Datentrennung

Einleitung

Bei der Nutzung von mobilen Geräten wird auf Daten aller Art zugegriffen. Dabei muss die Datenschutzkonformität gewährleistet werden. Hierbei unterscheidet man zwischen firmeneigenen Geräten, sogenannten „corporate owned devices“ (COD) und benutzereigenen Geräten, sogenannten „bring your own devices“ (BYOD). Für beide Nutzungsarten bieten die Hersteller der Mobilgeräte-Betriebs-systeme iOS und Android inzwischen eigene Technologien zur Separierung der Daten an. Nachfolgend werden diese „Bordmittel“ und ihre Implementierung in Relution im Einzelnen beschrieben.

iOS – Corporate Owned Devices

Unterscheidung managed / unmanaged

Seit iOS12 unterscheidet Apple grundsätzlich zwischen „managed“ und „unmanaged“ für folgende Objekte:

Managed Devices

  1. Apps - von Relution gepushed oder über den Relution Enterprise Appstore installiert, serverseitig konfigurierbar
  2. Mail Accounts - von Relution über eine Richtlinie konfiguriert
  3. Kontakte - vom managed Mail Account auf das Gerät geladen (synchronisiert)
  4. Dokumente - vom managed Mail Account auf das Gerät geladen (synchronisiert)

Unmanaged Devices

  1. Apps - vom Benutzer aus dem Apple AppStore installiert, nicht serverseitig konfigurierbar
  2. Mail Accounts - vom Benutzer selbst auf dem Gerät konfiguriert
  3. Kontakte - vom Benutzer selbst angelegt
  4. Dokumente - vom Benutzer in unmanaged Apps erzeugt oder in unmanaged Mail Accounts empfangen

Dabei kann eine unmanaged App in eine managed App umgewandelt werden, indem sie von Relution neu gepushed wird. Sie ersetzt dabei die unmanaged App gleichen Namens auf dem Gerät. Unmanaged Mail-Accounts, Kontakte und Dokumente lassen sich jedoch nicht nach managed überführen.

Zugriffs-Einschränkungen

Die Trennung der Daten erfolgt in iOS systemseitig, indem man per Richtlinie einstellen kann, ob der Zugriff auf managed Daten aus unmanaged Apps heraus erlaubt sein soll oder nicht. Dazu bietet die Konfiguration „Restriktionen“ als Teil einer Richtlinie in Relution folgende Einschränkungsmöglichkeiten:

  • Öffnen von managed Dokumenten in unmanaged Apps verbieten
  • Öffnen von unmanaged Dokumenten in managed Apps erlauben
  • Unmanaged Apps den Zugriff auf managed Kontakte verbieten
  • Öffnen von unmanaged Dokumenten in managed Apps erlauben
  • Managed Apps erlauben, unmanaged Kontakte zu schreiben
  • AirDrop-Ziele grundsätzlich als unmanaged betrachten
  • Verschieben von Mails in unmanaged Mail Accounts verbieten

Damit lässt sich beispielsweise verhindern, dass:

  • Eine private App (z.B. WhatsApp) die geschäftlichen (Exchange-)Kontakte sieht
  • Eine geschäftliche Mail beliebig weitergeleitet wird
  • Ein Anhang einer geschäftlichen Mail in einer beliebigen App geöffnet wird (z.B. Dropbox)

iCloud-Einschränkungen

Um das unkontrollierte Abfließen von Daten zu verhindern, bietet Relution die Möglichkeit, Cloud-Accounts ganz zu verbieten oder zumindest einzuschränken. Im Einzelnen lassen sich folgende Funktionen abschalten:

  • iCloud-Backups
  • Synchronisierung des iCloud-Schlüsselbunds
  • Managed Apps erlauben, Daten in der iCloud abzulegen
  • Fotos in der iCloud speichern
  • Synchronisierung von iCloud-Dokumenten

Funktions-Einschränkungen

Schließlich gibt es einige iOS-Systemfunktionen, die unter Datensicherheitskriterien betrachtet und per Restriktion ebenfalls abgeschaltet werden können:

  • App Block-/Allow-Listing

  • Web-URL Block-/Allow-Listing

  • AirDrop (komplett abschaltbar)

  • Passwort teilen

  • Zugriff zum Apple AppStore

  • Bildschirmfotos und -aufzeichnungen

  • Kamera (komplett abschaltbar, auch für in-App-Funktionen)

  • Erstellen und Modifizieren von Accounts (Mail, Apple IDs)

  • Bluetooth

  • Installation von VPN-Profilen

  • USB-Verbindungen

Per App VPN

Als wichtige Datenschutzmaßnahme bietet iOS die Möglichkeit, die Datenverbindung von Apps fest an eine VPN-Verbindung zu koppeln, die ihrerseits wieder vom Relution-Server konfiguriert werden kann. So ist sichergestellt, dass bestimmte Apps nur über das firmeneigene Netz laufen und externe Zugriffe unterbunden werden (intranet-only).

iOS – Bring Your Own Devices

Bis iOS 12 war es üblich, auf iOS-BYOD-Geräten eine Container-App einzusetzen, die serverseitig konfiguriert werden konnte und somit eine Trennung von geschäftlichen und privaten Daten sicherstellte.

Zwischenzeitlich bietet iOS jedoch eine eingebaute „Container-Lösung“ um geschäftliche von privaten Anwendungen und Daten zu trennen. Hierzu wird ein iOS Gerät in Relution über eine (BYOD) Einschreibung im Inventar aufgenommen. Dadurch wird auf dem Gerät ein MDM-Profil installiert wodurch eine Verwaltung über Relution ermöglicht wird. Technisch wird dann zwischen „verwalteten“ und „nicht verwalteten“ Apps und Inhalten unterschieden. Damit wird das iOS-Gerät zum „Dual Persona“-Gerät und die Daten werden komplett separiert. Mittels Restriktionen lässt sich zusätzlich steuern ob Daten zwischen „verwalteten“ und „nicht verwalteten“ Apps geteilt werden dürfen.

Auf den Geräten können verschiedene Konfigurationen eingespielt und über Relution verwaltet werden:

  • Apps
  • VPN-Konfiguration
  • Notizen (weitere System-Apps werden in zukünftigen iOS-Versionen folgen)
  • iCloud-Account
  • Keychain
  • Mail Accounts / Attachments
  • Kalender Accounts / Attachments

Wird das MDM-Profil entfernt, werden alle verwalteten Apps und Inhalte gelöscht. Diese Aktion kann per Relution oder am Gerät selbst erfolgen.