“Sicherheit” mit Microsoft ActiveSync und der Zugewinn durch BES12

Jay Barbour hat im BlackBerry BizBlog einen interessanten Beitrag zum Thema Sicherheit im Zusammenhang mit der Verwendung von Microsoft ActiveSync veröffentlicht, den ich gerne aufgreife. Was kann ActiveSync? Was sind die Unterschiede zu einem MDM wie BES12? Sicherheit?

Einige Firmen, darunter erstaunlicherweise auch US-Strafverfolgungsbehörden, verwalten Großteile ihrer Flotte von mobilen Kommunikationsgeräten über Microsoft ActiveSync. Die Plattform ist “kostenlos”, spart Geld und ist eh vorhanden, da sie zur E-Mail-Kommunikation verwendet wird. Nur wie sieht es in regulierten Organisationen oder Regierungsorganen aus? Denn in diesen Kreisen sind sensible Daten besonders schützenswert.

Es ist verlockend, wenn Microsoft Exchange eingesetzt wird und man einen Anflug von MDM Funktionen in den Einstellungen sieht:

Schließlich kann man ja auch eine Quarantäne für neue Verbindungen einrichten:

Patrick Marshall, GCN:

Exchange ActiveSync wurde eigentlich zur Datensynchronisation auf mobilen Geräten entwickelt. In den letzten Jahren wurden einige MDM Funktionen hinzugefügt wie zum Beispiel das Setzen von Nutzerrichtlinien für Geräte und Anwendungen. Dieser Lösung fehlt es jedoch an komplexeren Funktionen wie Anwendungs-Container und -Wrapping zum Schutz und zur Isolation von Anwendungen auf den Geräten. Dies ist besonders wichtig, wenn Mitarbeiter ihre eigenen Geräte einsetzen.

ActiveSync fehlen aber Grundvoraussetzungen in Sachen Sicherheit. Es gibt keine effektive Möglichkeit Aktualisierungen des Betriebssystems oder der Anwendungen durchzusetzen. Diese Limitierung birgt hunderte von potentiellen Sicherheitslücken und setzt die Daten einem unnötigen Risiko aus.

Die IT-Abteilung kann zwar eine Datenverschlüsselung auf den Geräten einstellen, aber ohne Aktualisierungen können diese trotzdem nicht sicher sein. Desweiteren können die ActiveSync Richtlinien umgangen werden.

CWSI:

Das Risiko: Der ActiveSync Client auf den mobilen Geräten ist mit der Durchsetzung der IT-Richtlinien des ActiveSync Servers und mit der Informationsweitergabe über den Compliant Status beauftragt. Der Server hat keinen Mechanismus zur Überprüfung des Gerätes an sich und kann daher auch die Einstellungen nicht bestätigen. Das ist ein ganz normales Verhalten für solch ein Protokoll, aber es basiert auf der Prämisse, dass der ActiveSync-Client vertrauenswürdig ist und genaue Informationen meldet. Und leider ist diese Prämisse falsch.

Kurz gesagt, gibt es kein effektives zentrales Mittel zur Durchsetzung von IT-Richtlinien auf ActiveSync, noch hat die Plattform keine Fähigkeit, kompromittierte Geräte zu erkennen oder einzuschränken.

 

Fazit

ActiveSync macht genau das was es soll, mehr aber auch nicht. Daher muss man zum Schutz der Daten und zum effektiven Verarbeiten dieser einen Schritt weitergehen: BlackBerry Enterprise Service 12 (BES12).

BES12 ist eine einheitliche Administrationsmöglichkeit für BlackBerry, Android, Android for Work, Samsung KNOX Workspace, iOS und WindowsPhone Geräte. Dabei werden 675 Mobilfunkanbieter unterstützt.

Es wird unter anderem volle End-zu-End-Verschlüsselung, Containisierung und App Wrapping angeboten.

BES12 lässt sich on-premise oder als Cloud-Lösung implemtieren und hat im Kostenvergleich mit anderen MDM Anbietern die niedrigsten Gesamtkosten über einen Zeitraum von 5 Jahren.

Im Verbund bietet diese Lösung:

  • Container für geschäftliche Daten und Anwendungen
  • Anwendungspatching
  • Sichere Verschlüsselung des Speicherortes auf dem Gerät und während des Transports
  • Sicheres und konsequentes Umsetzen von IT-Richtlinien
  • Sichere und effektive Erkennung kompromittierter Geräte

Weitere Informationen im BES12 Kompendium.

Forumsdiskussion

Dieser Beitrag hat 2 Kommentare

Schreibe einen Kommentar