Fotolia
BYOD: Gerätezertifizierung statt MDM für spezielle Fälle
Bei BYOD-Szenarien wird die Sicherheit mobiler Geräte zu einer Herausforderung. Abhilfe schafft eine Gerätezertifizierung. Sie zeigt, dass die Geräte ohne Verwaltung sicher sind.
Es wird für Unternehmen immer schwieriger, Bring Your Own Device (BYOD) umzusetzen, sprich den Einsatz privater mobiler Geräte im Unternehmen. Das gilt vor allem für die Geräte von freien oder externen Mitarbeitern. Aber einige Unternehmen wollen sich nicht vertieft mit der Verwaltung mobiler Geräte (Mobile Device Management, MDM) befassen.
Gleichzeitig möchten die Firmen aber auch nicht, dass irgendein Gerät auf ihre Daten zugreift. Hier kommt das Gerätezertifikat ins Spiel. Unternehmen sind damit flexibler beim Mobilitätsmanagement ohne die Sicherheit mobiler Geräte zu opfern.
Was ist Gerätezertifizierung?
Über die Gerätezertifizierung können sich Unternehmen über den Sicherheitsstatus von Geräten informieren, die versuchen, eine Verbindung zu Unternehmensanwendungen und Arbeitsbereichen herzustellen.
Administratoren können den grundlegenden Sicherheitsstatus festlegen, den sie für jedes Gerät wünschen, das Zugriff auf potenziell sensible Informationen anfordert. Tools für das Erstellen von derartigen Gerätezertifikaten gibt es in Form einzelner sicherheitsorientierter Anwendungen oder SDKs, die Entwickler in ihre eigenen Sicherheits-Tools und Anwendungen integrieren können.
Die Gerätezertifizierung bildet eine Form des kontextbezogenen Zugriffs, bei der das Gerät eine Prüfung bestehen muss, bevor dem Benutzer der Zugang gewährt wird, selbst wenn er den richtigen Benutzernamen und das richtige Passwort hat.
Die auf dem Markt erhältlichen Zertifikat-Tools prüfen zwar nicht alle die gleichen Dinge, sie beantworten aber im Allgemeinen zumindest einige der folgenden Fragen:
- Ist das Gerät in Bezug auf Sicherheit und Betriebssystem-Updates auf dem neuesten Stand?
- Sind der Sperrbildschirm und die PIN oder das Passwort aktiviert?
- Ist das Gerät verschlüsselt?
- Ist das Gerät gerootet oder weist es einen Jailbreak auf?
- Besteht das Android-Gerät die Google-SafetyNet-Bestätigung?
Die IT-Abteilung entscheidet letztendlich, welche Bedingungen ein Gerät erfüllen muss, bevor der Zugriff gewährt wird.
Wann ist eine Gerätezertifizierung sinnvoll?
Firmen, die mit Dritten zusammenarbeiten, wie etwa freien Mitarbeitern und externen Partnern, die Zugriff auf Unternehmensdaten benötigen, sollten die Einführung von Gerätezertifizierung in Betracht ziehen. Diese externen Mitarbeiter werden es wahrscheinlich nicht erlauben, eine MDM-Komponente auf ihren Geräten zu installieren. Dies gilt insbesondere dann, wenn ein Auftragnehmer mit mehreren Organisationen arbeitet, die alle unterschiedliche MDM-Agenten auf ihren Geräten einsetzen möchten.
Ein weiterer häufiger Anwendungsfall sind BYOD-Szenarien. Mitarbeiter mögen zwar die Idee, ein persönliches Gerät für die Arbeit zu verwenden, aber sie sind nicht so sehr daran interessiert, dass die IT-Abteilung ihr persönliches Gerät verwaltet. Ein Tipp für IT-Fachleute: Lösungen für Mobile Application Management (MAM) greifen weniger stark auf die Geräte zu als MDM-Lösungen. Und einige MAM-Tools enthalten sogar eine Funktion für Gerätezertifikate.
Tools für Gerätezertifikate auf dem Markt
Für Firmen, auf die die oben genannten Anwendungsfälle zutreffen oder die ihre mobilen Geräte nicht verwalten wollen, gibt es auf dem Markt eine Vielzahl von Optionen.
Google hat 2016 seine SafetyNet Attestation API für Android-Apps veröffentlicht. Sie sucht speziell nach Gerätefaktoren, zum Beispiel, ob das Gerät:
- ein zertifiziertes Gerät ist, das die Compatibility Testing Suite besteht,
- ein Gerät mit benutzerdefiniertem ROM (nicht gerootet) ist,
- ein Gerät, das keine Anzeichen einer Beeinträchtigung der Systemintegrität wie etwa Rooting zeigt,
- oder ob das Gerät aufgrund von Faktoren wie einem Protokoll-Emulationsskript nicht registriert wird.
Mit der SafetyNet-API können Android-Anwendungen den Benutzern bei einem Geräteausfall Benachrichtigungen senden, die Aktionen wie das Sperren des Bootloaders des Geräts oder die Wiederherstellung des Geräts in ein sauberes Werksbetriebssystem vorschlagen.
Die für iOS und Android verfügbare Mobile-App Duo von Duo Security bietet einen Sicherheits-Checkup, der Geräte auf grundlegende Gerätefaktoren hin untersucht. Zu den potenziell verdächtigen Gerätefaktoren gehört, ob das mobile Betriebssystem aktualisiert wurde, die Bildschirmsperre aktiviert ist, ob es Anzeichen für einen Jailbreak oder Rooting gibt und Fingerabdruck-Scanning aktiviert ist. Für Android-Geräte baut die Duo-App ebenfalls auf der Google SafetyNet-API auf.
Einige andere Angebote zur Gerätezertifizierung auf dem Markt umfassen das Knox SDK von Samsung für seine OEM-Geräte, die Mobile Endpoint Security von Lookout für iOS und Android, die mit einigen der größten Anbieter wie Microsoft, VMware und Google zusammenarbeitet, sowie die Integration von Zimperium in MobileIron.