Datenschutz bei Microsoft 365 – Teil 10: Intune

Was ist Microsoft 365 Intune?

Microsoft Intune ist ein Teil der Apps aus Microsoft 365, der die Verwaltung mobiler Geräte (MDM, Mobile Device Management) und mobiler Anwendungen (MAM, Mobile Application Management) ermöglicht. Ursprünglich als eigene Anwendung gestartet, befindet sich die Management-Oberfläche jetzt im Microsoft Endpoint Manager Admin Center und ist Teil der Enterprise Mobility + Security-Suite (EMS) von Microsoft. MAM ermöglicht es Unternehmen, Unternehmensdaten innerhalb einer Anwendung zu verwalten und zu schützen. Damit kann eine Unternehmens-App, die sensible Daten enthält, auf fast jedem Gerät verwaltet werden, einschließlich persönlicher Geräte der Beschäftigten von Unternehmen in einem BYOD-Umfeld. Derzeit sollen laut Microsoft ca. 30 Microsoft- und weitere Partner-Apps mit Intune MAM verwaltet werden können.

Anwendungsmöglichkeiten von Intune:

  • Registrierung und Remoteverwaltung von unternehmenseigenen (mobilen) Geräten
  • Verwaltung von Bring Your Own Device
  • Verwaltung zahlreicher Microsoft-Apps über MAM durch Veröffentlichung für ihre Benutzer, per Push bereitstellen, konfigurieren, schützen, überwachen und aktualisieren.
  • Verwaltung weiterer Partner-Apps (z.B. Acronis Access, Adobe Acrobat Reader, Citrix Secure Mail, etc.)
  • Erstellen von Konformitätsregeln wie zum Beispiel die Festlegung welche Geräte auf Unternehmensdienste zugreifen dürfen
  • Zuweisung mobiler Anwendungen an die Belegschaft
  • Konfiguration der Anwendungen mit Standardeinstellungen und die Möglichkeit der Entfernung von Unternehmensdaten aus mobilen Anwendungen
  • In Verbindung mit anderen EMS-Suite-Diensten können andere Anwendungen bereitgestellt werden, die auf zusätzliche Anwendungs- und Sicherheitsfunktionen wie zum Beispiel Single Sign-On (SSO) und Multifaktor-Authentifizierung (MFA) zugreifen können.

Welche Datenschutzrisiken bestehen beim Einsatz von Intune?

Professionelle Angreifer, die es auf Unternehmensdaten abgesehen haben, haben durch die zentrale Verwaltung von Mobile Devices und Apps in Intune leichtes Spiel, wenn ihnen der Zugang zu dieser Management-Konsole gelingt! Microsoft stellt selbst fest, dass das nicht unmöglich sei. Nach Aussage des Microsoft Intune SDK (Software Development Kit) Team sei ein mit ausreichenden Mitteln versehener Angreifer durchaus in der Lage den MAM-Schutz zu umgehen.

Bei der Erkennung eines Jailbreaks (Modifikation des iOS-Betriebssystems, um erweiterte Zugriffsrechte auf interne Funktionen sowie das Dateisystem des Gerätes zu erhalten) verlässt sich Microsoft auf Apples Hardware-gesteuerte Verschlüsselung, damit man Daten, die auf dem Gerät gespeichert sind, sicher verwalten kann. All diese Daten (Unternehmensdaten, Zugriffsschlüssel, Verschlüsselungsschlüssel usw.) sind in der Keychain des Gerätes gespeichert und durch den Geräte-Passcode geschützt. Sollte ein Angreifer jedoch diesen Passcode hacken, sind das Gerät und alle darin enthaltenen Daten kompromittiert.

Bei einem weniger sicheren Geräte-Passcode (zum Beispiel nur 4-stellig) könnte die Angriffszeit ausreichend gering sein, dass ein Angreifer in der Lage sein könnte, den Geräte-Passcode zu knacken, um den Zugang zum Gerät zu erhalten. Auch Pen-Tester waren gemäß Aussagen des eigenen Microsoft Intune SDK Teams in der Lage, den MAM-Schutz zu umgehen.

Hilfreiche organisatorische Regelungen für den Datenschutz bei Microsoft 365 Intune und datenschutzfreundliche Voreinstellungen

  • Für Systemadministratoren sollten klare Regelungen getroffen werden, wie Geräte und Anwendungen registriert werden sollen.
  • Erstellen sogenannter App Protection Policies für Managed Apps, um festzulegen welche Daten von den Managed Apps in Richtung Smartphone und welche zurückfließen.
  • Für eine BYOD-Regelung sollten Mitarbeiter auf ihren privaten Endgeräten die Intune-App installieren und darüber die Managed Apps beziehen. Das Unternehmen erhält dadurch keinen Zugriff auf das Gerät des Mitarbeiters, sondern lediglich Kontrolle über die Unternehmens-Apps (siehe Abbildung nachfolgend).

Unterschied zwischen einem Device ohne und mit App Protection Policies:

Datenschutz bei Microsoft 365 Intune

Quelle: https://docs.microsoft.com

Unterschied Device management policies / App and data management policies:

Datenschutz bei Microsoft 365 Intune
Quelle: https://docs.microsoft.com

Sollten Sie noch Fragen zum Datenschutz bei Microsoft 365 Intune oder Microsoft 365 allgemein haben, wenden Sie sich gerne an uns. Schauen Sie demnächst gerne wieder vorbei für den nächsten Teil unserer Microsoft 365-Reihe.

Sie benötigen professionelle Unterstützung zum Thema Datenschutz bei Microsoft 365? Lassen Sie sich jetzt von erfahrenen Datenschutzexperten bei ENSECUR beraten!
Zur Office 365 Datenschutz Beratung

Links zu weiteren Beiträgen der Reihe:

Teil 1: Grundlagen
Teil 2: Microsoft Forms
Teil 3: Microsoft Teams
Teil 4: Delve, MyAnalytics und Produktivitätsbewertung
Teil 5: Compliance
Teil 6: Yammer
Teil 7: OneDrive
Teil 8: Office Online – Word, Excel, PowerPoint, OneNote
Teil 9: Exchange
Teil 11: Admin Center

Link zu unserem White Paper Microsoft 365

Hilfreiche Links:

Autor: Thorsten Jordan, 22.12.2020

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.