Saktanong - stock.adobe.com
Leitfaden für das Backup von mobilen Geräten
Das Backup für mobile Geräte, die in MDM-Plattformen registriert sind, sollte nur in bestimmten Situationen erlaubt sein. Hier eine Übersicht möglicher Szenarien.
In vielen Fällen ist nicht klar, ob die IT-Abteilung Backups von mobilen Geräten zulassen soll, die mit einer MDM-Lösung (Mobile Device Management) verwaltet werden.
Es ist zwar einfach, eine verbindliche Regel für alle Geräte aufzustellen, die Antwort hängt aber von einer Vielzahl von Faktoren ab. Dazu gehören die Art und Weise, wie und wozu die Geräte eingesetzt werden, sowie die Erwartungen der Nutzer. Dieser Artikel dient als ein allgemeiner Leitfaden für die IT-Abteilung, um Unternehmensrichtlinien für das Backup mobiler Geräte zu erstellen.
Backup von mobilen Geräten in COBO-Szenarien?
Beim COBO-Konzept (Corporate Owned, Business Operated) sind die Smartphones und Tablets Eigentum der Firma, und die mobilen Geräte werden ausschließlich geschäftlich genutzt. Häufig sind diese Geräte auf eine oder wenige Anwendungen beschränkt. Da es keinen Grund gibt, Unternehmensdaten auf diesen Geräten dauerhaft zu speichern, sollten Firmen für COBO-Geräte niemals ein Backup starten. Denn es gibt sicherlich keine Daten, die ein Benutzer auf einem persönlichen Konto oder Gerät sichern möchte.
Die IT-Abteilung sollte den Einsatz von persönlichen Google- und Apple-Konten auf diesen Geräten einschränken und Cloud-basierte Backups verhindern. Zudem ist anzuraten, für Smartphones und Tablets mit Google Android die Datenübertragung via USB zu blockieren und für Geräte mit Apple iOS die Kopplung mit Hosts zu verbieten, die nicht den Apple Configurator unterstützen. Mit diesen Maßnahmen verhindert die IT-Abteilung, dass Nutzer Unternehmensdaten über ein USB-Kabel auf ihr privates Gerät übertragen.
Backup von mobilen Geräten in COPE-Szenarien?
Beim COPE-Konzept (Corporate Owned, Personally Enabled) stellt das Unternehmen einem Mitarbeiter ein mobiles Gerät zur Verfügung, dass dieser auch für private Zwecke nutzen darf. Dafür ist der Mitarbeiter aber zu einem gewissen Grad für die Verwaltung des Geräts selbst verantwortlich.
Für COPE-Geräte kann die IT-Abteilung Backups erlauben, insbesondere Cloud-Backups. Sie sollte aber die Verbindung dieser Geräte zu nicht vertrauenswürdigen Endpunkten (auch PCs) weiterhin einschränken. Im Gegensatz zu COBO-Geräten empfiehlt es sich, die COPE-Geräte anders zu verwalten. Bei Smartphones und Tablets mit Apple iOS sollte die IT-Abteilung verhindern, dass verwaltete Anwendungen ihre Daten in der iCloud sichern und dass Benutzer Unternehmensdokumente in nicht verwalteten Anwendungen öffnen.
Moderne Android-Geräte mit Android Enterprise, die die mit Android 5.0 Lollipop eingeführten einheitlichen Management-APIs verwenden, isolieren Unternehmensdaten im Arbeitsprofil auf vollständig verwalteten Geräten. Daher können Nutzer standardmäßig keine Backups von Unternehmensdaten auf persönliche Google-Konten erstellen. In Kombination mit anderen Einschränkungen, die verhindern, dass Benutzer Unternehmensdaten mit persönlichen Anwendungen teilen, lassen sich damit Datenverluste verhindern.
Die IT-Abteilung sollte ältere Android-Geräte inklusive der API für Device Administration mit Vorsicht behandeln. Für diese Smartphones und Tablets bietet sich der Einsatz eines Containers über ein EMM-Tool (Enterprise Mobility Management) wie MobileIron AppConnect oder VMware AirWatch an. Andernfalls könnten Unternehmensdaten in ein Cloud-Backup gelangen und für die Wiederherstellung auf einem nicht verwalteten Gerät benutzt werden. Aus diesem Grund sollte die IT-Abteilung Backups nach Möglichkeit verhindern – und sich fragen, warum sie noch nicht Android Enterprise im Unternehmen einsetzt.
Backup von mobilen Geräten in BYOD-Szenarien?
Die IT-Abteilung sollte Backups für COPE- und BYOD-Geräte mit Apple iOS nicht zu unterschiedlich behandeln. Es ist aber zu bedenken, dass die Nutzer starke Einschränkungen wahrscheinlich nicht akzeptieren, da es sich um ihre persönlichen Geräte handelt. Unternehmen sollten auch erlauben, dass Nutzer diese Geräte über Kabel mit PCs verbinden. Das Gleiche gilt für ältere Android-Geräte.
Bei Smartphones und Tablets mit Android Enterprise, bei denen nur ein Arbeitsprofil auf einem ansonsten nicht verwalteten Gerät bereitgestellt wird, kann das Unternehmen das gesamte Gerät oder das übergeordnete Profil nur eingeschränkt kontrollieren. Das heißt: Die IT-Abteilung kann keine Geräte-Backups verhindern, wenn der private Einsatz erlaubt ist.
In diesen Fällen lädt die IT-Abteilung den EMM-Agenten nach der Geräteeinrichtung von Google Play herunter, anstatt die Geräte nochmal neu als vollständig verwaltet bereitzustellen. Innerhalb des Arbeitsprofils wird der Backup-Dienst standardmäßig deaktiviert, so dass Benutzer keine persönlichen Google-Konten hinzufügen können. Die IT-Abteilung sollte diese Standardeinstellungen beibehalten, um Datenverluste zu vermeiden.