Cortado Mobile Solutions

Meine Tickets
Willkommen
Anmelden

So machen Sie Android-Geräte mit Arbeitsprofil sicher für Ihr Unternehmen

Möchten Sie Nutzern die Verwendung ihrer privaten Android-Geräte im Unternehmen gestatten (BYOD), können Sie dafür ein Arbeitsprofil auf einem Gerät konfigurieren. Damit die Privatsphäre der Nutzer gesichert wird, ist der Zugriff über die Managementkonsole auf ein solches Gerät nur eingeschränkt möglich. Wie Sie die Unternehmensdaten auf privaten Android-Geräten mit Arbeitsprofil dennoch bestmöglich schützen, erfahren Sie in diesem Artikel.

Rooting von Android-Geräten verhindern

Installation einer benutzerdefinierten OS-Version verhindern

Löschen des Arbeitsprofils, zurücksetzen auf Werkseinstellungen

Nutzer erinnern, Sicherheits-Patches installieren

Installation von Apps verhindern, die nicht aus dem Play Store stammen

Installation von nicht vertrauenswürdigen Zertifikaten

Versehentliches browsen auf Phishing-Webseiten verhindern

Rooting von Android-Geräten verhindern

Als Rooting wird bei Android der Prozess bezeichnet, bei dem ein Root-Konto (Superuser) Zugriff auf das komplette System inklusive aller Ressourcen erlangt. Deshalb ist der Root-Zugriff bei allen Android-Geräten standardmäßig deaktiviert. Gerootete Geräte sind in einer Unternehmensumgebung unerwünscht, da Unternehmensdaten auf solchen Geräten offengelegt werden können. Deshalb muss sichergestellt werden, dass keine bereits gerooteten Geräte Zugriff auf die Unternehmensanwendungen und -dienste erlangen. Außerdem muss das nachträgliche Rooting bereits angemeldeter Geräte verhindert werden.

Konfigurieren Sie die SafetyNet-Überprüfung von Google. Aktivieren Sie unter Basic Integrity failure action die Option Wipe. Sobald der SafetyNet-Check ein gerootetes Gerät erkennt, wird der Registrierungsprozess abgebrochen und das Arbeitsprofil nicht installiert. Alle Daten, das Arbeitsprofil betreffend werden vom Gerät gelöscht. Somit wird bereits die Installation des Arbeitsprofils auf gerooteten Geräten unterbunden.

Cortado fragt während der Installation des Arbeitsprofils und danach alle 10 Minuten bei Google ab, ob Sicherheitsverstöße auf dem Gerät vorliegen. Wird ein Rooting des Gerätes nach der Konfiguration des Arbeitsprofils durchgeführt, greift der Google SafetyNet-Check also auch in diesem Fall, vorausgesetzt bei Basic Integrity failure action wurde die Option Wipe aktiviert.

Installation einer benutzerdefinierten OS-Version verhindern

Es gibt verschiedene Gründe, die dazu führen können, dass Nutzer eine angepasste Version des Android-Betriebssystems verwenden möchten. So können solche Versionen beispielsweise über eine zusätzliche Funktion verfügen, die in einer offiziellen Version nicht vorhanden ist. Oder Nutzer möchten, aus einer betreiberspezifischen Version des Betriebssystems (T-Mobile, Verizon) herauszukommen. Es könnte auch sein, dass ein Recovery-Image installiert werden soll, welches das Rooting vom Gerät ermöglicht. Um Unternehmensdaten zu schützen, muss sichergestellt werden, dass keine Geräte mit benutzerdefinierten OS-Versionen Zugriff bekommen. 

Auch für dieses Szenario empfehlen wir die SafetyNet-Überprüfung von Google. Aktivieren Sie unter CTS Profile Match failure action die Option Wipe (oder Lock). Sobald der SafetyNet-Check ein Gerät mit einem nicht offiziellen Betriebssystem erkennt, wird das Arbeitsprofil gelöscht (oder gesperrt). Somit wird bereits die Installation des Arbeitsprofils auf diesen Geräten unterbunden.

Löschen des Arbeitsprofils, zurücksetzen auf Werkseinstellungen

Über die Cortado Managementkonsole haben Sie die Möglichkeit ein Arbeitsprofil von einem Android-Gerät zu löschen. Wählen Sie das Gerät dafür aus und klicken Sie auf Wipe Partial

Außerdem kann der Nutzer das Arbeitsprofil jederzeit selbst von seinem Gerät löschen. Für private Geräte ist ein Zurücksetzen auf Werkseinstellungen über die Managementkonsole selbstverständlich nicht möglich.

Nutzer erinnern, Sicherheits-Patches zu installieren

In der Vergangenheit sind immer mal wieder Sicherheitslücken in Android-Versionen bekannt geworden. Deshalb veröffentlichen Gerätehersteller und Google monatlich Sicherheitspatches. Es wird immer empfohlen, die Sicherheitspatches auf dem neuesten Stand zu halten. Für private Geräte ist es nicht möglich diese Updates mit Hilfe der Managementkonsole zu forcieren. Erinnern Sie Ihre Nutzer deshalb regelmäßig daran, Updates durchzuführen und die Geräte auf dem neusten Stand zu halten. 

Installation von Apps verhindern, die nicht aus dem Play Store stammen

Alle Play-Store-Anwendungen werden von Google dahingehend geprüft, dass sie keine Sicherheitslücken aufweisen und keine Malware-Programme enthalten. Auf privaten Geräten mit Arbeitsprofil können Sie nicht verhindern, dass Nutzer .apk-Dateien direkt auf einem Gerät installieren. Würden selbstinstallierte Apps Sicherheitslücken aufweisen, bestünde dennoch keine Gefahr für das Arbeitsprofil, weil es sich in einem sicheren Container befindet. 

Die Installation von Apps, die nicht aus dem Play Store stammen ist für das Arbeitsprofil standardmäßig nicht erlaubt (siehe Cortado-App unter Policies, linkes Bild). So können Nutzer beispielsweise keine .apk-Dateien, über die verwaltete App Google Chrome ins Arbeitsprofil laden (rechtes Bild).

Um es den Nutzern dennoch zu erlauben, müssen Sie die Policy Allow Installation of non-market apps erstellen und verteilen. Dies ist aber aus genannten Gründen nicht zu empfehlen.

Installation von nicht vertrauenswürdigen Zertifikaten

Auf privaten Android-Geräten können Nutzer nicht vertrauenswürdige CA-Zertifikate (nach Bestätigung einer Warnmeldung) selbst installieren. Sie haben mit der Managementkonsole keine Möglichkeit dies zu verhindern. Sollte vom Nutzer ein nicht vertrauenswürdiges Zertifikat gespeichert werden, welches Datenlücken aufweist, hätte das aber keine Auswirkungen auf das Arbeitsprofil. Es befindet sich in einem sicheren Container. Die Daten sind geschützt.

Versehentliches browsen auf Phishing-Webseiten verhindern

Phishing-Websites versuchen, an Anmeldedaten von Nutzern zu gelangen. Besucht ein Nutzer versehentlich so eine Webseite (z. B. über einen Link in einer Phishing-Mail), können Unternehmensdaten in falsche Hände geraten. Sie können das mit Hilfe der Managed Configurations für Browser, die Teil des Arbeitsprofils sind, verhindern. Derzeit gibt es diese Optionen für die Browser Google Chrome und Microsoft Edge. Wir empfehlen deshalb die Verwendung eines dieser Browser. Wählen Sie die App aus und öffnen Sie die Managed Configurations. Aktivieren Sie hierfür die Checkbox Disable proceeding from the Safe Browsing warning page in den Managed Configurations der jeweiligen App

Stellen Sie sicher, dass keine anderen Browser innerhalb des Arbeitsprofils verwendet werden.

War diese Antwort hilfreich? Ja Nein

Feedback senden
Entschuldigen Sie, dass wir nicht hilfreich sein konnten. Helfen Sie uns, diesen Artikel zu verbessern und geben uns dazu ein Feedback.