Smartphones und Tablets sind mittlerweile in vielen Unternehmen die primären Endgeräte in der IT. Vielen Administratoren und Sicherheitsverantwortlichen bereiteten diese Endgeräte aufgrund ihrer ursprünglichen Consumer-Orientierung und der damit einhergehenden Verwendungsgewohnheiten und Betriebssystem-Eigenheiten (Besitzer ist zunächst einmal auch Administrator) lange Zeit Sorgen. Diese Sorgen sind nicht berechtigt, denn Business-Daten sind auf Mobilgeräten aufgrund der von mobilen Betriebssystemen benutzten Sandboxing-Technologie letztlich einfacher zu kontrollieren als auf traditionellen Unix-, Windows- und Linux-Rechner. Voraussetzung ist dabei freilich, dass die Entwickler der mobilen Betriebssysteme immer den Business-Nutzer im Blick haben und dass die mobilen Betriebssysteme mit einem leistungsfähigen Enterprise-Mobility-Management (EMM-) System zusammenspielen. Die Hersteller der am häufigsten verbreiteten mobilen Betriebssysteme – iOS, Android und Windows Phone – haben deshalb in den letzten Jahren große Anstrengungen in Richtung Unternehmenstauglichkeit gemacht. Microsoft hat gar seine Windows-Systeme für Desktops, Laptops, Tablets und Smartphones zu einem einheitlichen System (Windows 10) zusammengefasst. Die Unternehmenstauglichkeit von Android hat die <kes> erst kürzlich ausführlich dargestellt. Und Apple macht mit iOS 9 jetzt einen weiteren großen Schritt in Richtung Mobile Security von Unternehmensdaten.
Laden von Apps ohne Nutzung des AppStores
In der Versionen iOS 7 und iOS 8 hatte Apple mit vielen Business-Features die Unternehmenstauglichkeit von iOS ganz entscheidend vorangebracht: Leistungsmerkmale für den Unternehmenseinsatz waren in iOS 7 beispielsweise das Per-App-VPN und die Open-In-Management-Funktion, mit der zusätzliche Schutzmechanismen für Unternehmens-Apps aufgebaut werden können. In iOS 8 kamen dann unter anderem umfassende DataSharing-Möglichkeiten zur Vereinfachung des Workflows dazu. Bei den Features handelt es sich meist nicht um ausprogrammierte Module, sondern um Anwendungsprogrammier-Schnittstellen (API), an die externe Programmierer beispielsweise Enterprise Mobility Management (EMM-) Systeme mit ihrer Funktionalität andocken können.
In iOS 9 geht es nun zum einen um die Abrundung des bisher Erreichten in puncto Unternehmenstauglichkeit; iOS 9 bietet dafür eine große Zahl von Funktionen, mit denen das iOS-Betriebssystem im Zusammenspiel mit einem EMM-System mobile Endgeräte und Applikationen im Unternehmensumfeld schützen, die Arbeitsabläufe optimieren und die Administration möglichst einfach halten kann.
Die neuen Sicherheits-Features in iOS 9 machen es in Kombination mit einem EMM-System für die IT sehr viel leichter, Geräte und Apps zu schützen, ohne dabei den jeweiligen Nutzer in seiner Arbeit zu stören. Ein Beispiel ist die Möglichkeit, Apps jetzt ohne die Nutzung des AppStores auf die Endgeräte zu übertragen. Bisher mussten Administratoren, die Unternehmens-Apps auf Mitarbeiter-Geräte aufspielen wollten, ziemliche Verrenkungen machen: typischerweise aktivierte der Admin den AppStore gerade so lange, bis die benötigten Apps auf den Endgeräten waren. Eine solche Operation war in der Regel eine Angelegenheit in der Nacht. Die korrekte Lieferung hielt der Admin in einem Protokoll fest. Danach sperrte er den Zugang zum AppStore wieder. Dieser ganze Prozess war nicht nur zeitraubend, sondern auch ein potenzielles Sicherheitsrisiko in der Zeit, da der AppStore nicht gesperrt war.
iOS 9 beseitigt dieses Risiko, indem es den Zugriff auf den AppStore überflüssig macht. Apps können unter iOS 9 vielmehr über den EMM-Server oder die neue Version 2 des den Apple Configurator auf mobile Endgeräte geladen werden. Der Admin spielt, ohne dass der Nutzer etwas merkt oder tun muss, Apps über „Send Message“ auf überwachte Geräte oder er kennzeichnet bestimmte Apps, die der Nutzer installieren soll. Auf der Basis dieser neuen Funktionalität lassen sich auch überwachte Apps sowie Positiv- und Negativ-Listen im EMM-Server verwalten; ebenso können Nutzer daran gehindert werden, nicht-autorisierte Apps auf das Gerät zu laden.
Neuerungen bei der Geräte- und Netzwerksicherheit
Auch bei der Gerätesicherheit hat Apple in iOS 9 einige der wenigen verbliebenen Sicherheitslücken auf iOS-Geräten geschlossen. Bisher war zum Beispiel AirDrop, Apples Tool für die Funkübertragung von Daten zwischen den Endgeräten, eine potenzielle Quelle für Datenverluste. In iOS 9 kann nun AirDrop als „nicht verwaltetes Zielgerät“ markiert werden, sodass eine Übertragung von Unternehmensdaten aus verwalteten Unternehmensdaten unterbunden ist. Andere Restriktionen betreffen die iPhoto Cloud Synchronisierung auf einem Gerät (sie kann durch den EMM-Admin ausgeschaltet werden), die Nutzung der News App, das Andocken der Apple Watch an das iPhone, die Generierung von Tastatur-Sequenzen für bestimmte Aktionen (Shortcuts) und das Speichern von Bildschirm-Sequenzen.
Darüber hinaus ist in iOS 9-Geräten jetzt ein sechsstelliger Passcode Standard. Die Änderung von vier Stellen auf sechs stellen betrifft nur den Standard; wie bisher können natürlich auch in iOS 9 komplexere Passcodes von der IT-Abteilung festgelegt werden.
Verbesserungen gibt es in iOS 9 auch bei der Kontrolle des Netzwerk-Verkehrs. So listet Apple drei neue Leistungsmerkmale für das Per-App-VPN auf:
- Unterstützung von Verkehr über das UDP-Protokoll
Das bringt allen Apps einen Vorteil, die bei Audio- und Videostreaming auf UDP basieren, wie beispielsweise MS Skype for Business (Lync).
- Eine Per-App-Verbindung kann auf Layer 3 aufgesetzt werden
In den früheren iOS-Versionen war die Per-App-VPN-Verbindung durch die Einstellungen des zugrunde liegenden Netzwerks vorbestimmt; in iOS 9 kann nun ein EMM- oder Netzwerk-Admin spezifische Netzwerkwege und DNS-Einstellungen für eine verwaltete App, die über die Per-App-Verbindung übertragen wird, festlegen.
- IPSec-Clients können genutzt werden
In iOS 9 können die integrierten IPSec-Clients (IKEv1 und IKEv2) für das Management von Per-App-Verbindungen verwendet werden. Dadurch lassen sich auch existierende VPN-Verbindungen nutzen.
Insgesamt haben Administratoren in iOS 9 mehr Freiheitsgrade bei der Definition der Bedingungen, wie verwaltete Apps das Netzwerk nutzen. Der Admin setzt beispielsweise verbindlich fest, dass spezifische verwaltete Apps wie etwas Netflix Funkzellen oder Roaming-Mechanismen nicht nutzen dürfen. Allerdings ist diese Funktion nur auf überwachten Endgeräten verfügbar.
Mit einem neuen User Interface wird in iOS 9 die Kennzeichnung von vertrauenswürdigen Apps für den Nutzer vereinfacht. Dieser wird nicht mehr durch eine Bildschirm-Meldung aufgefordert, explizit zu sagen, dass er einer Inhouse-App, die er nutzen will, vertraut. Ein solcher „Prompt“ hat in vorherigen iOS-Versionen viele Unternehmensnutzer verunsichert.
Das neue User Interface hindert Nutzer auch daran, Apps von nicht-autorisierten Entwicklern auf verwalteten Geräten zu installieren. Selbst wenn ein Unternehmens-Admin nicht berechtigt ist, eine nicht-verwaltete App auf einem Gerät, das im Eigentum eines Mitarbeiters ist, zu sperren, kann er dem Nutzer doch eine entsprechende Warnmeldung schicken.
Bei Apps, die durch ein EMM-System verwaltet werden, sieht der Nutzer dieses neue Interface nicht. Da Inhouse-Apps, die durch ein EMM-System verwaltet werden, per se vertrauenswürdig sind, werden diese automatisch und ohne dass der Nutzer den Vorgang wahrnimmt, auf einem verwalteten Gerät installiert.
Automatisierte Prozesse ohne Zutun des Nutzers
In iOS 9 werden verschiedene Inbetriebnahme-Prozesse von Geräten und Applikationen sowohl für den Admin als auch für den Nutzer vereinfacht. In früheren iOS-Versionen war das Erstellen von Profilen für die Nutzer oft verwirrend und problematisch. So konnten beispielsweise Richtlinien und Anforderungen miteinander im Konflikt stehen; und zuweilen kamen erstellte Profile gar nicht auf dem Gerät an. In iOS 9 wird diese Problematik dadurch angegangen, dass der EMM-Server, der das Gerät verwaltet, dieses solange im „Setup Assistant“-Modus belässt, bis alle Einstellungen komplett sind.
Erst wenn alle Einstellungen auf dem Endgerät sind und dieses im EMM-Server registriert ist, wird der Setup Assistant abgeschaltet. Durch diese Vorgehensweise sind keine Prozeduren nötig, die prüfen, ob irgendetwas vergessen wurde. Das reduziert Anrufe beim Helpdesk. Solcherart registrierte Geräte lassen sich vom Admin in einem Rutsch aktualisieren.
Der Registrierungsprozess kann in iOS 9 ganz ohne die Mitarbeit der Nutzer durchgeführt werden. In diesem Fall listet der Admin alle Einstellungen auf und verbindet dann das Gerät mit dem Apple Configurator 2, der automatisch alle Einstellungen vornimmt. Muss eine ganze Reihe von Geräten eingestellt werden, dann geht das derart, dass man sie über ein USB-Kabel an den Apple Konfigurator hängt, der die Geräte mit den notwendigen Settings versieht. Dieses neue iOS 9-Feature ist ideal für kleinere Unternehmen und Einrichtungen wie Schulen, die eine Reihe von Geräten verwalten müssen, aber keinen EMM-Provider haben.
Diese wenigen Beispiele zeigen, dass iOS 9 den Administratoren die Arbeit erleichtert und den übrigen Unternehmens-Mitarbeitern störungsfreie Arbeitsprozesse ermöglicht, will heißen: Administrationsarbeiten wie das Registrieren, Konfigurieren und Aktualisieren von Geräten laufen im Hintergrund ab, die Nutzer werden nicht durch Abfragen, Statusmeldungen und Eingabeaufforderungen während ihrer Arbeit gestört.
Keine Apple ID mehr nötig zur Installation von Apps
Vereinfacht wird die Arbeit von Admin und Endanwender auch durch die Tatsache, dass letztere in iOS 9 keine Apple ID mehr benötigen, um Apps zu installieren. Bislang verursachte nämlich der Einsatz der Apple ID im Unternehmensumfeld Probleme. Entweder benutzten die Administratoren bei der Ausbringung von neuen Apps eine einzige ID für alle Geräte (was eine Verletzung der Endnutzer-Lizenzbedingungen von Apple darstellte) oder sie generierten eine individuelle Apple ID für jeden einzelnen Nutzer und gingen davon aus, dass der jeweilige Nutzer diese ID verwendete, um Zugriff auf verwaltete Apps zu erhalten. Diese Vorgehensweise erzeugte viele Helpdesk-Anrufe von verwirrten Nutzern, die nicht wussten, welche ID für welche App genutzt werden sollte. Mit den bisherigen iOS-Versionen war es im Übrigen auch nicht möglich, den Prozess mithilfe des EMM-Systems zu vereinfachen.
In iOS 9 ist das jetzt alles sehr viel einfacher: EMM-Admins haben nun die volle Kontrolle über die App-Distribution und entsprechende Updates: die Nutzer benötigen lediglich ihre EMM-Anmeldedaten, um die Apps herunterzuladen, die sie benötigen.
Verbesserungen bei B2B-Apps
Unter iOS 9 lässt sich mithilfe eines EMM-Systems eine vom Nutzer installierte App ohne Zutun des Nutzers in eine Unternehmens-App umwandeln, ohne dass Nutzerdaten verloren gehen. In früheren iOS-Versionen war das ein ziemlich aufwendiger Prozess: der Nutzer musste nämlich zuerst die App löschen und dann dieselbe App aus dem jeweiligen Unternehmens-AppStore neu herunterladen.
Bei iOS 9 ist das jetzt sehr einfach: wenn die App in eine verwaltete App umgewandelt ist, profitieren die Nutzer von allen Sicherheitsmechanismen, die im Unternehmen installiert sind. Auf einem verwalteten Gerät ist die Änderung nicht sichtbar für den Nutzer, bei einem nicht-verwalteten Gerät muss der Nutzer der Änderung aber natürlich zustimmen.
Verbessert wurde in iOS 9 auch die Unterstützung von EMM-Systemen bei B2B-Apps, also Apps für Zulieferer und Partner (Wartungspartner, Franchisenehmer etc.), die nicht öffentlich zugänglich sind. In früheren iOS-Versionen waren die Metadaten in iTunes nicht vorhanden, sodass diese Informationen nicht automatisch in den EMM-App-Katalog übernommen werden konnten. Daher war es für EMM-Provider nicht einfach, mit B2B-Apps umzugehen. Unter iOS 9 werden nun die Metadaten in den iTunes-Metadaten-Stream eingebunden, sodass EMM-Hersteller Zugriff auf Informationen bekommen, die nötig sind, um sie in ihren App-Katalog einzustellen.
Kontext-sensitive Funktionen: Das Mobilgerät denkt mit
Die Gewährleistung eines störungsfreien Workflows ist das wesentliche Kriterium bei der Beurteilung der Qualität sowohl eines EMM-Systems als auch eines mobilen Betriebssystems. Die letzten iOS-Versionen haben zu Produktivität und optimalen Arbeitsprozessen beigetragen. Bei iOS 9 ist das nicht anders, die neuen Funktionen sind womöglich als Einzelelemente nicht so spektakulär wie beispielsweise das Per-App-VPN in iOS 7 oder das DataSharing in iOS 8. Aber die positiven Auswirkungen auf Produktivität und Sicherheit sind in iOS 9 womöglich größer als in den Vorgängerversionen. Freilich gibt es auch in iOS 9 spektakuläre Features, und die sollen hier am Schluss erwähnt werden: das sind all die Leistungsmerkmale, die „mit dem Nutzer mitdenken“ beziehungsweise seine Gedanken und Wünsche vorwegdenken. Diese kontext-sensitiven Funktionen basieren auf Aktionen, die der Nutzer schon durchgeführt hat und sie versuchen, auf der Basis dieser Aktionen, aber auch auf Basis seines Standorts, seiner persönlichen Historie oder der Geräte-Einstellungen Wünsche zu erraten und Vorschläge zu machen. Nur einige wenige Beispiele dazu: Wenn ein Nutzer eine neue E-Mail-Nachricht entwirft, schlägt iOS 9 gleichzeitig die Namen von Leuten vor, die normalerweise zusammen mit dem angegebenen Adressaten Mails mit der gleichen Betreffzeile erhalten; also etwa „Verkaufszahlen April – Juli“. Oder wenn ein Anruf von einer Rufnummer kommt, die nicht im Adress-Buch des Angerufenen steht, schaut iOS 9 sofort in den Mails des Nutzers nach, ob sich die Nummer dort findet. Wenn ja, wird der Name des Anrufers eingeblendet, ganz so, als sei er im Telefonbuch zu finden gewesen. Auch das Spracherkennungssystem Siri wird kontext-sensitiver: die Nutzer können Siri jetzt semantisch anspruchsvolle Kommandos geben wie „Zeige mir das Keynote-Video von der Konferenz letzte Woche“. Ja, es geht auch noch ausgeklügelter: wenn ein Nutzer beispielsweise eine Textnachricht auf dem iPhone betrachtet, kann er dem Spracherkennungssystem die Anweisung geben. „Erinnere mich an diese Textnachricht, wenn ich ins Büro komme.“ Dann erscheint ein Link auf die Seite oder die Nachricht, an die er erinnert werden will, sobald er oder sie ins Büro kommen.
Gut gerüstet für die Mobile First-Ära
Kontext-sensitiv auf seine Weise, weil Immer besser auf weltweit agierende Unternehmen ausgerichtet, ist mittlerweile auch das Programm für Volumenlizenzen (VPP). Ab iOS 9 sind 26 Länder in das Programm eingebunden (bislang waren es nur acht). Auf der Basis des neuen Volumenlizenzierungsprogramms kann ein Unternehmen eine App in jedem teilnehmenden Land kaufen und in jedem Land nutzen, in dem die betreffende App verkauft wird. Ein Beispiel: eine Firma in Deutschland kauft eine App, die sie dann an Nutzer in ihren Filialen in Frankreich, Großbritannien und Südafrika verteilt; Voraussetzung dafür ist lediglich, dass die App in den betreffenden Ländern im AppStore angeboten wird. Das VPP muss in den betreffenden Ländern übrigens nicht gültig sein.
Ein erstes Fazit: Bildeten iOS 7 und iOS 8 quasi den großen Sprung nach vorn in die Unternehmenstauglichkeit, sind viele neue Features in iOS 9 auf den ersten Blick für Unternehmen eher unspektakulär. Doch dieser erste Blick täuscht. Die vielen Verbesserungen und Optimierungen – von denen hier nur die wichtigsten dargestellt werden konnten – sind in der Summe qualitativ viel mehr als es die einzelnen Teile vermuten lassen. Zusammen mit einem EMM-System als Ergänzung des mobilen Betriebssystems sind die Unternehmen mit iOS 9 gut für die Mobile First oder auch Mobile Only-Ära gerüstet.