Sichere Bereitstellung von Unternehmens-informationen auf Android-, Apple iOS- und Microsoft Windows-Tablets und -Smartphones
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
BYOD und Informationssicherheit Whitepaper Sichere Bereitstellung von Unternehmens- informationen auf Android-, Apple iOS- und Microsoft Windows-Tablets und -Smartphones Ein technischer Leitfaden – aktualisiert für Android 4.4, iOS 7.1 und Windows Phone und Surface 8.1. citrix.de/byod @CitrixBYOD citrix.de/secure @CitrixSecurity
BYOD und Informationssicherheit Whitepaper 2 Android-, iOS- und Windows-basierte mobile Endgeräte – dazu gehören Smartphones, Tablets sowie alles dazwischen – haben einen Wandel der Unternehmens- IT ausgelöst, indem sie Anwendern und der IT eine nie dagewesene Mobility und Flexibilität ermöglichen. Gleichzeitig stellen sie die Unternehmen vor eine neue Herausforderung: den effektiven Schutz von Unternehmensinformationen. Enterprise Mobility erfordert einen neuen Ansatz in Fragen der Sicherheit. Moderne mobile Endgeräte, Bring-your-own-Device (BYOD), unternehmenseigene Geräte mit persönlichen Daten, Cloud-Anwendungen und öffentliche Netzwerke, die für die Speicherung von und den Zugriff auf Unternehmensdaten verwendet werden, haben den traditionellen Ansatz der Abschottung von Daten zunichte gemacht. Anstatt zu versuchen, alle Daten innerhalb des Unternehmens zu schützen – darunter nicht vertrauliche, öffentliche Daten – sollte die IT sich auf das Wesentliche konzentrieren: vertrauliche Unternehmensinformationen wie fachliches Know-how und Geschäftsgeheimnisse, gesetzlich geregelte personenbezogene Daten (PII), geschützte Gesundheitsdaten (PHI) sowie Daten der Bezahlkartenindustrie (PCI). Für diesen Ansatz müssen Sicherheitsmaßnahmen mit Anwenderrollen verknüpft und eine Reihe von Methoden angewendet werden, die den Datenzugriff sichern, die Nutzung kontrollieren, Datendiebstahl verhindern und das System vor unerlaubt modifizierten Endgeräten schützen. Gleichzeitig darf die Verfügbarkeit von Daten nicht beeinträchtigt werden. Das Enterprise Mobility Management ist ein zentraler Punkt dieser Strategie. Funktionen von Endgeräten, Betriebssysteme, Netzwerke, Anwendungen, Daten und Richtlinien spielen hierbei eine wichtige Rolle. Es ist jedoch genauso wichtig, die Rolle des mobilen Betriebssystems zu verstehen. Jede der drei großen mobilen Plattformen mit den Betriebssystemen iOS, Android und Windows verfügt über besondere Eigenschaften und stellt die IT vor spezielle Herausforderungen. Android bietet zwar Funktionen und Vorteile, die an Organisationen wie auch an Endbenutzer gerichtet sind, wirft aber das Sicherheitsproblem auf, dass viele unterschiedliche Versionen des Betriebssystems im Umlauf sind und an Mobilfunkanbieter gebundene Endgeräte oft nicht aktualisiert werden können. Apples proprietäres iOS- Betriebssystem erlaubt eine nahtlose Kontrolle – von der Hardware bis zu den Anwendungen – und stellt eine in sich geschlossene Plattform dar, die Sicherheitsrisiken minimiert. Dadurch sind jedoch traditionelle Ansätze der Unternehmenssicherheit nur eingeschränkt möglich. Microsoft Windows 8-basierte Endgeräte wie Windows Phone und Surface verfügen über fortschrittliche Sicherheitsfunktionen. Gleichzeitig profitiert die IT von ihrer Erfahrung mit älteren Windows-Sicherheitstechnologien. Es gibt jedoch beträchtliche Unterschiede zwischen den Sicherheitsfunktionen und Managementmöglichkeiten zwischen den Betriebssystemvarianten. Als Branchenführer für Lösungen für mobiles Arbeiten hat Citrix Technologien und Best Practices entwickelt, die es ermöglichen, das volle Potenzial der neusten mobilen Endgeräte auszuschöpfen – sowohl für den privaten als auch beruflichen Gebrauch. In diesem Whitepaper werden die größten mobilen Plattformen näher betrachtet und betriebssystemeigene Sicherheitsfunktionen und -merkmale im Detail beleuchtet. Zusätzlich werden Maßnahmen vorgestellt, die die IT einleiten muss, um die Kontrolle zu behalten und gleichzeitig Produktivität und Mobility zu fördern. Es werden auch die Sicherheitsfunktionen von Citrix Enterprise Mobility-Lösungen diskutiert, darunter Citrix XenMobile, Citrix ShareFile, Citrix XenDesktop, Citrix XenApp und Citrix NetScaler. Gemeinsam geben diese Lösungen dem Unternehmen die Kontrolle aller Daten in die Hand – im Rechenzentrum wie auf jedem Endgerät. Gleichzeitig wird auf Sicherheitsbedenken der IT eingegangen: Daten können je nach Unternehmensrichtlinien mobil auf dem Endgerät bereitgestellt werden oder nicht. citrix.de/byod citrix.de/secure
BYOD und Informationssicherheit Whitepaper 3
Unterschiede zwischen Sicherheitsfunktionen auf Mobilgeräten und
traditionellen PCs
Mobile Sicherheit besteht nicht lediglich darin, bekannte Sicherheitsmaßnahmen von PCs
auf mobile Plattformen zu übertragen. Beispielsweise sind Antivirus-Software, persönliche
Firewalls und eine vollständige Verschlüsselung der Festplatte auf Android sowie Windows
Phone und Surface möglich. iOS-Endgeräte hätten jedoch keinen Zugriff auf das Netzwerk, da
iOS derzeit nicht alle dieser traditionellen Kontrollfunktionen unterstützt. Aufgrund der strengen
App-Kontrolle durch Apple ist es jedoch zumindest heute nicht notwendig, zusätzliche
Sicherheitsapplikationen auf dem Endgerät zu installieren. Um iOS-Geräten den Zugriff auf das
Unternehmensnetzwerk zu gewähren, müssen sich Sicherheitsarchitekten stattdessen auf den
Datenschutz konzentrieren.
Die Android-Sicherheitsarchitektur besitzt starke Ähnlichkeiten mit der eines Linux-PCs.
Android basiert auf Linux und hat somit alle Vor- und einige Nachteile einer Linux-Distribution
(Distro) sowie die besonderen Sicherheitsmerkmale eines mobilen Betriebssystems.
iOS-Geräte unterscheiden sich jedoch deutlich von PCs, sowohl in ihrer Nutzung als
auch in sicherheitstechnischer Hinsicht. Die iOS-Architektur verfügt über eine Reihe an
Sicherheitsvorteilen, die einige der Sicherheitsmängel eines PCs kompensieren können.
Nachstehend finden Sie eine beispielhafte Gegenüberstellung, in der das
PC-Sicherheitsmodell sowie nötige Schutzfunktionen mit Android- und iOS-Modellen
verglichen werden. Sie werden sehen, dass einige der Kontrollfunktionen, die für PCs
erforderlich sind, für das iOS-Modell nicht benötigt werden. Zusätzlich bieten Windows
Phone und Surface vielerlei Vorteile gegenüber dem bekannten PC-Modell.
Vergleich der Sicherheitsmaßnahmen von traditionellen PCs, Android-, iOS- und
Windows-Tablets sowie -Smartphones
Sicherheitsmaßnahme PC Android iOS Windows
Gerätesteuerung Add-on Add-on Add-on Add-on
Lokale Anti-Malware-
Add-on Add-on Indirekt Nativ
Software
Datenverschlüsselung Add-on Konfiguration Nativ Konfiguration
Datenisolation/-trennung Add-on Nativ Nativ Nativ
Gemanagte
Nein Nein Ja Ja
Betriebsumgebung
Durch den Durch den
Anwendungspatches Nativ Nativ
Benutzer Benutzer
Verändern von Nur durch Erfordert Erfordert Nur durch
Systemdateien möglich Administrator Rooting Jailbreak Administrator
Die Android-Architektur kann für hohe Sicherheitsanforderungen konfiguriert werden. Dies
ist zum Beispiel der Fall bei einer Android-Version, die vom US-Verteidigungsministerium
verwendet wird. Außerdem hat die NSA ein Android-Modell mit verbesserter
Sicherheit (Security Enhanced, SE) veröffentlicht. Der Android-Kernel wird hierbei mit
Sicherheitsmerkmalen von SE Linux erweitert.
Überblick über die Sicherheitsarchitektur von Android
Die Android-Architektur stellt eine Plattform bereit, die eine einfache bis fortgeschrittene
Konfiguration der Sicherheit ermöglicht. Sicherheitsmaßnahmen müssen selbstständig
aktiviert und eingestellt werden. Die Android-Plattform bietet folgende Funktionen:
citrix.de/byod citrix.de/secureBYOD und Informationssicherheit Whitepaper 4 Nachfolgend einige der Sicherheitsfunktionen, die Entwickler beim Erstellen sicherer Applikationen unterstützen: • Die Android Application Sandbox isoliert bei jeder Anwendung Daten und Programmcode. Dies wird durch SELinux und Boot-Integrität erweitert. • Das Anwendungsframework von Android, das stabile Implementierungen geläufiger Sicherheitsfunktionen wie z. B. Verschlüsselung, Berechtigungen und sichere IPC (Interprozesskommunikation) ermöglicht • Verschlüsselung des Dateisystems, um Daten im Falle eines Verlusts oder Diebstahls des Endgeräts zu schützen Dennoch ist es für Entwickler wichtig, mit den Best Practices in puncto Sicherheit vertraut zu sein, um die Vorteile dieser Funktionen voll ausschöpfen zu können und das Risiko zu verringern, versehentlich Sicherheitsmängel einzubauen, die die Anwendung gefährden könnten. Wie können Android-Smartphones und -Tablets sicher verwendet werden? Die Android-Sicherheitsarchitektur wurde so entwickelt, dass Sie Ihr Smartphone oder Tablet sicher verwenden können, ohne größere Änderungen vornehmen oder spezielle Software installieren zu müssen. Android-Anwendungen werden in einer Application Sandbox ausgeführt, die einen Zugriff auf vertrauliche Informationen oder Daten nur mit Erlaubnis des Anwenders zulässt. Um vollständig von den Sicherheitsvorteilen von Android profitieren zu können, sollte nur Software von bekannten, vertrauenswürdigen Quellen heruntergeladen und installiert werden. Überdies sollten nur vertrauenswürdige Webseiten besucht und Endgeräte nicht in unbekannten Docking-Stationen geladen werden. Die Android-Architektur ist eine offene Plattform, die es Anwendern erlaubt, jede Webseite zu besuchen und Software jedes Entwicklers auf das Endgerät zu laden. Genau wie bei einem Computer zu Hause sollte der Anwender den Ursprung der Software, die er herunterlädt, kennen. Zudem muss er entscheiden, ob er der Anwendung die von ihr angeforderten Berechtigungen erteilt. Der Anwender muss hierbei die Vertrauenswürdigkeit des Entwicklers und der Quelle, von der er die Software herunterlädt, einschätzen und daraufhin seine Entscheidung treffen. Die Google Bouncer-Scanfunktion und Anwendungen von Drittherstellern spüren Malware, die in eine Applikation eingebettet ist, auf. Android – Sicherheitsfragen Die offene Android-Plattform ermöglicht Rooting und Unlocking. Rooting ist der Vorgang, der dem Anwender den Zugriff auf Root-Rechte erteilt. Er erhält hierdurch als Superuser alle Zugriffsrechte auf das Betriebssystem. Unlocking ermöglicht eine Modifizierung des Bootloaders. Dadurch können alternative Versionen des Betriebssystems und der Anwendungen installiert werden. Android basiert auch auf einem offeneren Berechtigungsmodell, bei dem jede Datei auf einem Android-Endgerät entweder nur von einer Applikation oder global gelesen werden kann. Wenn also eine Datei gemeinsam von mehreren Anwendungen genutzt werden muss, ist dies nur möglich, wenn ein globaler Lesezugriff für diese Datei erstellt wird. citrix.de/byod citrix.de/secure
BYOD und Informationssicherheit Whitepaper 5
Upgrades auf die neuste Android-Version sind nicht immer verfügbar und werden meistens
durch den Mobilfunkanbieter gesteuert. Aufgrund der mangelnden Upgrademöglichkeit
werden Sicherheitsmängel eventuell nicht behoben. Prüfen Sie unter Einstellungen > Mehr >
Info zu Gerät > Software-Update, ob Ihre Plattform aktualisiert werden kann.
Die Unterstützung von aktiven Inhalten wie Flash, Java, JavaScript und HTML5 ermöglicht
ein Eindringen von Malware und direkten Angriffen. Stellen Sie sicher, dass Ihre
Sicherheitslösungen Angriffe über aktive Inhalte erkennen und aufhalten können.
Das Android-Betriebssystem wird gerne als Ziel für mobile Malware gewählt. Dazu gehören
SMS-Trojaner, die Textnachrichten an Sonderrufnummern verschicken, oder schädliche
Apps, die Anwender ohne ihr Wissen für betrügerische Dienstleistungen anmelden,
persönliche Informationen weiterleiten oder gar einen unberechtigten Fernzugriff auf das
Endgerät zulassen. Dies trifft besonders auf Apps aus unabhängigen App-Stores zu, die
keinerlei Sicherheitskontrolle unterliegen. Während beim Android KitKat Release „dutzende
Sicherheitserweiterungen zum Schutz der Anwender“ eingeführt wurden, ist es weiterhin
ratsam, eine Anti-Malware-Lösung zu verwenden, um das Endgerät optimal zu schützen.
Die neuesten Android-Funktionen – und was sie für die IT bedeuten
In der folgenden Tabelle werden die Nutzervorteile und die Auswirkungen auf die IT der
neuesten Funktionen von Tablets und Smartphones mit Android 4.4 beschrieben.
Neue nennenswerte Merkmale von Android 4.4
Android 4.4 (KitKat) erweitert die Eigenschaften von SELinux und schützt das Android-
Betriebssystem, indem es automatisch im Enforcing-Modus gestartet wird und neue
Kontrollfunktionen hinzugefügt werden. Die Implementierung dieser Funktionen variiert
möglicherweise zwischen verschiedenen Herstellern und Modellen. In diesem Whitepaper
werden die folgenden nennenswerten Funktionen besprochen.
Android-Funktion Vorteile des Endgeräts Auswirkung auf die IT
für den Anwender
Umgang mit Zertifikaten Whitelisting und Certificate Das Verschlüsselungssubsystem
und KeyStore- Pinning stellen sicher, von Android wurde verbessert
Erweiterungen dass nur gültige Zertifikate und automatisiert. Durch die
verwendet werden. Einführung einer API für öffentliche
Elliptic-Curve-Algorithmen Schlüssel und anderen KeyStore-
sorgen für eine starke Management-Funktionen werden
Verschlüsselung und die Möglichkeiten für die IT
integrierte Warnungen vereinfacht und erweitert.
bei Zertifikaten, die von
einer Zertifizierungsstelle
(Certificate Authority,
CA) ausgestellt wurden,
verhindern Man-in-the-
Middle-Attacken.
citrix.de/byod citrix.de/secureBYOD und Informationssicherheit Whitepaper 6
Permanente Wenn Sie „OK Google“ Unter Umständen nehmen
Spracherkennung sagen, können Sie das Endgeräte unbeabsichtigt
Endgerät aktivieren, ohne Gespräche auf oder aktivieren
den Touchscreen zu bzw. deaktivieren auf dynamische
verwenden. Diese Funktion Weise Funktionen, je nachdem, was
gibt es derzeit nur auf gesagt wurde.
dem Nexus 5. Sie soll aber
auf weiteren Modellen
verfügbar werden.
Auto-Vervollständigung Es werden Menschen, die in gut
von fehlenden Inhalten automatisch fehlende gesicherten Einrichtungen
Kontaktinformationen, oder mit sicherheitsbewussten
verwandte Ressourcen, Kunden arbeiten, sollten keine
Karten und Daten weitergeben, die viele
Standortinformationen Umgebungsinformationen
eingefügt. enthalten, und müssen diese
Funktion deaktivieren.
Cloud-Integration Die Integration von lokalem Die Nutzung von Google Drive
und Cloud-Speicher und Dateifreigabe-Services von
kann dazu führen, dass Drittanbietern werden als native
Informationen automatisch Funktion in Apps integriert und über
zwischen dem Endgerät, APIs gesteuert. Die IT muss dafür
den Anwendungen und der sorgen, dass eine für Unternehmen
Cloud synchronisiert und geeignete Lösung vorhanden ist
gespeichert werden. und aktiviert wird.
SMS, Google Hangouts Anwender können SMS Während sich Google Hangouts
für SMS für ihre persönlichen gut für private Unterhaltungen
Anforderungen verwenden eignet, müssen geschäftliche
und konfigurieren. Textnachrichten für den
Unternehmensgebrauch konfiguriert
und gesichert werden.
Zusätzlich zu den Funktionen des Android-Betriebssystems erweitern Gerätehersteller,
Netzwerkbetreiber und Partner Android stetig mit neuen Funktionen.
Samsung SAFE und KNOX
Samsung SAFE ist ein Sicherheitsprogramm von Samsung. Es übertrifft die
Sicherheitsfunktionen herkömmlicher Android-Endgeräte bei Weitem und eignet sich für
Unternehmen. Samsung SAFE integriert Funktionen für das Management von Endgeräten und
Apps. Dazu gehören AES-256-Verschlüsselung, VPN-Konnektivität sowie die Unterstützung
von Microsoft ActiveSync Exchange für native Unternehmens-E-Mail-, Kalender- und PIM-
Anwendungen auf dem Endgerät.
Samsung KNOX bietet zusätzliche Sicherheit gegenüber Samsung SAFE dank umfassender
Sicherheit für Unternehmensdaten und der Integrität der mobilen Plattform. Samsung KNOX
bietet u. a. eine Umgebung, um geschäftliche und private Daten zu isolieren, ein Anwendungs-
VPN, Kernel-Integritätsüberwachung und einen anpassbaren sicheren Bootloader, um
sicherzustellen, dass nur verifizierte und autorisierte Software auf dem Endgerät ausgeführt
werden kann.
Citrix unterstützt die SAFE-APIs und KNOX in einem integrierten Ansatz. Citrix XenMobile
unterstützt KNOX und fügt zusätzliche MDM- und MAM-Funktionen hinzu. Diese werden
in einem Administrationsportal verwaltet und weiter unten in diesem Whitepaper genauer
vorgestellt.
citrix.de/byod citrix.de/secureBYOD und Informationssicherheit Whitepaper 7 Überblick über die Sicherheitsarchitektur von iOS Das proprietäre iOS-Betriebssystem wird sorgfältig überwacht. Upgrades kommen von einer einzigen Quelle, und Apps im AppStore werden von Apple kontrolliert. Auch ein grundlegender Sicherheitstest wird durchgeführt. Die iOS-Sicherheitsarchitektur basiert auf der Verwendung von Sandboxes und der Implementierung von konfigurationsspezifischen Sicherheitsmaßnahmen sowie einer strengen Kontrolle, von der Hardware bis zu den Anwendungen. Laut Apple basiert die Sicherheit von iOS auf Folgendem: Einem Sicherheitsansatz auf mehreren Ebenen Die iOS-Plattform verfügt über rigorose Sicherheitstechnologie sowie -funktionen, ohne dabei den Benutzerkomfort einzuschränken. iOS-Geräte sind entwickelt, um die Sicherheitsmaßnahmen so transparent wie möglich zu machen. Viele Sicherheitsfunktionen sind standardmäßig aktiviert. Daher benötigen Anwender keine speziellen Kenntnisse hinsichtlich der Sicherheit, um ihre Informationen zu schützen. Sicherer Bootverlauf Jeder Schritt im Startverlauf – von den Bootloadern, über die Kernels bis zur Baseband- Firmware – wird von Apple signiert, um die Integrität sicherzustellen. Erst wenn ein Schritt verifiziert wurde, geht das Endgerät zum nächsten über. App Sandboxing Alle Anwendungen von Drittanbietern werden in einer Sandbox ausgeführt. Dadurch ist es ihnen nicht möglich, auf von anderen Anwendungen gespeicherte Dateien zuzugreifen oder Änderungen am Endgerät vorzunehmen. Dies hindert Anwendungen daran, Informationen zu sammeln oder zu modifizieren. Ein Virus oder eine Malware würden auf diese Weise vorgehen. Folgende Funktionen wurden von Apple mit dem Release von iOS 7 eingeführt: Touch ID zur Optimierung der Geräteauthentifizierung, FIPS 140-2 zur Verschlüsselung vertraulicher Daten, Aktivierungssperre für zusätzlichen Schutz bei Diebstahl oder Verlust des Endgeräts sowie viele weitere, im Hintergrund laufende Sicherheitsverbesserungen. iOS-Modell – Sicherheitsfragen Apple hat sich bei der iOS-Architektur für eine geschlossene Plattform entschieden. Diese verhindert, dass Geräteinhaber auf das Betriebssystem zugreifen oder dieses modifizieren können. Um Modifizierungen vornehmen zu können, muss ein Jailbreak auf dem Endgerät durchgeführt werden. Ein Jailbreak ist der Vorgang, der die Sicherheitsmaßnahmen auf dem Endgerät überwindet und dem Anwender Root-Zugriff gewährt. Sobald der Anwender über Root-Rechte verfügt, kann das Betriebssystem modifiziert und benutzerspezifisch angepasst werden. Apple hat zusätzliche Hardware-basierte Sicherheitsmaßnahmen eingeführt, um Anwender von Jailbreaks abzuhalten. Die neuesten iOS-Funktionen – und was sie für die IT bedeuten In der folgenden Tabelle werden die Nutzervorteile und die Auswirkungen auf die IT-Sicherheit der neuesten Funktionen von Tablets und Smartphones mit iOS 7.1 beschrieben. Neue nennenswerte Merkmale von iOS 7.1 Zusätzlich zu neuen Sicherheitsverbesserungen hat Apple ein Dokument veröffentlicht, in dem Sicherheitsfunktionen von iOS-Geräten und der iCloud beschrieben werden. In diesem Whitepaper werden die folgenden nennenswerten Funktionen besprochen. citrix.de/byod citrix.de/secure
BYOD und Informationssicherheit Whitepaper 8
iOS-Funktion Vorteile des Geräts für den Auswirkung auf die IT
Anwender
Aktivierungssperre Wenn diese Sperre aktiviert Hat Auswirkungen auf den Besitz
ist, wird ein verlorenes oder und das Management des Gerätes.
gestohlenes Gerät für einen Sollte in Kombination mit Mobility-
Dieb unbrauchbar. Dies sollte Management für Unternehmen
den Diebstahl von Geräten von verwendet werden.
vornherein unterbinden.
Touch ID Touch ID ist eine derzeit exklusiv Touch ID funktioniert besser unter
auf dem iPhone 5s verfügbare iOS 7.1. Außerdem hat Apple die
Funktion zur Erkennung von Einstellungen für Touch ID und den
Fingerabdrücken. Durch sie wird Passwortschutz auf eine höhere
ein nahtloser Zugriff auf das Ebene gesetzt, wodurch die
Gerät möglich. Konfiguration einfacher wird.
Automatische Die Geräte sind voreingestellt Geräte, die über das Device
Registrierung und sofort für den Enrollment Program von Apple
Unternehmensgebrauch erworben wurden, können leicht für
einsetzbar. MDM registriert werden.
FIPS 140-2 Eine starke Verschlüsselung mit Unternehmen, die FIPS 140-2 auf
Verifizierung schützt alle Daten Geräteebene benötigen, können nun
auf dem Gerät. iPhones und iPads verwenden.
Sicherheitsfunktionen von iOS 7.x und Android im Vergleich
Beachten Sie beim Vergleich von iOS mit Android bitte, dass sich Android-Funktionen je nach
Gerät, Version des Betriebssystems und sogar Mobilfunkanbieter unterscheiden. Einige ältere
Versionen von Android bieten beispielsweise keine Verschlüsselung auf Geräteebene.
iOS 7.x Android
Verschlüsselung auf dem Endgerät Ja Je nach Endgerät/Betriebssystem/
Mobilfunkanbieter unterschiedlich
Verschlüsselung drahtloser Signale Ja Je nach Endgerät/Betriebssystem/
Mobilfunkanbieter unterschiedlich
Gerätepasswort Ja Je nach Endgerät/Betriebssystem/
Mobilfunkanbieter unterschiedlich
Remote-Sperren/-Löschen Ja Je nach Endgerät/Betriebssystem/
Mobilfunkanbieter unterschiedlich
Anwendungskontrolle Ja Je nach Endgerät/Betriebssystem/
Mobilfunkanbieter unterschiedlich
Anwendungspasswort Ja Je nach Endgerät/Betriebssystem/
Mobilfunkanbieter unterschiedlich
Anwendungsverschlüsselung Ja Je nach Endgerät/Betriebssystem/
Mobilfunkanbieter unterschiedlich
Anwendungs-Container Ja Je nach Endgerät/Betriebssystem/
Mobilfunkanbieter unterschiedlich
Sicherer Netzwerkzugriff für Ja Je nach Endgerät/Betriebssystem/
Anwendungen Mobilfunkanbieter unterschiedlich
„Öffnen mit“-App-Wahl Ja Je nach Endgerät/Betriebssystem/
Mobilfunkanbieter unterschiedlich
citrix.de/byod citrix.de/secureBYOD und Informationssicherheit Whitepaper 9 Überblick über die Sicherheitsarchitektur von Windows Phone und Surface Microsoft hat die bekannte Windows-Technologie und -Architektur in seinen neusten Tablet- und Smartphone-Betriebssystemen erweitert. Integrierte Sicherheitsfunktionen wie BitLocker, Defender, SmartScreen, persönliche Firewalls und Benutzerkontenkontrolle ergänzen eine starke mobile Sicherheitsarchitektur. Laut Microsoft basiert die Sicherheit für Windows Phone- und Surface-Plattformen auf Folgendem: App-Plattformsicherheit Microsoft verwendet einen mehrgliedrigen Ansatz, um Windows-Tablets und -Smartphones vor Malware zu schützen. Ein Aspekt dieses Ansatzes ist der Trusted Boot-Prozess, der dabei hilft, die Installation von Rootkits zu verhindern. Chambers und Capabilitys Das Chamber-Konzept basiert auf dem Prinzip von unterschiedlichen Privilegien und erreicht dies mittels Isolation: Jede Chamber gewährt bestimmte Zugriffsrechte und isoliert Prozesse innerhalb eines voreingestellten Bereichs. Jede Chamber wird mithilfe eines Richtliniensystems definiert und implementiert. Die jeweilige Sicherheitsrichtlinie einer bestimmten Chamber legt fest, welche Funktionen des Betriebssystems die Prozesse in dieser jeweiligen Chamber aufrufen können. Eine Capability ist eine Ressource, die Bedenken hinsichtlich des Datenschutzes, der Sicherheit, der Kosten oder der Unternehmenstauglichkeit eines Windows Phone aufwirft. Zu den Capabilitys gehören beispielsweise Standortinformationen, Kamera, Mikrofon, Netzwerkzugriff und Sensoren. Windows – Sicherheitsfragen Traditionelle Windows-Betriebssysteme auf einem PC sind weit verbreitet und werden oft von Angreifern anvisiert. Somit ist der gemeinsame Code, der für die PC- wie auch die mobile Version verwendet wird, weiträumig für Angriffe anfällig. Die Sicherheitsarchitektur der mobilen Windows-Plattform hat, besonders in Windows 8, die Sicherheit für die Anwender weiter verbessert. Der Standardnutzer hat Administratorrechte auf dem Gerät, wodurch er damit über zu viele Zugriffsrechte für die normale tägliche Arbeit verfügt. Es ist ratsam, ein separates Nutzerprofil für den Alltagsgebrauch anzulegen. Das Administratorprofil sollte nur verwendet werden, wenn administrative Aufgaben notwendig sind. Natürlich ist die Möglichkeit, Geräteadministrator zu werden, gleichbedeutend mit dem Zugriff auf das Root-Konto – der Anwender hat zu viele Privilegien auf dieser Ebene, die negative Auswirkungen auf die Sicherheit haben könnten. Ein weiterer wichtiger Punkt ist, dass das bekannte Sicherheitsmodell von Windows und die betreffenden Funktionen dazu führen können, dass das Gerät von der IT mehr als nötig gemanagt wird. Dies könnte zu einem kompromisslosen Sicherheitsansatz führen. Die IT könnte ungerechtfertigte und übertriebene IT-Managementfunktionen implementieren, wodurch Anwender gezwungen wären, ein anderes Gerät zu wählen. Die neuesten Windows-Funktionen – und was sie für die IT bedeuten In der folgenden Tabelle werden die Nutzervorteile und die Auswirkungen auf die IT-Sicherheit der neuesten Funktionen von Tablets und Smartphones mit Windows Phone und Surface 8.1 beschrieben. citrix.de/byod citrix.de/secure
BYOD und Informationssicherheit Whitepaper 10
Neue nennenswerte Merkmale von Windows Phone und Surface
Microsoft hat die mobile Windows-Plattform umgestaltet und Funktionen für die
Unternehmenssicherheit direkt integriert. In diesem Whitepaper werden die folgenden
nennenswerten Funktionen besprochen.
Windows-Funktion Vorteile des Endgeräts für Auswirkung auf die IT
den Anwender
BitLocker Windows Phone 8-Systeme Vom Anwender verwaltete
verwenden die BitLocker- Verschlüsselung eignet
Technologie, um den gesamten sich nicht für vertrauliche
internen Datenspeicher auf dem Unternehmensdaten.
Smartphone mit AES 128 zu Die IT muss eine vom
verschlüsseln. Unternehmen verwaltete
Verschlüsselung
implementieren.
Windows Defender Diese Funktion hilft dabei, Native Antivirus- und Anti-
den PC in Echtzeit vor Malware-Software sind ein
Viren, Spyware und anderer willkommener Zusatz für
schädlicher Software zu mobile Plattformen.
schützen.
SmartScreen Der SmartScreen-Filter im Die IT-Richtlinie muss
Internet Explorer schützt sicherstellen, dass
Anwender vor Phishing- und Anwender sich an
Malware-Angriffen, indem er sie die Warnungen von
vor unsicheren Webseiten oder SmartScreen halten.
Download-Anbietern warnt.
Schutz vor Datenverlust Die Rechteverwaltung von Erfordert die Dienste für die
Informationen (Information Rights Rechteverwaltung (Rights
Management, IRM) ermöglicht Management Services,
es Urhebern von Dokumenten, RMS) und Windows Phone.
diesen vor dem Versand an
Andere bestimmte Zugriffsrechte
zuzuweisen. Die Daten in jenen
geschützten Dokumenten sind
verschlüsselt, sodass sie nur
von autorisierten Anwendern
geöffnet werden können.
Firewall Eine persönliche Firewall Die Konfiguration der
schützt ein- und ausgehende Firewall sollte von der IT
Anwendungs- und festgelegt und kontrolliert
Netzwerkverbindungen. werden.
Wie moderne Mobilgeräte vertrauliche Daten schützen
Mobility-Modelle führen dazu, dass traditionelle IT-Verantwortlichkeiten hinsichtlich der
Sicherheit von präzise festgelegten Organisationsstandards zu einer Reihe an Standards
übergegangen sind, die eine Vielzahl an Endgeräten, Betriebssystemen und Richtlinien
abdecken müssen. Es gibt keine Einheitslösung für eine sichere Mobility. Spezielle Aspekte
wie die Eigentümerschaft des Geräts, Funktionen des Geräts, die Speicherung von Daten und
Anforderung von Anwendungen müssen bei Sicherheitsfragen berücksichtigt werden.
Bekannte Kontrollmechanismen wie z. B. vom Unternehmen kontrollierte Antivirus-Software
können nicht auf allen mobilen Endgeräten installiert und gewartet werden. Organisationen
müssen die Effizienz bestimmter Maßnahmen zur mobilen Sicherheit im Kontext ihrer eigenen
citrix.de/byod citrix.de/secureBYOD und Informationssicherheit Whitepaper 11
Anforderungen abwägen und den Rat ihrer unternehmenseigenen Sicherheitsarchitekten
einholen. In der nachstehenden Tabelle erhalten Sie weitere Informationen dazu, wie
Enterprise Mobility Management, die Virtualisierung von Windows-Anwendungen und
-Desktops sowie die Synchronisierung und der Austausch von Unternehmensdaten potenzielle
Sicherheitsrisiken verhindern.
Sicherheitsrisiken und dazugehörige Maßnahmen zur mobilen Sicherheit
(einschließlich Enterprise Mobility Management, Virtualisierung von Windows-
Anwendungen und -Desktops, Synchronisierung und Austausch von
Unternehmensdaten sowie Networking)
Bedrohung Bedrohungsvektor Mobile Sicherheitsmaßnahme
Datendiebstahl Daten verlassen die Organisation Daten bleiben im Rechenzentrum
Screenshot oder werden auf dem Gerät
verschlüsselt und gemanagt
Screen Scraping
Kontrolle der Anwendungen/des
Kamera Endgeräts
Kopie auf externen Einschränkung für externe
Speichermedien Speichermedien
Backup-Verlust Verschlüsselte Backups
E-Mail E-Mails werden nicht im
Cache der nativen Anwendung
gespeichert
Einschränkung der Screenshot-
Funktion
Datenmanipulation Modifizierung durch eine andere Anwendungs-/Daten-Sandboxing
Anwendung Protokollierung
Unerkannte Jailbreak-Erkennung
Manipulationsversuche
Gegenseitige Authentifizierung
Gerät mit Jailbreak
Mikro-Anwendungs-VPN
Datenverlust Verlust des Geräts Daten werden auf dem Gerät
Nicht genehmigtes Gerät und gemanagt
unerlaubter Zugriff Verschlüsselung auf dem
Fehler und Fehlkonfigurationen Endgerät
Schwachstellen einer Anwendung Datenverschlüsselung
Updates und Patches
Malware Betriebssystem-Modifizierung Gemanagte Betriebsumgebung
Anwendungs-Modifizierung Gemanagte Anwendungs-
Virus Umgebung
Rootkit Architektur*
* Während mobile Betriebssystemarchitekturen vor Malware geschützt werden können, können verborgene PC-
basierte Viren über infizierte Dokumente übertragen werden. Es wird empfohlen, Anti-Malware-Software in allen
Host-Umgebungen einzurichten, mit denen sich das mobile Endgerät verbindet, insbesondere E-Mail-Umgebungen.
citrix.de/byod citrix.de/secureBYOD und Informationssicherheit Whitepaper 12 Bei privaten Endgeräten im Unternehmen ist es ratsam, den Großteil vertraulicher Unternehmensdaten nicht auf dem Endgerät zu speichern, um Risiken zu verringern. Auf äußerst vertrauliche Daten sollte standardmäßig aus der Ferne im Rechenzentrum zugegriffen werden. Sie sollten niemals auf ein Mobilgerät kopiert werden. Daten, die auf dem Mobilgerät bereitgestellt werden müssen, sollten durch Maßnahmen wie Verschlüsselung oder die Möglichkeit einer Remote-Löschung geschützt werden. Anwendungen, die auf dem Mobilgerät bereitgestellt und kontrolliert werden müssen, können in einem Container ausgeführt werden. Dies verhindert, dass sie mit privaten Anwendungen interagieren. Darauf müssen Sie verzichten Mobile Anwendungen stellen Inhalte nicht immer genau gleich wie native PC- Anwendungen dar. Nachfolgend einige Problembereiche: • Videos, die nicht in einem Format sind, das vom Mobilgerät nativ unterstützt wird, können nicht abgespielt werden (z. B. WMV oder Flash). • E-Mail-Anwendungen haben oft Probleme mit der Darstellung von Grafiken, sind falsch für die Unterstützung von Sicherheitszertifikaten konfiguriert, verschlüsseln Daten nicht und können spezielle Funktionen wie den Nachrichtenrückruf nicht ausführen. • Der Kalender kann den Frei/Gebucht-Status nicht lesen und hat Probleme bei mehrfachen Updates von aktuellen und zukünftigen Veranstaltungen. • Präsentations-Anwendungen zeigen Grafiken, Schriftarten und Layouts nicht immer auf die gleiche Weise wie in PowerPoint an. • Textverarbeitungs-Anwendungen zeigen weder die Funktion „Änderungen nachverfolgen“ noch Kommentare oder Hinweise an, sodass wichtige Änderungen eventuell übersehen werden. Sicherer Zugriff auf Unternehmensinformationen über Tablets und Smartphones mit Citrix Citrix stellt einen zentralen App-Store auf dem mobilen Endgerät bereit. Dieser erlaubt sowohl den Zugriff auf Produktivitäts- als auch auf Unternehmens-Anwendungen, auch über ShareFile verwaltete Daten. ShareFile kann verwendet werden, um offline auf Daten auf dem mobilen Endgerät zuzugreifen. ShareFile und XenMobile helfen der IT beim Schutz vertraulicher Daten, die auf dem Mobilgerät gespeichert sind. Dies geschieht mithilfe von Containern, Verschlüsselung sowie umfassenden Datenkontrollrichtlinien, um Schwachstellen auf dem Endgerät des Anwenders zu beseitigen. Daten, die in einem Container auf dem Endgerät gespeichert sind, können jederzeit von der IT aus der Ferne gelöscht werden. Das kann auch durch vorher festgelegte Ereignisse geschehen, beispielsweise, wenn ein Jailbreak durchgeführt wird. Der zentrale App-Store von Citrix stellt mobile Anwendungen sowie zentralisiert gehostete Windows-Anwendungen und -Desktops über XenApp und XenDesktop bereit. Indem ein mobiler Remote-Zugriff auf zentralisiert gehostete Ressourcen bereitgestellt wird, kann die IT vertrauliche Daten sicher und geschützt im Rechenzentrum aufbewahren. Die IT kann die Ausführung von Richtlinien über XenMobile und ShareFile erzwingen, egal, ob eine Organisation vertrauliche Daten und Anwendungen im Rechenzentrum oder auf dem Endgerät speichert oder sie mobil bereitstellt. Von Citrix gesicherte mobile Anwendungen nutzen Citrix NetScaler Gateway für eine starke Authentifizierung und Verschlüsselung des Netzwerk-Traffics. Das NetScaler Gateway SSL/VPN-Gateway stellt Mikro-Anwendungs-VPNs bereit, um einen Backend-Zugriff für Unternehmens-, mobile und Web-Anwendungen zu ermöglichen. Sie stellen dabei eine Netzwerkrichtlinieninstanz dar, die für eine anwendungsspezifische Netzwerksicherheit sorgt. Mikro-Anwendungs-VPNs übertragen nur bestimmte Unternehmensdaten über das Unternehmensnetzwerk. Dies erleichtert das Traffic-Management und verbessert gleichzeitig den Schutz der Endanwenderdaten. XenMobile bietet ein einheitliches Management und eine Kontrolle für jede Art von Anwendung – einschließlich mobile, Web-, SaaS- und Windows- Anwendungen – sowie für Daten, Endgeräte und Anwender. citrix.de/byod citrix.de/secure
BYOD und Informationssicherheit Whitepaper 13 Die Verschlüsselungstechnologie von Citrix schützt Konfigurationsdaten, Screenshots und den Arbeitsbereich des Anwenders. Citrix verwendet native Funktionen der mobilen Plattformen, um gespeicherte sowie über WLAN oder 3G/4G-Netze übermittelte Daten zu verschlüsseln. So schützt XenMobile Anwendungen und Endgeräte XenMobile ermöglicht Freiheit für mobile Endgeräte, Anwendungen und Daten. XenMobile bietet identitätsbasierte Bereitstellung und Kontrolle für alle Anwendungen, Daten und Endgeräte, richtlinienbasierte Kontrollmaßnahmen, beispielsweise durch die Beschränkung des Anwendungszugriffs auf autorisierte Anwender, automatisches Löschen von Konten beim Ausscheiden von Mitarbeitern sowie Remote-Lösch-Funktionen zum Zurücksetzen von Endgeräten bzw. Löschen von Daten und Anwendungen auf Endgeräten, die verloren gegangen sind oder gestohlen wurden. Der sichere Container von XenMobile verschlüsselt Anwendungsdaten nicht nur, sondern isoliert persönliche Informationen auch von Unternehmensdaten. Auf diese Weise können Organisationen den Anwendern die freie Wahl des Endgeräts ermöglichen, die Offenlegung sensibler Daten verhindern und das interne Netzwerk vor mobilen Bedrohungen schützen. Schutz auf Betriebssystemebene Der XenMobile Device Manager implementiert den Zugriff auf das Betriebssystem und verwendet dessen interne Funktionen wie beispielsweise: • Passwortschutz auf Geräteebene • Verschlüsselung • WLAN • Endgeräteinventarisierung • Anwendungs-Inventarisierung • Remote-Löschung aller/bestimmter Daten • APIs bestimmter Hersteller (Samsung, HTC etc.) • Automatische Konfiguration von WiFi • Eingeschränkter Zugriff auf Ressourcen des Endgeräts, einschließlich App-Stores, Kamera und Browser • Support von Sicherheitsfunktionen von Samsung SAFE und Samsung KNOX Verschlüsselung und Sicherheit XenMobile gibt der IT die Mittel in die Hand, die Möglichkeit zum Kopieren/Einfügen von Daten ganz zu unterbinden oder auf bestimmte autorisierte Anwendungen zu beschränken. Worx Mobile Apps erlauben das Verschlüsseln von gespeicherten Unternehmensdaten mit AES-256 und die Validierung mit FIPS 140-2. Durch Zugriffskontrollen können Sie festlegen, welche Dokumente von welchen Anwendungen geöffnet werden können. Es kann sogar festgelegt werden, dass bestimmte Webseiten-Links nur in einem sicheren Browser geöffnet werden. Bei der Übertragung werden Daten durch eine Mikro-Anwendungs-VPN-Funktion geschützt, die einen sicheren Zugriff auf Unternehmensressourcen wie Apps, Intranet und E-Mail ermöglicht. Mikro-Anwendungs-VPN-Tunnel werden pro App eingerichtet und verschlüsselt. Dadurch sind sie vor Datenströmen anderer Endgeräte oder Mikro-Anwendungs-VPNs geschützt. citrix.de/byod citrix.de/secure
BYOD und Informationssicherheit Whitepaper 14 Jailbreak-Erkennung XenMobile erkennt Endgeräte mit Jailbreak oder Root-Zugriff durch proprietäre Methoden, einschließlich API-Verfügbarkeit und einer Kontrolle auf binärer Ebene. Richtlinien für Funktionen zur Standortbestimmung Dank Diensten zur Standortbestimmung kann die IT einen geographischen Bereich festlegen, in dem bestimmte Endgeräte bzw. Apps verwendet werden können. Wenn das Endgerät den festgelegten Bereich verlässt, können gespeicherte Inhalte komplett/teilweise vom Gerät gelöscht werden. Mobiles Anwendungsmanagement (MAM) Das MAM kontrolliert die Nutzung, Updates, Netzwerkzugriffe und Datensicherheit von Anwendungen. Es ist möglich, jeder Anwendung auf dem Endgerät ihren eigenen über SSL verschlüsselten Tunnel bereitzustellen, der ausschließlich von dieser Anwendung verwendet werden kann. Wenn ein Mitarbeiter das Unternehmen verlässt, kann die IT per Fernzugriff bestimmte Unternehmensdaten innerhalb der verwalteten Anwendungs-Container löschen, ohne dabei persönliche Anwendungen oder Daten auf dem Endgerät zu beeinflussen. XenMobile stellt zudem eine zentrale, sichere App-Store-Anwendung für mobile Endgeräte bereit, die sowohl den Zugriff auf öffentliche als auch private Anwendungen ermöglicht. Sichere Productivity-Anwendungen Vorinstallierte Productivity-Anwendungen von Citrix umfassen einen sicheren Web-Browser, einen Container für E-Mail/Kalender/Kontakt-Dateien sowie ShareFile, einen Dienst für die sichere Dateisynchronisierung und -freigabe. Dadurch wird es Anwendern möglich, nahtlos durch Intranet-Seiten zu navigieren, ohne teure VPN-Lösungen einrichten zu müssen, die allen Anwendungen auf dem Endgerät Zugriff auf das Unternehmensnetzwerk gewähren. Mit Worx Mobile Apps kann jeder Entwickler oder Administrator Unternehmensfunktionen hinzufügen, zum Beispiel Datenverschlüsselung, Passwortauthentifizierung oder einen Mikro-Anwendungs- VPN. Zu Worx Mobile Apps gehören: WorxMail – WorxMail ist eine leistungsstarke, native iOS- und Android-Anwendung für E-Mail, Kalender und Kontakte. Daten werden ausschließlich in sicheren Containern auf dem mobilen Endgerät gespeichert und verwaltet. WorxMail unterstützt Exchange ActiveSync- APIs und bietet Sicherheitsfunktionen wie Verschlüsselung für E-Mails, Anhänge und Kontakte. WorxWeb – WorxWeb ist ein mobiler Browser für iOS- und Android-Endgeräte, der den sicheren Zugriff auf firmeninterne Web-, externe SaaS- und HTML5-Web-Anwendungen ermöglicht und dabei denselben Benutzerkomfort wie ein nativer Browser des Endgeräts bietet. Durch ein Mikro-Anwendungs-VPN können Anwender auf all ihre Webseiten zugreifen, einschließlich Webseiten mit vertraulichen Informationen. WorxWeb bietet einen nahtlosen Benutzerkomfort durch die Integration in WorxMail, womit der Anwender auf Links klicken und die nativen Anwendungen in einem sicheren Container auf dem mobilen Endgerät öffnen kann. Worx Home – Worx Home ist ein zentraler Kontrollpunkt für alle über XenMobile bereitgestellten Applikationen sowie Inhalte, die auf dem Endgerät gespeichert sind. Worx Home ist der benutzerfreundliche Ausgangspunkt für das Management von Authentifizierung, Anwendungen, Richtlinien und die Ablage von Verschlüsselungsvariablen. Mithilfe dieser und anderer Funktionen von XenMobile ist die IT zu Folgendem in der Lage: Einheitliche Kontrolle über den Remote-Zugriff auf Anwendungen und Daten. Der zentrale Unternehmens-App-Store von Citrix ist eine zentrale Anlaufstelle für die sichere Bereitstellung von Windows-Anwendungen und -Desktops, Web-, SaaS- und nativen mobilen Anwendungen sowie Daten. Hier können Richtlinien und Konten für Anwenderdienste verwaltet und kontrolliert werden. citrix.de/byod citrix.de/secure
BYOD und Informationssicherheit Whitepaper 15
Isolation und Schutz von Unternehmens-E-Mails. Einer der größten Vorteile von
WorxMail ist, dass sich Unternehmens-E-Mails in einer sicheren Sandbox oder einem
Container befinden und nicht mit anderen Daten auf dem Endgerät in Kontakt kommen. Im
Gegensatz dazu muss beim Gebrauch von ActiveSync und einer nativen mobilen E-Mail-
Anwendung ein IT-Administrator eine gewisse Kontrolle über das Endgerät übernehmen.
Gleichzeitig muss der Anwender zustimmen, dass bei einem Problem Daten auf dem
Endgerät gelöscht werden dürfen. Zugangs-, Verschlüsselungs- und Profilinfo sind an das
Endgerät gebunden. Zusätzlich werden sowohl der E-Mail-Text als auch Anhänge in einer
Sandbox verschlüsselt.
Keine Beeinflussung des persönlichen Inhalts auf mobilen Endgeräten. Mithilfe
von WorxMail muss der Anwender lediglich zustimmen, dass bei einem Problem die
Unternehmensinformationen im WorxMail-Container gelöscht werden – nicht alle Daten
auf dem Endgerät. Unternehmens-E-Mail- und -Kontaktdaten werden isoliert, geschützt
und kontrolliert – und zwar vom Container, nicht vom Endgerät. Unternehmens- sowie
persönliche E-Mails sind mithilfe von Sandboxes voneinander getrennt. Dadurch können
E-Mails und Kontakte unabhängig voneinander gespeichert werden.
XenMobile und Samsung SAFE und KNOX
XenMobile unterstützt die Sicherheitsfunktionen von Samsung SAFE und KNOX,
einschließlich des Managements des KNOX-Containers. Eine nahtlose Integration zwischen
Worx Mobile Apps und dem sicheren KNOX-Container gewährleistet, dass vertrauliche
Unternehmensdaten – darunter E-Mails, die nach festgelegten Zeiträumen vorschriftsgemäß
gelöscht werden müssen – niemals Opfer von Malware werden, die sich möglicherweise
auf dem Betriebssystem oder in nicht gemanagten privaten Partitionen befindet. Zusätzlich
unterstützt die Lösung auch Audit-Trails, um die Datenintegrität zu verifizieren. Dies dient
der Compliance und der Einhaltung von gesetzlichen Vorschriften. XenMobile aktiviert
auch weitere Sicherheitsfunktionen für KNOX, darunter sichere Kommunikation zwischen
Anwendungen, Geo-Fencing, intelligente Kontrolle des Netzwerk-Traffics und ein sicheres
Content-Management. (Hinweis: Eventuell werden zusätzliche Lizenzen für Samsung KNOX
benötigt.)
XenMobile und iOS 7.x
XenMobile unterstützt und erweitert native iOS-Funktionen mit zusätzlichen
Sicherheitsmerkmalen. XenMobile erweitert sowohl iOS 7 als auch KNOX mit den folgenden
Funktionen:
XenMobile-Funktion Details
Enterprise-App-Store Zentraler Zugriff mit der Möglichkeit mobile, SaaS-,
Web- und Windows-Anwendungen direkt auf dem
Desktop bereitzustellen
Verbesserter SSO Zugriff über einen Klick auf mobile, SaaS-, Web-
und Windows-Anwendungen
Ökosystem von Unternehmens-Apps Größtes Anwendungs-Ökosystem mit der Worx
App Gallery
Netzwerkkontrolle Kontrolle der Anwendungs-Nutzung basierend auf
WLAN-Netzwerken
Autorisierte SSID-Kontrolle Granulare Kontrolle, auf welche internen Netzwerke
Apps zugreifen können
citrix.de/byod citrix.de/secureBYOD und Informationssicherheit Whitepaper 16
Geo-Fencing Erweiterte Sicherheitsfunktionen zum Remote-
Sperren, -Löschen oder Benachrichtigen anhand
des Standorts des Endgeräts
Online/Offline-Zugriff Beschränken Sie das Endgerät auf Online-Zugriff
oder bestimmen Sie die Dauer der Offline-Nutzung
Kommunikation von Anwendungen Kontrolle der Kommunikation
untereinander zwischen gemanagten Anwendungen
Einfache Steuerung des Zugriff aktivieren/deaktivieren
Benutzerzugriffs
Sichere E-Mails E-Mails in einer Sandbox mit integrierten
Unternehmenskontakten und Kalenderfunktion mit
Anzeige der Verfügbarkeit
Sicherer Browser Voll funktionsfähiger HTML5-Browser für sichere
Inhalte und Intranet-Seiten des Unternehmens
Sicheres Content-Management Zugriff, Kommentare, Bearbeitung und
Synchronisierung von Dateien über jedes Endgerät
Vollständiges EMM-Anwendungs- Anwendungen für alle EMM-Anwendungsfälle und
Paket wichtigen Funktionen, einschließlich ShareFile,
GoToMeeting, GoToAssist und Podio
So hilft ShareFile beim Schutz von Daten und Dateien
ShareFile stellt leistungsstarke gemanagte Datenaustausch- und -Synchronisierungsfunktionen
bereit und ist vollständig in XenMobile integriert. Die Lösung erlaubt es der IT, Daten im
eigenen Rechenzentrum oder in der Cloud zu speichern und unterstützt sie dabei, bereits
getätigte Investitionen wie Network Shares und SharePoint für mobile Endgeräte zugänglich
zu machen. Integrierte umfassende Funktionen zur Bearbeitung von Inhalten innerhalb
von ShareFile ermöglicht es Anwendern, ihre Anforderungen an Mobility, Produktivität und
Zusammenarbeit von einer zentralen, intuitiven Anwendung aus zu erfüllen. Mit ShareFile ist
die IT zu Folgendem in der Lage:
Sichern Sie Daten auf dem Endgerät mit umfassenden Sicherheitsrichtlinien. ShareFile
verfügt über umfangreiche Funktionen für den Datenschutz auf mobilen Endgeräten. Mit
ShareFile können Sie Remote-Löschungen vornehmen oder mithilfe einer sogenannten
„Giftpillen“-Funktion den Zugriff auf vertrauliche Daten im Falle einer Sicherheitsverletzung
entziehen. Die IT kann zudem den Zugriff modifizierter mobiler Endgeräte beschränken und
einen Passwort-Schutz einrichten, um die Verschlüsselungsfunktionen des Endgeräts zu
nutzen.
Steigern Sie die Produktivität der Anwender durch die Bearbeitung von Inhalten auf
Mobilgeräten. Anwender können Microsoft Office-Dokumente in der ShareFile-App erstellen,
überprüfen und bearbeiten, und sie können diese mit ähnlichen Tools bearbeiten, wie sie
allgemein von der Desktop-Version von Microsoft Office bekannt sind.
Beschränken Sie den Zugriff durch Anwendungen von Drittanbietern und verbessern
Sie die Datensicherheit auf mobilen Endgeräten. IT kann den Lese- und Schreibzugriff von
unautorisierten Drittanbieter-Anwendungen auf ShareFile-Daten beschränken. Ein eingebauter
Editor ermöglicht es der IT, den Gebrauch von Drittanbieter-Apps einzuschränken, die
Mitarbeiter eventuell benutzen. Dadurch wird gleichzeitig verhindert, dass Mitarbeiter Kopien
vertraulicher Daten in diesen Anwendungen speichern.
citrix.de/byod citrix.de/secureBYOD und Informationssicherheit Whitepaper 17 Erhalten Sie die Verzeichnis- und Unterverzeichnisstruktur auf mobilen Endgeräten. Sie können zusätzlich zu einzelnen Dateien komplette Verzeichnisse für den Offline-Zugriff auf einem Mobilgerät auswählen. Steigern Sie die Verfügbarkeit. Dank Funktionen wie dem Offline-Zugriff auf komplette Verzeichnisse in Verbindung mit einer Bearbeitungsmöglichkeit für Dokumente können Anwender überall maximale Produktivität erlangen. Verfolgen, protokollieren und melden Sie Aktivitäten zum Zugriff, der Synchronisierung und Freigabe von Dateien durch Anwender. Die IT erhält umfassende Tracking-Funktionen zu Datum, Typ, Ort und Netzwerkadresse jedes Anwenderereignisses. Es können mehrere Dateiversionen gespeichert werden, um vollständige Audit-Trails von Bearbeitungsaktivitäten zu erstellen. Wenn eine Remote-Löschung eingeleitet wird, kann die IT die Dateiaktivität verfolgen, die seit der Einleitung des Löschvorgangs bis zu seinem Abschluss durchgeführt wurde. Die IT erhält anschließend eine Benachrichtigung, ob der Löschvorgang erfolgreich war. Optimieren Sie die Administration und die Sicherheit. Durch die Integration von ShareFile in XenMobile kann die IT die rollenbasierte Steuerung des Benutzerzugriffs des Dienstes, die Zwei-Faktor-Authentifizierung, die richtlinienbasierte Kontrolle und das Anwendungs- Monitoring in Echtzeit nutzen. ShareFile erlaubt es Ihnen, Daten am Ort Ihrer Wahl zu speichern. Mit ShareFile StorageZones können Organisationen ihre Daten entweder im eigenen Rechenzentrum in vom Kunden gemanagten StorageZones speichern und/oder sich für Citrix- gemanagte StorageZones entscheiden (sichere Cloud-Optionen, die an mehreren Standorten weltweit verfügbar sind). Mit vom Kunden gemanagten StorageZones kann die IT Daten im eigenen Rechenzentrum des Unternehmens speichern und so besondere Datenschutz- und Compliance-Anforderungen erfüllen. Die Rechenzentren, die die ShareFile-Web-Anwendung und -Datenbanken hosten, sind durch den Standard SSAE 16 akkreditiert. Die Rechenzentren, die die Datenspeicherungs- Anwendung hosten, sind durch SSAE 16 und ISO 27001 akkreditiert. Dies könnte für Organisationen interessant sein, die eine Speicherung der Daten in der Cloud bevorzugen. Citrix implementiert und wartet zusätzliche kommerziell sinnvolle und geeignete physische, technische und betriebliche Sicherheitskontrollen, um Kundendaten zu schützen. ShareFile erfüllt die PCI-DSS- und HIPAA-Compliance-Anforderungen (HIPAA- Geschäftsvereinbarung). Citrix bietet die ShareFile Cloud auch für das Gesundheitswesen. Es wird ein sicherer Bereich innerhalb einer privaten Cloud bereitgestellt, wo die IT Patientendaten (PHI) hochladen, speichern und teilen kann, um dadurch strenge HIPAA-Vorschriften einzuhalten. ShareFile Cloud für das Gesundheitswesen erfüllt die Compliance mit der HIPAA Security Rule. So schützen XenDesktop und XenApp Anwendungen und Daten XenDesktop und XenApp bieten einen sicheren Remote-Zugriff auf zentral gehostete virtuelle Windows-Desktops, -Anwendungen und verwandte Daten. Diese bleiben geschützt innerhalb des Rechenzentrums. Obwohl die Endgeräte – und ihre Benutzer – mobil sind, bleiben die Daten selbst sicher und geschützt im Rechenzentrum. Mit XenDesktop und XenApp können Anwendungen von Drittanbietern sowie intern entwickelte Windows-Anwendungen auf einfache und effiziente Weise an mobile Mitarbeiter bereitgestellt werden. So hilft NetScaler beim Schutz von Daten und Dateien NetScaler bietet eine sichere Konnektivität für mobile Endgeräte und ermöglicht Single Sign-on (SSO), eine starke Multi-Faktor-Authentifizierung, Verschlüsselung und Mikro-Anwendungs- VPNs. Der Gebrauch von NetScaler automatisiert die Netzwerksicherheit. Der Besitzer des Endgeräts muss sich nicht um die Aktivierung/Deaktivierung von VPNs kümmern oder sich merken, wie man sich auf sichere Weise in Web- und Cloud-Anwendungen einloggt. NetScaler bietet Vorteile für Sicherheits- und Compliance-Verantwortliche, indem er sicherstellt, dass citrix.de/byod citrix.de/secure
BYOD und Informationssicherheit Whitepaper 18
alle benötigten Maßnahmen zur Authentifizierung, Verschlüsselung, Protokollierung und zum
Schutz der Netzwerkverbindungen eingehalten werden.
Best Practices für mobile Sicherheit
Um eine effektive Sicherheit und Kontrolle zu gewährleisten, müssen Organisationen die
Sicherheitsfunktionen von Citrix-Technologien und mobilen Endgeräten mit umfassenden
Best Practices für Anwender und IT kombinieren. Jedes Mitglied der Organisation muss einen
Teil der Verantwortung übernehmen und diese Maßnahmen einhalten. Sie sind wichtig, um
Enterprise Mobility und BYOD auf sichere und kontrollierte Weise zu gewährleisten. Citrix
empfiehlt die folgenden Anwender- und Administrator-Verhaltensrichtlinien beim Gebrauch von
Citrix mit Android-, iOS- sowie Windows-Tablets und -Smartphones.
Empfohlene Handlungen für Anwender
Anwender stehen in der Verantwortung, die vertraulichen Unternehmensdaten ihrer
Organisation zu schützen. Sie können die Einrichtung und Konfiguration des Endgeräts
kontrollieren, das Endgerät im täglichen Gebrauch ordnungsgemäß anwenden, XenMobile,
ShareFile, XenDesktop und XenApp verwenden, um die Sicherheit zu fördern, sowie andere
empfohlene Aktionen durchführen. Administratoren stellen sicher, dass Nutzer diese Best
Practices anwenden, indem sie die entsprechenden Richtlinien über XenMobile automatisch
einrichten. Best Practices für Anwender finden Sie in der nachfolgenden Liste.
Einrichtung und Konfiguration des Endgeräts
Plattform Führen Sie kein Jailbreak oder Rooting an Ihrem Endgerät durch,
wenn Sie es innerhalb der Unternehmensumgebung nutzen. Lehnen
Sie Anfragen zur Installation von Drittanbieterzertifikaten ab.
Android: Wenn Sie das Endgerät mit anderen teilen müssen,
verwenden Sie zusätzliche Nutzerkonten z. B. für Kinder oder Gäste.
iOS: Keine Konfiguration nötig.
Windows: Erstellen Sie ein separates Administratorkonto und
verwenden Sie ein mit weniger Rechten ausgestattetes Nutzerkonto
für die tägliche Arbeit.
Authentifizierung Verwenden Sie eine Passwortsperre, um den Zugriff auf das
mobile Endgerät zu schützen. Nutzen Sie komplexe Passwörter mit
mindestens acht Zeichen.
Android: Konfigurieren Sie eine Bildschirmsperre mit Passwort oder
PIN. Richten Sie es so ein, dass die Bildschirmsperre nach einer
gewissen Zeitüberschreitung sowie sofort nach Drücken des An-/
Aus-Knopfes einsetzt.
iOS: Setzen Sie die Option „Passcode anfordern“ auf „Sofort“.
Unterbinden Sie zufälliges Passwortraten und aktivieren Sie die
Option „Daten löschen“. Setzen Sie die automatische Sperre auf
eine Minute. Verwenden Sie TouchID, wenn diese Option auf Ihrem
Endgerät verfügbar ist.
Windows: Setzen Sie ein Benutzerpasswort und stellen Sie es
so ein, dass dieses nach einer bestimmten Anzahl an Minuten bei
ausgeschaltetem Bildschirm eingegeben werden muss.
citrix.de/byod citrix.de/secureSie können auch lesen
