Fabian Haesselbarth Bevor um die Begrifflichkeiten gestritten wird – so viel vorweg: In den letzten Jahren oder fast schon Jahrzehnten hat das Thema „Verwaltung von mobilen Endgeräten“ stetig ein Rebranding erhalten. Angefangen mit Mobile Device Management (MDM) über Enterprise Mobility Management (EMM) mit seinen Unterkategorien Mobile Application Management (MAM) und Mobile Content Management (MCM) bis hin zu Unified Endpoint Management (UEM). Mittlerweile erlebt das Akronym MDM eine Renaissance: Heute steht es für MODERN DEVICE MANAGEMENT.
Die frühe Entwicklung des Endgerätemanagements
Die Gründe für das vermeintliche Rebranding liegen jedoch etwas tiefer als nur im Re-Design der Marketingfolien und dem Erschaffen neuer Buzzwords. Die Wahrheit ist, dass sich die Betrachtungsweise auf das Thema noch immer stetig erweitert und weitere Disziplinen hinzugefügt werden.
Während man sich anfangs nur nach einer automatisierten Inventarisierungslösung für Apple- und Android-Smartphones sehnte, folgte wenig später die Erkenntnis darüber, dass diese Geräte auch Zugriff auf interne Unternehmensressourcen wie E-Mail, Dateien und Ordner, Applikationen und Datenbanken erhalten könnten. Es galt also, besondere Schutzmechanismen einzuführen, um sicherzustellen, dass diese ggf. sensiblen Ressourcen das Unternehmen nicht verlassen konnten. Diese Herausforderung wurde umso größer, je breiter die Palette an möglichen mobilen Endgeräten wurde. Denn auch Tablets und sogenannte Rugged Devices wie Handscanner und Messinstrumente gesellten sich mit der Zeit hinzu, mit denen Daten möglichst schnell, einfach und sicher an das entfernte Backend-System zur Weiterverarbeitung gesendet werden konnten.
Schließlich führte die Einführung von Microsoft Windows 10, dem im Betriebssystem integrierten OMA-DM (Open Mobile Alliance – Device Management) Protokoll und die damit verbundene Flexibilität der Betriebssystem-Installation erneut dazu, dass die Betrachtungsweise des gesamten Themas angepasst werden musste. Die Verbreitung und Nutzung von Windows 10 erhielt zudem enormen Auftrieb durch die Covid-19-Pandemie, die viele Unternehmen zwang, auf den mobilen Arbeitsplatz auszuweichen.
Neue Einflüsse durch die Cloud-Bewegung der Hersteller
Und worauf liegt der Fokus beim Modern Device Management? Um diese Frage zu beantworten, muss der Blick zunächst auf die Veränderungen gerichtet werden, welche sich in den vergangenen Jahren in der gesamten IT vollzogen haben. Explizit geht es dabei um die Lösungen, die nicht mehr im eigenen Rechenzentrum bereitgestellt und verwaltet werden können, weshalb das Hosting an den Hersteller oder Service Provider abgetreten wurde. Prominentestes Beispiel hierfür sind vermutlich Exchange Online, Microsoft Teams oder ganz allgemein Microsoft 365 inkl. OneDrive for Business. Aber nicht weniger prominent sind ebenfalls die Lösungen von z.B. Atlassian (Jira und Confluence), Adobe, Cisco WebEx Suite, ERP-Systeme von Oracle, SAP, Salesforce und Workday sowie alle KI-gestützten Lösungen, die sich entweder um Prozessmanagement, Überwachung und Abwehr oder die reine Optimierung kümmern. Ganz egal, wie man sich zum jetzigen Zeitpunkt dazu positioniert, die großen Hersteller haben schon alle Weichen gestellt und die Richtung vorgegeben. Aus heutiger Sicht ist es nur noch eine Frage der Zeit, bis man sich dazu entscheidet, in den Zug einzusteigen und die Reise anzutreten.
IT-Security-Themen halten Einzug
In den letzten Dekaden wurde zu Recht alles dafür getan, die eigenen Rechenzentren wie ein Hochsicherheitsgefängnis zu behandeln: Ein „Rein oder Raus“ ist zumeist komplett unterbunden oder zumindest auf ein Minimum reduziert; zudem besteht vielfach eine demilitarisierte Zone (DMZ) als Puffer zum lokalen Intranet, um die Sicherheit der darin befindlichen kritischen Daten zu gewährleisten.
Was nun allerdings berücksichtigt werden muss, ist, dass stetig mehr Ressourcen den über viele Jahre gehegten und gepflegten Bereich des eigenen Rechenzentrums und Lokal Area Networks verlassen. Auch dürfen die andauernd steigenden Ransomware-Attacken nicht außer Acht gelassen werden. Das von Sophos im April 2022 veröffentlichte „The State of Ransomware 2022“ zeigt ganz deutlich, dass sowohl Angriffe als auch Lösegeldzahlungen in Deutschland ansteigen. Von den 400 befragten Unternehmen in Deutschland gaben 67% an, dass sie im vergangenen Jahr von Ransomware betroffen waren. Die durchschnittlichen Kosten, um die Auswirkungen der Ransomware-Attacken zu beheben, stiegen ebenfalls an – in Deutschland von $1.17 Millionen auf $1.73 Millionen.
(Quellen: https://www.sophos.com/en-us/content/state-of-ransomware, https://assets.sophos.com/X24WTUEQ/at/4zpw59pnkpxxnhfhgj9bxgj9/sophos-state-of-ransomware-2022-wp.pdf)
Das allein ist Grund genug, sich an dieser Stelle dem Zero-Trust-Modell zu widmen. Dieser Sicherheitsansatz meint nichts anderes als: Vertraue niemandem! Keinem Dienst, keinem Nutzenden und keinem Gerät – egal ob intern oder extern. Demzufolge wird jeder Zugriff auf den Prüfstand gestellt, anhand unterschiedlicher Faktoren kontinuierlich bewertet und schließlich entsprechend gewährt, beschränkt oder sogar verweigert. Anstatt Sicherheit nur auf dem Netzwerkperimeter anzuwenden, hebt das Zero-Trust-Modell das Konzept des Perimeters auf und verlagert die Authentifizierung von der Perimeter- auf die Ressourcenebene. Das Modell sieht vor, dass jede Ressource, also Dienste, Geräte oder Nutzende, ordnungsgemäß authentifiziert werden müssen, bevor der Zugriff auf Unternehmensdaten gewährt wird. Der (Lösungs-)Ansatz dahinter heißt Zero Trust Network Access (ZTNA).
Modern Device Management als Teil von Zero Trust
Kommen wir nun zurück auf die eigentliche Frage: „Worauf liegt der Fokus bei Modern Device Management?“ Betrachtet man die obigen Ausführungen, ist die Antwort darauf nun ganz einfach: Sicherheit! Modern Device Management (MDM) ist ein fester Bestandteil des Zero-Trust-Modells, denn durch die Nutzung aktueller MDM-Lösungen kann sichergestellt werden, dass ausschließlich berechtigte Geräte, Anwender:innen und Applikationen auf schützenswerte Daten zugreifen können.
Zur Gewährleistung des geschützten Zugriffs stehen im Rahmen einer Zero-Trust-Strategie u.a. folgende Werkzeuge zur Verfügung, die in einer guten und modernen MDM-Lösung enthalten sind oder sich in diese integrieren lassen: Conditional Access (bedingter Zugriff) und Identity and Access Management (IAM). Beide Werkzeuge verarbeiten Signale, treffen daraufhin Entscheidungen und erzwingen im weitesten Sinne Richtlinien, die Nutzenden entweder den Zugriff auf Daten gewähren oder blockieren. Die Signale, die dabei verarbeitet werden, sind unter anderem Gruppenmitgliedschaften, IP-Adressen, Anwendungen, Betriebssystem, Patch-Level, echtzeitbasierte Risikoanalyse und vieles mehr.
Fazit
Wenn also in Zukunft Mitarbeiter:innen größtmögliche Flexibilität bei der Wahl des Arbeitsortes, des Arbeitsgeräts und der Arbeitszeit geboten werden sollen, dabei die Benutzerfreundlichkeit als auch die Sicherheit nicht zu kurz kommen darf und ein zukunftssicherer und moderner digitaler Arbeitsplatz geschaffen werden soll, muss man sich mehr als je zuvor mit dem Thema Modern Device Management auseinandersetzen. Denn nur so lässt sich sicherstellen, dass Anwendungen, Daten und Ressourcen, ganz egal ob diese im eigenen Rechenzentrum oder als Software-as-a-Service (SaaS) in der Cloud liegen, nur von denjenigen konsumiert werden, die dazu berechtigt wurden.
