Smartphones von Mitarbeitern sicher machen: Profile für iPhones erstellen und verteilen

Das iPhone galt bislang nicht als Smartphone für den geschäftlichen Einsatz. Doch Apple legt nach und bietet Buiness-Funktionen an.

Bis vor kurzem galt das iPhone eher als heiße Neuigkeit für Endnutzer denn als ernst zu nehmendes Werkzeug für geschäftliche Produktivität. Diese Betrachtungsweise jedoch ändert sich schnell. Denn Apple Inc. gibt seinem Telefon immer neue Funktionen, darunter auch solche für den Unternehmenseinsatz, die es bislang nur bei Blackberry-Geräten gab.

In diesem Artikel beschäftigen wir uns detailliert mit dem Sicherheitsmodell und den Sicherheitseinstellungen des iPhone. Wir stellen die iPhone Configuration Utility von Apple vor, mit der Sie Konfigurationen erstellen können, die enorme Flexibilität hinsichtlich Richtlinien ermöglichen. Und auch über Methoden für die Verteilung solcher Konfigurationsprofile an große Mengen von iPhones können Sie sich informieren.

Die iPhone Configuration Utility (s. Abbildung 1) kann kostenlos bei Apple heruntergeladen und auf jedem System mit Windows oder Mac OS X installiert werden. Für Administratoren ist die Utility mit ihren Möglichkeiten zur zentralisierten Administration und Konfiguration von iPhones das Pendant zum Blackberry Enterprise Server (BES).

Abbildung 1: iPhone Configuration Utility

Verwenden der iPhone Configuration Utility

Die Hauptmethode zur Steuerung der Sicherheitseinstellungen von iPhones liegt in der Erstellung von Konfigurationsprofilen mit der iPhone Configuration Utility. In diesen Profilen können Administratoren Einstellungen für Sicherheit und Konten von iPhone-Nutzern erstellen und diese dann auf unterschiedlichen Wegen an die Geräte verteilen. Außerdem lässt sich das Hilfsprogramm dafür nutzen, Geräte einfach zu provisionieren und private, unternehmensspezifische Anwendungen auf sie zu laden, ohne dafür den Weg über den App Store von Apple gehen zu müssen.

Bei der Definition einer Konfigurationspolitik stehen Ihnen mehrere Optionen für Sicherheit zur Auswahl:

  • Passcodes für die Geräte vorschreiben: Hiermit können Sie eine Reihe von Einstellungen in Zusammenhang mit Passcodes vorgeben, die über das normale iPhone-Interface nicht zugänglich sind. So können Sie eine Mindestlänge für die Passcodes einstellen, eine Mindestzahl an Sonderzeichen dafür, die maximale Gültigkeitsdauer, Vorgaben zur Änderung von Passcodes und anderes. Mit dieser Funktion können Sie also die Passwort-Policy Ihres Unternehmens auch auf iPhones durchsetzen. Denken Sie daran: Smartphones gehen viel leichter einmal verloren als ein Computer – Sie sollten sie deshalb mindestens so gut schützen wie andere Geräte.
  • Geräte-Funktionalität einschränken: Über die Utility lassen sich iPhone-Funktionen feinkörnig einstellen. So können Sie die Installation von unautorisierten Apps verhindern, die Nutzung der Kameras und von Screenshots einschränken, Multiplayer-Spiele verbieten und mehr. Solche Einschränkungen dürften die Nutzer verärgern, also setzen Sie sie nur ein, wenn sie wirklich nötig sind.
  • Digitale Zertifikate verwenden: Wenn Ihre Organisation für Anwendungen digitale Zertifikate einsetzt, können Sie diese mit der Utility vorab auf die Geräte laden. Dadurch kommt es seltener zu Nutzer-Fragen und Fehlermeldungen in diesem Zusammenhang, und der Prozess der Zertifikat-Installation wird erleichtert.
  • Account-Einstellungen vorkonfigurieren: Außer Sicherheitsrichtlinien können Sie mit der Utility auch E-Mail-Konten vorkonfigurieren (einschließlich der Nutzung von Exchange ActiveSync) sowie Einstellungen für VPN, WLAN und LDAP. Solche Vorarbeiten können die Ersteinrichtung der Geräte erleichtern und damit Administratoren entlasten.
  • Festlegen, wer ein Profil entfernen darf: Für jedes verteilte Profil können Sie flexibel festlegen, wer es wieder entfernen darf. In den meisten Fällen werden zumindest ein paar Sicherheitseinstellungen darin enthalten sein, an denen sich die Nutzer stören, also werden Sie wohl keine beliebige Entfernung erlauben wollen. Stattdessen könnten Sie hier die Einstellung „mit Erlaubnis“ wählen, bei der Nutzer ein Profil nur mit dem richtigen Passwort entfernen kann. Damit können Sie zum Beispiel Mitarbeitern im Außeneinsatz die Möglichkeit geben, das Profil in dieser Zeit zu entfernen.

Nachdem Sie die Einstellungen für die iPhones der Nutzer konfiguriert haben, können Sie sie als XML-Konfigurationsdatei abspeichern.

Verteilung von Konfigurationsprofilen

Für die Verteilung der Konfigurationsprofile an die iPhones im Unternehmen bietet Apple mehrere Möglichkeiten, von denen Sie ganz nach Bedarf eine oder mehrere nutzen können. Die Optionen sind:

  • Direkte Installation auf einem Gerät, das mit dem Computer mit der Utility verbunden ist: Dies ist am nützlichsten, wenn Sie ein iPhone zum ersten Mal konfigurieren.
  • Verteilung des Profils per E-Mail: Mit der Utility können Sie eine E-Mail erstellen, die als Anhang das Profil enthält. Wenn ein Nutzer darauf klickt, wird es auf sein Telefon angewendet. Wenn Sie diese Option wählen, sollten Sie das Profil digital signieren, so dass Nutzer nicht dazu gebracht werden können, ein gefälschtes zu installieren.
  • Verteilung des Profils über das Web: Sie können die Konfigurationsdatei auch auf eine Website stellen. Wenn Nutzer dann mit dem Safari-Browser die entsprechende Seite besuchen, wird das Profil bei ihnen automatisch installiert. Bei diesem Ansatz können Sie die Nutzer mit einer SMS-Nachricht, die den Link enthält, zum jeweiligen Profil leiten.
  • Einsatz einer externen Plattform für Mobile Device Management (MDM): Wenn es in Ihrer Organisation ein System für Mobile Device Management gibt, können Sie die Profile auch darüber verteilen. Apple unterstützt viele unterschiedliche MDM-Plattformen, darunter Sybase Afaria und AirWatch. Mit diesen Werkzeugen können Administratoren mehrere mobile Plattformen gleichzeitig verwalten, beispielsweise Geräte mit iOS, Windows Mobile, Android und Blackberry OS.

Wenn bei Ihren Kunden das Mitbringen von privaten iPhones ins Unternehmen erlaubt ist, sollten Sie vielleicht auch diese ermuntern, eine Installation der Konfigurationsprofile vorzuschreiben. Leider ist dies technisch ein sehr schwieriges Problem– es gibt keine gute Methode dafür, zwischen privaten und vom Unternehmen bezahlten iPhones zu unterscheiden. Wenn der Kunde irgendeinen Remote-Zugriff auf E-Mail ermöglicht, dann können seine Mitarbeiter wohl auch mit ihren iPhones darauf zugreifen. Die beste Lösung ist deshalb, den Kunden dazu zu bringen, die Nutzung von Profilen per Richtlinie vorzugeben und diese Richtlinie konsequent durchzusetzen.

Die iPhone Configuration Utility von Apple gibt Administratoren eine ungekannte Menge an Einflussmöglichkeiten auf die Nutzung von iPhones im Unternehmen. Dadurch kommt das Telefon in dieselbe Liga wie Blackberrys: Organisationen können ihre Sicherheitsrichtlinien durchsetzen und so gewährleisten, dass die Geräte in einer Enterprise-Umgebung sinnvoll genutzt werden.

Über den Autor: Mike Chapple, CISA, CISSP, ist Experte für IT-Sicherheit an der University of Notre Dame. Früher hat er als Sicherheitsforscher bei der National Security Agency der USA und der U.S. Air Force gearbeitet. Chapple schreibt regelmäßig Beiträge für SearchSecurity.com, ist technischer Redakteur beim Magazin Information Security und Autor mehrerer Publikationen zum Thema Sicherheit wie dem „CISSP Prep Guide“ und „Information Security Illuminated“.

Artikel wurde zuletzt im April 2011 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Bedrohungen für Smartphones und Tablets

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close