Insight17.03.2021

Datentrennung auf firmeneigenen Geräten (Corporate Owned Devices) und benutzereigenen Geräten (Bring Your Own Device)

Motivation für die Datentrennung

Bei der Nutzung von mobilen Geräten wird auf Daten aller Art zugegriffen. Dabei muss die Datenschutzkonformität gewährleistet werden. Hierbei unterscheidet man zwischen firmeneigenen Geräten, sogenannten „corporate owned devices“ (COD) und benutzereigenen Geräten, sogenannten „bring your own devices“ (BYOD). Für beide Nutzungsarten bieten die Hersteller der Mobilgeräte-Betriebs-systeme iOS und Android inzwischen eigene Technologien zur Separierung der Daten an. Nachfolgend werden diese „Bordmittel“ und ihre Implementierung in Relution im Einzelnen beschrieben.

iOS – Corporate Owned Devices

Unterscheidung managed / unmanaged

Seit iOS12 unterscheidet Apple grundsätzlich zwischen „managed“ und „unmanaged“ für folgende Objekte:

Managed Devices

Apps - von Relution gepushed oder über den Relution Enterprise Appstore installiert, serverseitig konfigurierbar
Mail Accounts - von Relution über eine Richtlinie konfiguriert
Kontakte - vom managed Mail Account auf das Gerät geladen (synchronisiert)
Dokumente - vom managed Mail Account auf das Gerät geladen (synchronisiert)

Unmanaged Devices

Apps - vom Benutzer aus dem Apple AppStore installiert, nicht serverseitig konfigurierbar
Mail Accounts - vom Benutzer selbst auf dem Gerät konfiguriert
Kontakte - vom Benutzer selbst angelegt
Dokumente - vom Benutzer in unmanaged Apps erzeugt oder in unmanaged Mail Accounts empfangen

Dabei kann eine unmanaged App in eine managed App umgewandelt werden, indem sie von Relution neu gepushed wird. Sie ersetzt dabei die unmanaged App gleichen Namens auf dem Gerät. Unmanaged Mail-Accounts, Kontakte und Dokumente lassen sich jedoch nicht nach managed überführen.

Zugriffs-Einschränkungen

Die Trennung der Daten erfolgt in iOS systemseitig, indem man per Richtlinie einstellen kann, ob der Zugriff auf managed Daten aus unmanaged Apps heraus erlaubt sein soll oder nicht. Dazu bietet die Konfiguration „Restriktionen“ als Teil einer Richtlinie in Relution folgende Einschränkungsmöglichkeiten:

Öffnen von managed Dokumenten in unmanaged Apps verbieten
Öffnen von unmanaged Dokumenten in managed Apps erlauben
Unmanaged Apps den Zugriff auf managed Kontakte verbieten
Öffnen von unmanaged Dokumenten in managed Apps erlauben
Managed Apps erlauben, unmanaged Kontakte zu schreiben
AirDrop-Ziele grundsätzlich als unmanaged betrachten
Verschieben von Mails in unmanaged Mail Accounts verbieten

Damit lässt sich beispielsweise verhindern, dass:

Eine private App (z.B. WhatsApp) die geschäftlichen (Exchange-)Kontakte sieht
Eine geschäftliche Mail beliebig weitergeleitet wird
Ein Anhang einer geschäftlichen Mail in einer beliebigen App geöffnet wird (z.B. Dropbox)

iCloud-Einschränkungen

Um das unkontrollierte Abfließen von Daten zu verhindern, bietet Relution die Möglichkeit, Cloud-Accounts ganz zu verbieten oder zumindest einzuschränken. Im Einzelnen lassen sich folgende Funktionen abschalten:

iCloud-Backups
Synchronisierung des iCloud-Schlüsselbunds
Managed Apps erlauben, Daten in der iCloud abzulegen
Fotos in der iCloud speichern
Synchronisierung von iCloud-Dokumenten

Funktions-Einschränkungen

Schließlich gibt es einige iOS-Systemfunktionen, die unter Datensicherheitskriterien betrachtet und per Restriktion ebenfalls abgeschaltet werden können:

App Block-/Allow-Listing
Web-URL Block-/Allow-Listing
AirDrop (komplett abschaltbar)
Passwort teilen
Zugriff zum Apple AppStore
Bildschirmfotos und -aufzeichnungen
Kamera (komplett abschaltbar, auch für in-App-Funktionen)
Erstellen und Modifizieren von Accounts (Mail, Apple IDs)
Bluetooth
Installation von VPN-Profilen
USB-Verbindungen

Per App VPN

Als wichtige Datenschutzmaßnahme bietet iOS die Möglichkeit, die Datenverbindung von Apps fest an eine VPN-Verbindung zu koppeln, die ihrerseits wieder vom Relution-Server konfiguriert werden kann. So ist sichergestellt, dass bestimmte Apps nur über das firmeneigene Netz laufen und externe Zugriffe unterbunden werden (intranet-only).

iOS – Bring Your Own Devices

Bis iOS 12 war es üblich, auf iOS-BYOD-Geräten eine Container-App einzusetzen, die serverseitig konfiguriert werden konnte und somit eine Trennung von geschäftlichen und privaten Daten sicherstellte.

Zwischenzeitlich bietet iOS jedoch eine eingebaute „Container-Lösung“ um geschäftliche von privaten Anwendungen und Daten zu trennen. Hierzu wird ein iOS Gerät in Relution über eine (BYOD) Einschreibung im Inventar aufgenommen. Dadurch wird auf dem Gerät ein MDM-Profil installiert wodurch eine Verwaltung über Relution ermöglicht wird. Technisch wird dann zwischen „verwalteten“ und „nicht verwalteten“ Apps und Inhalten unterschieden. Damit wird das iOS-Gerät zum „Dual Persona“-Gerät und die Daten werden komplett separiert. Mittels Restriktionen lässt sich zusätzlich steuern ob Daten zwischen „verwalteten“ und „nicht verwalteten“ Apps geteilt werden dürfen.

Auf den Geräten können verschiedene Konfigurationen eingespielt und über Relution verwaltet werden:

Apps
VPN-Konfiguration
Notizen (weitere System-Apps werden in zukünftigen iOS-Versionen folgen)
iCloud-Account
Keychain
Mail Accounts / Attachments
Kalender Accounts / Attachments

Wird das MDM-Profil entfernt, werden alle verwalteten Apps und Inhalte gelöscht. Diese Aktion kann per Relution oder am Gerät selbst erfolgen.

Android – Corporate Owned Devices

Ab Android 9: Android Enterprise Enrollment (vollständige Geräteverwaltung)

Spätestens seit Relution 5 ist bei der Verwaltung von Android-Geräten in Relution verstärkt die Android Enterprise Einschreibung als vollständig verwaltetes Gerät (Device Owner) gebräuchlich. Die MDM-Funktionen sind dabei im Betriebssystem integriert und standardisiert. Dies ermöglicht eine weitgehend herstellerunabhängige, einheitliche MDM-Funktionalität auf der Android-Plattform. Die Android Enterprise Funktionen stehen ausschließlich für zertifizierte Geräte zur Verfügung. Samsung-Geräte können mittels der KNOX-Funktionen noch umfangreicher administriert und abgesichert werden. Die Relution Client App wird bei der Android Enterprise Einschreibung nicht mehr zwingend benötigt. Zusätzlich steht weiterhin die klassische Einschreibung als „Device Administrator“ zur Verfügung. Dabei erhält die Relution Client App besondere Rechte auf dem Gerät, damit sie die MDM-Funktionen ausführen darf. Bei dieser Art der Einschreibung sind die Möglichkeiten des MDM-Eingriffs jedoch stark vom verwendeten Android-Gerät abhängig. Bei der Verwaltung von Android-Geräten stehen vielfältige Konfigurationen und Funktionen zur Verfügung:

Installation und Konfiguration von Apps (bspw. Exchange-Client)
Managed Google Play Store
WLAN- und VPN-Konfiguration
Vollautomatische Einschreibung der Geräte (KNOX Mobile Enrollment)

Android – Bring Your Own Devices

„Arbeitsprofil“ Einschreibung

Android Enterprise bietet zusätzlich das sogenannte „Arbeitsprofil“ an, das für private Geräte gedacht ist und einen Container („Arbeit“) auf dem Gerät einrichtet, der von Relution verwaltet werden kann. In diesem Container findet sich ein „Managed Play Store“, der lediglich freigegebene Apps zur Installation bereitstellt. Die Installation der Apps aus dem „Managed Google Play Store“ ist ohne einen lokalen Google-Account möglich. Zusätzlich können die Apps über Relution konfiguriert werden sofern eine „Managed App Configruation“ von der jeweiligen App unterstützt wird (z.B. eine E-Mail-App mit vorgegebener Server-Adresse und Benutzerkennung). Der Container kann auch ein eigenes Adressbuch zur Trennung von geschäftlichen und privaten Kontakten enthalten.

Alles außerhalb des Containers („Persönlich“) kann Relution nicht beeinflussen, es kann also beispielsweise das Gerät nicht zurückgesetzt oder gesperrt werden. Der Container kann aber über Relution entfernt werden, womit dann alle darin vorhandenen Daten gelöscht werden.

Relution unterstützt das Arbeitsprofil in einer Organisation parallel zur vollständigen Geräteverwaltung von Android Enterprise und der klassischen Einschreibung als System Administrator. In Relution ist somit ein Mischbetrieb mit unterschiedlichen Geräten möglich.

Funktions-Einschränkungen

Ferner können im Container "Arbeit" folgende Funktionen per Restriktion ebenfalls abgeschaltet werden:

App Block-/Allow-Listing
Neue Benutzer und Profile anlegen
Konten hinzuzufügen und entfernen
Apps installieren
Apps deinstallieren
Kamera verwenden
Bildschirmfotos machen
Bluetooth konfigurieren und verwenden
Kontakte über Bluetooth teilen
Mobiles Netzwerk konfigurieren
VPN konfigurieren
Vorgegebene Wi-Fi Netzwerke anpassen
Android Beam (NFC) zum Teilen von App-Daten verwenden
Externe physikalische Medien einbinden
Dateien über USB übertragen

Zusammenfassung

Android und iOS bieten in den aktuellen Versionen umfassende Möglichkeiten zur sicheren Verwendung inklusive Trennung von geschäftlichen und privaten Daten. Diese Möglichkeiten werden mit jeder neuen Betriebssystem-Version weiter ausgebaut.

Vor diesem Hintergrund hat der klassische, app-basierte Container ausgedient, da er keine so strikte Trennung auf Systemebene erlaubt (z.B. kein eigenes Dateisystem) und sowohl auf der Kostenseite als auch aus Usability-Sicht klare Nachteile gegenüber der betriebssystemseitigen Trennung der Daten hat.

Latest Insights

Geozonen im MDM: Maximale Kontrolle über mobile Endgeräte
10.03.2025
Geozonen im MDM: Maximale Kontrolle über mobile Endgeräte
Datenschutzkonformität mit Relution – Jetzt erst recht
28.02.2025
Datenschutzkonformität mit Relution – Jetzt erst recht
Kiosk-Modus von Relution: Sicherere und einfachere Geräteverwaltung
03.02.2025
Kiosk-Modus von Relution: Sicherere und einfachere Geräteverwaltung
Cybersicherheit, Datenschutz und innovative Lösungen mit Relution
10.01.2025
Cybersicherheit, Datenschutz und innovative Lösungen mit Relution
VPN einfach erklärt: So schützt ein Virtual Private Network (VPN) Ihre Daten
16.12.2024
VPN einfach erklärt: So schützt ein Virtual Private Network (VPN) Ihre Daten
Relution agiert plattformunabhängig
03.12.2024
Relution agiert plattformunabhängig
Relution als ganzheitliche UEM-Lösung für BYOD und COPE
14.11.2024
Relution als ganzheitliche UEM-Lösung für BYOD und COPE
Cloud- oder On-Premises-Lösung
07.11.2024
Cloud- oder On-Premises-Lösung
Digitale Geräteverwaltung kurz erklärt
27.09.2024
Digitale Geräteverwaltung kurz erklärt
MDM kurz erklärt
12.09.2024
MDM kurz erklärt