Cortado Support

Meine Tickets Besuche www.cortado.com
Willkommen
Anmelden

So machen Sie Android-Geräte mit Arbeitsprofil sicher für Ihr Unternehmen

Möchten Sie Nutzer/-innen die Verwendung ihrer privaten Android-Geräte im Unternehmen gestatten (BYOD), können Sie dafür ein Arbeitsprofil auf einem Gerät konfigurieren. Damit die Privatsphäre der Nutzer/-innen gesichert wird, ist der Zugriff über das Verwaltungsportal auf ein solches Gerät nur eingeschränkt möglich. Wie Sie die Unternehmensdaten auf privaten Android-Geräten mit Arbeitsprofil dennoch bestmöglich schützen, erfahren Sie in diesem Artikel.

Rooting von Android-Geräten verhindern

Installation einer benutzerdefinierten OS-Version verhindern

Löschen des Arbeitsprofils, zurücksetzen auf Werkseinstellungen

Nutzer/-innen erinnern, Sicherheits-Patches installieren

Installation von Apps verhindern, die nicht aus dem Play Store stammen

Installation von nicht vertrauenswürdigen Zertifikaten

Versehentliches browsen auf Phishing-Webseiten verhindern

Rooting von Android-Geräten verhindern

Als Rooting wird bei Android der Prozess bezeichnet, bei dem ein Root-Konto (Superuser) Zugriff auf das komplette System inklusive aller Ressourcen erlangt. Deshalb ist der Root-Zugriff bei allen Android-Geräten standardmäßig deaktiviert. Gerootete Geräte sind in einer Unternehmensumgebung unerwünscht, da Unternehmensdaten auf solchen Geräten offengelegt werden können. Deshalb muss sichergestellt werden, dass keine bereits gerooteten Geräte Zugriff auf die Unternehmensanwendungen und -dienste erlangen. Außerdem muss das nachträgliche Rooting bereits angemeldeter Geräte verhindert werden.

Konfigurieren Sie die SafetyNet-Überprüfung von Google. Aktivieren Sie unter Aktion bei Fehlschlag der grundlegenden Integritätsprüfung die Option Zurücksetzen. Sobald der SafetyNet-Check ein gerootetes Gerät erkennt, wird der Registrierungsprozess abgebrochen und das Arbeitsprofil nicht installiert. Alle Daten, das Arbeitsprofil betreffend werden vom Gerät gelöscht. Somit wird bereits die Installation des Arbeitsprofils auf gerooteten Geräten unterbunden.

Cortado fragt während der Installation des Arbeitsprofils und danach alle 10 Minuten bei Google ab, ob Sicherheitsverstöße auf dem Gerät vorliegen. Wird ein Rooting des Gerätes nach der Konfiguration des Arbeitsprofils durchgeführt, greift der Google SafetyNet-Check also auch in diesem Fall, vorausgesetzt bei Aktion bei Fehlschlag der grundlegenden Integritätsprüfung wurde die Option Zurücksetzen aktiviert.

Installation einer benutzerdefinierten OS-Version verhindern

Es gibt verschiedene Gründe, die dazu führen können, dass Nutzer/-innen eine angepasste Version des Android-Betriebssystems verwenden möchten. So können solche Versionen beispielsweise über eine zusätzliche Funktion verfügen, die in einer offiziellen Version nicht vorhanden ist. Oder Nutzer/-innen möchten, aus einer betreiberspezifischen Version des Betriebssystems (T-Mobile, Verizon) herauskommen. Es könnte auch sein, dass ein Recovery-Image installiert werden soll, welches das Rooting vom Gerät ermöglicht. Um Unternehmensdaten zu schützen, muss sichergestellt werden, dass keine Geräte mit benutzerdefinierten OS-Versionen Zugriff bekommen. 

Auch für dieses Szenario empfehlen wir die SafetyNet-Überprüfung von Google. Aktivieren Sie unter Aktion bei Fehler der CTS-Profilübereinstimmungsprüfung die Option Zurücksetzen (oder Sperren). Sobald der SafetyNet-Check ein Gerät mit einem nicht offiziellen Betriebssystem erkennt, wird das Arbeitsprofil gelöscht (oder gesperrt). Somit wird bereits die Installation des Arbeitsprofils auf diesen Geräten unterbunden.


Löschen des Arbeitsprofils, Zurücksetzen auf Werkseinstellungen

Über das Cortado Verwaltungsportal haben Sie die Möglichkeit ein Arbeitsprofil von einem Android-Gerät zu löschen. Wählen Sie das Gerät dafür aus und klicken Sie auf Arbeitsbereich entfernen

Außerdem kann der/die Nutzer/-in das Arbeitsprofil jederzeit selbst von seinem Gerät löschen. Für private Geräte ist ein Zurücksetzen auf Werkseinstellungen über das Verwaltungsportal selbstverständlich nicht möglich.

Gerät auswählen und Arbeitsbereich entfernen

Nutzer/-innen erinnern, Sicherheits-Patches zu installieren

In der Vergangenheit sind immer mal wieder Sicherheitslücken in Android-Versionen bekannt geworden. Deshalb veröffentlichen Gerätehersteller und Google monatlich Sicherheitspatches. Es wird immer empfohlen, die Sicherheitspatches auf dem neuesten Stand zu halten. Für private Geräte ist es nicht möglich diese Updates mit Hilfe des Verwaltungsportals zu forcieren. Erinnern Sie Ihre Nutzer/-innen deshalb regelmäßig daran, Updates durchzuführen und die Geräte auf dem neusten Stand zu halten. 

Installation von Apps verhindern, die nicht aus dem Play Store stammen

Alle Play-Store-Anwendungen werden von Google dahingehend geprüft, dass sie keine Sicherheitslücken aufweisen und keine Malware-Programme enthalten. Auf privaten Geräten mit Arbeitsprofil können Sie nicht verhindern, dass Nutzer/-innen .apk-Dateien direkt auf einem Gerät installieren. Würden selbstinstallierte Apps Sicherheitslücken aufweisen, bestünde dennoch keine Gefahr für das Arbeitsprofil, weil es sich in einem sicheren Container befindet. 

Die Installation von Apps, die nicht aus dem Play Store stammen ist für das Arbeitsprofil standardmäßig nicht erlaubt (siehe Cortado-App unter Richtlinien, linkes Bild). So können Nutzer/-innen beispielsweise keine .apk-Dateien, über die verwaltete App Google Chrome ins Arbeitsprofil laden (rechtes Bild).

Apps aus unbekannten Quellen installieren nicht erlaubt auf dem Gerät

Um es den Nutzer/-innen dennoch zu erlauben, müssen Sie die Richtlinie Installation von Apps aus unbekannten Quellen erlauben erstellen und verteilen. Dies ist aber aus genannten Gründen nicht zu empfehlen.

Installation von nicht vertrauenswürdigen Zertifikaten

Auf privaten Android-Geräten können Nutzer/-innen nicht vertrauenswürdige CA-Zertifikate (nach Bestätigung einer Warnmeldung) selbst installieren. Sie haben mit dem Verwaltungsportal keine Möglichkeit dies zu verhindern. Sollte von Nutzer/-innen ein nicht vertrauenswürdiges Zertifikat gespeichert werden, welches Datenlücken aufweist, hätte das aber keine Auswirkungen auf das Arbeitsprofil. Es befindet sich in einem sicheren Container. Die Daten sind geschützt.

Versehentliches browsen auf Phishing-Webseiten verhindern

Phishing-Websites versuchen, an Anmeldedaten von Nutzer/-innen zu gelangen. Besuchen  Nutzer versehentlich so eine Webseite (z. B. über einen Link in einer Phishing-Mail), können Unternehmensdaten in falsche Hände geraten. Sie können das mit Hilfe der verwalteten Konfigurationen für Browser, die Teil des Arbeitsprofils sind, verhindern. Derzeit gibt es diese Optionen für die Browser Google Chrome und Microsoft Edge. Wir empfehlen deshalb die Verwendung eines dieser Browser. Öffnen Sie die verwalteten Konfigurationen und wählen Sie die App aus. Aktivieren Sie die Checkbox Disable proceeding from the Safe Browsing warning page in den verwalteten Konfigurationen der jeweiligen App.

verwaltete Konfiguration ermöglicht sicheres Browsen

Stellen Sie sicher, dass keine anderen Browser innerhalb des Arbeitsprofils verwendet werden.


War diese Antwort hilfreich? Ja Nein

Feedback senden
Leider konnten wir nicht helfen. Helfen Sie uns mit Ihrem Feedback, diesen Artikel zu verbessern.