Datentrennung
Einleitung
Bei der Nutzung von mobilen Geräten wird auf Daten aller Art zugegriffen. Dabei muss die Datenschutzkonformität gewährleistet werden. Hierbei unterscheidet man zwischen firmeneigenen Geräten, sogenannten „Corporate Owned Devices“ (COD) und benutzereigenen Geräten, sogenannten „Bring Your Own Devices“ (BYOD). Für beide Nutzungsarten bieten die Hersteller der Mobilgeräte-Betriebssysteme iOS und Android inzwischen eigene Technologien zur Separierung der Daten an. Nachfolgend werden diese „Bordmittel“ und ihre Implementierung in Relution beschrieben.
iOS – Corporate Owned Devices
Unterscheidung managed / unmanaged
Seit iOS 12 unterscheidet Apple grundsätzlich zwischen „managed“ und „unmanaged“ für folgende Objekte:
Managed Devices
- Apps - von Relution gepushed oder über den Relution Enterprise Appstore installiert, serverseitig konfigurierbar.
- Mail Accounts - von Relution über eine Richtlinie konfiguriert.
- Kontakte - vom managed Mail Account auf das Gerät geladen (synchronisiert).
- Dokumente - vom managed Mail Account auf das Gerät geladen (synchronisiert).
Unmanaged Devices
- Apps - vom Benutzer aus dem Apple AppStore installiert, nicht serverseitig konfigurierbar.
- Mail Accounts - vom Benutzer selbst auf dem Gerät konfiguriert.
- Kontakte - vom Benutzer selbst angelegt.
- Dokumente - vom Benutzer in unmanaged Apps erzeugt oder in unmanaged Mail Accounts empfangen.
Dabei kann eine unmanaged App in eine managed App umgewandelt werden, indem sie von Relution neu gepushed wird. Sie ersetzt dabei die unmanaged App gleichen Namens auf dem Gerät. Unmanaged Mail-Accounts, Kontakte und Dokumente lassen sich jedoch nicht nach managed überführen.
Zugriffs-Einschränkungen
Die Trennung der Daten erfolgt in iOS-systemseitig, indem man per Richtlinie einstellen kann, ob der Zugriff auf managed Daten aus unmanaged Apps heraus erlaubt sein soll oder nicht. Dazu bietet die Konfiguration „Restriktionen“ als Teil einer Richtlinie in Relution folgende Einschränkungsmöglichkeiten:
- Öffnen von managed Dokumenten in unmanaged Apps verbieten.
- Öffnen von unmanaged Dokumenten in managed Apps erlauben.
- Unmanaged Apps den Zugriff auf managed Kontakte verbieten.
- Öffnen von unmanaged Dokumenten in managed Apps erlauben.
- Managed Apps erlauben, unmanaged Kontakte zu schreiben.
- AirDrop-Ziele grundsätzlich als unmanaged betrachten.
- Verschieben von Mails in unmanaged Mail Accounts verbieten.
Damit lässt sich beispielsweise verhindern, dass:
- Eine private App (z.B. WhatsApp) die geschäftlichen (Exchange-)Kontakte sieht.
- Eine geschäftliche Mail beliebig weitergeleitet wird.
- Ein Anhang einer geschäftlichen Mail in einer beliebigen App geöffnet wird (z.B. Dropbox).
iCloud-Einschränkungen
Um das unkontrollierte Abfließen von Daten zu verhindern, bietet Relution die Möglichkeit, Cloud-Accounts ganz zu verbieten oder zumindest einzuschränken. Im Einzelnen lassen sich folgende Funktionen abschalten:
- iCloud-Backups.
- Synchronisierung des iCloud-Schlüsselbunds.
- Managed Apps erlauben, Daten in der iCloud abzulegen.
- Fotos in der iCloud speichern.
- Synchronisierung von iCloud-Dokumenten.
Funktions-Einschränkungen
Schließlich gibt es einige iOS-Systemfunktionen, die unter Datensicherheitskriterien betrachtet und per Restriktion ebenfalls abgeschaltet werden können:
App Block-/Allow-Listing
Web-URL Block-/Allow-Listing
AirDrop (komplett abschaltbar)
Passwort teilen
Zugriff zum Apple AppStore
Bildschirmfotos und -aufzeichnungen.
Kamera (komplett abschaltbar, auch für in-App-Funktionen)
Erstellen und Modifizieren von Accounts (Mail, Apple IDs)
Bluetooth
Installation von VPN-Profilen
USB-Verbindungen.
Per App VPN
Als wichtige Datenschutzmaßnahme bietet iOS die Möglichkeit, die Datenverbindung von Apps fest an eine VPN-Verbindung zu koppeln, die ihrerseits wieder vom Relution-Server konfiguriert werden kann. So ist sichergestellt, dass bestimmte Apps nur über das firmeneigene Netz laufen und externe Zugriffe unterbunden werden (intranet-only).
iOS – Bring Your Own Devices
Bis iOS 12 war es üblich, auf iOS-BYOD-Geräten eine Container-App einzusetzen, die serverseitig konfiguriert werden konnte und somit eine Trennung von geschäftlichen und privaten Daten sicherstellte.
Zwischenzeitlich bietet iOS jedoch eine eingebaute „Container-Lösung“, um geschäftliche von private Anwendungen und Daten zu trennen. Hierzu wird ein iOS-Gerät in Relution über eine (BYOD) Einschreibung im Inventar aufgenommen. Dadurch wird auf dem Gerät ein MDM-Profil installiert, wodurch eine Verwaltung über Relution ermöglicht wird. Technisch wird dann zwischen „verwalteten“ und „nicht verwalteten“ Apps und Inhalten unterschieden. Damit wird das iOS-Gerät zum „Dual Persona“-Gerät und die Daten werden komplett separiert. Mittels Restriktionen lässt sich zusätzlich steuern, ob Daten zwischen „verwalteten“ und „nicht verwalteten“ Apps geteilt werden dürfen.
Auf den Geräten können verschiedene Konfigurationen eingespielt und über Relution verwaltet werden:
- Apps
- VPN-Konfiguration
- Notizen (weitere System-Apps werden in zukünftigen iOS-Versionen folgen)
- iCloud-Account
- Keychain
- Mail Accounts / Attachments
- Kalender Accounts / Attachments.
Wird das MDM-Profil entfernt, werden alle verwalteten Apps und Inhalte gelöscht. Diese Aktion kann per Relution oder am Gerät selbst erfolgen.