Foto: Apple
Die Anforderungen an das Enterprise Mobility Management (EMM) steigen mit jedem Jahr. Eine zunehmend wichtiger werdende Komponente im EMM-Umfeld ist die Trennung von persönlichen und Unternehmensdaten. Dies ermöglicht es dem Unternehmen, sowohl Firmengeräte zur privaten Mitnutzung ("Choose your own Device" oder "Corporate Owned. Personally Enabled") frei zu geben, als auch private Endgeräte im Firmennetzwerk zu integrieren ("Bring your own Device").
Als erster Vertreter hatte Blackberry mit der Funktion Balance in Blackberry 10 eine Möglichkeit der Trennung vorgeführt (Dual Persona). Android hatte diese Trennung bisher nur auf Samsung-Geräten mit der Funktion Samsung Knox und Apple führte eine Trennung auf App und Datenebene bereits mit iOS 7 ein.
Mit einer neuen Generation von Betriebssystemen wollen Apple und Google diesen hart umkämpften Enterprise-Markt jeweils für sich gewinnen - und stellen die EMM-Landschaft damit vor neue Herausforderungen. Ein Überblick:
iOS 8: Mehr APIs, mehr Möglichkeiten
iOS 8 wurde im September offiziell an die Endanwender und somit auch an die Nutzer im Enterprise-Umfeld verteilt. Die über 4000 neuen API-Aufrufe geben Entwicklern und Administratoren neue Möglichkeiten, was das System für den Einsatz im Unternehmen noch interessanter macht. So wurden Sicherheit, Performance und Integrierbarkeit in die Unternehmenslandschaft mit iOS 8 weiter ausgebaut, EMM-Hersteller können ihre Systeme um eine Reihe neuer IT-Policies erweitern. Diese neuen Richtlinien bedienen dabei sowohl die klassische Geräteverwaltung als auch die erweiterte Verwaltung von so genannten Managed Apps.
Apple hatte bereits mit iOS 7 die Möglichkeit eingeführt, Apps für den Unternehmenseinsatz zu definieren, spezifische VPN Konfigurationen (App-VPN) pro App zu konfigurieren und per unternehmenseigene Single-Sign-On-Lösung (SSO) zu verbinden. Diese Business-Container auf Basis definierter Apps unterliegen im Anschluss der Restriktion, dass Daten nur innerhalb und durch diesen Container ausgetauscht werden können. Über Managed Apps und Domains können die native E-Mail-Anwendung sowie der Safari-Browser in den Container eingebunden werden.
Mit iOS 8 geht Apple hier noch einen Schritt weiter. Neben den Managed Apps lassen sich jetzt Dokumente wie PDFs, ePubs und iBooks per EMM verteilen und verwalten. Revisionsthemen werden nun ebenfalls stärker ins Auge gefasst. So können Administratoren über das EMM festlegen, dass der Nutzer sein Endgerät nicht eigenständig löschen oder um eigene Konfigurationen erweitern kann.
Das vor einem Jahr bereits angekündigte Device-Enrollment-Program hat nun auch mit iOS8 endlich finalen Einzug gehalten. Dies erlaubt es die initiale Anbindung an ein EMM im Einrichtungsassistenten von iOS8 zu hinterlegen. Der Nutzer erhält auf diese Art ein Endgerät im originalverpackten Zustand, alle Konfigurationsvorgaben finden auf der Seite von Apple statt. Durch die Registrierung des Gerätes bei Apple wird dabei sichergestellt, dass im Rahmen der Einrichtung die Konfiguration des EMM erfolgen muss. Für den Nutzer erfolgt dies transparent und integriert in dem iOS-Betriebssystem.
Eine weitere zentrale Neuerung bezieht sich auf die Sicherheit der Daten auf einem iOS-8-Endgerät: Bisher konnte Apple auf ausgewählte Daten (SMS, Fotos, Kontakte, Audio-Aufnahmen und die Anrufliste, nicht jedoch E-Mails und Kalendereinträge) zugreifen, die auf einem Gerät mit iOS 7 (oder älter) gespeichert waren. Die Strafverfolgungsbehörden machten sich das zunutze, indem sie Apple die konfiszierten Geräte übergaben und per richterlichen Beschluss die Datenherausgabe einforderten. Möglich war das, weil diese Daten nur hardwareseitig verschlüsselt waren. Sobald das Endgerät das Betriebssystem gestartet hatte, waren die Daten zugänglich.
Erweiterte Verschlüsselung sperrt auch Apple aus
Mit iOS 8 ändert sich dies. Die Daten werden mit Hard- und Softwareschlüssel abgesichert (Erweiterte Verschlüsselung). Da der Anwender das Passwort oder die PIN dabei festlegt und diese das Gerät nicht verlässt, hat Apple keinen Zugriff mehr auf die Daten. Dies dürfte in Zukunft auch die Arbeit der Penetrationstester erweitern.
Der Vollständigkeit halber muss erwähnt werden, dass für Verschlüsselungen in den Dritt-Apps jeder Entwickler selbst verantwortlich ist. Hier investiert Apple auf seinen Entwicklerkonferenzen in eigene Sessions, um diese Entwickler auf Datenschutz und -sicherheit einzuschwören. Die notwendige API liefert Apple bereits seit längerem mit und erweitert diese dabei regelmäßig. So können unter iOS 8 Einträge in der KeyChain (geschützter Speicher) an das Vorhandensein eines PIN-Locks auf dem Endgerät gekoppelt werden. Wird der PIN-Lock entfernt, sind die Einträge in der KeyChain ebenfalls sicher gelöscht.
Mit iOS 8 führt Apple zusätzlich die Möglichkeit ein, den gesamten Traffic von überwachten iOS-Geräten über den Proxy-Server des Unternehmens mit zusätzlichen Sicherheitskontrollen bzw. Content-Filtern zu leiten (Always-on VPN).
Die neuen APIs im iOS 8 erlauben Entwicklern auch eine Kommunikation zwischen Apps, die bisher nicht möglich war. Diese neuen Funktionen eröffnen unendliche Möglichkeiten zum Datenaustausch zwischen Apps, aber auch zur Erweiterung des Systems um eigene Widgets und Dritthersteller-Tastaturen. Der Einsatz im Unternehmensumfeld auf dem Endgerät, bzw. für Managed Apps kann per EMM konfiguriert werden.
In iOS 8 ist Touch-ID für alle Entwickler geöffnet, um die Benutzerauthentifizierung zu vereinfachen. Unternehmen müssen jedoch für sich selbst entscheiden, ob sie diese Authentifizierung für ihre Systeme als ausreichend erachten. Auch in der aktuellen Betriebssystemversion konnten Hacker die Sperre bereits überlisten.
VIP-Mails auf dem Sperrbildschirm
Auch zur Produktivitätssteigerung leistet iOS 8 seinen Beitrag. So können E-Mail-Threads als VIP markiert werden, um bereits auf dem Sperrbildschirm auf dem Laufenden gehalten zu werden, wenn eine Antwort zu der E-Mail eintrifft. Auch die Anzeige von Verfügbarkeiten der Kollegen, bereits in der Kalender App, ist eine willkommene Erweiterung.
Die Integration von iCloud als zentraler Datenspeicher ist mit iOS 8 ebenfalls angepasst worden. Über Document Provider können Apps direkt, ohne den bislang notwendigen Umweg über Open-In, auf ein Cloud- oder Unternehmens-Storage-System zugreifen. Per EMM kann sichergestellt werden, dass Managed Apps ihre Daten auf speziellen, der privaten Seite nicht zugänglichen, Speicherorten abgelegt werden.
Android L: Mehr Sicherheit mit Samsung Knox
Mit Android L will Google das Android-Betriebssystem nicht nur für Privatnutzer interessanter gestalten. Durch die Integration des Samsung-Services Knox werden auch wichtige Features für einen professionellen Geschäftseinsatz enthalten sein. Das Duo aus Google und Samsung hat folgende Details bekannt gegeben, die zeigen, warum Android mit Knox Enterprise-tauglich wird.
Knox basiert auf dem von der NSA entwickelten "Security Enhanced Android (SE Android)", das sowohl Software- als auch Hardware-seitige Sicherheitsmechanismen umfasst. 256-Bit-Verschlüsselung auf dem Device, ein gesicherter Bootloader, der Schadsoftware frühzeitig erkennt, sowie die Integrity Measurement Architecture TIMA, mit der der OS-Kernel auch ohne Knox-Aktivierung überwacht wird, gehören dazu.
Zusätzlich ermöglicht Knox die Einbindung von Android in unternehmensspezifische Infrastrukturen. EMM-Dienste ermöglichen die plattformübergreifende Verwaltung von Mobilgeräten. Administratoren können beispielsweise im Fernzugriff Software zur Verfügung stellen, Rechte vergeben oder Geräte sperren. Über Knox kann auch festgelegt werden, dass sich der Business-Container erst in einer bestimmten Zone, beispielsweise dem Unternehmensgelände, bedienen lässt (Geofencing).
Wie man unschwer erkennt, stellt Samsung mit Knox Sicherheitsfeatures bereit, die man bisher nur von Konkurrenten wie Blackberry, wie zum Beispiel die Trennung von geschäftlichen und privaten Daten, kannte.
Foto: Samsung
Wie Samsung auf dem Unternehmensblog bekannt gibt, werden alle Samsung-Knox-Features oberhalb der Hardware-Ebene in Android L integriert sein. Hardware-spezifische Mechanismen wie der Echtzeit-Kernel-Schutz durch die TIMA-Architektur, der erwähnte Trusted Boot und die biometrische Authentifizierung, finden dagegen ausschließlich für Samsung-Geräte Anwendung und werden durch die starke Abhängigkeit an die Hardware nicht in Android L einfließen können. Zudem möchte Samsung wahrscheinlich auch nicht, dass alle Sicherheitsmechanismen in Android L zur Verfügung stehen, da sie dadurch ihre Marktpräsenz selbst schwächen würden.
Neue Enterprise-APIs mit Android for Work
Zusammen mit Google stellt Samsung eine Sammlung an Enterprise APIs bereit, mit denen Sicherheitsmechanismen wie die Separierung von geschäftlichen und privaten Daten, das Erzwingen von IT Policies, sowie die Ferninstallation von Anwendungen realisiert werden können. Die Gesamtheit dieser Unternehmensfunktionen fasst Google unter der Bezeichnung Android for Work zusammen.
Für Entwickler, die bereits die Samsung Knox APIs in Anwendungen genutzt haben, stellt Samsung eine Knox Compatibility Library bereit, die Knox-Anwendungen ohne größere Anpassungen durch den Entwickler auf allen Android-L-Devices lauffähig machen soll.
Doch auch Samsung Knox lebt weiter. Die Android L Enterprise APIs bilden lediglich eine Untermenge der Knox APIs. Während die Knox Sicherheits Enhancements for Android, das Knox Framework und die Daten-Separierungstechnologie in Android L zu finden sein werden, sollen die Hardware-spezifischen Features weiterhin unter "Samsung Knox" zur Verfügung stehen. Auch die FIPS-zertifizierte Kryptografie-Bibliothek und die Virtual-Private-Network-Funktion stehen nur Samsung-Kunden zur Verfügung. (mb)