Service-Center Informationssysteme Sicherheit durch Smartphonemanagement Von Windows Mobile zum...

Service-Center Informationssysteme

Sicherheit durch Smartphonemanagement

Von Windows Mobile zum iPhone

Detlev Rackow, Landeshauptstadt Hannover

Informations- und KommunikationssystemeDetlev.Rackow@hannover-stadt.de

Service-Center Informationssysteme

Eigentlich waren sie schon immer da– Lage bis 2007:– Heterogene Ausstattung, durchgehend

Offlinegeräte mit Desktopsynchronisierung

2

Service-Center Informationssysteme

2007: Pushmailrealisierung•Projektauftrag zur sicheren Neugestaltung von PDAs und Smartphones•Marktlage: PDAs sterben aus, Smartphones bieten neue Möglichkeiten

3

Service-Center Informationssysteme

Plattformsuche•Anforderungen:– Gute Exchangekompatibilität– Gerätesicherheit– Einfache Administration– Wenig zentraler Aufwand

•Geschätzes Volumen: Ca. 50-100 Geräte

4

Service-Center Informationssysteme

• Windows Mobile:– Gute Exchangekompatibilität– Großes Softwareangebot für mobile

Anwendungen– Support über Microsoft möglich– Verschlüsselung möglich– Ersteinrichtung aufwändig– Fehlende Administratorrolle, fast nur PIN-Policies

5

Service-Center Informationssysteme

Stufe 1: Windows Mobile mit zugekaufter Sicherheitslösung UbiControl– Administratorrolle durch UbiControl: • Lockdown: Einstellungen werden einmal gemacht und

gesperrt• Anwender können keine Software installieren oder

deinstallieren• Verschlüsselung der notwendigen Daten durch WM6-

Funktionalität• PIN-Policy und Remotelöschung durch Exchange

6

Service-Center Informationssysteme

• Es kam, wie es kommen mußte…• Nach 1 Jahr ca. 150 Geräte,

Tendenz steigend• Die Erkenntnis:– Installation automatisieren– Automatische Inventarisierung

7

Service-Center Informationssysteme

Stufe 2:Update von UbiControl auf UbiSuite MDM– Automatische Installation, webbasiert– Userübernahme aus dem Active Directory– Gruppenweise Konfiguration o.t.a.– Technisches Inventar wird automatisiert erhoben

8

Service-Center Informationssysteme

Gerade noch rechtzeitig…

Bis 2010 stieg die Gerätezahl auf 270 an.

9

Service-Center Informationssysteme

2010: Das Bessere ist der Feind des Guten

•Windows Mobile stirbt•Windows Phone 7 ist inkompatibel

10

Service-Center Informationssysteme

Stufe 3: Plattformsuche– Windows Phone 7– RIM/Blackberry– Android 2.x– iPhone (iOS)– Nicht betrachtet: Symbian, Bada

11

Service-Center Informationssysteme

Exchange-kompatibilität

+ (2007+)- (2003)

+ + ++

Installation,Management

-- ++ - ++

Update- versorgung

0 + - ++(mind. 2 J.)

Sicherheits-funktionen

0(nur Pinpolicy)

++ 0/-(nur Pinpolicy)

+

Gerätever- schlüsselung

- ++ - ++

Business- Apps (*)

0 + + ++

12

Service-Center Informationssysteme

Sicherheitsfunktionen iOS 4

• Kryptografie:– Hardwareverschlüsselung des Flashspeichers– PIN-gesicherte Verschlüsselung von Exchange-daten– Crypto-APIs für Appentwickler– Codesignatur: Apps nur aus Store mit Vorabprüfung

13

Service-Center Informationssysteme

Sicherheitsfunktionen iOS 4+

• Lockdown: – Kamera, Schnittstellen etc. sperrbar– App-Store, Youtube, … sperrbar– Altersgrenzen für App-Store und iTunes– Blacklisting für Apps (reaktiv)– Browseroptionen, Reputationsfilter– Policies analog Windows Mobile 6.1

14

Service-Center Informationssysteme

– Keine Endgeräteverschlüsselung– Exchange-Integration ist OEM-spezifisch– Rudimentäre automatische Installation, kein

Exchange– User kann Software aus beliebigen Quellen

installieren– PIN-Policy nur teilweise umgesetzt– Eingeschränkter Lockdown über lokales Kennwort

15

Android 2.x im Vergleich

Service-Center Informationssysteme

– Ab Q4/2010: iPhone als neues Standardsmartphone freigegeben

– Management weiter über UbiSuite– Keine neuen Lizenzen nötig– Zentral kein erhöhter Betriebsaufwand

16

iPhone 4: Ändert alles? Nein.

Service-Center Informationssysteme

– Q1/2011: Auf der CeBit wird Ubisuite 4.0 angekündigt

– Q2/2011: RIM kauft Ubitexx– Q3/2011: Ubisuite 4.0 wird abgekündigt– Q3/2011: Ubisuite 3.7 wird nicht mehr auf iOS 5

angepasst-> Produktsuche, neue Lösung: Airwatch

17

Wechsel der Managementlösung

Service-Center Informationssysteme

18

Service-Center Informationssysteme

19

Dürfen Anwender…

Apps installieren?

Fotos machen?

Pushmail im Ausland?

Multiplayerspiele?

Service-Center Informationssysteme

20

Youtube?

„Erwachsene“ Musik/Podcasts?

Safari oder Kioskbrowser?

Javascript?

Cookies?

Service-Center Informationssysteme

21

Public Cloud? No way!

Wieviel darf Apple wissen?

Backups bitte vertraulich!

Service-Center Informationssysteme

22

Service-Center Informationssysteme

MDM-Protokoll

TriggereventStatus- und Konfigurationsdaten 23

Service-Center Informationssysteme

MDM bietet over-the-air:•Installation/Personalisierung•Konfiguration (jederzeit änderbar)•Richtlinien/Lockdown•Inventarisierung/Status•Remotewipe•(Remote-Lock/Unlock)

24

Service-Center Informationssysteme

Zeitaufwand für Erstprovisionierung

Windows Mobile manuell: >30 Min. Windows Mobile gemanaget: 15 Min. iPhone gemanaget: 5 Min.

25

Service-Center Informationssysteme

Was bringt Management sonst?

– Fernlöschung ohne Exchangerechte(User und Helpdesk)

– Audit für iOS-Versionen– Softwareinventar inkl. Blacklisting– Softwarekiosk für Anwender: Empfohlene/verbotene Anwendungen– Funktionspostfächer– Userselfserviceportal

26

Service-Center Informationssysteme

One more thing…– Fallstricke:• Firewallintegration war schwierig (LHH-Problem)

– Unerledigt:• Automatisches Zertifikatsrollout• Zertifikatsbasierte Exchangeauthentisierung• Mobiles Arbeiten:

Dateibereitstellung per Sharepoint

27

Service-Center Informationssysteme

Lessons learned:– Gerätebedarf ist immer höher als gedacht– Auswahl MDM-Anbieter:• Leistungsfähiger Anbieter• Breite OS-Unterstützung• Abbildbarkeit der Kundenorganisation:

Mandanten und Rollen• In-house-Test ist aufschlussreicher

– Monokultur spart IT-Aufwand

28

Service-Center Informationssysteme

29