12.01.2016

Sophos Mobile Control 6.0 – Content, Container & mehr

Ende 2015 veröffentlichte Sophos mit der Version 6.0 ein Major Release seiner MDM (Mobile Device Management)-Lösung. Neben üblichen Neuerungen lag der Fokus auf der Containerfunktion, die eine saubere Trennung von privaten und Firmendaten auf Mobilgeräten ermöglicht.

Sophos Container

Mittlerweile haben viele der großen Anbieter auf dem MDM-Markt, wie MobileIron oder AirWatch, eine Containerlösung im Einsatz. Diese Variante ist aktuell die eleganteste Möglichkeit, sensible Firmendaten mobil zur Verfügung zu stellen, die Sicherheit derselben zu gewährleisten und zudem den User dazu zu ermuntern, das Mobilgerät tatsächlich zu verwenden, indem ihm die private Nutzung erlaubt wird und so beispielweise ein zweites Smartphone unnötig wird.

Im Detail wird auf dem Gerät ein verschlüsselter Bereich eingerichtet, welcher zusätzlich durch einen PIN-Code geschützt ist und nicht (oder nur sehr eingeschränkt) mit der nicht geschützten Smartphonekomponente kommunizieren darf. So kann der Mitarbeiter problemlos den Rest des Geräts privat nutzen und auch sicherheitstechnisch bedenkliche Apps wie Facebook und WhatsApp installieren oder auf Cloud-Dienste zugreifen. Außerdem kann der Container mittels Geofencing (Verwendung nur in einem vorher definierten geografischen Gebiet), zeitgesteuertem Zugriff und Beschränkung auf bestimmte WLAN-Netze weiter abgesichert werden.

Aktuell ist es mit von Sophos bereitgestellten Apps möglich, die PIM (Personal Information Manager)-Funktion, also E-Mails, Kontakte und Kalender, sowie den Zugriff auf firmeninterne Daten und einen Corporate Browser zur Verfügung zu stellen. Dies funktioniert auf allen gängigen Mobilgeräten mit den Betriebssystemen iOS und Android, derzeit leider noch nicht auf Windows Phones.

Secure Email

Mithilfe dieser App, welche wie alle anderen von Sophos auch frei verfügbar ist (App Store für iOS beziehungsweise Google Play Store für Android), kann der User auf seine E-Mails, Kontakte und den Kalender zugreifen. Für ihn transparent wurde ein Profil auf dem Gerät installiert, welches die entsprechenden Informationen vom E-Mail-Server (wie MS Exchange oder Lotus Traveler) mithilfe seiner Benutzerkennung abholt.

E-Mail-Anhänge werden in der App selber geöffnet (gängige Dateien wie Word, Excel, PDF, PowerPoint und Bildformate werden unterstützt) oder können auch, falls vom Administrator erlaubt, in eine externe App geladen werden.

Kontakte können lokal auf das Gerät kopiert werden, damit die Telefon-App Zugriff auf diese erhält, da bei einem Anruf ansonsten anstatt der Kontaktinformationen nur die entsprechende Nummer angezeigt wird, was im Arbeitsumfeld oft unpraktisch ist. Diese übertragenen Kontakte enthalten aber lediglich den jeweiligen Namen und die Nummer, alle weiteren Details verbleiben im Container. Diese Funktion kann auf Wunsch auch untersagt werden.

Secure Workspace 

Der Benutzer kann über diese App auf verschlüsselte Daten eines Cloud-Dienstes (wie Dropbox, Google Drive oder OneDrive) und firmeneigene Daten, die vom Administrator bereitgestellt werden, zugreifen oder den integrierten Corporate Browser nutzen.

Daten können heruntergeladen und lokal im Container abgespeichert werden. Auch ist es möglich, übliche Dateiformate wie Word, Excel oder PowerPoint rudimentär zu bearbeiten, da die App einen entsprechenden Editor integriert hat. Ein praktisches Anwendungsbeispiel hierfür ist die Reise zu einem Meeting, wo im Zug über das Mobilgerät die neueste Präsentation heruntergeladen und falls nötig auch angeglichen werden kann.

Über den Corporate Browser kann man dem Mitarbeiter mithilfe konfigurierbarer Bookmarks den Zugriff auf interne Webseiten erleichtern. Hier ist es ebenfalls möglich einzustellen, ob Copy & Paste erlaubt ist, ob Inhalte von anderen Anwendungen geöffnet werden können und ob der User seinen Benutzernamen und sein Passwort für eine Domäne hinterlegen darf.

Außerdem kann man ein Clientzertifikat einspielen, um die Authentifizierung für bestimmte Ressourcen wie eine Firewall oder einen Reverse Proxy zu gewährleisten.

Sicherheit

Tritt ein Richtlinienverstoß ein (Jailbreak, Installieren einer verbotenen App, Entfernen einer erforderlichen App, Version der Sophos App oder des Betriebssystems zu alt), so wird der Zugriff auf den Container gesperrt. Der User bekommt beim Öffnen der relevanten Apps eine Fehlermeldung, dass die Benutzung aufgrund von Sicherheitsbestimmungen nicht erlaubt ist. So werden Integrität und Schutz der Firmendaten im Problemfall sichergestellt.

Außerdem bekommt der Mitarbeiter über die Control App mitgeteilt, warum die Sperrung des Containers erfolgte, und er kann entsprechende Gegenmaßnahmen einleiten (zum Beispiel die verbotene App deinstallieren). Danach kann der Container wieder in vollem Umfang verwendet werden.

Wichtige neue Features

Auch wenn die Implementierung des Containers den entscheidenden Aspekt dieser Version darstellt, so hat sich Sophos auch um einige interessante Neuerungen gekümmert:

Es ist dem Administrator jetzt durch den Device Enrollment Wizard auf einfache Weise möglich, selbstständig für Mitarbeiter Geräte auszurollen, da es nicht mehr erforderlich ist, dass die E-Mail für die Registrierung an den Mitarbeiter selbst geschickt wird und dieser den Prozess auf dem Mobilgerät einleitet.

Werden Profile, die bereits auf Mobilgeräte verteilt wurden, geändert, so mussten diese bisher manuell neu auf den entsprechenden Geräten installiert werden. Jetzt erhält man eine Aufforderung, die Profile auf allen betroffenen Geräten zu aktualisieren, was die Bedienung und Transparenz vereinfacht. 

Neben Samsung können jetzt auch Android-Geräte der Hersteller Sony und LG über ihre entsprechenden APIs (Programmierschnittstellen) angesprochen werden, was erheblich bessere Konfigurationsmöglichkeiten mit sich bringt. 

Auch ist es dem Administrator auf überwachten („supervised“) Apple-Geräten jetzt möglich, Apps über die Konsole zu installieren, auch wenn der App Store für den User gesperrt ist. Dies ist im Fall von reinen Firmengeräten mit hoher Sicherheitsstufe ein großer Zugewinn, da die wichtigen Apps auf dem Mobilgerät nun Updates erhalten können, was vorher nicht oder nur mit größerem Aufwand möglich war.

Alle weiteren Änderungen, die die Version 6.0 mit sich bringt, können Sie unter folgendem Link einsehen: https://community.sophos.com/kb/en-us/122938

Ein großer Schritt nach vorne

Durch die Einführung des Containers hat Sophos zu den größten Konkurrenten aufgeschlossen und kann seine Lösung zukunftssicher auf dem Markt platzieren – wenn die Entwicklung dieses für Sophos noch neuen Themas konsequent weitergeführt wird. So fehlt immer noch ein eigenes Tunneling, das den Zugriff von extern auf nicht veröffentlichte interne Ressourcen ermöglicht (was dem Corporate Browser und den Unternehmensdaten deutlich mehr Einsatzmöglichkeiten geben würde) und einige granular einstellbare Konfigurationen würden dem Produkt auch nicht schaden.

Auf jeden Fall ist Sophos auf dem richtigen Weg und man darf gespannt sein, was die Lösung in Zukunft bieten wird.

Julian Wening
Consultant

Unsere Blogs