Motivation

Bei der Nutzung von mobilen Geräten wird auf Daten aller Art zugegriffen. Dabei muss die Datenschutzkonformität gewährleistet werden. Hierbei unterscheidet man zwischen firmeneigenen Geräten, sogenannten „corporate owned devices“ (COD) und benutzereigenen Geräten, sogenannten „bring your own devices“ (BYOD). Für beide Nutzungsarten bieten die Hersteller der Mobilgeräte-Betriebs-systeme iOS und Android inzwischen eigene Technologien zur Separierung der Daten an. Nachfolgend werden diese „Bordmittel“ und ihre Implementierung in Relution im Einzelnen beschrieben.


iOS – Corporate Owned Devices

Unterscheidung managed / unmanaged

Seit iOS12 unterscheidet Apple grundsätzlich zwischen „managed“ und „unmanaged“ für folgende Objekte:

Managed Devices Unmanaged Devices
Apps von Relution gepushed oder über den Relution Enterprise Appstore installiert, serverseitig konfigurierbar vom Benutzer aus dem Apple AppStore installiert, nicht serverseitig konfigurierbar
Mail Accounts von Relution über eine Richtlinie konfiguriert vom Benutzer selbst auf dem Gerät konfiguriert
Kontakte vom managed Mail Account auf das Gerät geladen (synchronisiert) vom Benutzer selbst angelegt
Dokumente vom managed Mail Account auf das Gerät geladen (synchronisiert) vom Benutzer in unmanaged Apps erzeugt oder in unmanaged Mail Accounts empfangen


Dabei kann eine unmanaged App in eine managed App umgewandelt werden, indem sie von Relution neu gepushed wird. Sie ersetzt dabei die unmanaged App gleichen Namens auf dem Gerät. Unmanaged Mail-Accounts, Kontakte und Dokumente lassen sich jedoch nicht nach managed überführen.


Zugriffs-Einschränkungen

Die Trennung der Daten erfolgt in iOS systemseitig, indem man per Richtlinie einstellen kann, ob der Zugriff auf managed Daten aus unmanaged Apps heraus erlaubt sein soll oder nicht. Dazu bietet die Konfiguration „Restriktionen“ als Teil einer Richtlinie in Relution folgende Einschränkungsmöglichkeiten:

» Öffnen von managed Dokumenten in unmanaged Apps verbieten
» Öffnen von unmanaged Dokumenten in managed Apps erlauben
» Unmanaged Apps den Zugriff auf managed Kontakte verbieten
» Öffnen von unmanaged Dokumenten in managed Apps erlauben
» Managed Apps erlauben, unmanaged Kontakte zu schreiben
» AirDrop-Ziele grundsätzlich als unmanaged betrachten
» Verschieben von Mails in unmanaged Mail Accounts verbieten

Damit lässt sich beispielsweise verhindern, dass:

» Eine private App (z.B. WhatsApp) die geschäftlichen (Exchange-)Kontakte sieht
» Eine geschäftliche Mail beliebig weitergeleitet wird
» Ein Anhang einer geschäftlichen Mail in einer beliebigen App geöffnet wird (z.B. Dropbox)


iCloud-Einschränkungen

Um das unkontrollierte Abfließen von Daten zu verhindern, bietet Relution die Möglichkeit, Cloud-Accounts ganz zu verbieten oder zumindest einzuschränken. Im Einzelnen lassen sich folgende Funktionen abschalten:

» iCloud-Backups
» Synchronisierung des iCloud-Schlüsselbunds
» Managed Apps erlauben, Daten in der iCloud abzulegen
» Fotos in der iCloud speichern
» Synchronisierung von iCloud-Dokumenten


Funktions-Einschränkungen

Schließlich gibt es einige iOS-Systemfunktionen, die unter Datensicherheitskriterien betrachtet und per Restriktion ebenfalls abgeschaltet werden können:

» App Black-/Whitelisting
» Web-URL Black-/Whitelisting
» AirDrop (komplett abschaltbar)
» Passwort teilen
» Zugriff zum Apple AppStore
» Bildschirmfotos und -aufzeichnungen

» Kamera (komplett abschaltbar, auch für in-App-Funktionen)
» Erstellen und Modifizieren von Accounts (Mail, Apple IDs)
» Bluetooth
» Installation von VPN-Profilen
» USB-Verbindungen

Per App VPN

Als wichtige Datenschutzmaßnahme bietet iOS die Möglichkeit, die Datenverbindung von Apps fest an eine VPN-Verbindung zu koppeln, die ihrerseits wieder vom Relution-Server konfiguriert werden kann. So ist sichergestellt, dass bestimmte Apps nur über das firmeneigene Netz laufen und externe Zugriffe unterbunden werden (intranet-only).


iOS – Bring Your Own Devices

Bisher war es üblich, auf iOS-BYOD-Geräten eine Container-App einzusetzen, die serverseitig konfiguriert werden konnte und somit eine Trennung von geschäftlichen und privaten Daten sicherstellte.

Seit iOS13 bietet iOS jedoch einen eingebauten Container für geschäftliche Anwendungen und Daten, der über das „User Enrollment“ über Relution auf das Gerät gebracht wird. Damit wird das iOS-Gerät zum „Dual Persona“-Gerät, d.h. der Container-Bereich und der Rest des Geräts werden komplett separiert. Technisch wird diese Trennung sogar auf Dateisystem-Ebene vollzogen, d.h. es gibt für den Container ein eigenes APFS-Volume mit eigener Verschlüsselung.

In diesem Volume können verschiedene Komponenten liegen, die unabhängig vom übrigen iOS per Relution verwaltet werden:

» Apps
» VPN-Konfiguration
» Notizen (weitere System-Apps werden in zukünftigen iOS-Versionen folgen)
» iCloud-Account
» Keychain
» Mail Accounts / Attachments
» Kalender Accounts / Attachments

Wird der Container entfernt (kann per Relution oder am Gerät selbst erfolgen), wird das gesamte Volume gelöscht.

Android – Corporate Owned Devices

Bis Android 10: System Administrator Enrollment

Bisher ist bei der Verwaltung von Android-Geräten in Relution hauptsächlich das klassische Enrollment als „System Administrator“ gebräuchlich. Das bedeutet, dass die Relution Client App besondere Rechte auf dem Gerät bekommt, damit sie die MDM-Funktionen ausführen darf. Bei dieser Art des Enrollments sind die Möglichkeiten des MDM-Eingriffs stark vom verwendeten Android-Gerät abhängig. Die meisten Funktionen bietet hier Samsung mit seiner KNOX-Schnittstelle; die Geräte aller anderen Android-Hersteller sind nur sehr rudimentär per MDM zu konfigurieren. Beispielsweise bietet nur Samsung folgende Möglichkeiten an:

» Exchange-Client konfigurieren
» VPN-Konfiguration
» „Silent push“ von Apps aus dem Relution App Store ohne Nachfrage auf dem Gerät
» Vollautomatische Einschreibung der Geräte (KNOX Mobile Enrollment)


Ab Android 10: Android Enterprise Full Device Mode

Mit Android Enterprise hat Google einen eigenen MDM-Stack veröffentlicht, der die Implementierung der MDM-Funktionen im Gegensatz zum Enrollment als System Administrator nicht mehr der Client App überlässt, sondern diese im Betriebssystem zur Verfügung stellt. Dies ermöglicht erstmalig eine weitgehend herstellerunabhängige, einheitliche MDM-Funktionalität auf der Android-Plattform. Der Full Device Mode wird mittelfristig das System Administrator Enrollment ablösen. Android 10 ist die erste Android-Version, bei der der Full Device Mode die von Google bevorzugte Art des Enrollments sein wird.


Android – Bring Your Own Devices

Work Profile Enrollment

Android Enterprise bietet das sogenannten „Work Profile Enrollment“ an, das für mitarbeitereigene Geräte gedacht ist und einen Container („Arbeit“) auf dem Gerät einrichtet, der von Relution gemanaged werden kann. In diesem Container findet sich ein „Managed Play Store“, also ein unternehmenseigener App Store, der es ermöglicht, Apps aus dem Google Play Store ohne Vorhandensein eines lokalen Google-Accounts in den Container zu pushen und diese auch über Relution zu konfigurieren (z.B. einen Mail-Client mit vorgegebener Server-Adresse und Benutzerkennung). Der Container kann auch ein eigenes Adressbuch zur Trennung von geschäftlichen und privaten Kontakten enthalten.

Alles außerhalb des Containers („Persönlich“) kann Relution nicht beeinflussen, es kann also beispielsweise das Gerät nicht zurückgesetzt oder gesperrt werden. Der Container kann aber über Relution entfernt werden, womit dann alle darin vorhandene Daten gelöscht werden.

Relution unterstützt das Work Profile Enrollment parallel zum System Administrator Enrollment, man kann die beiden also kombinieren.

Funktions-Einschränkungen

Ferner können im Container "Arbeit" folgende Funktionen per Restriktion ebenfalls abgeschaltet werden:

» App Black-/Whitelisting
» Neue Benutzer und Profile anlegen
» Konten hinzuzufügen und entfernen
» Apps installieren
» Apps deinstallieren
» Kamera verwenden
» Bildschirmfotos machen
» Bluetooth konfigurieren und verwenden

» Kontakte über Bluetooth teilen
» Mobiles Netzwerk konfigurieren
» VPN konfigurieren
» Vorgegebene Wi-Fi Netzwerke anpassen
» Android Beam (NFC) zum Teilen von App-Daten verwenden
» Externe physikalische Medien einbinden
» Dateien über USB übertragen

Zusammenfassung

Android und iOS bieten in den aktuellen Versionen umfassende Möglichkeiten zur sicheren Verwendung inklusive Trennung von geschäftlichen und privaten Daten. Diese Möglichkeiten werden mit jeder neuen Betriebssystem-Version weiter ausgebaut. Vor diesem Hintergrund hat der klassische, app-basierte Container ausgedient, da er keine so strikte Trennung auf Systemebene erlaubt (z.B. kein eigenes Dateisystem) und sowohl auf der Kostenseite als auch aus Usability-Sicht klare Nachteile gegenüber der betriebssystemseitigen Trennung der Daten hat.

Mobile Device & App Management mit Relution

Kostenlos und zeitlich unbegrenzt für bis zu 5 Geräte & 5 Apps. Keine Zahlungsinformationen notwendig.