Möchten Sie Nutzer/-innen die Verwendung ihrer privaten Android-Geräte im Unternehmen gestatten (BYOD), können Sie dafür ein Arbeitsprofil auf einem Gerät konfigurieren. Damit die Privatsphäre der Nutzer/-innen gesichert wird, ist der Zugriff über das Verwaltungsportal auf ein solches Gerät nur eingeschränkt möglich. Wie Sie die Unternehmensdaten auf privaten Android-Geräten mit Arbeitsprofil dennoch bestmöglich schützen, erfahren Sie in diesem Artikel.
Rooting von Android-Geräten verhindern
Installation einer benutzerdefinierten OS-Version verhindern
Löschen des Arbeitsprofils, zurücksetzen auf Werkseinstellungen
Nutzer/-innen erinnern, Sicherheits-Patches installieren
Installation von Apps verhindern, die nicht aus dem Play Store stammen
Installation von nicht vertrauenswürdigen Zertifikaten
Versehentliches browsen auf Phishing-Webseiten verhindern
Rooting von Android-Geräten verhindern
Als Rooting wird bei Android der Prozess bezeichnet, bei dem ein Root-Konto (Superuser) Zugriff auf das komplette System inklusive aller Ressourcen erlangt. Deshalb ist der Root-Zugriff bei allen Android-Geräten standardmäßig deaktiviert. Gerootete Geräte sind in einer Unternehmensumgebung unerwünscht, da Unternehmensdaten auf solchen Geräten offengelegt werden können. Deshalb muss sichergestellt werden, dass keine bereits gerooteten Geräte Zugriff auf die Unternehmensanwendungen und -dienste erlangen. Außerdem muss das nachträgliche Rooting bereits angemeldeter Geräte verhindert werden.
Konfigurieren Sie die SafetyNet-Überprüfung von Google. Aktivieren Sie unter Aktion bei Fehlschlag der grundlegenden Integritätsprüfung die Option Zurücksetzen. Sobald der SafetyNet-Check ein gerootetes Gerät erkennt, wird der Registrierungsprozess abgebrochen und das Arbeitsprofil nicht installiert. Alle Daten, das Arbeitsprofil betreffend werden vom Gerät gelöscht. Somit wird bereits die Installation des Arbeitsprofils auf gerooteten Geräten unterbunden.
Cortado fragt während der Installation des Arbeitsprofils und danach alle 10 Minuten bei Google ab, ob Sicherheitsverstöße auf dem Gerät vorliegen. Wird ein Rooting des Gerätes nach der Konfiguration des Arbeitsprofils durchgeführt, greift der Google SafetyNet-Check also auch in diesem Fall, vorausgesetzt bei Aktion bei Fehlschlag der grundlegenden Integritätsprüfung wurde die Option Zurücksetzen aktiviert.
Installation einer benutzerdefinierten OS-Version verhindern
Es gibt verschiedene Gründe, die dazu führen können, dass Nutzer/-innen eine angepasste Version des Android-Betriebssystems verwenden möchten. So können solche Versionen beispielsweise über eine zusätzliche Funktion verfügen, die in einer offiziellen Version nicht vorhanden ist. Oder Nutzer/-innen möchten, aus einer betreiberspezifischen Version des Betriebssystems (T-Mobile, Verizon) herauskommen. Es könnte auch sein, dass ein Recovery-Image installiert werden soll, welches das Rooting vom Gerät ermöglicht. Um Unternehmensdaten zu schützen, muss sichergestellt werden, dass keine Geräte mit benutzerdefinierten OS-Versionen Zugriff bekommen.
Auch für dieses Szenario empfehlen wir die SafetyNet-Überprüfung von Google. Aktivieren Sie unter Aktion bei Fehler der CTS-Profilübereinstimmungsprüfung die Option Zurücksetzen (oder Sperren). Sobald der SafetyNet-Check ein Gerät mit einem nicht offiziellen Betriebssystem erkennt, wird das Arbeitsprofil gelöscht (oder gesperrt). Somit wird bereits die Installation des Arbeitsprofils auf diesen Geräten unterbunden.
Löschen des Arbeitsprofils, Zurücksetzen auf Werkseinstellungen
Über das Cortado Verwaltungsportal haben Sie die Möglichkeit ein Arbeitsprofil von einem Android-Gerät zu löschen. Wählen Sie das Gerät dafür aus und klicken Sie auf Arbeitsbereich entfernen.
Außerdem kann der/die Nutzer/-in das Arbeitsprofil jederzeit selbst von seinem Gerät löschen. Für private Geräte ist ein Zurücksetzen auf Werkseinstellungen über das Verwaltungsportal selbstverständlich nicht möglich.
Nutzer/-innen erinnern, Sicherheits-Patches zu installieren
In der Vergangenheit sind immer mal wieder Sicherheitslücken in Android-Versionen bekannt geworden. Deshalb veröffentlichen Gerätehersteller und Google monatlich Sicherheitspatches. Es wird immer empfohlen, die Sicherheitspatches auf dem neuesten Stand zu halten. Für private Geräte ist es nicht möglich diese Updates mit Hilfe des Verwaltungsportals zu forcieren. Erinnern Sie Ihre Nutzer/-innen deshalb regelmäßig daran, Updates durchzuführen und die Geräte auf dem neusten Stand zu halten.
Installation von Apps verhindern, die nicht aus dem Play Store stammen
Alle Play-Store-Anwendungen werden von Google dahingehend geprüft, dass sie keine Sicherheitslücken aufweisen und keine Malware-Programme enthalten. Auf privaten Geräten mit Arbeitsprofil können Sie nicht verhindern, dass Nutzer/-innen .apk-Dateien direkt auf einem Gerät installieren. Würden selbstinstallierte Apps Sicherheitslücken aufweisen, bestünde dennoch keine Gefahr für das Arbeitsprofil, weil es sich in einem sicheren Container befindet.
Die Installation von Apps, die nicht aus dem Play Store stammen ist für das Arbeitsprofil standardmäßig nicht erlaubt (siehe Cortado-App unter Richtlinien, linkes Bild). So können Nutzer/-innen beispielsweise keine .apk-Dateien, über die verwaltete App Google Chrome ins Arbeitsprofil laden (rechtes Bild).
Um es den Nutzer/-innen dennoch zu erlauben, müssen Sie die Richtlinie Installation von Apps aus unbekannten Quellen erlauben erstellen und verteilen. Dies ist aber aus genannten Gründen nicht zu empfehlen.
Installation von nicht vertrauenswürdigen Zertifikaten
Auf privaten Android-Geräten können Nutzer/-innen nicht vertrauenswürdige CA-Zertifikate (nach Bestätigung einer Warnmeldung) selbst installieren. Sie haben mit dem Verwaltungsportal keine Möglichkeit dies zu verhindern. Sollte von Nutzer/-innen ein nicht vertrauenswürdiges Zertifikat gespeichert werden, welches Datenlücken aufweist, hätte das aber keine Auswirkungen auf das Arbeitsprofil. Es befindet sich in einem sicheren Container. Die Daten sind geschützt.
Versehentliches browsen auf Phishing-Webseiten verhindern
Phishing-Websites versuchen, an Anmeldedaten von Nutzer/-innen zu gelangen. Besuchen Nutzer versehentlich so eine Webseite (z. B. über einen Link in einer Phishing-Mail), können Unternehmensdaten in falsche Hände geraten. Sie können das mit Hilfe der verwalteten Konfigurationen für Browser, die Teil des Arbeitsprofils sind, verhindern. Derzeit gibt es diese Optionen für die Browser Google Chrome und Microsoft Edge. Wir empfehlen deshalb die Verwendung eines dieser Browser. Öffnen Sie die verwalteten Konfigurationen und wählen Sie die App aus. Aktivieren Sie die Checkbox Disable proceeding from the Safe Browsing warning page in den verwalteten Konfigurationen der jeweiligen App.
Stellen Sie sicher, dass keine anderen Browser innerhalb des Arbeitsprofils verwendet werden.