Mobile Security: 5 EMM-Suiten im Vergleich

by Markus Güntner | Aug 01, 2018

Smartphones und Tablets gehören bei vielen Unternehmen zum täglichen Arbeitswerkzeug. Nicht erst mit der Einführung der EU-Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 umgesetzt werden muss, stellt sich Unternehmensverantwortlichen die Frage nach einer wirksamen Mobile-Security-Strategie, die sowohl Unternehmens- wie Kundendaten umfassend schützt. Um- und durchgesetzt werden kann diese eigentlich nur mit Hilfe von EMM-Lösungen (Enterprise Mobility Management). Im Folgenden haben wir fünf Vertreter dieser Gattung gegenübergestellt.

Wie so häufig unterliegt nicht nur die Technik, sondern auch ihre Klassifizierung einem rapiden Wandel. Ursprünglich war nur von MDM-Lösungen (Mobile Device Management) die Rede. Neben der Inventarisierung der Geräte inklusive einem Überblick der OS-Version und der automatisierten Installation der grundlegenden Anwendungen und Datenzugänge gehört zu den Grundfunktionen des MDM die Minimierung der Gefahr von Cyberattacken und Datendiebstahl.

Je nach verwendeter Hard- und Software- sowie der Betriebssystem-Plattform reicht die Funktionalität bis hin zu einem „Supervised Mode“, der der IT-Abteilung die volle Kontrolle über Smartphones und Tablets in allen Sicherheits- und Datenschutzfragen gewährt. Zunächst sollte eine unternehmensweite Security-Policy erstellt werden, die dann mittels MDM auch auf mobilen Geräten durch die IT-Administration umgesetzt werden kann. Voraussetzung ist die Erstellung einer Security-Policy, die dann mittels MDM auch auf mobilen Geräten durch die IT-Administration umgesetzt werden kann.

Diese Security Policy kontrolliert:

  • Inbetriebnahme und Passworterstellung, so dass die Regeln zur Erstellung eines sicheren Passworts eingehalten werden;
  • das Kommunikations-Verhalten, so dass beispielsweise innerhalb des Unternehmensnetzwerkes auch WLAN und Bluetooth-Verbindungen möglich sind, außerhalb dagegen nur per VPN-Verbindung auf Firmendaten zugegriffen werden kann;
  • die Unterscheidung zwischen managed und unmanaged Apps. Erstere sind vom MDM gesteuert, so dass beispielsweise die Datenweitergabe per Copy&Paste eingeschränkt werden kann. Unmanaged Apps können dazu führen, dass die Sicherheit des Geräts in Frage gestellt ist und der Compliance-Status dadurch verloren geht;
  • die Kontrolle, ob das Gerät den Compliance-Vorgaben entspricht. Bei Verstößen kann der Zugang zu Unternehmensdaten eingeschränkt werden, – bis hin zum Blockieren von Mails, Dateiverzeichnissen oder VPN-Zugängen;
  • Schutzmaßnahmen wie automatisierte Updates oder Installation neuer Sicherheitssoftware per Fernzugriff, ebenso die DSGVO-konforme Fernlöschung bei Verlust des Gerätes oder Ausscheiden des Mitarbeiters.

Unterschiede zu EMM und UEM

Es werden also nicht nur die Devices als Hardware-Komponente administriert, sondern auch die darauf befindlichen Anwendungen und Daten. Vor allem aber brauchen die Administratoren ausgefeilte Sicherheits-Funktionen für Mobilgeräte im Unternehmenseinsatz. Datenschutz, Malware-Protection und Identity-Management waren hier die Treiber. So wurden die Lösungen immer umfangreicher und wuchsen von MDM- zu EMM-Plattformen(Enterprise Mobility Management) heran.

Inzwischen zeichnet sich ein weiterer Entwicklungsschritt ab, der neben mobilen Geräten wie Smartphones und Tablets auch Desktop- und Laptop-Computer mit denselben Mechanismen absichert. Und auch die wachsende Flut an IoT-Devices findet so Anschluss an den unternehmensweiten Sicherheitsschirm. Dementsprechend nennt sich diese Form der Endgeräteverwaltung Unified Endpoint Management (UEM).

Da die Unterscheidung nicht immer trennscharf erfolgt und teilweise allein von der Software-Version mit den jeweils hinzugefügten Funktionen abhängig ist, wollen wir der Einfachheit halber weiterhin von EMM-Lösungen sprechen.

Kriterien für einen Vergleich der MDM-Lösungen

EMM-Lösungen greifen auf die APIs zu, die der Betriebssystem-Hersteller – in der Regel Apple (iOS und MacOS), Microsoft (Windows) oder Google (Android) – zur Verfügung stellen, um Notebooks, Smartphones, Tablets oder industrielle Geräte, wie zum Beispiel Handscanner, verwalten zu können. Teilweise sind die benötigten Funktionen nur auf bestimmter Hardware verfügbar, so dass man vor dem Kauf kontrollieren muss, ob das gewünschte Gerät die benötigten EMM-Funktionen unterstützt.

So gibt es beispielsweise bei den Android-Geräten die Unterscheidung zwischen der Standard-Installation (demnächst: „Android One“ mit einem einheitlichen Kernel, der nicht mehr auf provider- oder herstellerspezifische Updates angewiesen ist), Android Enterprise (ehemals „Android for Work“) und der herstellerspezifischen, kostenpflichtigen Plattform Samsung Knox Workspace.

Zum Teil stehen die Funktionen auch nur Unternehmenskunden zur Verfügung, die sich über die Teilnahme an spezifischen Enterprise-Programmen qualifizieren. Die Entsprechung zu Android Enterprise von Google ist bei Apple das Device Enrollment Program (DEP) kombiniert mit dem Volumen-Lizenz-Programm (VPP, Volume Purchase Program), bei Microsoft der Windows AutoPilot.

Ein wichtiges Kriterium ist daher, welche Betriebssysteme die genannten Lösungen unterstützen. Weitere Unterscheidungsmerkmale bieten das Hosting (Cloud, On Premise oder beides), das Lizenzmodell (pro User / pro Gerät bzw. Standard- oder Premium-Pakete), die Verwaltungsoberfläche (meistens Weboberfläche, intuitive Bedienung nicht immer gewährleistet), Serverstandorte, ausgewählte Security-Funktionen oder die unterschiedlichen Support-Modelle. Im Folgenden haben wir Ihnen die wichtigsten Kriterien aufgelistet, um Ihnen den Überblick zu erleichtern. Die Auswahl bezieht sich auf die gängigsten MDM-Lösungen in Österreich.

Microsoft Intune

Microsoft Intune ist ein einfaches, intuitives Tool zur Verwaltung von Mobil- und Desktopgeräten aus den Betriebssystem-Welten von Microsoft, Apple und Google. Zur vollumfänglichen Konfiguration von Android-Geräten wird Android for Work vorausgesetzt. Die Anwendung hat kein eigenes Gateway, daher wird zum sicheren Zugriff auf Ressourcen in internen Netzwerken die VPN-Lösung eines Drittherstellers benötigt. Ebenso ist keine Certificate Authority integriert, es können jedoch PKIs (Private Key Infrastructure) aus der Cloud oder dem internen Microsoft-Netz angebunden werden. Zur Verteilung ist ein Windows-Server mit NDES-Rolle (Network Device Enrollment Service) notwendig.

Gemessen an der Anzahl der gebotenen Features ist Intune eher gering ausgestattet. Perspektivisch ist davon auszugehen, dass es Microsofts Managementplattform für alle Devices wird, mit dem On-Premise-Lösungen verdrängt werden sollen.

  • Unterstützte OS-Plattform(en): iOS 7.1 und höher, Mac OS X 10.9 und höher, Android 4.0 und höher, jedoch nur bedingt für Android for Work und Samsung Knox geeignet, Windows Phone 8.0 und höher, Windows RT, Windows 8.1, Windows 8.1 RT, Windows 10.
  • Hosting: Cloud.
  • Serverstandorte: weltweit, davon 2 in Europa;
  • Lizenzmodell: Abrechnung pro Gerät, jedoch pro Nutzer nur 5 Geräte; Geräteanzahl insgesamt unbegrenzt.
  • Sonstiges:
    • Trennung privater von geschäftlichen Daten über Android for Work bzw. iOS Restrictions;
    • White- und Black-Listing von Apps, Sperrung von App-Stores;
    • Microsoft-Office-Anwendungen: Aktionen wie Kopieren, Ausschneiden, Einfügen oder Speichern können in einzelnen (Microsoft-)Apps blockiert werden, um eine Übertragung von Unternehmensdaten in nicht genehmigte Apps zu verhindern.
-Website: Microsoft Intune

 MobileIron

Einmal konfiguriert arbeitet die MobileIron-Plattform annähernd wartungsfrei. Lediglich Updates für die On-Premise-Komponenten sind beim Einsatz dieser Variante zu installieren, alles andere ist automatisierbar. Zahlreiche Funktionen sind per APIs über andere Applikationen ansteuerbar. Den Fokus legt MobileIron auf die Cloud-Version, die trotz der großen Funktionsvielfalt einen sehr intuitiven Aufbau zeigt. Derzeit gibt es aber auch keine Hinweise, dass On Premise abgelöst werden soll.

Der technische Unterbau besteht ausschließlich aus gehärteten Linux-Appliances, der einen Betrieb im FIPS-140-2-Mode ermöglicht. Das integrierte Gateway (Sentry), das auch einen High-Availability-Modus bietet, ermöglicht eine einfache Certificate-based Authentication zur Absicherung von getunnelten und damit abgesicherten Verbindungen.

  • Unterstützte OS-Plattformen: iOS, MacOS, Android und Android Enterprise, Samsung Knox, Windows 10.
  • Hosting:Cloud oder On Premise; Versionen unterscheiden sich im Funktionsumfang.
  • Serverstandorte: Weltweit, für europäische Kunden wird ausschließlich der Standort in Frankfurt/Main genutzt;
  • Lizenzmodell: Es sind verschiedene Kombinationen zwischen Editionen, Lizenzierungsart (pro Gerät / pro User [max. 3 Geräte]), Bereitstellungsart und Abrechnung möglich, Geräteanzahl insgesamt unbegrenzt.
  • Verwaltungsoberfläche: Self-Service-Portal für häufige Verwaltungsaufgaben, BYOD-Portal.
  • Sonstiges:
    • Trennung privater von geschäftlichen Daten über AppConnect, Android for Work bzw. Samsung KNOX Workspace, iOS Restrictions;
    • White- und Black-Listing von Apps über Apps@Work-Modul oder automatisiert per App Reputation Services;
    • Container von MobileIron und Partnern mit eigener App-Bibliothek von besonders geschützten Apps;
    • Content Management-Funktionen, darunter Kontrolle über Kopier- und Einfügefunktionen;
    • Zugriff auf Fileshares mittels docs@work möglich;
    • Authentifizierung mittels Kerberos (iOS native) bzw. Kerberos Constrained Delegation als weitere Alternative zu passwortlosem Arbeiten per Certificate-based Authentication;
    • Echtzeit-Verbindung mit Backend-AD/LDAP-Verzeichnisdiensten über integrierten MobileIron Cloud Connector;
    • Zusatztools wie MobileIron Threat Defense, MobileIron Bridge für Windows-Desktops zur Ausführung von Powershell Commands und Scripts sowie Import von ADMX-Files zur Policy-Steuerung;
    • Registrierung neuer Geräte und Nutzer mittels DEP, Samsung Knox Mobile Enrollment (KME) und Google Zero Touch Enrollment.

Webseite: Mobile Iron

VMware AirWatch

Die Applikation zeichnet sich nicht nur aus durch ein sehr gutes, vollständiges Mobile Device Management, sondern bietet auch alle Funktionen, die von einem Mobile Application Management erwartet werden. Die Administrations-Konsole ist dementsprechend umfangreich, so dass nicht alle Funktionen auf Anhieb einfach zu finden sind.

Werden alle zur Verfügung stehenden Komponenten eingebunden, z.B. Secure Mail Gateway, Content Locker, Per-AppVPN, dann wird die Installation sehr umfassend, aber die Suite funktioniert trotzdem relativ einfach.

  • Unterstützte OS-Plattformen: Android, iOS, Mac OS, Blackberry, Symbian, Windows Mobile, Windows PC/RT, Windows Phone, Windows 10
  • Hosting: Cloud und On Premise; bei der Cloud-Variante wird intern ein Server mit einem Cloud-Connector benötigt. Dieser übernimmt die Verbindung zwischen internen Services, wie zum Beispiel eine AD Anbindung, mit der SaaS-Installation. Dieser Cloud-Connector muss Domain Member sein und benötigt aber nur ausgehend eine https-Anbindung zur VMWare-Cloud.
  • Serverstandorte: 13 weltweit, davon 3 in Europa;
  • Lizenzmodell: Verschiedene EMM-Suites, die pro Gerät oder pro Nutzer abonniert werden können (Laufzeit: 12 Monate); jede Gerätelizenz ist für ein Gerät gültig, jede Benutzerlizenz für drei Geräte; Geräteanzahl insgesamt unbegrenzt.
  • Verwaltungsoberfläche: Self-Service-Portal für Enduser, auf dem sie bestimmte Aktionen aus der Ferne selbst durchführen können.
  • Sonstiges:
    • Kein White- und Black-Listing von Apps integriert, Funktion über MAM-Modul nachrüstbar;
    • Trennung privater von geschäftlichen Daten durch anpassbare Datenschutzrichtlinien. Als privat gekennzeichnete Daten werden durch einen Geräte-Wipe nicht gelöscht;
    • Mobile Endgeräte können unterschiedlichen Profilen zugeordnet werden, die jeweils sämtliche Voreinstellungen enthalten, wie zum Beispiel Passwörter, Apps, WLAN-Zugänge und mehr;
    • Neben Remote-Befehlen wie Gerätesperrung und Geräte-Wipe finden sich auch Funktionen wie eine Gerätelokalisierung oder ein Unternehmens-Wipe;
    • Secure Email Gateway: Erlaubt Connect nur mit MDM-Enrollment-Geräten zur ActiveSync-Schnittstelle des Exchange-Servers, kann mit weiteren Bedingungen der Compliance-Policy kombiniert werden;
    • Content Locker: Interne Ressourcen wie FileShares oder WebDav können nur auf einer „enrolled Application“ dargestellt und editiert werden. Kombination mit weiteren DLP-Policies (Data Loss Prevention) möglich;
    • Per-App-VPN: zu jeder App, die via EMM gemanaged wird, kann ein eigener VPN-Tunnel definiert werden, der mit dem Start/Laden der App automatisch hergestellt wird und nur innerhalb dieser App sichtbar ist;
    • Enrollment von Devices via Mail-Adresse: per Registration bei VMWare werden Mail-Domain und Device-Server miteinander verknüpft; Zugang über QR-Code oder Servername und Group-ID;
    • Apple VPP-Integration: IT-Administration kauft Anwendungen und kann diese auf den Devices installieren bzw. zum Abruf zur Verfügung stellen.

Webseite: VMware AirWatch

Citrix XenMobile

Je nach Edition ist bereits Netscaler, – angepriesen als Gateway, tatsächlich jedoch ein mächtiges Tool für Anwendungs- und Infrastruktur-Analysen – in der Lizenz enthalten, es fallen jedoch zusätzliche Gebühren je Gerät oder je Appliance an. Die Lösung empfiehlt sich daher besonders für bereits bestehende Citrix-Umgebungen inklusive Netscaler beziehungsweise für Anwendungsfälle, bei denen mittels Citrix virtualisierte Desktop-Apps zum Einsatz kommen.

  • Unterstützte OS-Plattformen: iOS, MacOS, Android, Android for Work, Samsung KNOX, Amazon, Windows CE, Windows 10
  • Hosting: Cloud (On Premise ist Auslaufmodell; beide Versionen funktionsgleich)
  • Serverstandorte: Hosting auf AWS-Infrastruktur, weltweit;
  • Lizenzmodell: Drei verschiedene Editionen, Abrechnung pro User oder pro Gerät; maximal 100.000 Geräte insgesamt.
  • Sonstiges:
    • Trennung privater von geschäftlichen Daten wird unterstützt;
    • Container von Citrix und Partnern mit eigener App-Bibliothek von besonders geschützten Apps;
    • Integration von Microsoft Office 365;
    • Unterstützt neben Geräte-Sperrung und Geräte-Wipe auch Unternehmens-Wipe.

Webseite: Citrix XenMobile

JAMF

JAMF beschränkt sich auf die Unterstützung des Apple-Ökosystems (iOS und MacOS X). Für MacOS ist es allerdings dank der Spezialisierung das beste System.

  • Unterstützte OS-Plattformen:
iOS, MacOS.
  • Hosting: Cloud oder On Premise.
  • Serverstandorte: USA, Deutschland, Japan und Australien;
  • Lizenzmodell: Drei verschiedene Abomodelle für zwei unterschiedliche Versionen:
    • PRO als EMM-Lösung mit höherer Funktionsvielfalt; Minimum 50 User für Enterprise-, 100 User für Education-Lizenz; jährliche Abrechnung;
    • NOW (ehemals „Bushel“) als abgespeckte MDM-Lösung für Teams und Kleinunternehmen; Abrechnung nach Anzahl der Geräte (erste 3 frei, jedes weitere 2$/mon.), monatliche Abrechnung; Geräteanzahl insgesamt unbegrenzt.
  • Sonstiges:
    • Trennung privater von geschäftlichen Daten wird unterstützt;
    • White- und Black-Listing von Apps integriert.

– Webseite: jamf.com

Fazit

Die unterschiedlichen Ausrichtungen, Funktionsumfänge und Lizenzmodelle machen einen direkten Vergleich schwierig. In manchen Punkten liegen die vorgestellten Kandidaten eng beieinander, in anderen sind sie grundverschieden. Grundsätzlich bieten Apples Betriebssysteme MacOS (Desktop) und iOS (für Smartphones und Tablets) besonders gute Voraussetzungen für das unternehmensweite Gerätemanagement. In der reinen Apple-Welt hat sich JAMF bereits bewährt.

Sehr gute Erfahrungen haben die ACP-Experten bei gemischten Umgebungen mit MobileIron und Airwatch gemacht. Alle MDM- beziehungsweise EMM-Systeme haben jedoch ihre Daseinsberechtigung. Welches für wen am besten geeignet ist, kann nur individuell entschieden werden.

Je nach Kunde sind unterschiedliche Leistungsklassen gefordert: dem einen genügt ein klassisches MDM, der nächste braucht ein EMM, der dritte will zumindest perspektivisch ein UEM einführen. ACP hat aus diesem Grund einen MDM-Workshop entwickelt, der Kunden dabei unterstützt, das passende System auszuwählen. Die vorhandene Infrastruktur, genutzte Anwendungen, zu erreichende Ziele und umzusetzende Security-Policies werden dabei berücksichtigt.

Glossar:

Die gebräuchlichsten Klassifizierungen für das Endgeräte-Management sind:

MDM: Mobile Device Management
EMM: Enterprise Mobility Management
UEM: Unified Endpoint Management

Daneben gibt es noch Teillösungen, die in unterschiedlichen Konstellationen in den drei vorgenannten enthalten sind:

MAM: Mobile Application Management
MCM: Mobile Content Management
MEM: Mobile Email Management
MTM: Mobile Threat Defense Mechanism
MIAM: Mobile Identity & Access Management
MADP: Mobile Application Development
TEM: Technology Expense Management, nicht zu verwechseln mit Telecom Expense Management

 Weitere verwendete Abkürzungen:

BYOD: Bring Your Own Device
DSGVO: Datenschutz-Grundverordnung
DEP: (Apple) Device Enrollment Program
VPP: (Apple) Volume Purchase Program
KME: (Samsung) Knox Mobile Enrollment

 

Checkliste - Wie Sie macOS Geräte sicher im Unternehmen integrieren

Autor: Markus Güntner

Consultant, Datacenter Application Services