IT Prozesse

MAM – Mobile Application Management für mobile Endgeräte

16

.

05

.20

23

10

 min Lesezeit

Glückliche Unternehmerin sitzt am Schreibtisch mit dem Smartphone in der Hand und lächelt.

Mobil genutzte Endgeräte werden immer häufiger zum Standard in Unternehmen. Um damit reibungslos remote arbeiten zu können, benötigen sie jedoch Zugriff auf ihre Apps und Programme – unabhängig davon, ob es sich um ein unternehmenseigenes oder um ein persönliches Gerät handelt. Für Unternehmen spielt deshalb vor allem der Faktor Datensicherheit eine essenzielle Rolle. Mit Mobile Application Management (MAM) haben Firmen die Möglichkeit, Unternehmenssoftware und -anwendungen bereitzustellen, zu managen und Richtlinien für ihre Verwendung festzulegen. Warum MAM so wichtig ist, wie es umgesetzt werden kann und wie es mit Mobile Device Management zusammenhängt, erfahren Sie in diesem Artikel.  

MAM oder MDM? Die Unterschiede zwischen mobiler Anwendungsverwaltung und Geräteverwaltung

Mobile Device Management (MDM) kommt bereits in vielen Unternehmen zum Einsatz. Mit einer MDM Lösung können mobile Geräte konfiguriert und verwaltet werden, wodurch eine gerätebasierte Absicherung möglich ist. Das ermöglicht den Überblick über Geräte, Lizenzen, Berechtigungen und installierte Software, ebenso wie die gerätespezifische Definition von Einstellungen, Funktionen und Regeln. Während MDM jedoch dazu da ist, ganze Geräte zu verwalten und abzusichern, sorgt MAM für die Bereitstellung und Absicherung verwalteter Apps. Unternehmen können Apps für bestimmte Benutzergruppen freigeben und Richtlinien für ihre Nutzung und Einstellungen konfigurieren.  

Die vergessene Bedrohung: Mobile Endgeräte der Mitarbeiter ohne definierte Sicherheitsrichtlinien

Warum spielt MAM jetzt aber eine so wichtige Rolle, wenn mit einer MDM Lösung bereits die Gerätesicherheit gewährleistet werden kann? Die Antwort darauf liegt im Detail: MDM sichert ausschließlich das gesamte Gerät und die Unternehmensdaten ab, auf die es Zugriff hat. Nicht abgesichert ist dadurch jedoch der Datenzugriff, der vielen Apps gewährleistet wird. Inzwischen gibt es in den unterschiedlichen App-Stores so viele Apps, dass es schlicht nicht möglich ist, einen Überblick über die jeweiligen Berechtigungsanforderungen und damit mögliche Sicherheitsrisiken zu behalten. Ganz besonders zeigt sich das Problem bei BYOD-Geräten. Dabei handelt es sich um die persönlichen Geräte der Mitarbeiter, die sowohl privat als auch beruflich genutzt werden.  

Was für Mitarbeiter Komfort bedeutet, erhöht für Unternehmen vor allem die Risiken. Der Grund dafür liegt darin, dass Mitarbeiter sich beispielsweise von jedem beliebigen Gerät in ihren Microsoft 365 Apps anmelden können. Ohne App Schutzrichtlinien haben Unternehmen so keine Kontrolle über ihre Daten. Erhält eine privat installierte App Zugriff auf Unternehmensdaten, kann jede Schwachstelle zu geschäftsschädigenden Konsequenzen für das Unternehmen führen. Bei diesen Schwachstellen kann es sich etwa um die unverschlüsselte Übertragung von Daten handeln, die wiederum einen Datenklau ermöglicht, aber auch um eine einfache Verbindung zu einem nicht DSGVO-konformen Staat. Die Datensicherheit kann dann nicht mehr garantiert werden. Besonders kritisch sind jedoch Apps, die eingebundenen Marketing- und Trackingnetzwerken den Zugriff auf ihre gesammelten Daten erlauben. Daten und Nutzungsgewohnheiten, die mit der App geteilt werden, landen so ungefiltert bei Dritten. Dabei kann es sich beispielsweise um Standorte, Adressbuchdaten, Benutzernamen, Fotos, Videos oder Sucheingaben handeln – Daten, die in Unternehmen sehr sensibel sein können.

Ein gutes Beispiel für diese Risiken ist die Nutzung von WhatsApp. Nach Installation fordert die App den Zugriff auf das Adressbuch des Geräts. Was für die private Nutzung selbstverständlich und nützlich ist, sorgt bei beruflicher Nutzung für Probleme: Durch die Freigabe des Adressbuchs kann WhatsApp auf sensible Unternehmensdaten zugreifen, die daraufhin bei WhatsApp bzw. dem Mutterkonzern Meta gespeichert werden.

Grafik mit schematischer Darstellung der Vorteile von Mobile Application Management

Funktionen von MAM im Überblick  

Um die Sicherheit der Unternehmensdaten bei der Verwendung von Apps zu gewährleisten, können Unternehmen mit MAM entsprechende Schutzrichtlinien für die Beschaffung und Verwendung von Apps festlegen. Das beinhaltet zum Beispiel:  

  • Konfigurationsrichtlinien für App-Einstellungen
  • Vorgaben für die Authentifizierung für den Zugriff von Apps auf Backend-Ressourcen
  • Definition von Sicherheitsanforderungen für das Öffnen von Unternehmensanwendungen
  • Gewährleistung sicherer Datenfreigabe zwischen Unternehmensanwendungen
  • Abschottung von Unternehmensdaten zu privaten Apps

Besonders relevant ist auch die Einrichtung von App Schutzrichtlinien zum Schutz der Unternehmensdaten. Hier können Richtlinien für die Datenübertragung zwischen Apps, für die Verschlüsselung von Daten oder die Funktionen der App festgelegt werden. Zudem können Zugriffsberechtigungen definiert werden, zum Beispiel die Eingabe einer PIN für die Verwendung der App oder die erneute Anmeldung nach Inaktivität. Sicherheitsanforderungen für die Anmeldung, etwa die Mindestversion des Betriebssystems und der App oder das nötige Gerätemodell können durch die Funktion „Bedingter Start“ definiert werden.  

Daraus ergeben sich wichtige Vorteile für Unternehmen:

  • Schutz vor Datenverlust
  • Überblick und Kontrolle über Anwendungen, die Datenzugriff erhalten
  • Kontrolle über das Einhalten von Schutzrichtlinien
  • Klare Abgrenzung von privaten und Unternehmensdaten
Infografik mit Auflistung der Funktionen eines Mobile Application Managements (MAM)

Zuverlässiger Datenschutz mit Mobile Application Management

Mobile Application Management soll die sichere Nutzung von Apps und Software auf unternehmenseigenen und persönlichen Geräten ermöglichen. Beschreiben lässt es sich dazu auch als abgesicherter Container, in dem Unternehmensdaten verarbeitet und Unternehmensanwendungen genutzt werden können. Dieser Container schottet jedoch nicht nur die Unternehmensdaten von unbefugtem Zugriff von außen ab. Er sorgt auch dafür, dass die Privatsphäre der Mitarbeiter gewährt wird, da kein Zugriff auf private Daten und Apps von Unternehmensseite möglich ist. Die Absicherung funktioniert somit in beide Richtungen. Um maximale Datensicherheit für beide Seiten zu gewährleisten, spielen App Schutzrichtlinien bei BYOD-Geräten eine besonders wichtige Rolle. Sie regeln, wie Mitarbeiter ihre Geräte beruflich sicher nutzen können.

Infografik mit Illustration von App Icons in separaten Containern.

So könnten App-Schutzrichtlinien in der Praxis angewendet werden:

  • Mitarbeiter können sich nur in Microsoft Anwendungen wie Teams oder Outlook anmelden, wenn das Gerät über eine Sperre verfügt.
  • Inhalte aus E-Mails können nicht in die Notizen App oder in WhatsApp kopiert werden.
  • Apps von Drittanbietern wie WhatsApp erhalten keinen Zugriff auf das Adressbuch bzw. Unternehmenskontakte.
  • Eine Anmeldung ist nur für Geräte von bestimmten Herstellern möglich - beispielsweise für Samsung Geräte, nicht aber für Huawei oder Xiaomi Geräte.  
  • In der Outlook App darf nur ein Unternehmenskonto angemeldet sein, jedoch kein privates. Alternativ ist eine klare Abgrenzung der Daten nötig.  
  • Mail-Apps von Drittanbietern wie Gmail oder Apple Mail erhalten keinen Zugriff auf die Unternehmensmails.

So funktioniert MAM mit Microsoft Intune

Microsoft Intune bietet zusätzlich zum Mobile Device Management auch umfassende Funktionen für MAM. Hier gibt es zwei unterschiedliche Einsatzmöglichkeiten:  

  • Den gemeinsamen Einsatz von Intune MDM und MAM, sodass Apps auf registrierten Geräten verwaltet werden können
  • Die Verwaltung von Apps auf nicht registrierten Geräten, beispielsweise im Rahmen von BYOD

Die Verwaltung ist für beide Methoden über das Microsoft Intune Admin Center möglich, es können jedoch individuelle Richtlinien und Anforderungen für unterschiedliche Geräte oder Gerätegruppen definiert werden. Diese MAM Funktionen umfasst Microsoft Intune im Überblick:  

  • Hinzufügen von Apps und Zuweisung zu registrierten Benutzern und Geräten
  • Überwachung von App-Zuweisungen
  • Erforderliche Apps anhand festgelegter Sicherheitsstandards auf registrierten Geräten installieren
  • Optionale Apps über das Intune Unternehmensportal installieren
  • Apps aktualisieren

Unter bestimmten Bedingungen ist auch die Installation von Inhouse Apps sowie von Weblinks möglich. Außerdem gibt es einige Funktionen, die nur bei bestimmten Betriebssystemen verfügbar sind. So können zum Beispiel bei iOS, iPadOS oder Android (Enterprise) Geräten App-Schutzrichtlinien und Konfigurationsrichtlinien für das Starten von Apps erstellt werden oder Apps Geräten zugewiesen werden, die nicht über Intune registriert sind. Bei macOS oder Windows Geräten sind diese Funktionen nur für registrierte Geräte verfügbar.  

Screenshot vom Microsoft Intune Admin Center.

Bereitgestellt werden können die Apps für registrierte Geräte über den zum Gerät gehörigen App-Store, aus dem Web, als selbst entwickelte App oder in Form von Lizenzen über ein Volume Purchase Program (VPP). Im letzten Fall werden mehrere Lizenzen für eine App durch das Unternehmen erworben und können direkt zu Geräten zugewiesen werden. Sie müssen also nicht vom Benutzer selbst installiert werden. Für die App-Bereitstellung für BYOD-Geräte kommt oft das Intune Unternehmensportal zum Einsatz. Hier können Unternehmen definieren, welche Apps vertrauenswürdig sind und für die berufliche Nutzung installiert werden dürfen. Mitarbeiter laden die Apps über die Website des Unternehmensportals oder über die App herunter – nur diese Apps erhalten dann Zugriff auf Unternehmensdaten.

Best Practices in der Implementierung von MAM im Überblick

  • Anforderungen an die MAM Lösung definieren, bspw. unterstützte Betriebssysteme
  • Auswahl der passenden Lösung
  • Strukturierung unterschiedlicher Gerätetypen, z.B. BYOD oder unternehmensintern
  • Festlegen von App-Richtlinien
  • Zuordnung der Richtlinien zu entsprechenden Gerätetypen
  • Bereitstellung der Apps auf den Geräten  

Der richtige Weg für mehrstufigen Schutz: von MAM zu MDM

Mobile Application Management spielt eine wichtige Rolle für den Schutz von Unternehmensdaten und die sichere Verwendung von Apps auf unternehmenseigenen sowie persönlichen Geräten der Mitarbeiter. Es bietet die Möglichkeit, Apps zu verwalten, zu konfigurieren und Sicherheitsrichtlinien für Verwendung und Datenaustausch zu definieren. Um nicht nur einen sicheren Zugriff auf Apps, sondern auch eine vollständig sichere Verwendung von mobilen Geräten zu ermöglichen, sollte das MAM durch MDM ergänzt werden. Unternehmen behalten damit Überblick und Kontrolle über unternehmenseigene und BYOD-Geräte und ermöglichen die sichere remote Zusammenarbeit.  

ÜBER DEN AUTOR / DIE AUTORIN

Tobias Linden

Seit 2019 ist Tobias als Geschäftsführer bei der computech GmbH im Bereich Marketing, Produktentwicklung und New Business Development tätig. Aufgrund seiner beruflichen Erfahrung im Bereich Design und Marketing, insbesondere im UX/UI Design, liegt Tobias die Arbeit mit Menschen zur Schaffung von digitalen Lösungen am Herzen. Im firmeneigenen Blog teilt er Tipps, Erfahrungen und Einblicke aus dem prozessorientierten IT Bereich, um Digitalisierung zugänglicher und verständlicher zu machen.