Datentrennung auf firmeneigenen Geräten (Corporate Owned Devices) und benutzereigenen Geräten (Bring Your Own Device)
Motivation für die Datentrennung
Bei der Nutzung von mobilen Geräten wird auf Daten aller Art zugegriffen. Dabei muss die Datenschutzkonformität gewährleistet werden. Hierbei unterscheidet man zwischen firmeneigenen Geräten, sogenannten „corporate owned devices“ (COD) und benutzereigenen Geräten, sogenannten „bring your own devices“ (BYOD). Für beide Nutzungsarten bieten die Hersteller der Mobilgeräte-Betriebs-systeme iOS und Android inzwischen eigene Technologien zur Separierung der Daten an. Nachfolgend werden diese „Bordmittel“ und ihre Implementierung in Relution im Einzelnen beschrieben.
iOS – Corporate Owned Devices
Unterscheidung managed / unmanaged
Seit iOS12 unterscheidet Apple grundsätzlich zwischen „managed“ und „unmanaged“ für folgende Objekte:
Managed Devices
- Apps - von Relution gepushed oder über den Relution Enterprise Appstore installiert, serverseitig konfigurierbar
- Mail Accounts - von Relution über eine Richtlinie konfiguriert
- Kontakte - vom managed Mail Account auf das Gerät geladen (synchronisiert)
- Dokumente - vom managed Mail Account auf das Gerät geladen (synchronisiert)
Unmanaged Devices
- Apps - vom Benutzer aus dem Apple AppStore installiert, nicht serverseitig konfigurierbar
- Mail Accounts - vom Benutzer selbst auf dem Gerät konfiguriert
- Kontakte - vom Benutzer selbst angelegt
- Dokumente - vom Benutzer in unmanaged Apps erzeugt oder in unmanaged Mail Accounts empfangen
Dabei kann eine unmanaged App in eine managed App umgewandelt werden, indem sie von Relution neu gepushed wird. Sie ersetzt dabei die unmanaged App gleichen Namens auf dem Gerät. Unmanaged Mail-Accounts, Kontakte und Dokumente lassen sich jedoch nicht nach managed überführen.
Zugriffs-Einschränkungen
Die Trennung der Daten erfolgt in iOS systemseitig, indem man per Richtlinie einstellen kann, ob der Zugriff auf managed Daten aus unmanaged Apps heraus erlaubt sein soll oder nicht. Dazu bietet die Konfiguration „Restriktionen“ als Teil einer Richtlinie in Relution folgende Einschränkungsmöglichkeiten:
- Öffnen von managed Dokumenten in unmanaged Apps verbieten
- Öffnen von unmanaged Dokumenten in managed Apps erlauben
- Unmanaged Apps den Zugriff auf managed Kontakte verbieten
- Öffnen von unmanaged Dokumenten in managed Apps erlauben
- Managed Apps erlauben, unmanaged Kontakte zu schreiben
- AirDrop-Ziele grundsätzlich als unmanaged betrachten
- Verschieben von Mails in unmanaged Mail Accounts verbieten
Damit lässt sich beispielsweise verhindern, dass:
- Eine private App (z.B. WhatsApp) die geschäftlichen (Exchange-)Kontakte sieht
- Eine geschäftliche Mail beliebig weitergeleitet wird
- Ein Anhang einer geschäftlichen Mail in einer beliebigen App geöffnet wird (z.B. Dropbox)
iCloud-Einschränkungen
Um das unkontrollierte Abfließen von Daten zu verhindern, bietet Relution die Möglichkeit, Cloud-Accounts ganz zu verbieten oder zumindest einzuschränken. Im Einzelnen lassen sich folgende Funktionen abschalten:
- iCloud-Backups
- Synchronisierung des iCloud-Schlüsselbunds
- Managed Apps erlauben, Daten in der iCloud abzulegen
- Fotos in der iCloud speichern
- Synchronisierung von iCloud-Dokumenten
Funktions-Einschränkungen
Schließlich gibt es einige iOS-Systemfunktionen, die unter Datensicherheitskriterien betrachtet und per Restriktion ebenfalls abgeschaltet werden können:
-
App Block-/Allow-Listing
-
Web-URL Block-/Allow-Listing
-
AirDrop (komplett abschaltbar)
-
Passwort teilen
-
Zugriff zum Apple AppStore
-
Bildschirmfotos und -aufzeichnungen
-
Kamera (komplett abschaltbar, auch für in-App-Funktionen)
-
Erstellen und Modifizieren von Accounts (Mail, Apple IDs)
-
Bluetooth
-
Installation von VPN-Profilen
-
USB-Verbindungen
Per App VPN
Als wichtige Datenschutzmaßnahme bietet iOS die Möglichkeit, die Datenverbindung von Apps fest an eine VPN-Verbindung zu koppeln, die ihrerseits wieder vom Relution-Server konfiguriert werden kann. So ist sichergestellt, dass bestimmte Apps nur über das firmeneigene Netz laufen und externe Zugriffe unterbunden werden (intranet-only).
iOS – Bring Your Own Devices
Bis iOS 12 war es üblich, auf iOS-BYOD-Geräten eine Container-App einzusetzen, die serverseitig konfiguriert werden konnte und somit eine Trennung von geschäftlichen und privaten Daten sicherstellte.
Zwischenzeitlich bietet iOS jedoch eine eingebaute „Container-Lösung“ um geschäftliche von privaten Anwendungen und Daten zu trennen. Hierzu wird ein iOS Gerät in Relution über eine (BYOD) Einschreibung im Inventar aufgenommen. Dadurch wird auf dem Gerät ein MDM-Profil installiert wodurch eine Verwaltung über Relution ermöglicht wird. Technisch wird dann zwischen „verwalteten“ und „nicht verwalteten“ Apps und Inhalten unterschieden. Damit wird das iOS-Gerät zum „Dual Persona“-Gerät und die Daten werden komplett separiert. Mittels Restriktionen lässt sich zusätzlich steuern ob Daten zwischen „verwalteten“ und „nicht verwalteten“ Apps geteilt werden dürfen.
Auf den Geräten können verschiedene Konfigurationen eingespielt und über Relution verwaltet werden:
- Apps
- VPN-Konfiguration
- Notizen (weitere System-Apps werden in zukünftigen iOS-Versionen folgen)
- iCloud-Account
- Keychain
- Mail Accounts / Attachments
- Kalender Accounts / Attachments
Wird das MDM-Profil entfernt, werden alle verwalteten Apps und Inhalte gelöscht. Diese Aktion kann per Relution oder am Gerät selbst erfolgen.
Android – Corporate Owned Devices
Ab Android 9: Android Enterprise Enrollment (vollständige Geräteverwaltung)
Spätestens seit Relution 5 ist bei der Verwaltung von Android-Geräten in Relution verstärkt die Android Enterprise Einschreibung als vollständig verwaltetes Gerät (Device Owner) gebräuchlich. Die MDM-Funktionen sind dabei im Betriebssystem integriert und standardisiert. Dies ermöglicht eine weitgehend herstellerunabhängige, einheitliche MDM-Funktionalität auf der Android-Plattform. Die Android Enterprise Funktionen stehen ausschließlich für zertifizierte Geräte zur Verfügung. Samsung-Geräte können mittels der KNOX-Funktionen noch umfangreicher administriert und abgesichert werden. Die Relution Client App wird bei der Android Enterprise Einschreibung nicht mehr zwingend benötigt. Zusätzlich steht weiterhin die klassische Einschreibung als „Device Administrator“ zur Verfügung. Dabei erhält die Relution Client App besondere Rechte auf dem Gerät, damit sie die MDM-Funktionen ausführen darf. Bei dieser Art der Einschreibung sind die Möglichkeiten des MDM-Eingriffs jedoch stark vom verwendeten Android-Gerät abhängig. Bei der Verwaltung von Android-Geräten stehen vielfältige Konfigurationen und Funktionen zur Verfügung:
- Installation und Konfiguration von Apps (bspw. Exchange-Client)
- Managed Google Play Store
- WLAN- und VPN-Konfiguration
- Vollautomatische Einschreibung der Geräte (KNOX Mobile Enrollment)
Android – Bring Your Own Devices
„Arbeitsprofil“ Einschreibung
Android Enterprise bietet zusätzlich das sogenannte „Arbeitsprofil“ an, das für private Geräte gedacht ist und einen Container („Arbeit“) auf dem Gerät einrichtet, der von Relution verwaltet werden kann. In diesem Container findet sich ein „Managed Play Store“, der lediglich freigegebene Apps zur Installation bereitstellt. Die Installation der Apps aus dem „Managed Google Play Store“ ist ohne einen lokalen Google-Account möglich. Zusätzlich können die Apps über Relution konfiguriert werden sofern eine „Managed App Configruation“ von der jeweiligen App unterstützt wird (z.B. eine E-Mail-App mit vorgegebener Server-Adresse und Benutzerkennung). Der Container kann auch ein eigenes Adressbuch zur Trennung von geschäftlichen und privaten Kontakten enthalten.
Alles außerhalb des Containers („Persönlich“) kann Relution nicht beeinflussen, es kann also beispielsweise das Gerät nicht zurückgesetzt oder gesperrt werden. Der Container kann aber über Relution entfernt werden, womit dann alle darin vorhandenen Daten gelöscht werden.
Relution unterstützt das Arbeitsprofil in einer Organisation parallel zur vollständigen Geräteverwaltung von Android Enterprise und der klassischen Einschreibung als System Administrator. In Relution ist somit ein Mischbetrieb mit unterschiedlichen Geräten möglich.
Funktions-Einschränkungen
Ferner können im Container "Arbeit" folgende Funktionen per Restriktion ebenfalls abgeschaltet werden:
- App Block-/Allow-Listing
- Neue Benutzer und Profile anlegen
- Konten hinzuzufügen und entfernen
- Apps installieren
- Apps deinstallieren
- Kamera verwenden
- Bildschirmfotos machen
- Bluetooth konfigurieren und verwenden
- Kontakte über Bluetooth teilen
- Mobiles Netzwerk konfigurieren
- VPN konfigurieren
- Vorgegebene Wi-Fi Netzwerke anpassen
- Android Beam (NFC) zum Teilen von App-Daten verwenden
- Externe physikalische Medien einbinden
- Dateien über USB übertragen
Zusammenfassung
Android und iOS bieten in den aktuellen Versionen umfassende Möglichkeiten zur sicheren Verwendung inklusive Trennung von geschäftlichen und privaten Daten. Diese Möglichkeiten werden mit jeder neuen Betriebssystem-Version weiter ausgebaut.
Vor diesem Hintergrund hat der klassische, app-basierte Container ausgedient, da er keine so strikte Trennung auf Systemebene erlaubt (z.B. kein eigenes Dateisystem) und sowohl auf der Kostenseite als auch aus Usability-Sicht klare Nachteile gegenüber der betriebssystemseitigen Trennung der Daten hat.