UEM oder Unified Endpoint Management ist eine Software für Überwachung, Verwaltung und Schutz aller Endbenutzergeräte eines Unternehmens – Desktops und Laptops, Smartphones, Tablets, Wearables und mehr – von einer einzigen Konsole aus, unabhängig von Betriebssystem oder Standort. UEM verbessert die Endpunktsicherheit, indem es sie vereinfacht und es Sicherheits- und IT-Teams ermöglicht, alle Endgeräte mit einem Tool konsistent zu schützen.

Als relativ neue Technologie kombiniert UEM die Funktionalität traditioneller mobiler Managementlösungen – einschließlich MDM (Mobile Device Management) und MAM (Mobile Application Management) – mit den Funktionen von Tools, die für das Management von lokalen und fernen PCs verwendet werden. UEM wurde in der Vergangenheit bereits häufig für das Management von BYOD-Programmen (Bring Your Own Device) und hybriden Belegschaften (Mitarbeiter, die vor Ort und über Fernzugriff arbeiten) verwendet. Beim Aufkommen der COVID-19-Pandemie explodierte die Nutzung jedoch regelrecht durch die Unterstützung erweiterter Homeoffice-Initiativen durch Sicherheits- und IT-Abteilungen. Dieser Trend wird sich auch in absehbarer Zukunft fortsetzen: Aus der Umfrage von OMDIA zur Zukunft der Arbeit aus dem Jahr 2021 (Link führt zu Seite außerhalb von ibm.com) geht hervor, dass auch mit Abklingen der Pandemie 58 % der Mitarbeiter entweder hauptsächlich von zu Hause oder in einem hybriden Stil arbeiten.

UEM ist das neueste einer Reihe von Tools für mobiles Sicherheitsmanagement – Tools, die als Reaktion auf die sich verändernde Beziehung zwischen Unternehmen, Mitarbeitern, mobilen Geräten und Arbeitsstilen in den letzten zwei Jahrzehnten entstanden und weiterentwickelt wurden.

Von MDM ...

Die ersten am Arbeitsplatz eingeführten mobilen Geräte waren firmeneigene Geräte und es wurden Mobile Device Management-Tools (MDM) entwickelt, damit IT-Administratoren diese Geräte verwalten und schützen konnten. Die MDM-Tools gaben den Administratoren die vollständige Kontrolle über alle Funktionen eines Geräts. Sie konnten Geräte einrichten, registrieren und verschlüsseln, mobilen Zugriff konfigurieren und steuern, Unternehmensanwendungen installieren und verwalten, den Standort der Geräte verfolgen und ein Gerät sperren und bereinigen, falls es verloren ging oder gestohlen wurde.

...über MAM ...

MDM war eine zweckmäßige Lösung für mobiles Management, bis Smartphones so beliebt wurden, dass die Mitarbeiter ihre persönlichen Telefone auch für die Arbeit verwenden wollten (statt sowohl ein geschäftliches als auch ein privates Gerät parallel zu nutzen). Damit war BYOD geboren. Doch schon bald sträubten sich die Mitarbeiter dagegen, die vollständige Kontrolle über ihre persönlichen Telefone und Daten an MDM abzugeben.

So entstand eine neue Lösung, Mobile Application Management (MAM). Anstatt sich mit der Kontrolle des gesamten mobilen Geräts zu befassen, konzentrierte sich MAM auf die Verwaltung von Apps. Mit MAM konnten die Administratoren die Kontrolle über Unternehmensapps und die ihnen zugeordneten Unternehmensdaten übernehmen; zudem erhielten sie gerade genug Kontrolle über die persönlichen Apps der Mitarbeiter, um die Unternehmensdaten zu schützen, ohne die personenbezogenen Daten der Mitarbeiter anzutasten oder zu sehen.

...bis hin zu EMM ...

Aber auch MAM-Lösungen stießen an ihre Grenzen, da sie nicht mit der explosionsartigen Verbreitung neuer Apps Schritt halten konnten, die die Mitarbeiter auf ihren iOS- oder Android-Geräten hinzufügten. Als Reaktion darauf kombinierten Anbieter MDM, MAM und einige zugehörige Tools, um Enterprise Mobility Management-Suiten (EMM) zu erstellen. EMM bot die Sicherheit für Unternehmensdaten von MDM, das ausgezeichnete Mitarbeitererlebnis von MAM sowie die Management- und Sicherheitssteuerung über alle Geräte, die außerhalb des Büros genutzt werden – nicht nur Smartphones, sondern auch Laptops und PCs an anderen Standorten.

...und UEM

EMM weist noch einen weiteren Schwachpunkt beim Endpunktmanagement (und damit eine potenzielle Sicherheitslücke) auf. Da es keine Funktionen für das Management von Endbenutzergeräten vor Ort bot, mussten Administratoren separate Tools und Richtlinien für das Management und die Sicherheit von Onsite- und Offsite-Geräten verwenden. Dadurch entstanden zusätzliche Arbeit, Verwirrung und Fehlerquellen – und das genau zu einer Zeit, als immer mehr Arbeitgeber versuchten, eine größere Zahl von Arbeitnehmern von zu Hause aus arbeiten zu lassen.

UEM war die Lösung für dieses Problem. Es kombiniert die Funktionalität von EMM mit den Funktionen von Client-Management-Tools (CMTs), die traditionell für das Management lokaler PCs und Laptops verwendet werden. Die meisten UEM-Tools umfassen auch Endpunktsicherheitstools – wie Antiviren- und Anti-Malware-Software, Websteuerungssoftware, User and Entity Behavior Analytics-Lösungen (UEBA), integrierte Firewalls und mehr – sie integrieren diese oder interagieren mit ihnen.

Die Verwendung von mehreren Endpunktmanagementtools, um verschiedene Endgeräte an verschiedenen Standorten zu verwalten und zu schützen, führt zu viel manueller und wiederholter Arbeit für Sicherheits- und IT-Teams – und vergrößert damit die Wahrscheinlichkeit von Inkonsistenzen, fehlerhaften Konfigurationen und Fehlern, die Endpunkte und Netz für Angriffe anfällig machen können. UEM reduziert die Arbeit und das Risiko erheblich – durch Erstellung eines einzigen, zentralen Dashboards, in dem IT-Administratoren und Sicherheitsteams jedes Endgerät, das mit dem Unternehmensnetz verbunden ist, anzeigen, verwalten und schützen können.

UEM-Tools funktionieren unter allen PC- und mobilen Betriebssystemen, einschließlich Apple iOS und MacOS, Google ChromeOS und Android, Linux und Microsoft Windows. (Einige Lösungen, insbesondere BlackBerry UEM, unterstützen auch die mobilen Betriebssysteme BlackBerry OS und Windows Phone.) Viele UEM-Lösungen unterstützen zudem Drucker und andere IoT-Endgeräte, Smartwatches und sonstige Wearables, VR-Headsets, virtuelle Assistenten – alles, was Mitarbeiter oder Geschäftspartner möglicherweise verwenden, um eine Verbindung zum Netz herzustellen und zu arbeiten.

UEM nimmt alle Geräte im Netz wahr, unabhängig von der Art der Verbindung, von Häufigkeit und Standort der Verbindungsherstellung. Es kann sogar verbundene Geräte in Echtzeit identifizieren, die Administratoren oder Sicherheitsteams nicht erkennen.

Von diesem zentralen Dashboard aus können Administratoren wichtige Management- und Sicherheitsaufgaben für einzelne oder alle Geräte ausführen oder automatisieren, darunter:

• Registrierung und Einrichtung von Geräten: Um den Verwaltungsaufwand von BYOD zu reduzieren, stellen UEM-Lösungen ein Portal zur Verfügung, in dem sich Benutzer selbst registrieren und ihre Geräte automatisch einrichten lassen können. UEM erzwingt zudem eine automatische Registrierung und Einrichtung jedes neuen oder unbekannten Geräts, das versucht, eine Verbindung zum Netz herzustellen.
  
  
• Anwendung und Umsetzung von Sicherheitsrichtlinien: Administratoren können Mehrfaktorauthentifizierung, Kennwortlänge und -komplexität, Kennworterneuerung, Datenverschlüsselungsmethoden und vieles mehr definieren. Da Administratoren mit einem einzigen Tool einheitliche Richtlinien für alle Geräte festlegen können, reduziert UEM manuelle Arbeiten für IT-Abteilungen und Sicherheitsmitarbeiter in beträchtlichem Maße.
  
  
• Push-Bereitstellung von Patches und Updates: UEM kann Endpunkte auf Software-, Firmware- oder Betriebssystemschwachstellen prüfen und bei Bedarf automatisch Patches per Push-Operation bereitstellen.
  
  
• Kontrolle von Apps und Anwendungen: Arbeitgeber können die Verwendung bestimmter Apps oder Anwendungen genehmigen oder verbieten und verhindern, dass nicht autorisierte Apps oder Anwendungen auf Unternehmensdaten zugreifen. Viele UEM-Tools ermöglichen die Erstellung eines App Stores, aus dem Benutzer vom Unternehmen genehmigte Apps und Desktopanwendungen herunterladen, installieren und regelmäßig aktualisieren können.
  
  
• Isolierung von geschäftlichen und persönlichen Daten: Dies schützt geschäftliche und persönliche Daten und bietet die optimale Funktionalität für BYOD.
  
  
• Stets aktuelle Endpunktsicherheitslösungen: Administratoren können die neuesten Virenschutzdefinitionen auf Geräten installieren, Webfilter mit den neuesten Websites auf Blacklists oder Whitelists aktualisieren und sogar Firewalls optimieren, um die neuesten Bedrohungen abzuwehren.
  
  
• Schutz von Verbindungen: Mit UEM können Administratoren die Art der Verbindung (z. B. WiFi, VPN etc.) nach Gerät, Benutzer oder sogar Anwendung angeben.
  
  
• Identifikation und Behebung von Sicherheitsrisiken: Durch Integration mit UEBA, Endpoint Detection and Response (EDR) und anderen Sicherheitstechnologien kann UEM dazu beitragen, ungewöhnliches Geräteverhalten zu identifizieren, das auf anhaltende oder potenzielle Sicherheitsrisiken hinweist, und die Ausführung anderer Sicherheitstools auslösen, um Maßnahmen gegen Bedrohungen zu ergreifen.
  
  
• Bereinigung und/oder Sperrung von verloren gegangenen, gestohlenen oder Altgeräten: Als letzte Verteidigungslinie bietet UEM Administratoren oder Sicherheitsteams die Möglichkeit, verloren gegangene, gestohlene oder stillgelegte Geräte zu lokalisieren, zu bereinigen, zu sperren und/oder zurückzusetzen, um unbefugten Zugriff auf das Netz zu vermeiden und um zu verhindern, dass vertrauliche Daten auf dem Gerät in die falschen Hände geraten. Zudem können stillgelegte Geräte zurückgesetzt werden, um eine weitere persönliche Nutzung zu ermöglichen.

Das Fazit ist, dass Sicherheits- und IT-Abteilungen mit dem allumfassenden Ansatz von UEM für diese und andere Aufgaben die Unterschiede zwischen Onsite- und Offsite-Geräten, Mobil- und Desktopgeräten, den Betriebssystemen Windows oder Mac, Chrome oder Linux ignorieren und sich einfach auf das Geräte- und Sicherheitsmanagement konzentrieren können.

Wie oben erwähnt, entwickelte sich UEM aus dem Zusammentreffen sich verändernder Technologien für das Management und den Schutz der BYOD-Unternehmensrichtlinien, zunehmend hybrider Belegschaften und der Ausweitung von Homeoffice-Programmen. Unternehmen nutzen UEM jedoch auch, um andere strategische Management- und Sicherheitsinitiativen zu unterstützen, wie z. B.:

Vereinfachte Einhaltung gesetzlicher Vorschriften. Hybride Belegschaften können den Nachweis und die Durchsetzung der Einhaltung von branchenspezifischen und datenschutzbezogenen Vorschriften noch komplexer machen. UEM-Lösungen können dazu beitragen, diese Komplexität zu reduzieren. Zum Beispiel kann ein Unternehmen mit UEM eine einzige Richtlinie festlegen, die sicherstellt, dass jedes Gerät die Verschlüsselungsanforderungen gemäß DSGVO (Datenschutz-Grundverordnung), HIPAA (Health Insurance Portability and Accountability Act) und anderen Datenschutzverordnungen erfüllt. Mit UEM-Funktionen für Datenisolation und Anwendungssteuerung können Administratoren sicherstellen, dass nur autorisierte Anwendungen oder mobile Apps auf besonders schutzwürdige Daten zugreifen können.

Zero-Trust-Sicherheit. Bei einem Zero-Trust-Sicherheitskonzept werden alle Endpunkte als standardmäßig von Stör- und Risikofaktoren bedroht betrachtet. Alle Entitäten – Benutzer, Geräte, Konten – erhalten Zugriff mit den geringsten Rechten, der für ihre Tätigkeit oder Funktion erforderlich ist, und alle Entitäten müssen fortlaufend überwacht und regelmäßig erneut autorisiert werden, wenn der Zugriff weiter bestehen soll. UEM kann eine Zero-Trust-Implementierung auf verschiedene Art und Weise unterstützen – von der Vereinfachung der Einrichtung aller Geräte für Zugriff mit den geringsten Rechten bis hin zur Bereitstellung von Echtzeitinformationen für jedes mit dem Netz verbundene Gerät.