Sicherheit mit iPad

Profile für Unternehmens-iPads einrichten

01.08.2012
Von Holger Sparr
Mit der Sicherheitspolitik größerer Unternehmen vertragen sich iPads mit ihren beinahe unbegrenzten Möglichkeiten eher schlecht, doch dank richtiger Werkzeuge lässt sich leicht und komfortabel Abhilfe schaffen

Das iPad bewährt sich längst auch im Unternehmen, in der Schule oder der Uni, denn mit seiner intuitiven Bedienung überzeugt es auch im professionellen Einsatz. Doch natürlich ist es daneben prima für private Zwecke zum Spielen, Filmeansehen und anderen Schabernack geeignet. Kein Wunder also, dass manche Unternehmen eher skeptisch sind, wenn es darum geht, Mitarbeiter mit iPads auszustatten. Denn diese könnten ab und zu ein Spielchen wagen und das Betriebsvermögen zweckentfremden, das iPad verlieren und so Fremden Zugang zu womöglich geheimen Daten verschaffen, sich Schädlinge einfangen, mit der Firmen-eigenen Apple-ID lustige Apps kaufen oder zahlreiche andere Schäden anrichten.

In vielen Unternehmen passen iPads zudem nur bedingt in die vorhandene IT-Struktur, in der PCs zentral administriert werden und den Mitarbeitern wenig eigene Rechte zugestanden werden.

Konfigurationsprofile am iPad

Eine sehr wirksame und schon seit Längerem verfügbare Methode, iOS-Geräte zu schützen und zu verwalten, sind die sogenannten Konfigurationsprofile, die der Administrator an zentraler Stelle erzeugen und auf iPads oder iPhones verteilen kann. Ein Konfigurationsprofil ist eine XML-Datei, die verschiedene Einstellungen enthält, die auf das iPad übertragen werden und dort wirksam werden.

Dies können Informationen wie Zugangsdaten und Kennwörter für Dienste wie WLAN oder E-Mail sein, die man theoretisch auf dem iPad selbst eingeben könnte. Konfigurationsprofile können aber auch in die Sicherheitseinstellungen des iPad eingreifen und beispielsweise den Zugang zu Diensten wie Youtube oder auch zu Features wie der eingebauten Kamera sperren. Über Profile kann der Administrator dem iPad-Nutzer außerdem Sicherheitsmaßnahmen wie beispielsweise die Einrichtung einer komplexen Code-Sperre oder das Verschlüsseln des Backups per iTunes aufzwingen und so verhindern, dass vertrauliche Daten in falsche Hände geraten.

Profile mit Konfigurationsprogramm erstellen

Profile lassen sich recht komfortabel mit dem "iPhone-Konfigurationsprogramm" erzeugen, das es für Windows und OS X gibt. Anders, als der Name verheißt, erzeugt und verwaltet es natürlich auch Profile für iPads. Auf den folgenden Seiten beschreiben wir dessen Bedienung, die jedoch relativ simpel ist.

Alle Profile bestehen aus einem allgemeinen Teil mit Namen und Beschreibung sowie Einstellungen für verschiedene Bereiche, die Apple "Payloads" nennt. Zur Wahl stehen Code-Sperre, Zugangseinschränkungen, WLAN-, VPN-, Mail- und Exchange-Zugänge, die Anmeldung bei LDAP-, CalDAV- und CardDAV-Servern, Kalender-Abos, Webclips, Zertifikate direkt oder von SCEP-Servern, die Anmeldung bei MDM-Servern sowie die Einrichtung firmenspezifischer APNs für den Zugang zu mobilen Datennetzen. Um bei Änderungen flexibel zu bleiben, sollte man nicht alle Accounts und Informationen in ein einziges Profil zwängen, sondern mehrere einzelne Profile erzeugen, die sich bei Änderungen leichter pflegen lassen.

Kauf von iOS-Apps auf Firmenkosten

Kostenlose Apps lassen sich mit dem iPhone-Konfigurationsprogramm noch halbwegs komfortabel verwalten, doch wenn die Firma auch Apps kaufen möchte, wird es aufwendiger. Theoretisch wurde Apples "Volume Purchase Program" eigens für Unternehmen geschaffen, es erlaubt den Erwerb von App-Lizenzen in größerer Zahl per Firmenkreditkarte, die dann auf die iPads und iPhones im Unternehmen verteilt werden können. Doch bisher bietet Apple diesen komfortablen Service leider lediglich in den USA an.

In allen anderen Ländern gibt es nur einen mühsameren Umweg. Der Administrator kann über die Firmenkreditkarte in iTunes Geschenkgutscheine für Apps erwerben und diese den Mitarbeitern per Mail schicken. Die Gutscheine gelten nur für die jeweilige App, sodass Missbrauch wirksam verhindert wird. Das ist allemal komfortabler als die Abrechnung einzelner App-Käufe durch die Mitarbeiter mit der Buchhaltung.

Im allgemeinen Teil des Profils lässt sich bestimmen, ob der Anwender es selbst wieder entfernen darf oder nicht. Im letzteren Fall kann nur der Admin das Profil entfernen oder überschreiben. Anwender, Diebe oder Finder eines iPads können Profile nur mit einem Total-Reset entfernen - wurde das iPad mit einer komplexen Code-Sperre gesichert, kommen sie also nicht an die Daten.

Inhalt dieses Artikels