Foto: Serpstat, pexels.com

MDM – Mobile Device Management

Nachdem mit Homeoffice und mobilen Dienstleistungen immer mehr mobile Geräte (Laptop, Smartphone, Tablet) zum Einsatz kommen, wachsen auch die Anforderungen an deren Verwaltung und Anbindung. Was passiert, wenn ein Gerät verloren geht oder gestohlen wird? Können Daten "unterwegs" abgegriffen werden? Wie sind Geräte zu konfigurieren, wenn der Mitarbeiter nicht vor Ort sein kann? Dürfen Mitarbeiter private Geräte nutzen?

Ein Szenario aus der Praxis: Sie haben Geschäftsbeziehungen mit bekannten Persönlichkeiten und deren streng geheimen Kontaktdaten im Adressbuch gespeichert. Nun installiert ein Mitarbeiter auf dem iPhone der Firma "WhatsApp" bzw. "Facebook Messenger" o.ä.! Schon wandern alle Mobilnummern inkl. Wohnort Ihrer Promis zu Facebook. Was nun?!? Das Gerät wird gestohlen und gehackt! Ihr Ende? (Wir vermitteln leider keine Anwälte.)

Nun zählt es nicht gerade zu den Dingen, die man bereits in der Grundschule gelernt hat. Daher wollen wir hier eine kurze Checkliste zur Verfügung stellen, was für MDM wichtig ist. Wie so vieles in der modernen Technik gibt es natürlich auch hier Wow-Momente und weniger beliebte Antworten.

Was wird benötigt?

  • MDM-Server: Lokal im eignen Netz oder gehostet bei einem Anbieter "online". Kosten meist pro Gerät pro Monat.
  • Endgeräte im Firmenbesitz (COD): Geräte müssen auf Werkseinstellungen zurückgesetzt und gelöscht werden, um korrekt eingebunden zu werden. (Schutz gegen Diebstahl und Missbrauch!)
  • Endgeräte aus Privatbesitz (BYOD): Mitarbeiter dürfen in Ausnahmefällen private Geräte nutzen. Diese müssen nicht zurückgesetzt werden. Es kann jedoch nicht verhindert werden, dass Dienst- und Privatdaten "vermischt" werden.
  • Apple Business Manager: Ein kostenloses Online-Portal für Apple-Unternehmenskunden. Hier werden die Geräte nach Seriennummern dem MDM-Server zugewiesen. Bei der Erstanmeldung muss eine DUNS-Nummer (eine kostenlose internationale Unternehmens-ID) beantragt werden.

Was geht mit COD = Company Owned Devices?

  • Erstkonfiguration: Geräte können so vorkonfiguriert werden, dass sie bereits mit dem ersten Auspacken ("out of the box") nahezu voll einsatzbereit sind.
  • Zugriff: Geräte können Zugänge erhalten, wie z.B. Mail-Konten, VPN-Zugänge, Zugänge zu Datei-Servern etc. Diese Zugriffe können auch jederzeit aus der Ferne wieder entzogen werden. Der Benutzer muss keine Passworte kennen.
  • Schutz: Geräte können gesperrt, komplett gelöscht und deaktiviert werden, bei Verlust und Diebstahl.
  • Auffinden: Geräte können geortet werden, sofern sie GPS und/oder Mobilfunk haben. Reine WLAN-Ortung ist sehr ungenau.
  • Datentrennung: Geräte können angewiesen werden, private und dienstliche Daten strickt zu trennen. (Einige Funktionen der Apps werden dadurch natürlich stark eingeschränkt.)
  • Einschränkungen: Die meisten Funktionen der Geräte können beschränkt oder deaktiviert werden, z.B. App-Installation, iCloud, Teilen und Empfangen von Daten, Netzwerkverbindungen u.v.m. Es können Apps ausgeblendet werden.
  • Anwendungen: Es können automatisch Anwendungen installiert werden. (Unter macOS derzeit noch sehr beschränkt.)
  • Privatnutzung: Durchaus möglich. Der Frust wird jedoch groß sein, wenn "private Anwendungen" aufgrund strikter Datentrennung kaum mehr benutzbar werden. Wir raten davon ab.

Was geht mit BYOD = Bring Your Own Devices?

  • Zugriff: Wie bei CODs – Geräte können Zugänge erhalten, wie z.B. Mail-Konten, VPN-Zugänge, Zugänge zu Datei-Servern etc. Diese Zugriffe können auch jederzeit aus der Ferne wieder entzogen werden. Der Benutzer muss keine Passworte kennen.
  • Anwendungen: Der Benutzer kann eingeladen/aufgefordert werden, eine Anwendung zu installieren. Es kann ihm für die Zeit der Benutzung eine Lizenz zugewiesen werden. (Unter macOS derzeit noch sehr beschränkt.)

Was geht nicht?

  • Diskretion: Es kann nicht eingesehen werden, was das Endgerät im Einzelnen "so macht". Es ist also nicht möglich, den Benutzer zu überwachen oder dessen Tätigkeiten zu beobachten.
  • Anwendungen von Drittherstellern: Ermöglichen nur in wenigen Fällen eine Fernkonfiguration der Einstellungen. Sinnvolle Szenarien beschränken sich derzeit leider noch auf ziemlich wenige Kandidaten.
  • Wunder: Die Geräte können nicht bügeln, kochen, putzen oder mit dem Hund Gassi gehen. Aber man darf hoffen…

Fazit

Es macht erst ab ca. 5 Mitarbeitern Sinn, ein MDM einzurichten. Der administrative Aufwand mag davor gleich dem manuellen Einrichten sein. Wir raten ausserdem zu einem MDM nur dann, wenn im Unternehmen ein Geräte- und Datenschutz in einem Maße erforderlich ist, dass die sog. "Benutzererfahrung" eingeschränkt werden darf. Oder wenn bestimmte Geräte nicht oder zu selten vor Ort konfiguriert werden können. Leider ist vernünftiges MDM für Macs immer noch eine Domäne von jamf und dort relativ teuer. Die Konkurrenten haben sich meist auf iOS und iPadOS konzentriert und behandeln macOS oft nur rudimentär.