Apple Open-in Management hilft bei der Absicherung von iOS-Daten

Mit Apples Open-in Management können Administratoren Apps als gemanagt markieren. Damit lässt sich der Zugriff auf geschäftliche Daten einschränken.

Apple Open-in Management ist eine Security-Funktion, die Apple mit iOS Version 7 eingeführt hat. Damit haben IT-Abteilungen bessere Kontrolle über die Daten, auf die iOS-Apps zugreifen dürfen.

Die Arbeitgeber versuchen die richtige Balance zwischen Sicherheit, Produktivität und Agilität zu finden. Geschäftliche Daten vor Verlust oder Diebstahl zu schützen, bleibt allerdings eine der Hauptsorgen. 

Die am häufigsten eingesetzten Security-Kontrollen für mobile Geräte wie Passwörter, Verschlüsselung und entferntes Löschen (Remote Wipe) adressieren allerdings die Gefahr vor Datenlecks nicht vollständig. Die IT-Abteilung kann Daten in iOS absichern, indem Sie die Funktion Open-in Management nutzt. Offiziell nennt sich das Managed Open In.

Datensicherheit und Management-Optionen für iOS-Daten

Den IT-Abteilungen stehen diverse Optionen zur Verfügung, wie sie iPhones und iPads absichern können. Dazu gehören Anwender-Konfigurationen, USB-Tethering und drahtloses MDM (Mobile Device Management)

System-Administratoren verwenden die letztere Option, um Anwendungen bereit zu stellen und Konfigurationen auf die Geräte zu kopieren. Dafür ist eine zentrale Stelle zuständig. Die IT-Abteilung kann jede auf dem iOS-Gerät installierte App via MDM als gemanagte Anwendung markieren. Diese wird dann mit Profilen konfiguriert.

Es gibt zum Beispiel eine Funktion, die sich „Enterprise Wipe“ nennt. Damit lassen sich automatisch alle gemanagten Apps automatisch löschen, die via MDM auf dem iOS-Gerät installiert wurden. Weiterhin können Sie Einschränkungen zu den gemanagten Apps hinzufügen. 

Zum Beispiel sind das ein VPN-Tunnel pro App oder die Synchronisation von App- oder Unternehmens-Daten mit der iCloud. Mit iOS 7 hat Apple Open-in Management eingeführt. Es ist eine Art MAM (Mobile Application Management), das gemanagte Apps daran hindert, ungehindert Geschäftsdaten zu verteilen.

Den Datenfluss zwischen iOS managen

Mit Apple Open-in Management kann die IT-Abteilung Daten aufteilen, indem sie den Datenfluss zwischen gemanagten und nicht gemanagten Apps kontrolliert. Zum Beispiel können System-Administratoren verhindern, dass in gemanagten Apps kreierte Daten in einer nicht gemanagten Anwendung geöffnet werden können und andersherum. Weiterhin lässt sich kontrollieren, ob eine gemanagte Web-Domäne von einer nicht gemanagten App, wie dem nativ enthaltenen Browser Safari, geöffnet werden darf.

Die durch Open-in Management auferlegten Einschränkungen legt man mit Konfigurations-Profilen fest. Die Auswirkungen hängen in erster Linie davon ab, ob die entsprechende App als gemanagt installiert wurde. Spielt die IT-Abteilung zum Beispiel einen Unternehmens-E-Mail-Client ein und deaktiviert allowOpenFromManaged-ToUnmanaged via Konfigurations-Profil, können lediglich andere gemanagte Apps die E-Mail-Anhänge öffnen. 

Das wäre der Fall, wenn die Administratoren QuickOffice oder sichere Container-Apps installiert haben. Ist der Befehl deaktiviert, dürfen native oder vom Anwender installierte Anwendungen wie Pages oder Google Drive die E-Mail-Anhänge nicht öffnen. Kurz gesagt erstellt Open-in Management zwei logische Umgebungen, die die Verarbeitung von Dokumenten voneinander isolieren.

Die Grenzen von Open-in Management

Die von Konfigurations-Profilen vorgeschriebenen Einschränkungen betreffen lediglich Dokumente, die von Apps geöffnet wurden. Für die Verhinderung von Datenlecks ist das ein großer Schritt in die richtige Richtung, allerdings kein Allheilmittel. Zum Beispiel können gemanagte Apps immer noch Dokumente ausdrucken, diese via AirDrop kopieren oder per E-Mail verschicken. 

Mit Apple Open-in Management kann die IT-Abteilung den Datenfluss zwischen gemanagten und nicht gemanagten Apps kontrollieren.

Open-in Management hat darauf keinen Einfluss. Um diese potenziellen Lecks zu kontrollieren, brauchen Sie eine andere Komponente. Möglich wären konfigurierbare sichere Container, um damit Kopieren, Einfügen, Teilen, Drucken und so weiter zu blockieren.

Zu den Einschränkungen von Open-in Management gehört auch die Aufteilung eines iOS-Geräts in zwei logische Umgebungen. Das ist eine logische Lösung bei Geräten, die sowohl geschäftlich als auch persönlich genutzt werden. Ein Szenario mit mehreren Anwendern auf einem Tablet adressiert das aber nicht.

Diese Zweiteilung kann sogar Herausforderungen für die IT-Abteilungen mit sich bringen, wenn diese eine gemanagte App einspielen wollen, der Anwender diese aber bereits installiert hat. In diesem Fall müsste zunächst die vom Anwender installierte App deinstalliert und dann die gemanagte App eingespielt werden. 

Diese Neuinstallation könnte zuvor synchronisierte Dokumente löschen. Oder das von der IT-Abteilung installierte QuickOffice öffnet dann vielleicht keine persönlichen Dokumente mehr. In diesem Fall könnte der Anwender eine andere ungemanagte Office-App verwenden, um solche Dokumente zu bearbeiten. Manchmal gibt es aber auch keine Alternativen.

Open-in Management und DLP

Open-in Management betrachtet man am besten als ein nützliches Hilfsmittel in einer ganzheitlichen Herangehensweise an DLP (Data Loss Prevention). Zum Beispiel könnte man Enterprise Cloud Services nutzen, um die Menge an Daten zu reduzieren, die auf einem iOS-Gerät gespeichert sind. MAM und Container können iOS-Daten in gemanagten Apps weiter schützen.

Behalten Sie aber das Sprichwort im Hinterkopf: Wo ein Wille ist, ist auch ein Weg. Versuchen Sie Datenlecks wo immer möglich zu reduzieren, aber erwarten Sie nicht, dass sie sich komplett verhindern lassen. Kombinieren Sie VPN-Tunneling mit Netzwerk-DLP. Dann können Sie nach Business-Daten Ausschau halten. Ebenso lassen sich Dateien loggen und blocken, die durch die Verteidigungs-Mechanismen schlüpfen wollen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Mobile Management

ComputerWeekly.de

Close