Sicherheit durch Smartphonemanagement Von Windows Mobile zum iPhone Detlev Rackow, Landeshauptstadt Hannover Informations- und Kommunikationssysteme Detlev.Rackow@hannover-stadt.de
Eigentlich waren sie schon immer da Lage bis 2007: Heterogene Ausstattung, durchgehend Offlinegeräte mit Desktopsynchronisierung
2007: Pushmailrealisierung Projektauftrag zur sicheren Neugestaltung von PDAs und Smartphones Marktlage: PDAs sterben aus, Smartphones bieten neue Möglichkeiten
Geschätzes Volumen: Ca. 50-100 Geräte Plattformsuche Anforderungen: Gute Exchangekompatibilität Gerätesicherheit Einfache Administration Wenig zentraler Aufwand Geschätzes Volumen: Ca. 50-100 Geräte
Windows Mobile: Gute Exchangekompatibilität Großes Softwareangebot für mobile Anwendungen Support über Microsoft möglich Verschlüsselung möglich Ersteinrichtung aufwändig Fehlende Administratorrolle, fast nur PIN-Policies
Stufe 1: Windows Mobile mit zugekaufter Sicherheitslösung UbiControl Administratorrolle durch UbiControl: Lockdown: Einstellungen werden einmal gemacht und gesperrt Anwender können keine Software installieren oder deinstallieren Verschlüsselung der notwendigen Daten durch WM6-Funktionalität PIN-Policy und Remotelöschung durch Exchange
Es kam, wie es kommen mußte… Nach 1 Jahr ca. 150 Geräte, Tendenz steigend Die Erkenntnis: Installation automatisieren Automatische Inventarisierung
Update von UbiControl auf UbiSuite MDM Stufe 2: Update von UbiControl auf UbiSuite MDM Automatische Installation, webbasiert Userübernahme aus dem Active Directory Gruppenweise Konfiguration o.t.a. Technisches Inventar wird automatisiert erhoben
Gerade noch rechtzeitig… Bis 2010 stieg die Gerätezahl auf 270 an.
2010: Das Bessere ist der Feind des Guten Windows Mobile stirbt Windows Phone 7 ist inkompatibel
Stufe 3: Plattformsuche Windows Phone 7 RIM/Blackberry Android 2.x iPhone (iOS) Nicht betrachtet: Symbian, Bada
Gerätever- schlüsselung Business- Apps (*) Exchange- kompatibilität + (2007+) - (2003) + ++ Installation, Management -- - Update- versorgung (mind. 2 J.) Sicherheits- funktionen (nur Pinpolicy) 0/- Gerätever- schlüsselung Business- Apps (*) Kürzer formulieren
Sicherheitsfunktionen iOS 4 Kryptografie: Hardwareverschlüsselung des Flashspeichers PIN-gesicherte Verschlüsselung von Exchange-daten Crypto-APIs für Appentwickler Codesignatur: Apps nur aus Store mit Vorabprüfung
Sicherheitsfunktionen iOS 4+ Lockdown: Kamera, Schnittstellen etc. sperrbar App-Store, Youtube, … sperrbar Altersgrenzen für App-Store und iTunes Blacklisting für Apps (reaktiv) Browseroptionen, Reputationsfilter Policies analog Windows Mobile 6.1
Android 2.x im Vergleich Keine Endgeräteverschlüsselung Exchange-Integration ist OEM-spezifisch Rudimentäre automatische Installation, kein Exchange User kann Software aus beliebigen Quellen installieren PIN-Policy nur teilweise umgesetzt Eingeschränkter Lockdown über lokales Kennwort
iPhone 4: Ändert alles? Nein. Ab Q4/2010: iPhone als neues Standardsmartphone freigegeben Management weiter über UbiSuite Keine neuen Lizenzen nötig Zentral kein erhöhter Betriebsaufwand
Wechsel der Managementlösung Q1/2011: Auf der CeBit wird Ubisuite 4.0 angekündigt Q2/2011: RIM kauft Ubitexx Q3/2011: Ubisuite 4.0 wird abgekündigt Q3/2011: Ubisuite 3.7 wird nicht mehr auf iOS 5 angepasst -> Produktsuche, neue Lösung: Airwatch
Dürfen Anwender… Apps installieren? Fotos machen? Pushmail im Ausland? Multiplayerspiele?
Youtube? „Erwachsene“ Musik/Podcasts? Safari oder Kioskbrowser? Javascript? Cookies?
Public Cloud? No way! Wieviel darf Apple wissen? Backups bitte vertraulich!
MDM-Protokoll Triggerevent Status- und Konfigurationsdaten Exchange geht direkt Triggerevent Status- und Konfigurationsdaten
MDM bietet over-the-air: Installation/Personalisierung Konfiguration (jederzeit änderbar) Richtlinien/Lockdown Inventarisierung/Status Remotewipe (Remote-Lock/Unlock)
Zeitaufwand für Erstprovisionierung Windows Mobile manuell: >30 Min. Windows Mobile gemanaget: 15 Min. iPhone gemanaget: 5 Min.
Was bringt Management sonst? Fernlöschung ohne Exchangerechte (User und Helpdesk) Audit für iOS-Versionen Softwareinventar inkl. Blacklisting Softwarekiosk für Anwender: Empfohlene/verbotene Anwendungen Funktionspostfächer Userselfserviceportal
One more thing… Fallstricke: Unerledigt: Firewallintegration war schwierig (LHH-Problem) Unerledigt: Automatisches Zertifikatsrollout Zertifikatsbasierte Exchangeauthentisierung Mobiles Arbeiten: Dateibereitstellung per Sharepoint
Lessons learned: Gerätebedarf ist immer höher als gedacht Auswahl MDM-Anbieter: Leistungsfähiger Anbieter Breite OS-Unterstützung Abbildbarkeit der Kundenorganisation: Mandanten und Rollen In-house-Test ist aufschlussreicher Monokultur spart IT-Aufwand