iOS Apps oder doch der „Secure Container“?

5 Min. Lesezeit
21. Januar 2020

Immer wieder propagieren UEM/EMM/MDM Hersteller nicht nur die MDM Features ihres Produkts zu nutzen, sondern auch gleich die jeweils in das Produkt integrierte, eigene Appsuite zu verwenden. In Zeiten von BYOD sind diese doch ein Muss, außerdem bieten sie auch viel mehr als die nativen Apps, oder?

Nun ja, wie immer "kommt es drauf an"! Es gibt gute Gründe für, aber auch gegen den Einsatz dieser Apps. Ich halte mich gerne an die Fakten, wobei hier auch das subjektive Empfinden und damit Gefühle eine Rolle spielen. Etwas, womit "der Techniker" nicht immer etwas anfangen kann. Worum geht’s also?

Inhalt

Hintergrund
Bessere Benutzererfahrung durch bessere Integration
Container OK, aber wie funktioniert es mit iOS nativ?
Wissenswertes zu wiederkehrenden Themen (Verschlüsselung, Single Sign On etc.)
Fazit

Hintergrund

Container Apps bieten viele Features, um die Verwendung von Firmendaten abzusichern, dafür bilden sie aber immer ein eigenes Öko-System. Werfen wir einen Blick darauf, woher diese Appsuiten kommen, dann ist schnell klar, dass es eine genaue Anforderung gab: Nämlich nicht verschlüsselte Daten auf Geräten abzusichern, auf denen vielleicht nicht einmal ein Passcode vorhanden war. Heute sind alle neuen Geräte bereits ab Werk verschlüsselt, aber kommen wir nicht vom Thema ab.

Im Mittelpunkt steht die Sicherheit der Daten, außerdem ist durch die Verwendung der Appsuiten auch ein Set an Werkzeugen mit im Portfolio. Das macht es Admins bei der Umsetzung von Usecases einfacher, wo sie sonst oft Hand an vielen, möglicherweise lange gewachsenen, Backend Systemen anlegen müssten, um beispielsweise andere Authentifizierungsvarianten als "Benutzername & Passwort" zu ermöglichen.

Bessere Benutzererfahrung durch bessere Integration

Der Benutzer oder die Benutzerin erleben dieses eigene Öko-System in der Regel als zusätzliche Werkzeuge und damit als Mehraufwand, wie wir das oft am Beispiel von Firmen-Mobiltelefonen sehen. Ist die private Nutzung nicht erlaubt, verstauben die Gerät in Schubladen, weil der Benutzer keinen Mehrwert für sich sieht. Er ist zwar erreichbar, kann aber sonst mit dem Gerät nichts anfangen bzw. hat er ein zusätzliches Gerät, um das er sich kümmern muss.

Ist die private Nutzung erlaubt und die sogenannten Container Apps sind eingerichtet, so ist das ähnlich wie mit dem separaten Firmen-Gerät. Sie werden oft als "zusätzlich" empfunden und mit mehr Aufwand verbunden, sofern da nicht Features sind, die so toll sind, dass sie darüber hinwegtrösten.

Einige Beispiele:

  • Am PC sind Mails längst da, mobil gibt es aber keine Benachrichtigung? Das passiert, weil die Apps von Drittherstellern entsprechende Services benötigen, um überhaupt Benachrichtigungen empfangen zu können, das aber nur, wenn sie zumindest im Hintergrund noch aktiv sind! Kein Problem mit der nativen Mail App.
  • Mehrere Kalender Apps, in denen man keine einheitliche Übersicht über seine Termine hat, wie zum Beispiel in Outlook am Desktop, sofern es dort erlaubt ist, oder mit mehreren privaten Konten, die man gemeinsam in der Kalender-App sieht. Hier ist klar die native App im Vorteil, u.a. auch für die Anzeige von Terminen auf einer Smartwatch!
  • Ein Link, der aus einem Mail im Container-Browser aufgeht, wird der Link aber im Safari geöffnet, funktioniert das plötzlich anders. Je nachdem, was gerade benötigt wird - was macht der Benutzer? Er schickt sich das E-Mail selbst an sein anderes Mailkonto weiter, weil es für ihn die schnellste Lösung seines Problems ist!

Container OK, aber wie funktioniert es mit iOS nativ?

In iOS 13 wird für UEM-gesteuerte Applikationen und Accounts ein separates APFS Volume angelegt, auf dem sich die App-Container und deren Daten befinden. Das hat gleichzeitig auch zur Folge, dass das Management von bereits auf dem Gerät befindlichen Applikationen oder Konten nicht wie früher durch das UEM übernommen werden kann.

Es findet eine stärkere Trennung zwischen beruflich und privat statt, bzw. zwischen verwaltet und nicht verwaltet.
Apple sowie Google (aber hier geht’s ja um iOS) streben an, dass die Entscheidung, ob ein Gerät privat ist oder nicht, spätestens beim Setup des Geräts getroffen ist. Denn hier wird entschieden, in welcher Tiefe das Gerät verwaltet werden darf. So ist es beispielsweise künftig nicht mehr möglich, auf privaten Geräten die Nutzung der Kamera App einzuschränken. Ist das Gerät aber von vornherein verwaltet, d.h. es ist durch den Händler im Apple Business Manager registriert, dann ist diese Funktionalität gegeben, aber eben nur dann. Privacy wird wieder großgeschrieben!

Für den Benutzer oder die Benutzerin stellt sich dennoch weiterhin alles transparent dar, wird eine Mail-App mit mehreren Accounts benutzt, wobei zum Beispiel einer davon durch das UEM System konfiguriert wurde. Dafür ist bei ordentlicher Konfiguration der Backend-Systeme und der verbindenden Komponenten nicht einmal ein Passwort einzugeben. Die Daten des beruflichen Kontos liegen auf dem separaten APFS Volume und sind komplett getrennt von allem Privatem auf dem Gerät.

Ich möchte noch auf ein paar Themen eingehen, die immer wieder auftauchen:

Copy & Paste

In manchen Fällen soll verhindert werden, dass Copy & Paste zwischen Apps oder zwischen E-Mail-Konten funktioniert, kurzum, das ist nur mit Container Apps möglich. Apple sagt, das ist ein benutzerinitiierter Vorgang, und soll daher unterstützt und nicht verhindert werden.

Verschlüsselung

Alle Geräte sind heute out-of-the-box verschlüsselt. Wofür steht dieses Schlagwort? Vor allem dafür, dass für die "Container Apps" ein anderer Schlüssel verwendet werden kann und dass dies Zugriffe durch Dritte einzuschränken scheint. Für den Fall, dass jemand das Handy auf der Straße findet und den Passcode errät, tut es das, aber nicht, wenn jemand ein Gerät stiehlt, es offline nimmt und versucht an die Daten zu gelangen. Einmal im System soll es mittlerweile Mittel und Wege geben, um diese separate Verschlüsselung zu umgehen.

Remote Wipe ist auch für die nativen Apps bzw. deren Inhalte möglich und nur nebenbei erwähnt, es lässt sich auch ein automatischer Wipe des kompletten Geräts durchführen, falls der Passcode in konfigurierbarer Anzahl falsch eingegeben wurde.

E-Mail Management

Einer der Usecases für den Einsatz eines UEM Tools wäre Mails nicht direkt über Activesync von Exchange abzurufen, sondern wenn zumindest vorher sichergestellt wird, dass dies nur von Geräten passiert, deren Compliance überprüft wurden.

Ein weiterer Usecase ist die Verarbeitung von Email-Anhängen zu kontrollieren. Zum einen, in welchen Apps diese geöffnet werden können, zum anderen, ob diese automatisch geladen werden und wie groß diese Dateien seien dürfen, z.B. um Roaming Kosten einzuschränken. Allerdings ist das natürlich nur für Firmen-Mails machbar, nicht wenn jemand private Mail-Konten eingerichtet hat.

Single Sign-on (SSO)

E-Mails sind bei weitem nicht mehr der einzige Usecase auf mobilen Geräten, ganz im Gegenteil! Es wird immer stärker darauf gesetzt, Prozesse zu betrachten und diese insgesamt so einfach wie möglich zu gestalten Das wird zwangsläufig die Verwendung von Geräten und Applikationen stark beeinflussen. Haben Sie sich schon einmal gefragt, wozu Sie eigentlich einen Desktop brauchen? Es ist doch vor allem eine organisatorische Zusammenfassung aller Daten und Applikationen, die für die Arbeit gebraucht werden und zeigt auch ein hübsches Hintergrundbild. Aber Spaß beiseite …

Zurück bei den heutigen Anforderungen, wollen wir z.B. auf Intranet-Applikationen wie HR-Portale, ITSM Systeme oder auch einzelne Prozessentscheidungen zugreifen, das möglichst einfach und damit auch so schnell wie möglich. Es gilt schließlich auch hier, Arbeit schnell und einfach zu erledigen. "Einfach" aus Benutzersicht bedeutet ohne extra Login und eine Oberfläche, die genau das bietet, was benötigt wird.

An dieser Stelle kommt nun wieder Apple ins Spiel, denn beim Thema "Einfachheit" fühlt sich der Hersteller zu Hause. Das ganze Öko-System Apples zielt genau darauf ab, dem Benutzer oder der Benutzerin zu geben, was sie möchten, und zwar as easy as possible.

Nachdem ich etwas ausgeholt habe, kommen wir zum Punkt: Single Sign-on. SSO ist mittels Kerberos auch mit den nativen Applikationen möglich, es muss "nur" implementiert werden. Nun werden Domain Controller selten so platziert, dass diese von iOS Geräten direkt erreicht werden können, schon gar nicht, wenn diese nicht mit dem Firmen-WLAN verbunden sind. Dafür gibt’s die Möglichkeit, das per-App VPN zu nutzen, um auch hier eine gesicherte Verbindung zu schaffen. Es werden auch moderne Authentication Mechanismen wie Oauth unterstützt, diese sind allerdings bei internen Applikationen (noch) nicht zu finden.

Fazit

Apple gibt uns also viele Möglichkeiten, um deren Systeme im Enterprise Umfeld zu nutzen. Lassen Sie mich dennoch einige Punkte erwähnen, die den Einsatz von UEM Appsuiten empfehlenswert oder erforderlich machen:

  • Copy and Paste muss verhindert werden
  • SSO Ziele unterstützen die iOS nativen Möglichkeiten (Kerberos) nicht
  • zentralisiertere Konfiguration MDM/UEM-seitig gegenüber notwendiger Konfiguration auf gewachsenen Backend-Systemen

    Die oberste Prämisse "keep it simple" ist Gold wert. Meine persönliche Erfahrung und die vieler Kundinnen und Kunden bestätigen es immer wieder, die jeweils passende Lösung wird gemeinsam mit dem Kunden erarbeitet. Mehr Werkzeuge machen die Arbeit nicht einfacher, aber das ist ein anderes Thema.