Mobile Geräteverwaltung: Tipps für Unternehmen

Für die mobile Geräteverwaltung sind unterschiedlichste Anforderungen zu berücksichtigen. IT-Infrastrukturen in Unternehmen haben sich stark verändert. Vor Jahren dominierten dort statische Netzwerke, bestehend aus Client-PCs und Servern. In vielen Fällen reichte eine Kontrolle über Windows-Richtlinien bereits aus. Der Trend zu Mobilgeräten hat inzwischen jedoch auch Unternehmen erreicht. Spätestens seit der Etablierung des Homeoffice besteht Bedarf an verschiedenen Mobilgeräten. Dazu zählen Laptops, Tablets und Smartphones. Datenbestände müssen synchronisiert werden.

Der Zugriff auf das Firmennetzwerk wird oft per Virtual Private Network (VPN) umgesetzt. In der Praxis ist unterschiedlichste Hardware erforderlich. Anwender nutzen ihre Endgeräte zudem oft dauerhaft abseits vom Firmenstandort.

Dadurch gestaltet sich die Softwareverwaltung schwierig. Versionsstände müssen erhoben und überwacht werden. Administratoren sollten Sicherheitsupdates immer zeitnah einspielen. Im Zweifel ist durch ungepatchte Geräte nämlich das gesamte Firmennetzwerk in Gefahr. Software-Hersteller haben auf die neue Herausforderung reagiert. Mobile Geräteadministration lässt sich durch MDM-Lösungen erheblich vereinfachen. Zum Teil ist sogar eine Automatisierung möglich. Dabei verfolgen die Softwareentwickler durchaus unterschiedliche Strategien.

Sicherheit ist eines der zentralen Themen für die mobile Geräteverwaltung. Hierfür gibt es zwei wesentliche Gründe:

1. Die Bedrohungslage im Bereich von Cyber-Angriffen nimmt für Unternehmen zu. Das berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI). Es veröffentlicht jedes Jahr ein Lagebild. In der Ausgabe für 2023 nennen die Autoren die Lage „angespannt bis kritisch“. Im Schnitt erscheinen demnach über 300 neue Schadprogramme pro Tag.

Firmen werden regelmäßig mit Schadsoftware angegriffen und in der Folge erpresst. Hieraus hat sich ein kriminelles „Geschäftsmodell“ gebildet. Daten werden entweder gestohlen oder verschlüsselt. Kriminelle fordern für die Herausgabe hohe Geldsummen. Wenn keine Vorkehrungen getroffen wurden, bleibt Betroffenen oft nur zu zahlen.

2. Datenschutz wird immer herausfordernder. Auf Mobilgeräten sind wichtige Firmendaten gespeichert. Zudem können Zugangskennungen für Firmenressourcen hinterlegt sein. Aus diesem Grund sind sichere Passwörter essenziell. Deren Verwendung lässt sich durch Gruppenrichtlinien erzwingen. In Kombination mit Verschlüsselung verspricht dies eine relative Sicherheit. Zusätzlich hilft die Möglichkeit der Fernlöschung und der Sperrung von Geräten nach Verlust.

Nur eine zentrale Administration der Mobilgeräte kann die erforderlichen Mindeststandards umsetzen. Grund genug, sich mit MDM-Lösungen und effizienter Geräteverwaltung zu beschäftigen.

• Hardwareverwaltung: Die ausgegebene Hardware wird im Detail erfasst. Es werden notwendige Informationen gespeichert. Von besonderer Relevanz sind dabei Standorte und Zuordnungen zu Nutzern. Im Idealfall ist es möglich, dynamische Eigenschaften einfach anzupassen.
• Softwareverwaltung: Das Betriebssystem und die installierte Software sollten hinterlegt werden. Hier kommt es auf Aktualität an. Daher ist es wichtig, dass Versionsstände tagesaktuell festgestellt werden können. Das zentrale Einspielen von Updates gehört entsprechend zu den Kernfunktionen.
• Berechtigungsverwaltung: Eine Nutzer- und Berechtigungsverwaltung sollte im professionellen Umfeld nicht fehlen. Anwender dürfen in vielen Fällen nicht eigene Software installieren. Zudem ergibt es oft Sinn, den Zugriff auf die Systemverwaltung einzuschränken. Bestimmte Einstellungen sollten nur von IT-Administratoren getroffen werden.
• Sicherheitsüberwachung: Regelmäßige Scans mit aktuellen Virensignaturen sorgen für Sicherheit. Oft sind noch weitere Restriktionen erforderlich. So ist es beispielsweise möglich, die Nutzung von USB-Schnittstellen einzuschränken. Das Feststellen der Standorte von abhandengekommen Geräten ist ebenfalls wichtig. Zudem sollten gestohlene Geräte gelöscht und gesperrt werden können.
• Fernzugriff: In manchen Fällen kann ein Fernzugriff erforderlich sein. So ist es üblich, dass Mitarbeiter vom IT-Support sich remote auf Endgerät schalten. Das spart Zeit und hilft, Probleme effektiv lösen zu können.

In vielen Arbeitsbereichen haben sich einheitliche Apple-Infrastrukturen durchgesetzt. Vom MacBook bis zum iPhone finden sich darunter auch Mobilgeräte. Die Hardware gilt als solide. Anwender empfinden die Handhabung der Software als intuitiv. Apple gleicht seine Betriebssysteme immer mehr an das erfolgreiche iOS an. Allen gemeinsam ist das Framework für MDM. Damit können Geräte vom Laptop bis zur Smartwatch zentral verwaltet werden. Dafür wird ein Zertifikat auf das Endgerät aufgespielt.

Über einheitliche Konfigurationsprofile lassen sich die Geräte einfach einrichten. Für die Erstellung der Vorlagen steht der Apple Configurator zur Verfügung. Die Verwaltung kann beispielsweise mit dem Apple Business Manager erfolgen. Darüber lassen sich Apps sowie digitale Inhalte zentral beschaffen und zuweisen. Auch die Administration der Apple-IDs ist damit möglich.

Zudem stehen Funktionen wie der Clouddienst, Face Time und iWork zur Verfügung. Der Apple School Manager und Schoolwork legen einen speziellen Fokus auf Bildungseinrichtungen. Alle angebotenen Anwendungen sind nach ISO 27001/27018 zertifiziert. Dies umfasst etwa die Beachtung von Richtlinien zur Verarbeitung personenbezogener Daten.

Das freie Betriebssystem Android ist ebenfalls vermehrt im professionellen Umfeld zu finden. Zahlreiche Hersteller von Hardware haben es für sich angepasst. Entsprechend groß ist die Vielfalt an MDM-Lösungen. Google bietet als Entwickler Android Enterprise für Unternehmen an. Zum Funktionsumfang gehört auch hier die Registrierung und Konfiguration von Mobilgeräten. Mit „Zero Touch“ ist etwa ein Programm enthalten, das neue Mobilgeräte einrichtet. Im Angebot sind zudem feste Anwenderprofile. Auch die Trennung von beruflichen und privaten Inhalten lässt sich umsetzen. Die Kontrolle über die installierten Apps behalten IT-Administratoren über Google Play.

Große Hersteller wie Samsung bieten mit „Knox Manage“ eigene Lösungen. Diese ermöglichen beispielsweise die Festlegung von Richtlinien und die Überwachung. Eine weitere Möglichkeit ist beispielsweise die Einrichtung einer Kiosk-Funktion. Damit kann die Nutzung auf einzelne Apps beschränkt werden. Darüber hinaus sind etliche eigenständige MDM-Anwendungen von Drittanbietern erhältlich.

Auch Microsoft geht den Trend zu Mobilgeräten und Cloudlösungen mit. Ein Beispiel dafür ist die Cloudlösung Microsoft Azure. Für das MDM gibt es Microsoft Intune. Die Software verspricht, sowohl PCs als auch Mobilgeräte und IoT-Devices zu integrieren. Dabei besteht die Möglichkeit, unterschiedliche Betriebssysteme einzusetzen. So werden beispielsweise iOS und Android unterstützt.

Ebenso ist es vorgesehen, mit der Softwarelösung Mobilgeräte einzurichten. Die Softwareverwaltung sowie die Erstellung von Richtlinien sind ebenfalls enthalten. Natürlich fehlen wichtige Sicherheits-Features nicht. So können Standorte festgestellt und in Verlust geratene Geräte gesperrt werden. Interessant für Unternehmen dürfte insbesondere die Universalität von Intune sein. Schließlich lassen sich damit verschiedenste Gerätetypen und Betriebssysteme verwalten.

In der Praxis umfasst mobile Geräteverwaltung allerdings mehr als eine MDM-Lösung. Diese ist vorrangig fokussiert auf Software. Zu einem mobilen Arbeitsplatz gehören allerdings inzwischen viele weitere Komponenten. Neben der im Gerät verbauten Hardware sind dies etwa Zubehör und Netzwerkbedarf. Einerseits ist die Bereitstellung von Hardware wichtig für funktionierende Arbeitsabläufe. Zudem ist sie ein Kostenfaktor. Die persönliche Erfassung und Zuteilung helfen, den sorgsamen Umgang zu fördern. Ein Ansatz, um die IT-Infrastruktur ganzheitlich zu erfassen, ist die Nutzung von Inventarsoftware.

Einer der Marktführer in diesem Bereich ist Timly. Das cloudbasierte IT-Asset-Management ermöglicht es, Hardware und installierte Software einheitlich aufzunehmen. Durch flexible Asset-Kategorien finden benötigte technische Informationen ihren Platz. Ergänzt wird die Funktionalität etwa durch Container-Objekte. Dies kann beispielsweise ein PC-Arbeitsplatz sein. Diesem werden dann sämtliche Komponenten zugeordnet. Auch das Betriebssystem und installierte Programme werden nahtlos integriert.

Die Handhabung ist auf den mobilen Gebrauch ausgelegt. Erfasste Assets werden mit QR-Codes gekennzeichnet. Aufgerufen wird die Geräteverwaltung durch das Einscannen der Barcodes in der Timly-App. Auf diese Weise stehen benötigte Informationen an jedem Arbeitsplatz zur Verfügung. Zuordnungen und aktuelle Änderungen können direkt vorgenommen werden. Der integrierte Kalender zeigt etwa Laufzeiten von Lizenzen und Garantieleistungen an. Auch Benachrichtigungen über Fristen sind möglich. Über das interne Ticketsystem erfolgt die Kommunikation mit dem Support der IT-Abteilung.

Das IT-Asset-Management wird so in die Inventarverwaltung des Unternehmens eingebettet. Zu MDM-Lösungen lassen sich Verknüpfungen über die integrierte REST-API programmieren. Doppelerfassungen sind dann nicht nötig.

Netzwerke in Unternehmen sind oftmals „gewachsen“. Das bedeutet, es wurden über Jahre immer wieder Komponenten ergänzt. Neue technische Entwicklungen erschweren es, ein einheitliches Konzept über Jahre zu verfolgen. Die Nacherfassung gestaltet sich umso schwieriger. Abhilfe schaffen Anwendungen wie Lansweeper. Ein Server des Programmes wird im internen Netzwerk installiert. Dieser scannt über Netzwerkprotokolle nach aktiven Geräten. Alle erkannten Komponenten werden in das IT-Asset-Management übernommen. Auf Endgeräten kann auch ein administrativer Nutzer für Lansweeper eingerichtet werden. Auf den so verwalteten Endgeräten wird die gesamte Software überwacht.

Zusätzlich gleicht Lansweeper Anwendungen mit der aktuellen Datenbank für Softwareschwachstellen ab. Die Common Vulnerabilities and Exposures (CVE) umfassen bekanntgewordene Sicherheitslücken. Diese betreffen oft nur bestimmte Softwareversionen. Entdeckt Lansweeper eine verwundbare Anwendung, erfolgt eine Meldung. Zudem lassen sich vordefinierte Gegenmaßnahmen hinterlegen. Das IT-Asset-Management kann auch in die mobile Geräteverwaltung integriert werden. So besteht beispielsweise eine Schnittstelle zwischen Timly und Lansweeper.

Die Arbeitswelt ist dynamisch und digital. Mitarbeiter müssen stets erreichbar sein und benötigen laufend aktuelle Informationen. Dafür sind sie auf mobile Endgeräte angewiesen. Diese müssen funktionell und gleichzeitig sicher sein. Mobile Geräteverwaltung hat beides im Blick. Der rein logistische Aspekt wird durch die Verwaltung der Hard- und Software abgedeckt. Standorte und Verantwortlichkeiten lassen sich etwa durch Inventarsoftware lückenlos tracken.

Ergänzt wird dies durch die Versionsverwaltung für Software, wie sie MDM-Lösungen bieten. Diese ermöglichen zudem, wichtige Sicherheitseinstellungen obligatorisch zu machen. Besondere Lösungen, etwa die Integration von IT-Asset-Management-Software, runden das Angebot ab.