Was ist Unified Endpoint Management (UEM)?

UEM ist das neueste in einer Reihe von Mobile Security-Verwaltungstools. Diese Tools kamen in den letzten zwei Jahrzehnten auf, da sich die Beziehung zwischen Unternehmen, Mitarbeitern, mobilen Geräten und Arbeitsstilen zunehmend verändert.

Von MDM ...

Anfangs waren es unternehmenseigene Mobilgeräte, die am Arbeitsplatz eingesetzt wurden. MDM-Tools (Mobile Device Management, also Verwaltung von Mobilgeräten) wurden entwickelt, um diese Geräte zu organisieren und zu schützen. Mit MDM-Tools ließen sich alle Funktionen eines Geräts vollständig kontrollieren: Bereitstellung, Registrierung und Verschlüsselung von Geräten, Konfiguration und Steuerung des drahtlosen Zugriffs, Installation und Verwaltung von Unternehmensanwendungen, Mitverfolgung des Gerätestandorts, Sperren und Löschen eines Geräts bei Verlust oder Diebstahl.

... über MAM ...

MDM war eine akzeptable Lösung zur Verwaltung von Mobilgeräten, bis Smartphones so beliebt wurden, dass Mitarbeiter das eigene Gerät (statt je ein Arbeits- und Privatgerät) für die Arbeit nutzen wollten. Dies war der Beginn von BYOD. Und schon bald wollten die Mitarbeiter nicht mehr die vollständige Kontrolle über ihr Privatgeräte und ihre personenbezogenen Daten an das MDM abgeben.

Es entstand eine neue Lösung: Mobile Application Management (MAM), also die Verwaltung mobiler Anwendungen (Apps). MAM konzentriert sich nicht auf die Verwaltung des gesamten Mobilgeräts, sondern nur der Apps. Mit MAM können Administratoren die Unternehmens-Apps und die damit verbundenen Daten vollständig kontrollieren. Auch die privaten Apps der Mitarbeiter können ausreichend kontrolliert werden, um Unternehmensdaten zu schützen, ohne dazu die personenbezogenen Daten der Mitarbeiter einsehen oder verändern zu müssen.

... und EMM ...

Aber auch MAM-Lösungen stießen an ihre Grenzen, größtenteils deswegen, weil sie einfach nicht mit der explosionsartigen Zunahme neuer Apps Schritt halten konnten, die auf iOS- oder Android-Geräten installierbar waren.Daher wurden MDM, MAM und einige zugehörige Tools zu Enterprise Mobility Management (EMM)-Suiten kombiniert. EMM bot die Unternehmensdatensicherheit von MDM, den überlegenen Nutzungskomfort von MAM sowie die Verwaltungs- und Sicherheitskontrolle über alle Geräte, die außerhalb des Büros verwendet wurden – nicht nur Smartphones, sondern auch Laptops und PCs.

... bis hin zu UEM

EMM ließ bei der Endgeräteverwaltung eine letzte Lücke (und eine potenzielle Sicherheitslücke) offen: Es gab keine Funktionen zur Verwaltung lokal verwendeter Endbenutzergeräte. Separate Tools und Richtlinien waren also nötig, um lokal und remote verwendete Geräte zu verwalten und zu schützen. Dies verursachte mehr Aufwand, Unübersichtlichkeit und höhere Fehlerwahrscheinlichkeiten – und das alles zu einer Zeit, in der immer mehr Arbeitgeber versuchten, ihren Mitarbeiter das Homeoffice zu ermöglichen.

UEM zeigte sich als Lösung für dieses Problem. Es kombiniert die Funktionen von EMM mit den Fähigkeiten von Client-Management-Tools (CMTs), mit denen traditionell lokale PCs und Laptops verwaltet werden. Außerdem umfassen, integrieren oder interagieren die meisten UEM-Tools mit Endpoint-Security-Tools wie Viren- und Malwareschutz, Web-Kontrollsoftware, Lösungen zur Verhaltensanalyse von Benutzern und Entitäten (User and Entity Behavior Analytics, UEBA), integrierten Firewalls und vielem mehr.

Werden verschiedene Endgeräte an unterschiedlichen Standorten mit mehreren Endgeräte-Management-Tools verwaltet und geschützt, führt dies zu umfangreichen manuellen und wiederholten Arbeiten für Sicherheits- und IT-Teams. Außerdem steigt die Wahrscheinlichkeit von Inkonsistenzen, Fehlkonfigurationen und Fehlern, die Endgeräte und Netzwerk anfällig für Angriffe machen können.

UEM bedeutet eine erhebliche Verringerung des Arbeitsaufwands und des Risikos, da es nur noch ein einziges, zentrales Dashboard gibt, über das IT-Administratoren und Sicherheitsteams jedes Endgerät im Unternehmensnetzwerk anzeigen, verwalten und schützen können.

UEM-Tools funktionieren auf allen Desktop- und mobilen Betriebssystemen, einschließlich Apple iOS und MacOS, Google ChromeOS und Android, Linux und Microsoft Windows. (Einige Lösungen unterstützen möglicherweise auch die mobilen Betriebssysteme BlackBerry OS und Windows Phone.) Außerdem unterstützen viele UEM-Lösungen Drucker und andere IoT-Endgeräte, Smartwatches und Wearables, Virtual-Reality-Headsets und virtuelle Assistenten – also alles, worüber sich ein Mitarbeiter oder Geschäftspartner zum Arbeiten mit dem Netzwerk verbinden könnte.

UEM kennt alle Geräte im Netzwerk, unabhängig von Art, Häufigkeit und Ausgangspunkt der Verbindung. Es kann sogar in Echtzeit verbundene Geräte erkennen, über die Administratoren oder Sicherheitsteams nicht informiert sind.

Von hier aus können Administratoren des zentralen Dashboards kritische Verwaltungs- und Sicherheitsaufgaben für einzelne oder alle Geräte ausführen oder automatisieren, darunter Folgende:

• Geräte registrieren und bereitstellen: Um den Verwaltungsaufwand von BYOD zu reduzieren, verfügen UEM-Lösungen über ein Portal, mit dem sich die Benutzer selbst registrieren und ihre Geräte automatisch bereitstellen lassen können. Außerdem erzwingt UEM automatisch die Registrierung und Bereitstellung für jedes neue oder unbekannte Gerät, das sich mit dem Netzwerk verbinden will.
  
  
• Sicherheitsrichtlinien anwenden und durchsetzen: Administratoren können die Multi-Faktor-Authentifizierung, die Länge und Komplexität von Passwörtern, Passwortaktualisierungen, Datenverschlüsselungsmethoden und vieles mehr festlegen. Mit UEM können Administratoren mit einem einzigen Tool einheitliche Richtlinien auf allen Geräten bereitstellen, was eine erhebliche Arbeitserleichterung für IT-Abteilungen und Sicherheitspersonal bedeutet.
  
  
• Patches und Updates installieren: UEM kann Endgeräte auf Software-, Firmware- oder Betriebssystem-Schwachstellen scannen und Patches automatisch dort bereitstellen, wo sie benötigt werden.
  
  
• Apps und Anwendungen kontrollieren: Arbeitgeber können die Nutzung bestimmter Apps oder Anwendungen genehmigen oder verbieten und den Zugriff nicht autorisierter Apps oder Anwendungen auf Unternehmensdaten verhindern. Viele UEM-Tools ermöglichen die Erstellung eines App-Stores, in dem Benutzer von Unternehmen genehmigte Apps und Desktop-Anwendungen herunterladen, installieren und regelmäßig aktualisieren können.
  
  
• Unternehmens- und personenbezogene Daten isolieren: Dies schützt Unternehmens- und personenbezogene Daten und bietet den optimalen Nutzungskomfort für BYOD.
  
  
• Sicherheitslösungen für Endgeräte auf dem neuesten Stand halten: Administratoren können die neuesten Virenschutzdefinitionen auf Geräten installieren, Webfilter mit den neuesten Whitelist- oder Blacklist-Websites aktualisieren und sogar Firewalls anpassen, um die neuesten Bedrohungen abzuwehren.
  
  
• Verbindungen absichern: Mit UEM können Administratoren die Art der Verbindung festlegen. Zum Beispiel WLAN, VPN, nach Gerät, nach Benutzer oder sogar nach Anwendung.
  
  
• Bedrohungen erkennen und abwehren: Durch die Integration von UEBA, Endpoint Detection and Response (EDR) und anderen Sicherheitstechnologien kann UEM ungewöhnliche Verhaltensweisen von Geräten erkennen, die auf aktuelle oder potenzielle Bedrohungen hinweisen, und andere Sicherheitstools aktivieren, um Maßnahmen gegen Bedrohungen zu ergreifen.
  
  
• Verlorene, gestohlene oder veraltete Geräte löschen und sperren: Als letzte Verteidigungslinie können verlorene, gestohlene oder ausgemusterte Geräte geortet, gelöscht, gesperrt bzw. zurückgesetzt werden. Damit wird verhindert, dass jemand unbefugt auf das Netzwerk zugreift oder dass sensible Daten auf dem Gerät in die falschen Hände gelangen. Auch ausgemusterte Geräte können so zurückgesetzt werden, dass sie privat weiter nutzbar sind.

Fazit: Durch den umfassenden Ansatz von UEM können Sicherheits- und IT-Abteilungen bei diesen und anderen Aufgaben ignorieren, ob das Gerät lokal oder remote eingesetzt wird, ein Mobil- und Desktopgerät ist oder unter Windows, Mac, Chrome oder Linux ausgeführt wird, und sich einfach auf das Geräte- und Sicherheitsmanagement konzentrieren.

UEM entstand durch das Aufeinandertreffen sich verändernder Technologien, mit denen die BYOD-Richtlinien, die zunehmend hybrid arbeitenden Belegschaften und die Ausweitung von Homeoffice-Initiativen in Unternehmen verwaltet und abgesichert wurden. Doch Unternehmen führen UEM auch ein, um andere strategische Verwaltungs- und Sicherheitsinitiativen zu unterstützen, darunter Folgende:

Vereinfachte Einhaltung von Vorschriften: Durch hybrid arbeitende Belegschaften kann es komplexer werden, die Einhaltung von Branchen- und Datenschutzvorschriften zu belegen und durchzusetzen. UEM-Lösungen können diese Komplexität überwinden.

Beispielsweise kann ein Unternehmen mit UEM eine einzige Richtlinie festlegen, damit jedes Gerät die Verschlüsselungsanforderungen der DSGVO, des HIPAA (Health Insurance Portability and Accountability Act) und anderer Datenschutzbestimmungen erfüllt. Die UEM-Funktionen zur Datenisolierung und Anwendungssteuerung tragen dazu bei, dass nur autorisierte Anwendungen oder Apps auf stark regulierte Daten zugreifen dürfen.

Zero-Trust-Sicherheit: Bei einem Zero-Trust-Sicherheitsansatz werden alle Endgeräte standardmäßig als feindlich eingestuft. Allen Entitäten – Benutzern, Geräten, Konten – wird der geringstmögliche Zugriff zur Unterstützung ihrer Aufgaben oder Funktionen gewährt. Außerdem müssen alle Entitäten bei fortgesetztem Zugriff kontinuierlich überwacht und regelmäßig neu autorisiert werden. UEM kann die Umsetzung von Zero Trust auf verschiedene Weise unterstützen: Es vereinfacht die Bereitstellung aller Geräte hinsichtlich minimaler Rechtevergabe und ermöglicht Echtzeiterkenntnisse zu jedem mit dem Netzwerk verbundenen Gerät.