Absicherung von iOS-9-Geräten mit MobileIron

Mit jeder iOS-Version verbessert Apple auch die Sicherheitsfunktionen in seinem mobilen Betriebssystem. Auch in iOS 9 sind einige neue Features integriert, die den Einsatz von iPhones im Unternehmen noch weiter verbessern.

iOS 9 bietet nicht nur für Endanwender viele Neuerungen, sondern auch für Firmenkunden. Viele Änderungen betreffen das Managen von Apps. Um das Potential sämtlicher iOS-9-Funktionen auszuschöpfen, bedarf es einer leistungsfähigen EMM-Suite wie MobileIron.

Unternehmen können damit auch Apps auf iPhones und iPads installieren, ohne den Weg über den App-Store gehen zu müssen. Für die Installation von Apps ist also keine Apple-ID notwendig. Hierfür reicht der Apple Configurator 2 und MobileIron. Die Apps werden über das Netzwerk auf die Geräte gepusht. Anwender müssen dazu keinerlei Anpassungen vornehmen.

Mobileiron-logo-684x391-250x143Zusammen mit MobileIron lassen sich in iOS 9 Apps überwachen sowie White- und Blacklists pflegen. Von Anwendern installierte Apps lassen sich in das EMM einbinden und auf Basis der Sicherheitslösung verwalten. Die Programme müssen also nicht nach der Einbindung von MobileIron neu installiert und eingerichtet werden. Auf Basis von Listen können Administratoren verhindern, dass Anwender unerlaubte Apps auf ihren Endgeräten installieren.

Außerdem lässt sich in iOS 9 über MobileIron die AirDrop-Funktion steuern. Dadurch können Anwender daran gehindert werden unerlaubt Daten per WLAN oder anderen Quellen zu versenden. Auch die Synchronisierung von Fotos mit iCloud lässt sich über iOS 9 und der EMM-Suite verhindern. Aber auch zahlreiche weitere Sicherheitslücken, wie unerlaubte Übertragungen auf die Apple Watch und unerlaubte Sequenzen lassen sich in der neuen iOS-Version blockieren. Generell arbeitet iOS 9 sehr viel enger mit EMM-Systemen wie MobileIron zusammen.

Die neuen VPN-Einstellungen in iOS 9 können ebenfalls gesteuert werden. Dazu gehören die Unterstützung von Verkehr über das UDP-Protokoll, Per-App-Verbindungen auf Layer 3 und die Unterstützung von IPSec-Clients. Das ist besonders dann wichtig, wenn Administratoren für einzelne Apps eigene VPN-Verbindungen konfigurieren wollen. Das ist mit MobileIron kein Problem und wird jetzt auch in iOS 9 unterstützt.

Zusammen mit MobileIron und iOS 9 kann es nicht mehr passieren, dass Profile nicht auf Endgeräte übertragen werden oder Einstellungen sich gegenseitig überschreiben. Ab iOS 9 verbleibt ein iPhone solange im “Setup Assistant”-Modus bis es alle Einstellungen umgesetzt hat, und die Umsetzung der Einstellungen an den EMM-Server weitermeldet.

Die Mitarbeit von Anwendern ist beim Einsatz von iOS 9 und MobileIron nicht notwendig, Administratoren können alle Einstellungen automatisiert vorgeben. Anwender werden also durch die zusätzliche Absicherung der Endgeräte nicht bei ihrer Arbeit gestört und erhalten auch keine Statusmeldungen, die oft für Verwirrung sorgen. Außerdem lassen sich Sicherheitseinstellungen, die vom Unternehmen gefordert sind, nicht mehr von Anwendern blockieren.

Zur Absicherung von iOS-Geräten wird auf iPhones/Tablets eine App für die Anbindung an MobileIron installiert. (Screenshot: Mobile Iron)
Zur Absicherung von iOS-Geräten wird auf iPhones/Tablets eine App für die Anbindung an MobileIron installiert. (Screenshot: Mobile Iron)

Auch bei komplexen Sicherheitsszenarien müssen Anwender keine Einstellungen anpassen und sich auch nicht mehrfach authentifizieren. Mit MobileIron lassen sich auch SSO-Szenarien umsetzen, die auf Zertifikate zur Authentifizierung aufbauen. Diese Szenarien lassen sich auch auf VPNs ausdehnen.

Aufbau der Sicherheitsumgebung mit MobileIron

Die MobileIron-Umgebung besteht aus Serverkomponenten auf denen Administratoren Einstellungen für die Endgeräte definieren, Apps auswählen und Konfigurationen für Sicherheitsanpassungen vorgeben. Zusätzlich gibt es einen Client, den Anwender auch aus dem App-Store herunterladen können. Die Serverumgebung besteht vor allem aus MobileIron Core und MobileIron Sentry.

MobileIron Core ist für die Umsetzung von Richtlinien zuständig und verwaltet die Endgeräte. Außerdem können Administratoren mit diesem Werkzeug die Umgebung an Active Directory anbinden und auch Cloud-Infrastrukturen damit aufbauen, um für mehr Sicherheit im Unternehmen zu sorgen. Die Core-Komponente steht im Zentrum von MobileIron, da MobileIron Core das Bindeglied zwischen Endgeräten und der Infrastruktur im Unternehmen ist. MobileIron Core kann auf alle kompatiblen Sicherheitsfunktionen des Endgerätes zugreifen, und die Smartphones auch für die Anbindung an verschiedene E-Mail-Systeme vorbereiten. MobileIron Core ist in einem solchen Szenario daher die Grundlage für die Anbindung von Smartphones/Tablets. Administratoren erstellen Richtlinien und Profile, weisen diese den Endgeräten zu, und warten auf die Rückmeldungen der Geräte.

Diese Richtlinien, Profile und Apps werden auf die Endgeräte übertragen und durch den MobileIron-Client auf dem Endgerät ausgeführt. Über MobileIron Core können also auch Apps auf den Endgeräten installiert werden, ab iOS 9 auch komplett ohne Apple-ID.

Sobald die Client-App aus dem Store oder per EMM installiert ist, müssen sich Anwender nur einmal anmelden. Diese Anmeldung erlaubt den Zugriff auf die Unternehmensressourcen. Auch der Zugriff auf SharePoint ist auf diesem Weg möglich. Administratoren können in MobileIron Core auch den Zugriff auf interne Dokumente steuern. Der Zugriff kann auf Basis von SharePoint erfolgen, oder auch auf Webapps, E-Mail-Anhänge und andere Quellen. Dazu stellt der Hersteller auch verschiedene Apps zur Verfügung, mit denen Dokumente auf den Endgeräten auch verschlüsselt zur Verfügung gestellt werden können. Nach der Anmeldung wird das entsprechende Profil umgesetzt, und der Anwender erhält kompletten Zugriff auf alle notwendigen Daten und Apps.

Der Client setzt die Richtlinien um und kümmert sich um die Kommunikation zwischen Endgerät und MobileIron-Infrastruktur. Außerdem kümmert sich der Dienst um die Trennung von privaten und geschäftlichen Daten.

Datenverschlüsselung mit MobileIron Sentry

Mit der Komponente MobileIron Sentry werden schließlich die Daten zwischen  Mobilgerät und den Endgeräten verschlüsselt und gesichert. Dazu erstellt MobileIron Sentry einen sicheren Tunnel zwischen den Geräten, über den die Daten übertragen werden. Sentry verwendet dazu die Richtlinie und Sicherheitseinstellungen von Core, die ebenfalls über den Tunnel gesichert übertragen werden. Sentry verhindert das unberechtigte Abfangen von Daten sowie die Manipulation von Apps. Im Hintergrund steht die Absicherung der Unternehmensdaten vor Angreifern oder Malware.

Sentry sorgt auch dafür, dass nicht berechtigt Apps vom Zugriff auf Unternehmensdaten ausgesperrt werden. Anwender können weiter mit ihren gewohnten Programmen zugreifen und auch ihre privaten Daten nutzen, dürfen aber nicht unberechtigt auf Firmendaten zugreifen. Nur die von Administratoren genehmigten Apps sind dafür berechtigt. Dazu können alle Dokumente, die auf die Endgeräte übertragen werden, auch E-Mail-Anhänge, verschlüsselt werden. Selbst wenn Anwender die verschlüsselten Dokumente in die Cloud oder auf andere Geräte übertragen, sind diese nicht lesbar, da die Verschlüsselung nur durch MobileIron deaktiviert werden kann.

In größeren Umgebungen lassen sich für den Zugriff der Apps auf das Internet oder interne Unternehmensressourcen auch Proxy-Server definieren. So kann genau festgelegt werden, über welche Kanäle einzelne Apps kommunizieren dürfen.

MobileIron-Komponenten für Endbenutzer

Die Anwender arbeiten auf ihren Endgeräten mit verschiedenen Komponenten, welche den Zugriff auf Unternehmensdaten erlauben sowie die Geräte absichern. Diese Komponenten haben die Aufgabe dem Anwender möglichst unkompliziert sicheren Zugriff auf die genehmigten Daten zu gewähren:

Apps@Work – Hierbei handelt es sich um den direkten Einstiegspunkt für Unternehmensanwendungen. Anwender können aus einer Liste von Unternehmens-Apps, die Apps installieren lassen, die sie benötigen. Die auf den Endgeräten installierten Apps werden mit Apps@Work lizenziert und inventarisiert.

Docs@Work – Steuert den verschlüsselten Zugriff der Anwender auf freigegebene Unternehmensressourcen. Das können SharePoint-Bibliotheken sein, aber auch andere Datenquellen.

Web@Work – Erlaubt den sicheren Zugriff auf Unternehmens-Web-Ressourcen, aber auch auf Internetseiten im Internet. Der Browser sichert Endgeräte ab und kann übertragene Dateien schützen.

Help@Work – Erlaubt Administratoren zur Fehlerbehebung auf das Endgerät zuzugreifen. Dazu können Anwender Hilfe anfordern und den Inhalt des Bildschirms an Support-Mitarbeiter senden. Auf Android-Geräten können Administratoren die Geräte auch fernsteuern. Die Verbindung funktioniert über das WLAN, aber auch mit Mobilfunkverbindungen.

DataView – Überwacht die Datennutzung und kann vom Unternehmen definierte Limits umsetzen. Dadurch können Unternehmen die Kosten im Griff behalten und stellen sicher, dass Unternehmens-Apps immer über genügend Bandbreite verfügen.

Tunnel – Diese Funktion kann für einzelne Apps spezifische VPNs aufbauen und verschlüsseln, sodass jede Unternehmens-App genau die Verbindung nutzt, die von Administratoren vorgegeben ist.

AppConnect – Betreibt Apps in eigenen Containern. Die Daten in diesen Containern sind besonders geschützt und werden innerhalb des Containers verschlüsselt gespeichert. Betreiben Unternehmen mehrere Apps in Containern, lassen sich zwischen diesen Containern Daten austauschen, sodass Unternehmens App sicher, aber auch effizient betrieben werden können.

MobileIron Visual Privacy – Sicherheit und Datenschutz für Anwender

Mit MobileIron Visual Privacy können Anwender genau erkennen, welche Daten auf den Endgeräten für Unternehmens-Administratoren sichtbar sind, und welche Einstellungen durch MobileIron auf den Endgeräten umgesetzt werden können. Anwender können in Bring-Your-Ow-Device-Infrastrukturen mit dieser Technik sicherstellen, dass Administratoren und Support-Mitarbeiter keinen unberechtigten Zugriff auf private Daten erhalten oder Einstellungen auf den Geräten ändern, die Privatsache sind. Durch diese Technik lässt sich die Akzeptanz von neuen Richtlinien oder Unternehmenseinstellungen erhöhen.

MobileIron kann zwar den Zugriff von Apps auf das Internet und Unternehmensnetzwerk über VPNs und Proxys steuern, allerdings werden privat eingestufte Apps und Daten davon nicht beeinträchtigt. Administratoren können genau steuern, welche Apps verwaltet werden und benutzerspezifische VPNs verwenden müssen. Diese Technik wird in der neuen Version auch für Windows Phone und Windows 10 for Mobile unterstützt. Welche Verbindungen bei den einzelnen Apps genutzt werden, steuern Administratoren im Hintergrund. Auch die Zertifikate für die Authentifizierung werden im Hintergrund übertragen. Anwender bekommen von der Konfiguration nichts mit, die sichere Verbindung erfolgt transparent.

Fazit

Unternehmen, die Smartphones, Tablets, aber auch Notebooks mit Windows 10 für mobile Anwender bereitstellen, sollten sich Lösungen wie MobileIron ansehen. Der Vorteil einer professionellen EMM-Suite liegt in der Unterstützung von einer Vielzahl an Geräten. Erst damit lassen sich Bring-Your-Own-Device-Ansätze sinnvoll umsetzen. MobileIron unterstützt neue Funktionen von iOS 9 und auch von Android 5 und 6, sowie auch Windows 10 for Mobile, sodass Anwender weiter mit ihren Endgeräten arbeiten können, ohne dabei beeinträchtigt zu werden. Sobald aber der Zugriff auf Unternehmensdaten erfolgt, sind diese sicher im Zugriff.