In vielen Unternehmen ist es zulässig, das eigene Smartphone oder das persönliche Tablet auch dienstlich zu gebrauchen. Dann müssen private und unternehmenseigene Daten streng voneinander abgeschottet werden. Mittels Applikations- und Daten-Containern kann dies unter Einhaltung der Datenschutzvorschriften für beide Seiten zufriedenstellend gelöst werden.
Grundsätzliche Funktionsweise
In der Praxis verhält sich ein Container zunächst wie eine App, die nur über ein eigenes Passwort zugänglich ist. Je nach Charakteristik stellt sie selbst bestimmte Funktionen dar, oder sie präsentiert sich wie eine eigene Bedienoberfläche, die den Zugriff auf weitere – sichere –Unternehmens-Apps ermöglicht. Um eine sichere Installation und kontinuierliche Pflege der Container zu ermöglichen, bedarf es einer EMM-Lösung (Enterprise Mobility Management). Nur so kann gewährleistet werden, dass einerseits die Privatsphäre des Nutzers geschützt und andererseits die Integrität der davon abgeschotteten Firmen-Umgebung gesichert ist.
Konzeptionelle Unterschiede zwischen Corporate Device und Bring Your own Device
Hintergrund für den Einsatz von Container-Lösungen ist die schwierige Balance nicht nur auf Seiten der Mobilen Sicherheit, sondern auch auf Seiten des Datenschutzes bei privaten Geräten. Bei einem COPE-Device (Corporate Owned, Personally Enabled) oder COBO-Gerät (Corporate Owned, Business Only), also unternehmenseigenen Smartphones oder Tablets, hat der Administrator weitgehende Zugriffsrechte und kann dem Nutzer Vorgaben machen, wie das Gerät verwendet werden darf.
Beim BYOD-Konzept (Bring Your own Device) ist dies nicht der Fall. Es kann nicht verhindert werden, dass der User potenziell unsichere Apps installiert, die beispielsweise Tastatureingaben oder Adressbücher ausschnüffeln. Und auch die Zugriffsrechte des Administrators sind stark eingeschränkt, denn bei einem privaten Gerät sind die Persönlichkeitsrechte des Nutzers zu beachten. Es darf kein Zugriff auf dessen private Daten erfolgen, keine Aufzeichnung von Standorten, Bewegungs- oder Nutzungsprofilen.
Die Lösung besteht deshalb darin, für alle Unternehmensanwendungen und -daten eine eigene Umgebung zu schaffen, die von der privaten Umgebung streng abgeschirmt ist. Diese verhindert auch, dass beim Backup des Anwenders Unternehmensdaten unverschlüsselt auf der privaten Festplatte landen.
Samsung Knox
Auf Android-Geräten stellt Samsung Knox eine sehr umfangreiche Technologie-Plattform bereit, die auf einem mehrschichtigen Konzept basiert. Teil der Lösung sind spezielle Hardware-Komponenten, so dass sie nur auf Knox-kompatiblen Geräten zum Einsatz kommen kann. Die Containerlösung Knox Workspace sorgt für eine saubere Trennung von privaten und geschäftlichen Anwendungen sowie Daten. Zudem ermöglicht sie der IT-Administration einen erweiterten Zugriff auf bestimmte Gerätefunktionen. Zahlreiche hinterlegte IT-Richtlinien und installierte MDM-Richtlinien erleichtern die Verwaltung der Geräte. Die Integration in das Mobile Device Management eines Unternehmens ist ebenfalls Teil der Lösung. Sie wird unter dem Namen Knox Mobile Enrollment angeboten.
SecurePIM Enterprise / 7P EMM
Auf Apples iOS-Geräten sowie auf Standard Android Devices bietet sich als Alternative zu Samsung Knox die Anwendung SecurePIM Enterprise von Virtual Solution an, die zusammen mit der Enterprise-Mobility-Management-Lösung der Seven Principles Group, 7P EMM, vertrieben wird. E-Mails, Kontakte, Kalender, Notizen, Aufgaben, Dokumente und sogar der Intranet-Zugang werden hier in einem sicheren Container zur Verfügung gestellt, ebenso ein sicherer Browser und ein abgesicherter Zugang zur integrierten Kamera. Seven Principles und ihr Partner Virtual Solutions sind deutsche Hersteller. Sie betonen ihre Erfahrung im Umgang mit europäischen Datenschutzrechten, die beispielsweise auch die Rechte von Arbeitnehmern und deren Schutz der Privatsphäre umfassen. Dementsprechend sind ihre Lösungen so gestaltet, dass auch Bedenken des Betriebsrats ausgeräumt werden können.
Android im Unternehmen
Mit Android im Unternehmen, früherer Name Android for Work, bietet Google zumindest grundlegende Funktionen für den sicheren Einsatz von Android-basierenden Geräten im Unternehmen an. Zentraler Baustein sind „Managed Profiles“, ähnlich der User-Profile auf einem Windows-PC, mit getrennten Arbeitsumgebungen und Speicherbereichen. Vorinstallierte Anwendungen und ein eigener Business-Premium-Bereich zum Download weiterer Applikationen aus dem Play-Store ergänzen das Konzept. Samsung Knox kann auf diese Basis aufgesetzt werden.
Blackberry Unified Endpoint Manager (UEM)
Das EMM von Blackberry, das zuvor unter dem Namen Blackberry Enterprise Service 12 (BES12) vertrieben wurde, nutzt die für einen mobilen Endpunkt spezifischen Sicherheitsmaßnahmen wie Verschlüsselung, Zertifikate und eben auch den Einsatz von Containern. Neben der eigenen Lösung lassen sich mit Blackberry UEM auch Geräte und Containerlösungen anderer Hersteller verwalten, also beispielsweise native Container-Lösungen wie Android im Unternehmen und Samsung Knox Workspace oder alternative Schutzkonzepte wie Windows Information Protection oder Apples iOS-verwaltete Apps.
Weitere Lösungen: Secure Container für Sharepoint, Secure Browser, VPN und mehr
Die vorgestellten Lösungen sind eine gute Grundausstattung, jedoch nicht für jeden Fall ausreichend. Sie können teils mit zusätzlichen Apps erweitert werden. Zum Teil ist es aber auch angebracht, Anwendungen über eigene Container zu ergänzen. Damit sind auch die Unternehmensanwendungen gegeneinander abgeschottet. Oder sie stellen grundsätzliche Funktionen für andere Container bereit, wie ein VPN, das einen sicheren Zugriff auf die Unternehmensdaten gewährleistet. Auch die Verlagerung des Internet-Zugangs auf das Unternehmensnetzwerk ist möglich. Dann greifen die dort getroffenen Schutzmechanismen und Zugangsbeschränkungen auch auf dem mobilen Gerät.
Fazit Secure Container
Container bieten in einer potenziell unsicheren Umgebung – dem privaten mobilen Gerät – einen geschützten Bereich für Applikationen und Daten des Unternehmens. Die Container stellen sicher, dass die Anwendungen in einem geschützten Umfeld laufen, zudem verhindern sie, dass Unternehmensdaten diese Umgebung verlassen oder von außen manipuliert werden können. Ein Kopieren aus der Unternehmens-App, die im Container läuft, in eine Facebook-Gruppe, die über die private App aufgerufen wurde, ist so beispielsweise nicht möglich.