Bislang ging der Kelch des Hype-Handys iPhone an IT-Managern vorbei. Dem Kulttelefon fehlten schlicht die notwendigen Features für den Business-Einsatz. Ab Juni dürfte es aber mit der Ruhe für die IT-Verantwortlichen vorbei sein. Dann will Apple nämlich das Betriebssystem des iPhone in der Version 2.0 auf den Markt bringen. Der Fokus der Neuerungen liegt dabei auf Features für die Nutzung im Enterprise-Umfeld. Auf der Agenda stehen laut Apple folgende Erweiterungen:
-
WLAN mit WPA2 und 802.1x;
-
Löschen des Geräts im Fernzugriff;
-
verbesserter Schutz/Verschlüsselung der Daten;
-
Richtlinien für die Sicherheit;
-
SDK zur Entwicklung von Anwendungen für Drittanbieter.
Auf den ersten Blick scheint das iPhone damit nun wirklich fit für den Unternehmenseinsatz zu sein, doch der Teufel steckt im Detail. So gibt es beispielsweise in Sachen IPsec-VPN eine entscheidende Einschränkung: Die Implementierung basiert auf Ciscos VPN-Software, so dass ein reibungsloses Zusammenspiel mit VPN-Routern und -Gateways nicht garantiert ist. Dennoch ist die VPN-Unterstützung mit Zwei-Faktor-Authentifizierung und Zertifikaten ein echter Fortschritt, da das Telefon ursprünglich keine VPN-Funktion besaß. Erst gegen Ende 2007 rüstete Apple die VPN-Protokolle L2TP und PPTP nach und brachte dem Device die SecurID-basierende Authentifizierung von RSA bei. Mehr Sicherheit verspricht auch die überarbeitete WLAN-Funktion. Mit WPA 2 (Wifi Protected Access), das heute noch als sicher gilt, und einer Authentifizierung gemäß 802.1x über einen Radius-Server, sollte sich das iPhone im Unternehmenseinsatz sicher in Funknetzen verwenden lassen.
Sicherheit mit manipuliertem ROM?
Doch mit der sicheren Anbindung an die Unternehmensnetze wartet auf die IT-Verantwortlichen eine neue Gefahr. Dank 16 GB Speicher, wie sie in der neuesten iPhone-Generation verbaut wird, eignet sich das Telefon vorzüglich zum Datenklau durch Mitarbeiter. Der Speicherzuwachs hat noch eine andere Konsequenz. Verliert ein Mitarbeiter sein iPhone und hat darauf sensible Daten gespeichert, dann wird es für das betroffene Unternehmen nicht nur peinlich, sondern je nach Gesetzeslage auch richtig teuer. In der Vergangenheit hatte Apple dem nichts entgegenzusetzen, denn der vierstellige Code zum Schutz des iPhones war für richtig schwere Jungs gerade mal Morgengymnastik zum Warmmachen. Damit soll nun Schluss sein. Für das iPhone 2.0 verspricht Apple nicht nur die Möglichkeit, das Telefon per Fernzugriff zu löschen beziehungsweise zu sperren, sondern auch Richtlinien für die Sicherheit, um den Anwender an die Kandare nehmen zu können. Zudem sollen die Daten nun auf dem Handy verschlüsselt gespeichert werden.
Foto: Apple
In der Theorie klingt das gut, doch leider hüllte sich Apple zu weiteren Details in Schweigen. Gerade die Erfahrungen von RIM und Microsoft haben aber in der Vergangenheit gezeigt, dass es nicht trivial ist, ein Smartphone wirkungsvoll zu schützen und zu verhindern, dass etwa ein User einfach eine andere SIM-Karte einsteckt und so die Sicherheitsvorgaben umgeht. Ebenso bleibt unklar, wie Apple verhindern will, dass der User das ROM manipuliert und so an die Daten kommt. Tools wie ZiPhone, mit dem sich ein iPhone entsperren lässt, geben zumindest Anlass zur Sorge - zumal die Werkzeuge zum Jailbreaking (wie der Vorgang unter Eingeweihten heißt) für das iPhone 2.0 bereits fertig sind. Damit liegt für den Benutzer das iPhone-Betriebssystem offen.
Kritikern ist es deshalb ein Rätsel, wie Apple darauf ein sicheres System aufbauen will, das Unternehmensdaten vor unberechtigten Zugriffen schützen soll. In ihren Augen genügt es nicht, einige Sicherheits-Features hinzuzufügen. Vielmehr setze eine Sicherheitsstrategie für den Unternehmenseinsatz eine End-to-End-Architektur voraus, die von Beginn an in Software und Hardware implementiert ist. Ferner bleibt Apple noch eine Antwort darauf schuldig, mit welchen Werkzeugen der IT-Verantwortliche künftig die iPhones managt. Gibt es Plug-ins für die bekannten Administrationsplattformen wie LanDesk, oder kocht der Hersteller sein eigenes proprietäres Süppchen?
Push-Mail: Schützenhilfe von Microsoft
Klarheit herrscht dagegen in Sachen Push-Mail. Statt wie RIM oder GoodLink eine eigene Mail-Infrastruktur zu entwickeln, vertraut Steve Jobs lieber auf die Schützenhilfe von Microsoft und nimmt ActiveSync in Lizenz. Exchange-Benutzer dürfte dies erfreuen: Sie gleichen unterwegs problemlos Mails, Adressen oder Termine quasi in Echtzeit mit den Informationen auf den Servern im Unternehmen ab. Dafür lässt Apple Notes- oder Groupwise-Benutzer mit dieser Entscheidung weiter im Regen stehen. Sie haben lediglich die Möglichkeit, ihre elektronische Post per IMAP oder POP 3 abzurufen, wobei das kürzeste Zeitintervall zur Abholung der elektronischen Post 15 Minuten beträgt.
Überzeugt vom ActiveSync-Ansatz, stänkerte Steve Jobs bei der iPhone-2.0-Präsentation kräftig gegen den Konkurrenten RIM, der vor Apple Marktführer bei den Smartphones ist: "Bei uns gibt es keinen Single Point of Failure, weil wir nicht jede Mail über ein Network Operating Center (NOC) in Kanada (Anm. d. Red.: das europäische NOC steht in England) routen." Die direkte Verbindung, wie sie ActiveSync - auch als Direct Push bekannt - verwende, so glaubt Jobs, sei eben sicherer.
Im Ausland: Direct Push wird teuer
Was Jobs jedoch bei der Präsentation verschwieg ist, dass er sich mit der Entscheidung zugunsten von ActiveSync auf Gedeih und Verderb Microsofts Outlook Web Access (OWA) ausgeliefert hat. Zwar wird hierzu kein NOC wie beim Blackberry benötigt, dafür weist der Ansatz unter Kosten- und Sicherheitsaspekten schwere Nachteile auf. So verursacht OWA im Vergleich zum Blackberry ein deutlich höheres Datenvolumen. Diverse Untersuchungen kamen zu dem Ergebnis, dass Direct Push für das Übertragen einer 5 KB großen Nachricht ein Datenvolumen von 12,4 KB erzeugt, während der Blackberry dank Komprimierung nur 3,2 KB transferiert.
Hochgerechnet auf einen Monat kommen Blackberry-Nutzer im Schnitt mit einem Datenvolumen von 2 MB aus, während für Direct Push 50 MB zu veranschlagen sind. Da die iPhones in der Regel mit einer Daten-Flatrate vermarktet werden, scheint dies auf den ersten Blick kein Problem zu sein. Im Business-Umfeld schlägt hier jedoch schnell die Kostenfalle zu, wenn der Geschäftsreisende im europäischen Ausland die immer noch horrenden Daten-Roaming-Gebühren bezahlen muss. Zudem hat das hohe Datenvolumen eine ganz praktische Konsequenz: Auf mobilen Endgeräten ist der Datentransfer noch immer eine der stromfressendsten Aktivitäten, so dass die Standby-Zeit des iPhone mit aktiviertem ActiveSync drastisch sinken dürfte.
Offene Firewall
Zu guter Letzt sprechen gegen ActiveSync einige Sicherheitsaspekte. In Verbindung mit OWA muss der IT-Administrator nämlich auf seiner Firewall den Port 443 für eingehende Verbindungen öffnen - also vom Internet frei ansprechbar machen. Beim Blackberry-System wird dagegen nur der ausgehende Port 3101 geöffnet. Erschwerend kommt hinzu, dass Microsoft empfiehlt, an der Firewall den Timeout für eine entsprechende Verbindung auf 30 Minuten heraufzusetzen. Dies scheint erforderlich zu sein, weil bei OWA anders als beim Blackberry keine direkte Verbindung aufgebaut wird, sondern sich das Device per https am Exchange Server meldet und nach neuer Post fragt. Findet keine Übertragung statt, könnte diese Verbindung wieder abgebaut werden. Durch die Erhöhung des Timeout bleibt diese nun für 30 Minuten bestehen, so dass der Exchange Server eingehende Post automatisch direkt an das Endgerät weiterleiten kann. Nach Ablauf des Timeouts muss sich das Endgerät erneut am Server anmelden, was wiederum Datenverkehr erzeugt. Der Sicherheitsproblematik ist sich Microsoft auch bewusst, weshalb die Company den zusätzlichen Einsatz des Internet Security und Acceleration Servers empfiehlt.
Neben Push-Mail soll das iPhone für Unternehmenskunden durch ein größeres Softwareangebot interessant werden. Um eine nennenswerte Zahl an Programmen von Drittherstellern vorweisen zu können, hat Apple ein Software Development Kit (SDK) vorgestellt. Zwar können Entwickler das SDK kostenlos von der Apple-Homepage herunterladen, dafür nimmt das Unternehmen die Programmierer später bei der Vermarktung an die Kandare. Ihre Eigenentwicklungen dürfen sie nur über Apples Online-Plattform iTunes vermarkten, wofür die Company 30 Prozent Provision kassiert. Offen ist noch, was mit Applikationen geschieht, die Unternehmen für den eigenen, internen Einsatz programmieren. Müssen sie diese ebenfalls über Apples Online-Plattform an die eigenen Endgeräte verteilen? Eine eindeutige Antwort gibt es von Apple hierzu noch nicht. Auf der Pressekonferenz zum iPhone 2.0 wurde lediglich vage ein entsprechendes Tool zu Installation von Unternehmensanwendungen in Aussicht gestellt. (hi)