. Die Entscheidung, welche Strategie am besten zu Ihrem Unternehmen passt, sollte sorgfältig abgewogen werden.
Ein entscheidender Schritt bei der Auswahl der passenden MDM-Strategie ist die Klärung, wer die Mobilgeräte beschafft und wie sie im Unternehmen genutzt werden sollen. Diese Überlegungen helfen Ihnen dabei, die geeignete MDM-Strategie zu identifizieren. Hier ist ein Überblick über einige gängige MDM-Strategien:
Mobile Application Management (MAM)
Mobile Anwendungsverwaltung (Mobile Application Management) eignet sich besonders für nicht registrierte Geräte. Diese Strategie verwendet App-Konfigurationsprofile, um Apps auf Geräten bereitzustellen oder zu konfigurieren, ohne das Gerät selbst zu registrieren. Zusammen mit App-Schutzrichtlinien können Sie Daten in den Apps schützen.
Typischerweise wird MAM für private Geräte oder BYOD-Geräte (Bring Your Own Device) verwendet. Sie bietet auch eine Lösung für verwaltete Geräte, die zusätzliche Sicherheitsanforderungen haben. MAM ermöglicht Benutzern den Zugriff auf Unternehmensressourcen wie E-Mails und Microsoft Teams-Meetings, ohne ihre privaten Geräte registrieren zu müssen.
Bring Your Own Device (BYOD)
Das BYOD-Modell erlaubt es Mitarbeitern, ihre eigenen Geräte (wie Smartphones, Tablets und Laptops) für berufliche Zwecke zu verwenden. Dies bietet Flexibilität, Kostenersparnis und kann die Produktivität steigern.
Eine gut durchdachte BYOD-Richtlinie sollte jedoch die Fragen klären, wie welche Geräte zugelassen sind, welche Sicherheitsmaßnahmen ergriffen werden müssen und wie der Support für BYOD-Geräte bereitgestellt wird.
Choose Your Own Device (CYOD)
CYOD ist ein Beschaffungsmodell, bei dem Mitarbeiter aus einem vorgegebenen Pool von Geräten das für sie am besten geeignete auswählen können. Dieses Modell bietet Zufriedenheit bei den Mitarbeitern, da sie das Gerät wählen können, das ihren Anforderungen am besten entspricht, und ermöglicht dem Unternehmen gleichzeitig eine bessere Kontrolle über die Geräteauswahl und -verwaltung.
CYOD kann ebenfalls eine sorgfältig durchdachte Richtlinie erfordern, um die Bedürfnisse sowohl des Unternehmens als auch der Mitarbeiter zu berücksichtigen.
Company Owned, Personally Enabled (COPE)
Im COPE-Modell gehören die Mobilgeräte offiziell dem Unternehmen. Die IT-Abteilung kann die Geräte konfigurieren, Updates durchführen und Sicherheitsrichtlinien erzwingen. Gleichzeitig dürfen Mitarbeiter diese Geräte auch für persönliche Zwecke nutzen. COPE zielt darauf ab, eine Balance zwischen Sicherheit und Flexibilität zu finden.
Es ist wichtig anzumerken, dass die genauen Richtlinien und Implementierungsdetails von COPE je nach Unternehmen variieren können. Manche Unternehmen erlauben beispielsweise nur eine begrenzte persönliche Nutzung, während andere dies großzügiger gestalten. Die genauen Sicherheitsrichtlinien und Kontrollmechanismen können ebenfalls variieren, abhängig von den Anforderungen und Bedenken des Unternehmens.
Corporate Owned, Business Only (COBO)
COBO steht für "Corporate Owned, Business Only" und ist ein Modell, bei dem Unternehmensgeräte ausschließlich für geschäftliche Zwecke verwendet werden. Im Gegensatz zu COPE ist die persönliche Nutzung der Geräte nicht gestattet. Dies bietet eine höhere Kontrolle und Sicherheit, erfordert jedoch weniger Flexibilität für die Mitarbeiter.
Corporate-owned, single Use (COSU)
Die Nutzung von Mobilgeräten im Firmenbesitz für Einzelanwendungen (Corporate-owned, single Use, COSU) ist die restriktivste Variante des COBO-Modells. Hier gehören die Geräte dem Unternehmen und werden nur für eine einzige Anwendung oder eine äußerst begrenzte Anzahl von Anwendungen verwendet.
COSU eignet sich besonders für spezielle Anwendungsfälle, bei denen ein Gerät nur für eine bestimmte Aufgabe genutzt wird, und die Installation zusätzlicher Apps oder die persönliche Nutzung stark eingeschränkt sind.
Typische Anwendungen sind beispielsweise Präsentationstablets auf Messen oder der Kiosk-Modus auf Point-of-Sale-Geräten. Auch Logistik-Mitarbeiter erhalten zum Scannen von Barcodes auf Paletten, Paketen oder Artikeln häufig eine entsprechende Ausrüstung. Autovermietungen nutzen COSU-Tablets für die fotografische Dokumentation des Fahrzeugzustands und Erfassung der Fahrzeug- und Fahrerdaten. Orchester verwenden Tablets gerne als Notenblatt. Im öffentlichen Dienst werden Single-Use-Geräte für digitale Patientenakten oder in der Verkehrsüberwachung verwendet, während sie in der Gastronomie zur Aufnahme und Abrechnung von Bestellungen oder für Tischreservierungen genutzt werden.
Praxisbeispiel: Verlust eines Unternehmensgeräts und Fernlöschung durch MDM
In einem mittelgroßen Technologieunternehmen, das Mobile Device Management (MDM) für die Verwaltung seiner Unternehmensgeräte verwendet, ereignete sich folgendes Szenario:
Eines Tages bemerkte ein Mitarbeiter, namens Lisa, während einer Geschäftsreise, dass ihr Firmen-Smartphone nicht mehr in der Tasche war, wie sie es gewohnt war. Das Smartphone enthielt vertrauliche Unternehmensdaten und Zugriff auf interne Geschäftssysteme. Als Lisa bemerkte, dass ihr Gerät verschwunden war, handelte sie sofort und kontaktierte die IT-Hotline des Unternehmens, um den Vorfall zu melden.
Die IT-Mitarbeiter an der Hotline waren gut auf solche Situationen vorbereitet. Sie überprüften zunächst das MDM-System, an dem Lisas verlorenes Smartphone registriert war. Über das MDM-System hatten sie die Möglichkeit, das Gerät aus der Ferne in den "Verloren" Modus zu versetzen, um es verfolgen zu können.
Nachdem sie bestätigt hatten, dass das Gerät an einem Ort war, an dem Lisa sich nicht aufgehalten hatte, entschieden sie sich, einen Fernlöschungsbefehl zu senden, um alle Daten auf dem verlorenen Smartphone zu löschen und das Gerät auf die Werkseinstellungen zurückzusetzen. Dies sollte sicherstellen, dass keine Unternehmensdaten in falsche Hände geraten.
Das MDM-System des Unternehmens ermöglichte es den IT-Mitarbeitern, diesen Befehl an das Gerät zu senden. Der Vorgang erfolgte in Echtzeit, und das Gerät wurde automatisch aus der Ferne zurückgesetzt, ohne dass Lisa das Gerät physisch vor Ort hatte.
Sobald die Fernlöschung abgeschlossen war, erhielt Lisa eine Benachrichtigung von der IT-Hotline, die sie über den erfolgreichen Löschvorgang informierte. Obwohl sie ihr Smartphone nicht zurückbekommen konnte, war sie erleichtert zu wissen, dass keine vertraulichen Unternehmensdaten gefährdet waren.
Das Unternehmen konnte dank seines MDM-Systems nicht nur die Sicherheit seiner Daten gewährleisten, sondern auch schnell auf den Verlust des Geräts reagieren, ohne dass es zu einem Datenschutzverstoß kam. Dieses Beispiel zeigt, wie MDM-Systeme dazu beitragen können, Unternehmensdaten vor unbefugtem Zugriff zu schützen und gleichzeitig die Reaktionszeit bei Geräteverlusten zu minimieren.
Praxisbeispiel: Geräterücknahme und Datenlöschung bei Ausscheiden eines Mitarbeiters
In einem großen Beratungsunternehmen, das BYOD (Bring Your Own Device) für Mitarbeiter gestattet, ereignete sich folgendes Szenario:
Ein langjähriger Mitarbeiter namens John hatte während seiner Zeit im Unternehmen sein persönliches Smartphone für geschäftliche Zwecke genutzt. Über die Jahre hatte er auf diesem Gerät vertrauliche Unternehmensdaten und E-Mails gespeichert. John war ein wertvolles Teammitglied und erfüllte seine Aufgaben zuverlässig.
Nach vielen Jahren beschloss John, das Unternehmen zu verlassen, um eine neue berufliche Herausforderung anzunehmen. Da er sein persönliches Smartphone für geschäftliche Zwecke verwendet hatte, war es notwendig, sicherzustellen, dass alle Unternehmensdaten von seinem Gerät entfernt wurden und der Zugriff auf Unternehmensressourcen eingestellt wurde.
Die IT-Abteilung des Unternehmens nutzte das MDM-System, um das BYOD-Gerät von John zu verwalten. Dieses System ermöglichte es der IT-Abteilung, das Gerät aus der Ferne zu deaktivieren und alle geschäftlichen Daten zu löschen.
Am Tag von Johns Ausscheiden wurde sein BYOD-Gerät von der IT-Abteilung als "retired" markiert. Dadurch wurden automatisch alle geschäftlichen Apps, Zertifikate, Konfigurationen und Daten vom Gerät gelöscht. Das Gerät entsprach dadurch nicht mehr den Anforderungen des Unternehmens, und der Zugriff auf Unternehmensressourcen war effektiv unterbunden.
Obwohl John sein persönliches Smartphone weiterhin verwenden konnte, wurden sämtliche geschäftlichen Komponenten und Daten automatisch gelöscht. Dies gewährleistete, dass sensible Unternehmensdaten geschützt waren und der Zugriff auf Unternehmensressourcen effektiv unterbunden wurde, sobald er das Unternehmen verlassen hatte.
Dieses Praxisbeispiel verdeutlicht, wie die richtige Verwaltung von BYOD-Geräten und die Nutzung von MDM-Systemen sicherstellen können, dass Unternehmensdaten geschützt und der Zugriff von ausgeschiedenen Mitarbeitern effektiv beendet wird.
Praxisbeispiel: Trennung von privaten und geschäftlichen Daten
In einem mittelständischen Handwerksbetrieb wird das COPE-Modell erfolgreich angewendet, um die Sicherheit der Geschäftsdaten und die Flexibilität der Mitarbeiter zu gewährleisten. Der Handwerksbetrieb stellt seinen 52 Mitarbeitern Mobilgeräte zur Verfügung, die offiziell dem Unternehmen gehören, gestattet den Mitarbeitern aber die Geräte auch privat zu nutzen. Hier ist ein Szenario, wie COPE in diesem Unternehmen eingesetzt wird:
Der Administrator im Betrieb hat die Mobilgeräte so konfiguriert, dass sie zwei separate Bereiche für geschäftliche und private Daten haben. Dies ermöglicht es den Mitarbeitern, ihre persönlichen Kontakte, Fotos und Apps auf ihren Geräten zu haben, ohne die Sicherheit der geschäftlichen Daten zu beeinträchtigen.
Das eingesetzte MDM-System stellt einen eigenen Company Appstore zur Verfügung, über den die Mitarbeiter Zugriff auf geschäftlich relevante Apps haben. Einige der Apps sind lizenzpflichtig, was kein Problem ist, da die Lizenz direkt über das MDM-System bezogen wird, wodurch dem Mitarbeiter keine Kosten entstehen. Der Administrator kann diese Apps verwalten und sicherstellen, dass alle geschäftlich benötigten Apps zur Verfügung stehen und sie den betrieblichen Anforderungen entsprechen. Dies erleichtert den Mitarbeitern den Zugriff auf Tools, die für ihre handwerklichen Aufgaben erforderlich sind, wie z.B. Auftragsverwaltung oder Zeiterfassung.
Um sicherzustellen, dass geschäftliche Informationen nicht mit nicht verwalteten (privaten) Apps geteilt werden, hat das Unternehmen Sicherheitsrichtlinien implementiert. Beispielsweise können Auftragsdokumente nicht über private Messaging-Apps versendet werden, um die Vertraulichkeit zu wahren.
Die Mobilgeräte sind so eingerichtet, dass geschäftliche und private Kontakte in getrennten Bereichen gespeichert sind. Dies verhindert, dass geschäftliche Kontakte in privaten Kommunikationen versehentlich verwendet werden.
Bei Android-Geräte haben die Mitarbeiter sogar die Möglichkeit, das geschäftliche Profil zeitgesteuert an- und auszuschalten. Dies ermöglicht den Mitarbeitern, ihren wohlverdienten Feierabend in Ruhe zu genießen und außerhalb der Arbeitszeit nicht von geschäftlichen Benachrichtigungen gestört zu werden, während innerhalb der Arbeitszeit auf geschäftliche Ressourcen zugegriffen werden kann.
Durch die Implementierung des COPE-Modells hat die Firma somit eine ausgewogene Lösung zwischen Sicherheit und Flexibilität gefunden. Die Mitarbeiter können ihre Mobilgeräte sowohl für geschäftliche als auch für persönliche Zwecke nutzen, während das Unternehmen die Kontrolle über geschäftliche Daten und Sicherheitsrichtlinien behält. Dies trägt zur Effizienzsteigerung und zur Gewährleistung der Sicherheit der geschäftlichen Daten in dem mittelständischen Handwerksbetrieb bei.