ADMIN

2022

12

2022-11-29T12:00:00

Clientmanagement und Support

SCHWERPUNKT

075

Clientmanagement

Remoteverbindung

Android-Geräte aus der Ferne steuern

Auf Empfang

von Martin Loschwitz

Veröffentlicht in Ausgabe 12/2022 - SCHWERPUNKT

Smartphones und Tablets sind aus dem digitalen Alltag nicht mehr wegzudenken. Für Admins stellen mobile Geräte hingegen eine besondere Herausforderung dar. Besonders für Android-Devices gestalten sich Überwachung und Steuerung aus der Ferne recht komplex und divers. Unsere Übersicht zeigt, wie sich mit Googles hauseigenen Werkzeugen und einem exemplarisch ausgewählten Drittanbietertool eine umfassende Policy-Verwaltung auf Android durchsetzen lässt.

Als Steve Jobs am 9. Januar 2007 das erste iPhone offiziell vorstellte, konnte sich vermutlich niemand vorstellen, welche Revolution der Konzern damit lostreten würde. Heute sind die digitalen Begleiter überall und aus dem Alltag kaum mehr wegzudenken. Regelmäßig übernehmen sie dabei Funktionen, die früher klassischen Computern vorbehalten waren. So ist es heute vielerorts Usus, auf E-Mails schnell von unterwegs per Smartphone zu antworten, Nachrichten online zu lesen und einen großen Teil der eigenen Kommunikation auf diesem Wege abzuwickeln.
Anbieter in Not
Was aus Anwendersicht praktisch ist, stellt Unternehmen vor massive Herausforderungen, sind die schlauen Devices der eigenen Mitarbeiter doch immer auch so etwas wie eine tickende Zeitbombe. Denn ein Smartphone kann schnell abhandenkommen – Diebstahl und das Verlieren halten sich nach aktuellen Statistiken dabei die Waage. Ein Android-Telefon stellt in den falschen Händen sowohl in Sachen Datenschutz als auch in Sachen IT-Sicherheit ein echtes Risiko dar und wird unter falscher Kontrolle schnell zur Waffe. Denn wer Zugangsdaten vom Gerät absaugt, bekommt möglicherweise Zugriff auf andere, sensible Infrastrukturen.
Den Herstellern der großen mobilen Betriebssysteme, also Apple und Google, sind diese Probleme durchaus bewusst. Weil iOS-Geräte im Gegensatz zu Android durchgehend einheitliche Schnittstellen bieten, hat Apple es an dieser Stelle aber deutlich leichter, Unternehmen Tools gegen das Abhandenkommen von Daten an die Hand zu geben. Entsprechende Dienste zur Fernwartung bietet Apple selbst für relativ kleines Geld an. Das bedeutet aber nicht, dass die Administratoren mit großem Android-Gerätezoo komplett im Regen stehen. Auch für sie gibt es Werkzeuge, um Android-Smartphones und Tablets aus der Ferne zu administrieren und zu steuern, zum Teil von Google selbst und zum Teil von Drittanbietern.
Als Steve Jobs am 9. Januar 2007 das erste iPhone offiziell vorstellte, konnte sich vermutlich niemand vorstellen, welche Revolution der Konzern damit lostreten würde. Heute sind die digitalen Begleiter überall und aus dem Alltag kaum mehr wegzudenken. Regelmäßig übernehmen sie dabei Funktionen, die früher klassischen Computern vorbehalten waren. So ist es heute vielerorts Usus, auf E-Mails schnell von unterwegs per Smartphone zu antworten, Nachrichten online zu lesen und einen großen Teil der eigenen Kommunikation auf diesem Wege abzuwickeln.
Anbieter in Not
Was aus Anwendersicht praktisch ist, stellt Unternehmen vor massive Herausforderungen, sind die schlauen Devices der eigenen Mitarbeiter doch immer auch so etwas wie eine tickende Zeitbombe. Denn ein Smartphone kann schnell abhandenkommen – Diebstahl und das Verlieren halten sich nach aktuellen Statistiken dabei die Waage. Ein Android-Telefon stellt in den falschen Händen sowohl in Sachen Datenschutz als auch in Sachen IT-Sicherheit ein echtes Risiko dar und wird unter falscher Kontrolle schnell zur Waffe. Denn wer Zugangsdaten vom Gerät absaugt, bekommt möglicherweise Zugriff auf andere, sensible Infrastrukturen.
Den Herstellern der großen mobilen Betriebssysteme, also Apple und Google, sind diese Probleme durchaus bewusst. Weil iOS-Geräte im Gegensatz zu Android durchgehend einheitliche Schnittstellen bieten, hat Apple es an dieser Stelle aber deutlich leichter, Unternehmen Tools gegen das Abhandenkommen von Daten an die Hand zu geben. Entsprechende Dienste zur Fernwartung bietet Apple selbst für relativ kleines Geld an. Das bedeutet aber nicht, dass die Administratoren mit großem Android-Gerätezoo komplett im Regen stehen. Auch für sie gibt es Werkzeuge, um Android-Smartphones und Tablets aus der Ferne zu administrieren und zu steuern, zum Teil von Google selbst und zum Teil von Drittanbietern.
Googles eigene Werkzeuge
Den Einstieg in die Welt der Fernwartung für Android macht Google selbst. Der Hersteller kennt sein Betriebssystem schließlich am besten – und nicht erst seit Kurzem beschäftigt er sich aktiv mit der Frage, wie Android-Geräte sich effizient gegen unterschiedliche Formen des Missbrauchs schützen lassen. Der Dreh- und Angelpunkt dabei ist Googles Android-Device-Policy-Framework, das allerdings mit einer unschönen Einschränkung daherkommt: Es lässt sich nur nutzen, wenn ein Unternehmen Google Workspace verwendet, also die cloudbasierte Office-Umgebung des Unternehmens. Das wiederum produziert laufende Kosten pro vorhandenem Account. Das Gespann aus Android und der Android Device Policy ist jedoch zu mächtig, um es in diesem Beitrag außen vor zu lassen.
Wer bereits Kunde mit einem Business-Account bei Google Workspace ist, bekommt das Management von Android-Geräten als Teil des Gesamtpakets. Technisch funktioniert das Prinzip so, dass einerseits auf Googles Servern Dienste laufen, die aus der Ferne mit anderen Android-Geräten kommunizieren können. Andererseits gibt es auf den zu verwaltenden Geräten eine App namens "Android Device Policy", die als kommunikatives Gegenstück für Googles Fernwartungsdienste zum Einsatz kommt. Die Installation der Device-Policy-Anwendung bedingt, dass der Nutzer der App weitgehende Berechtigungen einräumt. So ist sichergestellt, dass sich ein Android-Gerät im Falle eines Verlusts oder eines Diebstahls aus der Ferne zuverlässig zurücksetzen lässt.
Die Android Device Policy beherrscht darüber hinaus aber noch eine Vielzahl weiterer Funktionen. Anwender, die einer Richtlinie unterworfen sind, müssen de facto davon ausgehen, dass Android sie permanent überwacht, auf Befehle aus der Ferne lauscht und etwa auch den jeweiligen Standort eines Gerätes aufzeichnet. Dass dabei Informationen aufgezeichnet werden, die nach den deutschen Datenschutz- und Arbeitsrechtsbestimmungen so eigentlich gar nicht entstehen dürfen, ist die Kehrseite der Medaille und macht Googles Angebot hierzulande nur schwer nutzbar.
Wer auf seinem Gerät eine Android Device Policy aktiviert, muss sich jedenfalls im Klaren darüber sein, dass er nicht mehr vollständig Herr über das jeweilige Device ist. Verschiedene Regeln im Hinblick auf zu setzende Passwörter lassen sich per Policy nämlich ebenso festlegen wie die erzwungene Verschlüsselung des gesamten Geräts und im Hinblick auf die Installation von Anwendungen. Wer seinen Nutzern wirklich enge Ketten anlegen möchte, unterbindet etwa per Policy die Installation von Apps aus Google Play grundsätzlich oder gibt eine Liste von Anwendungen vor, die ausschließlich erlaubt sind. Viele Unternehmen greifen zu derartig rigorosen Mitteln, um die Installation von Schadsoftware zu unterbinden.
Loslegen mit der Device Policy
Die gute Nachricht ist: Wer bereits bei Google Workspace aktiver Nutzer oder sogar Administrator ist, kann die Android Device Policy ohne zusätzlichen Aufwand installieren und in Workspace aktivieren. Dazu genügt es, auf dem Android-Gerät selbst die App "Android Device Policy" aus dem Playstore zu installieren.
In der Administrationskonsole von Google Workspace begeben Sie sich danach zum Menüpunkt "Geräte / Mobilgeräte und Endpunkte / Einstellungen", um die verschiedenen Konfigurationsoptionen für die Android Device Policy festzulegen. Es ist zum Beispiel möglich, Smartphones und Tablets mit Android den Zugriff auf Google Workspace komplett zu untersagen, falls das Gerät nicht per Device Policy der in Google angelegten Organisation unterworfen ist. Sobald der Nutzer dann die Google-Dienste auf seinem Endgerät verwenden möchte, erhält er eine Fehlermeldung, die ihn über den Nutzungszwang der Android Device Policy aufklärt.
Ist ein Gerät einmal an die Android Device Policy angebunden, stehen die allermeisten anderen Funktionen unmittelbar in der Geräteliste im Admin-Panel zur Verfügung. Dazu navigieren Sie unter "admin.google.com" links zu "Geräte / Mobilgeräte und Endpunkte / Geräte" und wählen per Klick zunächst dasjenige Gerät aus, um das es gehen soll. Dann steht im linken Teil des Bildschirms – per Hamburger-Menü erreichbar – die Option zum Löschen des Geräts aus der Ferne (Bild 1). Darüber hinaus sehen Sie sofort, wie es um den Zustand des Systems bestellt ist, etwa welche Android-Version zum Einsatz kommt, ob das Gerät verschlüsselt ist und so weiter.
Bild 1: Googles Android Device Policy ermöglicht grundsätzliche Fernwartungsfeatures für Android, etwa das Löschen des Gerätes aus der Ferne.
Wer sich durch die diversen Einstellungen der Admin-Konsole schleppt, merkt aber bald auch, dass das kaum wirklich angenehm und komfortabel ist. Die Android Device Policy gilt als Werkzeugbox mit zuverlässiger Grundfunktionalität. Wer feiner granulierte Regelwerke umsetzen will oder Features braucht, die Google selbst nicht anbietet, muss auf Software einer anderen Firma zurückgreifen.
Großer Markt bei Drittanbietertools
Wenn die Fähigkeiten von Googles eigenem Werkzeug den eigenen Ansprüchen und der Compliance nicht genügen, gibt es entsprechende Software von Drittanbietern. Und das in Hülle und Fülle: Über 30 entsprechende Suites finden sich allein auf SourceForge, und da sind viele der großen kommerziellen Tools noch gar nicht mitgezählt. Aus Administratorsicht macht das das Leben nicht unbedingt leichter, denn bevor ein Gerät unter die Ägide der zentralen Verwaltung gestellt werden kann, steht zunächst die Auswahl eines geeigneten Produkts auf dem Programm. Es würde an dieser Stelle den Rahmen dieses Artikels sprengen, auf alle Angebote einzugehen.
Unser Artikel verdeutlich deshalb einige zentrale Operationen anhand des Mobile Device Manager Plus (MDMP) [1] der Firma ManageEngine. Zuvor sind aber noch ein paar Hinweise angebracht, nach welchen Kriterien eine Firma die für sich passende Software idealerweise auswählt. Zunächst stellt sich natürlich die Frage, welche Geräte aus der Ferne steuerbar sein sollen. MDMP administriert auf Wunsch nicht nur Android-Geräte, sondern kann auch iOS verwalten ebenso wie macOS, Windows, ChromeOS und die diversen Abwandlungen der mobilen Betriebssysteme, etwa iPadOS sowie tvOS. Das ist eine ganze Menge Funktionalität, die sinnvoll aber nur dann zu nutzen ist, wenn entsprechende Geräte auch vorhanden und zu verwalten sind.
Wer wirklich nur Android nutzen möchte, findet schlankere Tools am Markt. Weitere technische Faktoren spielen eine Rolle: MDMP ist als Serveranwendung sowohl auf eigener Infrastruktur als auch gehostet verfügbar. Andere Dienste funktionieren nur webbasiert, sodass eine lokale Installation nicht nötig oder möglich ist. Gerade KMU sind mit solchen Angeboten oft besser bedient, weil nicht noch Infrastrukturarbeit für den Betrieb der Software anfällt – ganz ähnlich, wie es bei Android Device Policy der Fall ist. Und last but not least spielt natürlich der Preis eine entscheidende Rolle. Die tollste Software hilft nicht, wenn ein Unternehmen sie sich nicht leisten kann oder wenn sie ob eines riesigen Funktionsumfangs so teuer ist, dass ihr Einsatz in keinem vernünftigen Kosten-Nutzen-Verhältnis stünde.
Mobile Device Management Plus stellt einen gelungenen Mix aus diesen Features dar. Die Nutzung der gehosteten Webkonsole geht leicht von der Hand, und die Administration von bis zu 25 Geräten ist sogar kostenlos. Danach sind die Preise gestaffelt: Wer über die cloudbasierte Variante bis zu 100 Clients steuern will, zahlt jährlich 1195 US-Dollar. Bis zu 1000 Geräte schlagen – mit einigen Zwischenstufen – mit 9145 US-Dollar pro Jahr zu Buche. MDMP unterscheidet noch zwischen der Standard- und der Professional-Edition. Letztere kommt mit eigenen Preisen daher und ist deutlich teuer, bietet dafür aber Features, die im Corporate-Kontext interessant sind.
Bild 2: Über Googles Admin-Konsole lassen sich einzelne Android-Clients per Device Policy von der Nutzung der Google-Dienste ausschließen. Ein komplettes Mobile Device Management bietet die Android Device Policy jedoch nicht.
Erste Schritte mit der Geräteverwaltung
Ist die Entscheidung für ein Produkt gefallen, gestaltet sich der administrative Ablauf bei den meisten Werkzeugen recht ähnlich. Die erste Phase ist stets das so genannte Enrollment. Das ist der Arbeitsschritt, bei dem die mobilen Endgeräte per Software mit dem jeweiligen Verwaltungsdienst verbunden werden, sodass sich Befehle und Regeln auf ihnen seitens der Managementsoftware unmittelbar ausführen lassen. In der Mehrzahl der am Markt verfügbaren Tools gibt es für diese Aufgabe eine kleine App, die unmittelbar aus dem App-Store oder dem Play-Store für das jeweilige OS zu installieren ist. Anders geht es bei vielen Zielgeräten ja ohnehin nicht, weil es nicht gewünscht ist, den Root-Zugang zu aktivieren oder Apps per Sideloading zu installieren. Denn das wäre das genaue Gegenteil dessen, was die meisten Sicherheitskonzepte für Android ab Werk vorsehen.
Das ManageEngine-System ist von diesem Ablauf keine Ausnahme. Solange ein Gerät die passende Software aus dem Play-Store nicht installiert hat, handelt es sich um ein "normales", handelsübliches Android. Aus Sicht des Unternehmens, das die Managementsoftware ausrollt, ist das eine relevante Information, beeinflusst sie doch die Art und Weise, wie die Ausgabe von Smartphones und Android-Geräten im Unternehmen geregelt sein muss. Geräte für neue Kollegen etwa müssen bei diesem Ansatz erst die IT-Abteilung durchlaufen und durch diese entsprechend vorbereitet werden. Ist dieser Schritt erfolgreich abgeschlossen, lassen sich mittels MDMP auf dem Zielgerät verschiedenste Funktionen nutzen.
Kuratierte Apps und Lizenzmanagement
So wird es etwa möglich, die Flotte der eigenen Android-Geräte nicht nur mit Apps aus dem offiziellen Google Play zu betanken, sondern auch einen eigenen App Store mit kuratierten Anwendungen auf die Geräte zu bringen (Bild 4). Das kann nützlich sein, um die Auswahl der verfügbaren Apps einzuschränken, indem der Admin den Zugriff auf Google Play per Policy-Vorgabe unterbindet.
Das Prinzip hilft aber ebenso dabei, Apps zu verteilen, die von Drittanbietern kommen und die im offiziellen Store gar nicht zur Verfügung stehen. Was wenigen Administratoren klar ist: Grundsätzlich lässt sich auch auf Ebene von Apps in Android ein Lizenzmanagement etablieren, sodass Software sich bis hin zum einzelnen Endgerät zielgerichtet provisionieren und mit einer validen Lizenz versehen lässt. Angebote wie MDMP bieten dabei das Lizenzmanagement gleich als Teil des eigenen Leistungsumfangs an, übernehmen das Ausrollen der Lizenzen also ohne weiteres Zutun des Administrators nach der Erstkonfiguration.
Hinsichtlich der Frage, wie Apps den Weg zu ihren Nutzern finden, bieten die meisten Managementwerkzeuge aber noch weitere nützliche Features an. Regelmäßig kommt es etwa vor, dass die neue Version einer zentralen Software erst von einer kleinen Gruppe von Anwendern getestet werden soll, bevor der Rollout für das gesamte Unternehmen geschieht. Auch hier ist ein separater App Store das Mittel der Wahl, um den Impact Radius bei defekten Updates so gering wie möglich zu halten.
Was dabei übrigens von zentraler Bedeutung ist: Sobald ein Gerät dem Management eines Verwaltungswerkzeugs unterworfen ist, lässt sich Software darauf unabhängig vom Anwender installieren oder deinstallieren. Hier ergibt die Arbeit mit Profilen Sinn. Das Standardprofil etwa kann alle Anwendungen umfassen, die im Rahmen der Arbeit für ein Unternehmen unbedingt notwendig sind – 2FA-Software, E-Mail-Clients oder spezielle Anwendungen anderer Anbieter.
Bild 3: Software wie der Mobile Device Manager Pro bieten zahlreiche Möglichkeiten zur Manipulation von Android aus der Ferne, inklusive statistischer Daten und gut zu verstehender Dashboards.
Profile als Schlüsselfaktor
Nahezu sämtliche Android-Manager implementieren auf Ebene von Android kaum eigene Funktionalität, sondern greifen im Wesentlichen auf die in Android zurück. Eine zentrale Rolle spielen dabei Konfigurationsprofile, mit denen sich App-Einstellungen übergeben lassen, aber noch viel mehr Konfigurationsdetails. Hiervon machen Unternehmen vor allem im Kontext der Themen Sicherheit und Compliance regelmäßig Gebrauch.
Per Profil lässt sich etwa erzwingen, dass Anwender ihre Passwörter für den Zugriff auf die Daten eines Android-Gerätes regelmäßig ändern. Konfigurationsprofile für WLAN-Netzwerke sind auf diesem Wege ebenfalls vorkonfigurierbar. Ein auf diese Weise vorbereitetes Android-Gerät kann sich automatisch in das WLAN-Netz eines Unternehmens einloggen, ohne dass der Nutzer dafür noch irgendwelche Einstellungen vornehmen müsste. Stehen Änderungen an der zentralen WLAN-Konfiguration an, lassen diese sich per MDM auf die Devices ausliefern.
Ähnliches gilt für VPN-Profile. Etliche Unternehmen haben ihre eigene Infrastruktur nach Maßstäben früherer IT-Sicherheitsarchitekturen hermetisch von der Außenwelt abgeschottet. Der Zugriff auf den zentralen Mailserver ist dann zum Beispiel nur per VPN möglich. Dieses wiederum lässt sich per Mobile Device Management (MDM) bequem auf den ausgeteilten Geräten vorkonfigurieren. Dieser Faktor spielt auch eine Rolle, weil er den Aufwand im eigenen IT-Support signifikant reduziert. Leidgeprüfte Admins wissen, dass selbst die beste Anleitung regelmäßig dazu führt, dass Benutzer zwar kein funktionierendes Setup haben, dafür aber viel Stress mit ihrem Gerät. Die zentral ausgelieferten Konfigurationsprofile verhindern die dabei meist ursächlichen Probleme bereits im Entstehen.
Bild 4: Paradedisziplin von MDM-Werkzeugen ist das Anbieten kuratierter Software in Form eines eigenen App-Stores. So stellen Unternehmen sicher, dass auf den Dienstgeräten nur bestimmte Anwendungen zum Einsatz kommen.
Verschlüsselung erzwingen
Die meisten bis hierhin beschriebenen Maßnahmen zielen darauf ab, die Übernahme eines Gerätes durch schadhafte Anwendungen zu verhindern. Dabei bleibt ein Angriffsvektor außen vor, nämlich jener, in dem ein Angreifer physischen Zugriff auf das Gerät hat. Die Zahl derer, denen ein Smartphone gestohlen worden oder verlustig geraten ist, dürfte mittlerweile höher sein als die Zahl jener, die das Problem noch nie hatten – und ein unverschlüsseltes Gerät lässt sich mit den entsprechenden Werkzeugen leicht und unkompliziert auslesen.
MDM zielt deshalb auch darauf ab, genau das zu verhindern, indem es Verschlüsselung auf verschiedenen Ebenen des Betriebssystems einsetzt. Wichtig ist dabei vor allem die Datenpartition sowie eventuell vorhandene Speicherkarten, die als Erweiterung des hardwareseitigen Storages zum Einsatz kommen. Wenn hier die Daten verschlüsselt liegen, sind sie im Falle von entwendeten Smartphones für den Angreifer wertlos. Und eben das lässt sich per mobilem Gerätemanagement gut erzwingen.
Hinzu kommen die absoluten Basics, die eigentlich als selbstverständlich gelten sollten, die aber viele Unternehmen aus Bequemlichkeit noch immer ignorieren – etwa die Notwendigkeit, das Betriebssystem per Code oder Muster vor dem Zugriff durch andere zu schützen. Tatsächlich deaktivieren viele Nutzer noch immer diese Funktion, was zu echten Problemen führen kann. Die DSGVO sieht schließlich vor, dass personenbezogene Daten nach gängigen Standards zu schützen sind. Welche das sind, legt die DSGVO zwar im Detail nicht fest. Doch dürften Datenschützer hellhörig werden, wenn ein Unternehmen zugeben muss, dass ein Mobiltelefon mit Kundendaten aus dem Unternehmen entwendet worden ist, das vor Zugriff gar nicht durch PIN oder Muster geschützt war.
Zentralisierte Updateverwaltung
Last but not least sollte das Thema Softwareupdates nicht unter den Tisch fallen. Denn auch hier spielen sich in vielen Firmen die wildesten Dinge ab – der Autor dieses Artikels etwa diskutierte neulich mit einem Bekannten über dessen Diensttelefon, auf dem ein heillos veraltetes Android 9 lief. Oft genug besteht das Problem dabei gar nicht darin, dass Updates nicht verfügbar wären. Aus Angst, die Funktionalität des Gerätes zu stören, installieren viele Nutzer Updates aber gar nicht erst. Gerade dadurch werden die jeweiligen Geräte jedoch angreifbar.
Mobiles Gerätemanagement schiebt dieser Unsitte erfolgreich einen Riegel vor, wobei mehrere Spielarten zur Auswahl stehen. MDMP etwa lässt sich so einstellen, dass es verfügbare Android- oder App-Updates auf den Clients erzwingt installiert. Wer so brutal dann doch nicht vorgehen möchte, kann stattdessen den Zugriff auf zentrale Dienste auf bestimmte Android-Versionen beschränken. Der E-Mail-Client zum Beispiel gibt dann nur noch eine Fehlermeldung aus, und zwar so lange, bis das jeweils letzte verfügbare Android-Update installiert ist. Das genannte Vorgehen dürfte in den meisten Fällen hinreichende Anreize für Anwender schaffen, ihre Software zumindest einigermaßen aktuell zu halten.
Fazit
Laissez-Faire im Unternehmenskontext lässt sich mit Android-Endgeräten ebenso wenig durchhalten wie mit iOS-Geräten, doch liefert Google ab Werk deutlich weniger Optionen für zentralisiertes Gerätemanagement als die Firma mit dem Apfel. Wer eine Flotte von Android-Devices zentralisiert verwalten möchte, wird sich vermutlich mit dem Werkzeug eines Drittanbieters anfreunden müssen, die am Markt in großer Zahl zur Verfügung stehen. Ein Selbstläufer ist das Thema aber nicht: Vorbereitung ist nötig, und ganz am Anfang sollte wie immer das Festlegen des eigenen Bedarfs stehen.
(ln)
Link-Codes
[1] ManageEngine Mobile Device Management Plus: https://www.manageengine.de/produkte-loesungen/desktop-mobile-devices/mobile-device-manager-plus.html