In einer Zeit, in der Cyberangriffe immer ausgefeilter werden und Unternehmen ihre IT-Infrastrukturen zunehmend mobil und dezentral gestalten, gewinnt Mobile Device Management (MDM) als erste Verteidigungslinie enorm an Bedeutung. Gleich danach kommt mit Endpoint Privilege Management (EPM) der Schutz der privilegierten Accounts auf den jeweiligen Endgeräten. Dies können klassische Desktops, Server oder ebenfalls Mobile Geräte sein. 

In diesem Beitrag erklären wir die Unterschiede zwischen MDM und EPM, beleuchten ihre Anwendungsbereiche und zeigen, warum MDM der Einstiegspunkt in jede moderne IT-Sicherheitsstrategie sein sollte und warum EPM als Teil eines umfassenden Privileged Access Management (PAM)-Konzepts sinnvoll dazugehört. 

MDM ist eine Technologie zur zentralen Verwaltung und Absicherung mobiler Endgeräte wie Smartphones, Tablets und teilweise auch Laptops. Das Ziel besteht darin, Geräte in der Unternehmensumgebung zu registrieren, zu konfigurieren und mit Sicherheitsrichtlinien zu versehen. Das ist im Prinzip das, was die meisten Unternehmen mit ihren Desktop-Clients bereits seit Jahren machen - einfach auf die mobilen Endgeräte umgemünzt. 

Typische Funktionen von MDM: 

• Konfigurationsmanagement: WLAN, VPN und E-Mail-Konten werden zentral eingerichtet 

• Sicherheitsrichtlinien: Durchsetzung von Passwortvorgaben, Verschlüsselung und Bildschirmsperre 

• Remote-Wipe: Datenlöschung bei Verlust oder Diebstahl 

• App-Management: Verteilung von Unternehmens-Apps und Einschränkung unerwünschter Anwendungen 

• Inventarisierung: Überblick über alle registrierten Geräte im Unternehmen 

Einsatzbereiche: 

• Bring Your Own Device (BYOD)-Umgebungen 

• Verwaltung von Firmenhandys 

• Datenschutzkonforme Kontrolle mobiler Unternehmensdaten 

EPM ist eine Sicherheitsstrategie, die sich auf die Kontrolle von Benutzerrechten und -privilegien auf Endgeräten konzentriert. Ziel ist es, das Risiko durch übermässige Berechtigungen zu minimieren und Angriffsflächen für Malware oder Insiderbedrohungen zu reduzieren. Aus diesem Grund werden den Accounts möglichst alle privilegierten Berechtigungen entzogen und nur im Bedarfsfall mittels Elevation kurzzeitig erteilt. 

Typische Funktionen von EPM: 

• Least-Privilege-Prinzip: Jeder Nutzer erhält nur die Rechte, die er für seine Aufgabe benötigt 

• Temporäre Adminrechte: Berechtigungen werden nur bei Bedarf und zeitlich begrenzt gewährt 

• Anwendungskontrolle: Kontrolle über erlaubte Programme, Scripte und Makros 

• Auditierung: Protokollierung aller privilegierten Aktionen zur Nachvollziehbarkeit 

Einsatzbereiche: 

• Windows- und macOS-Clients in Unternehmen 

• Schutz vor Ransomware durch Rechteeinschränkung 

• Ergänzung zu Privileged Access Management (PAM)-Systemen 

Fazit: MDM und EPM adressieren unterschiedliche Risiken. Während MDM vor allem die Gerätesicherheit gewährleistet, verhindert EPM gezielt das Eskalieren und Ausnutzen von privilegierten Berechtigungen. MDM und EPM sind somit ergänzend zu verstehen und bilden einen Grundbaustein für eine umfassende Sicherheitsstrategie. 

Eine moderne Privileged Access Management (PAM)-Strategie hat zum Ziel, sämtliche privilegierte Zugriffe in einem Unternehmen sicher, nachvollziehbar und minimiert zu gestalten. Während MDM also definiert, welche Endgeräte überhaupt eingebunden werden dürfen, schützt EPM die privilegierten und hochprivilegierten Vorgänge auf diesen Endgeräten. 

Damit ist EPM im Gegensatz zu MDM ein Bestandteil des Privileged Access Management (PAM), und dient zur Härtung der äusseren Schale -den Endgeräten. Verfolgen wir diesen Pfad weiter, dann ist der Kern von PAM stets der Password Safe. Dieser beinhaltet speziell gesichert die Passwörter von privilegierten Accounts, in der Regel unpersönliche Accounts wie technische Benutzeroder sonstige Superuser. 

Betrachtet man nun die nachfolgende Grafik, dann fällt auf, dass EPM nur die linke Hälfte der Endgeräte abdeckt. Mindestens genauso relevant sind Accounts auf der rechten Seite, weshalb der zentrale Password Safe so entscheidend ist. 

Der Password Safe bildet die Grundlage von Shared Account Password Management (SAPM). Üblicherweise werden die Passwörter nach einmaligem Gebrauch einer Rotation unterzogen, sprich geändert. Damit lässt sich – z. B. über Zertifikate – gezielt Zugriff auf bestimmte Passwörter gewähren, wenn sie diese für den Zugriff auf andere Systeme benötigen. Dieser automatisierte und sichere Austausch von Zugangsdaten zwischen Applikationen wird als Application-to-Application Password Management (AAPM) bezeichnet. 

Ein fester Bestandteil moderner PAM-Lösungen ist das Privileged Session Management (PSM). Dabei werden privilegierte Zugriffe nicht durch die blosse Weitergabe von Passwörtern ermöglicht, sondern durch das Öffnen einer kontrollierten, aktiven Session (z.B. rdp oder ssh). Diese Sessions lassen sich je nach eingesetzter Lösung auch aufzeichnen und überwachen. Man spricht hier von Session Recording and Monitoring (SRM). 

Obwohl MDM und EPM unterschiedliche Sicherheitsaspekte abdecken, verfolgen sie letztlich ein gemeinsames Ziel: die Reduktion von Angriffsflächen und die Absicherung von Endgeräten, an welchen sich Menschen mit Accounts einloggen. Die Kombination aus sicheren Endgeräten und nur schwach privilegierten Accounts auf diesen Endgeräten stellt für jeden Angreifer ein erhebliches Hindernis dar. 

Dieser Ansatz bildet die Grundlage für das Zero Trust Modell, bei dem grundsätzlich kein Gerät und kein Benutzer automatisch als vertrauenswürdig gilt. Zugriffe werden kontextbasiert geprüft, beispielsweise basierend auf dem Gerätezustand, den Berechtigungen und dem Standort.  

Sie möchten wissen, wie Sie MDM und EPM optimal in Ihre Sicherheitsstrategie integrieren können? Unsere Experten unterstützen Sie gern mit einer individuellen Bedarfsanalyse und passenden Lösungsvorschlägen. 

Dieser Bericht beruht auf Expertenwissen. Für die Ausformulierung wurde Hilfe von KI in Anspruch genommen.