Mit einem Griff zum Smartphone kurz die Geschäftsmails checken und das Word-Dokument mit den Budget-Daten korrigieren – heute allgegenwärtig. Doch wie sieht es mit der Sicherheit und Kontrolle aus, dass Unternehmensinterna via Privatgerät nicht in falsche Hände geraten? Das Management und die IT sind gefordert.
Mobile Device Management (MDM) und Mobile Application Management (MAM)
Die technischen Schlagworte heissen hier Mobile Device Management und Mobile Application Management - kurz MDM und MAM. Zu einem modernen IT-Arbeitsplatz gehören heute Smartphones und Tablets dazu, weil die Arbeitskräfte immer mehr von unterwegs arbeiten und ihre Tasks geräteunabhängig und mobil erledigen wollen.
Von den Arbeitergebern und IT-Abteilungen werden diese mobilen Arbeitsgeräte aber in den meisten Fällen sicherheitstechnisch vernachlässigt. Die Geräte werden nicht verwaltet und es gibt weder Kontroll- noch Schutzmechanismen beim Zugriff auf die Geschäftsdaten. Microsoft selbst bietet in diesem Fall mit Microsoft Intune eine flexible und einfache Lösung sowohl für das Mobile Device Management als auch das Mobile Application Management. Die Anwendungszwecke sind vielfältig und decken viele verschiedene Szenarien ab. So beispielsweise auch eine «Bring your own Device-Policy», das Einfügen eines Softwarekioskes als App oder die Konfiguration von mobilen Arbeitsgeräten für Techniker oder Aussendienstmitarbeitende.
Userfriendly und Bring your own Device mit MAM
Mithilfe von Mobile Application Management können die Geschäftsdaten bei der Synchronisierung auf einem Smartphone oder Tablet geschützt und von den persönlichen Daten des Mitarbeitenden isoliert werden. Der Zugriff auf die Mailbox, SharePoint/OneDrive sowie auch Teams kann kontrolliert freigegeben werden. Die Geschäftsdaten werden automatisch verschlüsselt auf dem Gerät abgelegt und können nur durch die verwalteten Apps (bspw. mit den Microsoft Office Applikationen) geöffnet und bearbeitet werden. So wird auf einfachem Weg verhindert, dass die Geschäftsdaten über private Kanäle (z.B.: Social Media und private Cloudspeicher) geteilt oder hochgeladen werden.
-
- Dieses Smartphone wird nicht verwaltet, Geschäftsdaten und private Dokumente können vermischt und ohne jedwede Kontrollmechanismen geöffnet und geteilt werden.
- MAM sichert die Geschäftsdaten, ohne die persönlichen Daten irgendwie zu beeinträchtigen. Will der Mitarbeitende ein Geschäftsdokument öffnen, kann er dies in Microsoft Word tun, nachdem er sich mit seinem Geschäftskonto identifiziert hat. Ein Teilen des Dokuments auf sozialen Medien wird ausgeschlossen.
MAM eignet sich als Lösung besonders ideal, wenn Sie Ihren Mitarbeitenden Bring your own Device anbieten möchten. Mit MAM verwalten Sie auf dem mobilen Gerät nämlich nur die entsprechend notwendigen Applikationen, in denen Mitarbeitende Geschäftsdaten einsehen oder bearbeiten. Über diese entsprechenden Applikationen hinaus können Sie weder auf das Gerät, noch auf private Daten auf dem Gerät zugreifen. Sie können Ihren Mitarbeitenden also versichern, dass lediglich die Daten in den verwalteten Applikationen von der Unternehmung verwaltet werden. Im Umkehrschluss können Sie sicherstellen, dass Ihre Geschäftsdaten den geschützten Bereich (innerhalb der verwalteten Applikationen auf dem privaten Gerät) nicht verlassen. Es ist bspw. nicht möglich, dass Mitarbeitende einen Screenshot einer geschäftlichen Datei erstellen, die automatisch in die Fotos auf dem privaten Gerät und von da vielleicht sogar in eine private Cloud gespeichert werden.
MDM: Wenn es etwas mehr Sicherheit sein soll
Ähnlich wie beim Device Management für Windows können mit Microsoft Intune Apple-Geräte wie iPhones und iPads und auch Android Geräte verwaltet werden. Mithilfe des Mobile Device Managements können auf dem Gerät firmenspezifische Konfigurationen angewendet werden, Applikationen direkt auf das Smartphone gespielt oder über einen Softwarekiosk zum Download zur Verfügung gestellt werden. Ausserdem sind die Informationen zum Gerätestatus und der Compliance verfügbar. Diese Informationen umfassen den Updatestand, einen etwaigen Jailbreak oder Verschlüsselungsoptionen.
Sie merken es schon: mit MDM ist etwas mehr möglich als mit MAM. Wenn Ihr Unternehmen erhöhte Ansprüche an die Cybersicherheit in mobilen Anwendungsfällen hat oder das Geschäftsmodell erfordert, dass unternehmensspezifische Applikationen, wie bspw. eine Rapportierungs-App oder gar ein ERP-System, auf mobilen Endgeräten verfügbar sind, macht ein MDM durchaus Sinn. Im Fall von der Verwendung von privaten, mobilen Endgeräten, also einem Bring your own Device Ansatz, wird MDM allerdings umständlich. Private Geräte können aus Datenschutzgründen nur zu einem bestimmten Grad verwaltet und überwacht werden. Aus diesem Grund empfiehlt die SmartIT im Falle von MDM direkt unternehmenseigene Geräte zur Verfügung zu stellen. Hier wiederum gilt es dann die private Nutzung von Firmengeräten klar zu regeln.
Sollten solche Regelungen zu umständlich sein oder Mitarbeitende Bedenken haben, was mit privaten Daten auf dem Firmen-Mobiltelefon passiert, muss damit gerechnet werden, dass Mitarbeitende zwei Geräte für geschäftliche und private Zwecke verwenden. Das ist per se nicht tragisch, für manche allerdings zu umständlich, was wiederum zu ungünstigen Workarounds führt. Mitarbeitende leiten E-Mails oder Telefone standardmässig vom Firmengerät auf das private Mobile weiter. Dadurch verlassen Geschäftsdaten den verwalteten und somit geschützten Bereich, was es zu vermeiden gilt. Für einen klassischen Anwendungsfall und im Sinne der Cybersecurity empfiehlt die SmartIT deswegen grundsätzlich MAM vor MDM zu bevorzugen.
Das Wichtigste in Kürze
| MAM | MDM | |
| Beschrieb |
Auf dem Mobile wird nur der Zugriff via Microsoft Apps auf die Geschäftsdaten von der IT-Abteilung des Arbeitgebers verwaltet.
|
Das Mobile wird grundlegend von der IT-Abteilung des Arbeitgebers verwaltet. Dazu gehört auch das Betriebssystem, der App Store sowie die vorinstallierten Apps. |
| BYOD | Möglich. Mitarbeiter können ihre privaten Geräte verwenden (alle gängigen Android und iOS/ iPadOS werden unterstützt). |
Grundsätzlich möglich. Aus Datenschutzgründen empfiehlt die SmartIT im Falle von MDM; allerdings direkt unternehmenseigene Mobilgeräte zur Verfügung zu stellen.
|
| Worauf hat mein Arbeitgeber Zugriff? |
Es besteht eine klare Trennung zwischen den Applikationen / dem Bereich, der durch meinen Arbeitgeber verwaltet wird und privaten Applikationen / Daten. Geschäftsdaten sind ausschliesslich in erlaubten und verwalteten Apps vorhanden. Auf private Daten ausserhalb dieser Apps / dieses Bereichs hat der Arbeitgeber keinen Zugriff.
|
Falls geschäftlicher und privater Gebrauch erlaubt ist, muss klar definiert werden, was gebraucht werden darf. Grundsätzlich hat der Arbeitgebende auf das gesamte Mobile und sämtliche Daten Zugriff. Gegenfalls kommt es zu Einschränkungen hinsichtlich privaten Verwendungszwecken, bspw. Weil gewisse Apps nicht erlaubt sind. |
| Mitarbeitendenfreundlichkeit | Ein einziges Mobilgerät zur Verwendung von privaten aber auch geschäftlichen Zwecken. Keine Einschränkungen durch den Arbeitgebende bei der Privatbenutzung des Mobilgerätes. BYOD. |
Grössere Einschränkungen bei privater Nutzung, was zu Workarounds führen kann. Oder die umständliche Nutzung zweier Mobilgeräte für private und geschäftliche Nutzung. Bedenken hinsichtlich Datenschutz von privaten Daten ggü. dem Arbeitgbenden.
|
| Komplexität in der Verwaltung (für IT-Abteilung des Arbeitgebers) | Android und iOS/ iPadOS Konfigurationen sind nahezu identisch, weshalb Synergien genutzt werden können. Das macht den Aufwand für die Konfiguration und den Betrieb überschaubarer. |
Die Konfiguration für iOS- und Android-Geräte ist sehr unterschiedlich und es können nur wenig Synergien genutzt werden. Das resultiert in einem grossen Aufwand für die Konfiguration und den Betrieb.
|
Für einen klassischen Anwendungsfall empfiehlt die SmartIT im Sinne der Cybersecurity aber auch der Mitarbeitendenfreundlichkeit grundsätzlich MAM vor MDM zu bevorzugen.
Profitieren Sie von unserem Know-how im Bereich MAM und MDM. Vereinbaren Sie einen Termin mit Martin Engel für ein unverbindliches Beratungsgespräch.
