sdecoret - stock.adobe.com

Wichtige Sicherheitsfunktionen von Android Enterprise

Firmen sollten für folgende Szenarien Richtlinien für das Backup von mobilen Geräten erstellen: Firmeneigene (COBO, COPE) und private Geräte (BYOD).

IT-Abteilungen sollten die Sicherheitsfunktionen von Android Enterprise effizienter einsetzen. Schließlich bietet Google den IT-Abteilungen im Rahmen von Android Enterprise diverse APIs, mit denen sie mobile Geräte in verschiedene EMM-Tools (Enterprise Mobility Management) integrieren können, um sie besser zu steuern und zu verwalten.

Da jedes Unternehmen eine individuelle IT-Umgebung besitzt, treffen einige Vorschläge möglicherweise nicht zu. IT-Experten können aber für ihr EMM-Tool Sicherheitspraktiken von Android Enterprise auswählen, die bestimmte Komponenten ihrer mobilen Umgebung abdecken, wie beispielsweise das Arbeitsprofil.

Grundlagen abdecken

Mobile Nutzer können Datenverluste verursachen, wenn sie ihre eigenen Anwendungen, E-Mails oder andere Konten zu einem verwalteten Gerät hinzufügen. Wenn ein Benutzer sein Gerät an einen PC anschließt, um Unternehmensdaten vom sicheren Gerät auf ein anderes Gerät zu übertragen, kann dies ebenfalls zu Datenverlusten führen.

Um das zu vermeiden, kann die IT-Abteilung folgende Aktionen verbieten:

  • Konfigurieren von Benutzer-Anmeldeinformationen
  • Erstellen und Ändern von Konten
  • Anschluss von externen physischen Speichergeräten
  • Übertragen von Daten über USB
  • Nutzen von USB-Speicher

Die IT-Abteilung kann diese Sicherheitsbeschränkungen von Android Enterprise auf drei Arbeitsprofil-Szenarien anwenden: BYOD (Bring Your Own Device), COPE (Corporate Owned Personally Enabled) und COBO (Corporate Owned Business Only). Richtlinien, die das Erstellen, Ändern und Konfigurieren von Konten und Anmeldeinformationen verhindern, stellen sicher, dass nur das Unternehmen auf den geschäftlichen Bereich des Geräts zugreifen und Einstellungen ändern kann. Dies umfasst entweder das gesamte Gerät (COBO), nur das Arbeitsprofil (BYOD) oder manchmal beides (COPE).

Gibt es auf dem Gerät parallel zu den Unternehmensdaten kein verwaltetes persönliches Profil, besteht keine Gefahr, dass Unternehmensdaten durch Aktionen des Nutzers das Gerät über andere Anwendungen oder Cloud-Services verlassen. Die Einschränkung von Aktionen auf persönliche Profile ist jedoch nicht immer sinnvoll.

Administratoren von mobilen Geräten sollten nicht genehmigten externen Speicher, die Datenübertragung über USB und das Mounten von USB-Geräten deaktivieren, um sicherzustellen, dass Benutzer keine Unternehmensdaten vom Gerät auf ein externes Medium übertragen können. Diese Konfiguration ist besonders wichtig für vollständig verwaltete Geräte, da die Bereitstellung von Arbeitsprofilen bereits Maßnahmen enthält, um eine Datenentnahme standardmäßig zu verhindern.

Authentifizierung stärken

Das Einrichten eines Passworts ist völlig in Ordnung, es gilt allerdings mehr für die Sicherheit von Android Enterprise zu beachten als Passwörter allein. Die IT-Abteilung sollte einige Vorschriften erlassen, um sicherzustellen, dass die Benutzer sichere Passwörter wählen:

  • Deaktivieren von Smart Lock
  • Verbot von Unified Passcode
  • Entsperren des Geräts via Gesichts- oder Iris-Erkennung verhindern
  • Gerätesperre nach kurzer Übergangsfrist oder möglichst kurzem Abschalten der Bildschirmanzeige

Da Passwörter beim Bereitstellen mobiler Geräte in Unternehmen den primären Schutz vor unbefugtem Zugriff darstellen, sollte die IT-Abteilung alles verhindern, was den unbefugten Zugriff erleichtern könnte.

Smart Lock ermöglicht es dem Benutzer, vertrauenswürdige Geräte über NFC, Bluetooth und vertrauenswürdige Orte oder Stimme einzurichten. Diese vertrauenswürdigen Elemente können die Passwortrichtlinien des Geräts außer Kraft setzen und dazu führen, dass das Gerät entsperrt bleibt. Auf dieser Basis sollte die IT-Abteilung Smart Lock grundsätzlich vollständig deaktivieren, sie kann die Funktion aber auch granular verwalten.

Unified Passcode ist eine Funktion für Arbeitsprofile auf COPE- und BYOD-Geräten mit Android OS 9.0 oder höher. Damit können das übergeordnete Profil und das Arbeitsprofil die gleiche Methode zum Entsperren des Geräts verwenden. Sobald das Smartphone oder Tablet mit einem einheitlichen Passwort entsperrt wurde, wird auch das Arbeitsprofil entsperrt. In den meisten Fällen sollte die IT-Abteilung diese Funktion nach Möglichkeit deaktivieren, damit sich das Passwort des Arbeitsprofils vom Passwort des Geräts selbst unterscheidet. Das erhöht die Sicherheit.

Auch die Authentifizierung mit Gesichts- und Iriserkennung ist nicht sehr sicher. Es gibt unzählige Beispiele dafür, dass Hacker Gesichter auf Android-Geräten gefälscht haben. Zwar leisten einige Gerätehersteller mit fortschrittlichen Kamerasystemen gute Arbeit, aber leider nicht alle.

Längere Phasen vor dem Abschalten des Bildschirms oder vor der Sperre des Geräts stellen ebenfalls ein Sicherheitsrisiko für den Anwender dar. In den meisten Fällen sollte die IT-Abteilung kürzere Timeouts anstreben – idealerweise sollte das Gerät etwa nach einer Minute automatisch gesperrt werden. Wenn Benutzer ihr Gerät für längere Zeit unbeaufsichtigt lassen, ist es eher gefährdet, wenn die Sperre erst spät erfolgt.

Wenn IT-Teams für Nutzer von Arbeitsprofilen nachsichtiger sein wollen, können sie längere Timeout-Perioden im übergeordneten Profil konfigurieren und diese im Arbeitsprofil verkürzen, um die Sicherheit der Unternehmensdaten zu gewährleisten. Ähnlich kann die IT-Abteilung unter Android Enterprise auch bei Authentifizierungsmethoden wie Gesichts- und Iris-Erkennung sowie Smart Lock verfahren. Die meisten Geräte unterstützen zudem das schnelle und einfache Entsperren via Fingerabdruck.

Hier im zweiten Teil dieser Serie geht es darum, wie Unternehmen Android Enterprise mit EMM-Tools verknüpfen können.

Nächste Schritte

Android-Geräte-Management von Google im Überblick

Überblick: Biometrische und Multifaktor-Authentifizierung

Gratis-eBook: Kaufberatung Enterprise Mobility Management

Erfahren Sie mehr über Identity and Access Management (IAM)