iOS 7 - Übersicht der neuen Sicherheitsfunktionen

Am Montag den 10.06.2013 hat Apple die diesjährige WWDC (unter anderem) mit der Ankündigung von iOS 7 und OS X Mavericks eröffnet.
Der primäre Fokus der Präsentation lag auf Features und Neuerungen die den Endanwender oder die Entwicklergemeinde betreffen.

Im Folgenden erfolgt ein kurzer Ausblick über die bereits bekannten Punkte die in iOS 7 zu erwarten sind. Da insbesondere die neuen MDM Optionen der NDA von Apple unterliegen, erfolgt die Auflistung nur auf Grundlage von Informationen die öffentlich verfügbar sind, oder von Apple in der WWDC Keynote bekannt gegeben wurden.

Mittlerweile hat Apple auch eine eigene Seite zum Thema iOS 7 im Unternehmen veröffentlicht, die Auflistung wurde dementsprechend aktualisiert.

iOS 7 - spannende neue Features und die Sicherheit

Kontrovers werden im Moment die Designänderungen von iOS 7 diskutiert, spannender ist aber die Vielzahl der funktionalen Erweiterungen und Änderungen.

Managed open in

Die "Öffnen in" Option wird konfigurierbar, d.h. der Administartor kann steuern welche Dokumente mit welchen Apps geöffnet werden können, oder auch nicht. So kann das öffnen von E-Mail Anhängen in DropBox zum Beispiel unterbunden werden.

AirDrop

iOS-Geräte können jetzt Daten direkt mit per peer-to-peer verbunden Geräten austauschen, die Geräte müssen hierzu nicht im gleichen W-Lan sein. Hierzu wird ein Ad-Hoc Netz aufgebaut in dem die Daten gesendet werden können. Für Unternehmen empfiehlt sich diese Funktion zu deaktivieren. Hier besteht die Gefahr, dass Daten unkontrolliert auf das Gerät gelangen oder das Gerät verlassen.

Notification Center im Sperrbildschirm

Im Sperrbildschrim werden nun noch mehr Informationen über eingegangen Benachrichtigungen angezeigt. Auch werden die Benachrichtigungen synchronisiert, das bedeutet am iPhone als gelesen markierte Benachrichtigungen verschwinden auch am iPad. Wie bereits unter iOS 6, sollte zentral festgelegt werden, welche Informationen trotz Sperrbildschrim ersichtlich sein dürfen.

Control Center

Erlaubt den schnelleren Zugriff auf häufig genutzte Funktionen wie Flugmodus, Bluetooth oder W-Lan. Auch kann über das Control Center der Taschenrechner oder die Kamera angesteuert werden, hierzu muss man nur von unten in den Bildschirm wischen. Da auch das Control Center mit aktivem Sperrbildschrim genutzt werden kann, muss geprüft werden ob Risiken durch die unberechtigte Verwendung entstehen können.

Better multitasking

Das Multitasking unter iOS 7 wurde ebenfalls optimiert. Apps die im Hintergrund noch laufen reduzieren ihre Aktivitäten auf ein absolutes Minimum. Dennoch können sie mit einem sogenannten "push trigger" sofort auf eine Push-Benachrichtigungen reagieren.

iCloud Keychain / Schlüsselbund

Ein Passwordsafe der die Keychain (Schlüsselbund), mit Zugangsdaten, Kreditkarteninformationen, W-Lan Passwörtern usw. AES-256 verschlüsselt auf allen angebundenen Geräten synchronisiert. Mit Safari ist dann das automatische ausfüllen von Formularen oder Anmeldemasken möglich. Diese Funktion wurde zwar für iOS 7 angekündigt, dann aber auf ein späteres Release verschoben. Die Empfehlung lautet auch diese Funktion zu deaktivieren.

Frequent Locations

In der Beta 5 von iOS 7 taucht die Option "Frequent Locations" auf. Auf einer Karte werden alle Orte visualisiert die man besucht, auch ist erkennbar wie oft und wie häufig man sie besucht hat. In den "Privacy Settings" besteht die Möglichkeit den Verlauf einzusehen, und die Option zu deaktiviern. Laut Apple dient sie unter anderem dazu ortsbezogene Informationen besser darzustellen. Leider ist es nicht möglich Frequent Locations über das MDM zu deaktivieren. Dies sollte jeder Nutzer selbst vornehmen.

Safari

Wie bereits unter dem Punkt "iCloud Keychain" beschrieben, kann Safari die in der iCloud abgelgete Keychain nutzen. Neu ist auch die Möglichkeit im MDM Webseiten zu Black- oder Whitelisten. Auch ist es möglich über eine vorgegebene Lesezeichenliste zu definieren, welche Seiten der Benutzer nur noch öffnen darf.

App Store und automatische Updates

Automatische Updates, bringen insbesondere für Privatanwender, den Vorteil sich nicht (täglich) um die Aktualisierungen der installierten Apps kümmern zu müssen. Unternehmen legen aber teilweise Wert auf eine Freigabe der Aktualisierungen, um bei einem geänderten oder erweiterten Funktionsumfang entscheiden zu können ob die App von den Mitarbeitern noch benutzt werden kann / darf.

Eine weitere interessante Änderung ist, dass es nun möglich ist im AppStore auf einen älteren Stand der App zurückzugehen. So ist es möglich, trotz automatischer Updates, bei Problemen die letzte funktionierende Version der App wieder zu installieren.

Activation Lock

Dieses Feature soll (vermutlich) die steigende Anzahl gestohlener iOS Geräte eindämmen. Mit Activation Lock kann der Benutzer konfigurieren, dass wenn das Geräte ferngelöscht (remote wipe) wurde, es nur mit dem iCloud Account des Besitzers reaktiviert werden kann. Hier wurde jedoch bereits demonstriert, dass dies durchaus umgangen werden kann.

iOS 7 im Unternehmen

Auch für Unternehmen bringt iOS 7 interessante Erweiterungen.

MDM Erweiterungen

Unter iOS 7 wird es neue Profiloptionen (z.B. Restriktionen) und Abfragen für das Mobile Device Management geben. Dadurch wird es auch möglich Apps auf die verwalteten Geräte zu verteilen und zu löschen. Unter dem Stichwort "Silent Install / Silent Delete", können dem Benutzer zum Beispiel Profile installiert werden, ohne dass dieser die Installation bestätigen muss.

Per-App VPN

Hier ist es möglich für jede App zu definieren ob sie eine VPN Verbindung aufbauen muss oder nicht. Sinnvoll zum Beispiel um E-Mails aus dem Unternehmensnetzwerk über VPN abzurufen, der Browser hingegen ohne VPN funktioniern kann.

Streamline MDM Enrollment

Der bisher dem Apple Configurator Tool vorbehaltene Supervised Mode steht nun auch über MDM zur Verfügung, in der Vergangenheit war zum Beispiel der Kiosk Mode nur mithilfe des Apple Configurators zu aktivieren. Auch wird die Integration der Geräte in die MDM Infrastruktur einfacher. Mit iOS 7 können die Geräte bereits vorkonfiguriert an den Angestellten ausgegeben werden. Das fehleranfällige, und vom Anwender abhängige, Enrollment entfällt somit.

App Store license management (VPP)

Es ist nun möglich Lizenzen zu erwerben, anstatt wie bisher Gutscheincodes. Das Unternehmen kann also einen Lizenzpool für eine App anschaffen und den Angestellten zur Verfügung stellen. Hierzu muss die Apple ID des Angestellten mit dem Enterprise App Store verknüpft werden, ist dies einmal erfolgt kann der Nutzer die Apps die der Arbeitgeber lizenziert hat nachinstallieren. Alternativ können die Apps auch über das MDM verteilt werden. Benötigt der Benutzer die App nicht mehr, ist die Lizenz wieder für einen neuen Angestellten verfügbar. Weitere Details sind hier verfügbar.

Allow Host Pairing

Eine weitere Interessante Ergänzung ist die neue MDM Option "Allow Host Pairing". Damit kann das Unternehmen verhindern, dass iOS-Geräte mit dem (privaten) iTunes synchronisiert werden.

Data protection by default

Änderungen in der Data Protection Policy (Keystore) für Apps.

Offene Fragen

  • Wie werden die Passwörter in der iCloud gespeichert? Gibt es einen Masterkey für die Wiederherstellung des (verlorenen) Keychain Passworts?
  • Wie schnell reagieren die MDM Hersteller auf die neuen Optionen?

Update (08.10.2013)

Ergänzungen und Korrekturen bzgl. der MDM Funktionen und Beschreibungen.

2014

2013

2012