Systeme und ihr Umfeld / iOS im Unternehmen

iOS 10: Vom Betriebssystem zur Systemumgebung

Das ursprünglich aus dem Konsumentenumfeld kommende mobile Betriebssystem iOS von Apple hat sich mittlerweile zu einem System entwickelt, das ohne Abstriche unternehmenstauglich ist. Mehr noch: Die neue Version iOS 10 wurde zu einer kompletten mobilen, partnerorientierten Systemumgebung ausgebaut, deren Dreh- und Angelpunkt das Enterprise-Mobility- Management-(EMM)-Konzept ist, in das auch immer mehr das „stationäre“ Betriebssystem MacOS einbezogen wird.

Von Ojas Rege, Mountain View (US/CA)

Eigentlich hat iOS 10 schon mit iOS 9.3 begonnen: Zum ersten Mal hatte Apple nämlich unternehmensrelevante Erweiterungen seines mobilen Betriebssystems bereits in eine Zwischenversion, eben 9.3, gepackt. Das zeigt die Bedeutung, die iOS im Unternehmensumfeld mittlerweile erlangt hat – auch Apple hat verstanden, wie wichtig sein Betriebssystem im Unternehmensumfeld geworden ist. Anwender in Unternehmen müssen nicht mehr auf die nächste Hauptversion warten, sondern bekommen Features, die Produktivität und Sicherheit erhöhen, so schnell wie möglich zur Verfügung gestellt.

Die neue Hauptversion iOS 10 baut auf vielen Leistungsmerkmalen der Zwischenversion iOS 9.3 auf. Die meisten dieser Merkmale erfordern ein Gerät, das sich im „Überwachungsmodus“ (Supervised Mode) befindet: Diese Betriebsart ermöglicht zusätzliche Steuerungsfunktionen und Beschränkungen, die mithilfe eines Enterprise- Mobility-Management-(EMM)-Systems verwaltet werden. Eine solche Geräte-Überwachung ist ideal für Geräte, die sich im Eigentum eines Unternehmens oder einer Organisation befinden und deshalb strenger kontrolliert werden als Systeme, die Eigentum einer Person sind.

Abbildung 1: Das iOS-10-Konzept unterstützt das gemeinsame Management unterschiedlicher Apple-Endgeräte von der Apple Watch bis zum MacOS-Rechner durch ein EMM-System.

Die wichtigsten neuen Unternehmensmerkmale seit iOS 9.3 sind:

  • Gerätespezifisches Layout des Start-Bildschirms („Home Screen“): Die Administration kann anwenderspezifische Start-Bildschirme auf überwachten Geräten erzeugen und dadurch Apps, Icons und Web-Clips dieser Ansicht kontrollieren. Zusätzlich kann sie Ordner erzeugen, um sie für die Gruppierung von Apps zu nutzen. Desgleichen können Anwendungen mithilfe eines EMMSystems dauerhaft im Dock platziert werden.
  • Beschränkungen bei der Nutzung von Anwendungen: Mit dem neuen Blacklisting-Merkmal in iOS 9.3 kann die IT-Administration Anwender daran hindern, auf nicht-zugelassene Apps auf einem überwachten Gerät zuzugreifen. Wenn ein Anwender solche Apps herunterlädt, verhindern die EMM-Steuerungselemente ihre Nutzung. So kann ein Unternehmen beispielsweise die Nutzung von Social-Media-Apps auf überwachten Geräten sperren oder ein überwachtes Endgerät wird so eingestellt, dass Mitarbeiter nur Zugriff auf Apps haben, die ausdrücklich vom Unternehmen freigegeben sind.
  • Steuerung von Benachrichtigungen: Diese neuen Steuerungselemente helfen der IT bei der Verbesserung der Nutzererfahrung dadurch, dass sie kundenspezifisch festlegen, wie Benachrichtigungen für verschiedene Apps formuliert und dargestellt werden. Die IT kann im Übrigen Benachrichtigungen für unternehmenskritische Apps abschalten oder für ausgewählte Apps Benachrichtigungen auf ein bestimmtes Level beschränken.
  • Aktivierungssperre durch EMM-System: EMM-Lösungsanbieter können mit dem Device- Enrollment-Program-(DEP)-Server von Apple arbeiten, um eine Aktivierungssperre auf dem Gerät zu erzwingen oder auch die Aktivierungssperre unter Umständen zu überschreiben.
  • EMM-Verlust-Modus: Mit dem neuen Funktionsmerkmal „EMM Lost Mode“ kann ein IT-Administrator jedes beliebige Gerät als „verloren“ kennzeichnen. Wenn der Verlustmodus aktiviert ist, melden Geräte ihre geografische Position an das EMM-System, auch wenn die Ortungsdienste auf dem Gerät ausgeschaltet worden sind.

iOS 10 ist jedoch keineswegs bloß eine umbenannte Version 9.3, sondern hat ihren eigenen Wert: Dieser liegt hauptsächlich in der Erweiterung des mobilen Betriebssystems zu einer Systemumgebung („Ökosystem“), in das viele Partner einbezogen sind beziehungsweise sich integrieren können und sollen.

Damit stehen Anwendern die besten und sichersten Apps und Services am Markt ohne Integrationsoder gar Programmieraufwand für ihre mobile Flotte zur Verfügung. Beispiele für derartige Apps und Services aus dem Partner-Universum sind etwa die so genannten „MobileIron Rooms“ zur schnellen Reservierung geeigneter Konferenzräume oder Services, die das Zusammenspiel mit verschiedenen Cisco-Apps gewährleisten. So enthält das Entwickler-Toolkit für iOS 10 beispielsweise die „CallKit API“, ein Framework, mit dem Entwickler eine Voice-over-IP-(VoIP)-App erstellen können, mit deren Hilfe sich ein Anruf über die VoIP-App „Spark“ von Cisco auf iOS-Endgeräten wie ein ganz normaler Mobilanruf darstellt. In einer Unternehmensumgebung kann die IT-Administration mithilfe von EMMSteuerungselementen eine Standard-App definieren, über die geschäftliche Telefonanrufe laufen und abgerechnet werden. So wird nicht zuletzt eine klare Trennung von privaten und geschäftlichen Telefongesprächen möglich.

Abbildung 2: Über die Apple Watch können andere Apple-Rechner ohne Passworteingabe freigeschaltet werden – allerdings nur, wenn die Uhr mit der Haut des Eigentümers in Kontakt ist und Rechner und Apple Watch nicht weiter als drei Meter voneinander entfernt sind.

Neue Verknüpfungen

Ähnlich wie in Windows 10 (vgl. [2]) wird auch in iOS 10 die Philosophie des universellen Endpunkts zunehmend umgesetzt: iOS 10 ist quasi das Paradigma für die Verwaltung potenziell beliebiger Endgeräte. Der Anfang ist eine universelle Zwischenablage („Universal Clipboard“), über die man Inhalte zwischen iOS-Mobilgeräten und Mac-Rechnern austauschen kann, ohne dass Übertragungsverfahren wie AirDrop verwendet werden müssen. Voraussetzung für die Verwendung des „Universal Clipboard“ sind Geräte, die einerseits auf iOS 10 und andererseits unter MacOS Sierra sowie unter derselben „Apple iCloud ID“ laufen. Vor iOS 10 gab es eine solche universelle Zwischenablage nur über Drittanbieter.

Bei der Nutzung der universellen Zwischenablage im Unternehmensumfeld muss sichergestellt sein, dass sensible Inhalte nicht in Apps landen, auf welche die Unternehmens-IT keinen Zugriff hat. EMM-Anbieter können hierzu entsprechende Steuerungselemente anbieten, um ungewollte oder kriminell motivierte Datenverluste zu verhindern.

Ein großer Fortschritt besteht auch darin, dass Apple mit iOS 10 nun das Extensive Authentication- Protocol (EAP) für VPN-Verbindungen unterstützt. Bislang hatten viele Unternehmen den VPN-Zugriff unter iOS auf Unternehmensdaten unterbunden, weil sie fürchteten, dass Daten in falsche Hände kommen. Mit dem VPNIKEv2- EAP-only-Modus, der von iOS 10 unterstützt wird, ist diese Gefahr nun gebannt.

Auch Systemaktualisierungen auf einem unter MacOS Sierra laufenden Rechner lassen sich nun im EMMModus durchführen – Voraussetzung ist dabei, dass die Macs im „Device Enrollment Program“ (DEP) von Apple erfasst worden sind. Das Sierra-Betriebssystem ist darüber hinaus dahingehend ausgelegt, dass IT-Administratoren verschiedene Richtlinienbeschränkungen aufspielen können, beispielsweise um Apple Music, iCloud Keychain Sync, iCloud Photo Library zu kontrollieren beziehungsweise zu unterbinden.

Im Übrigen kann ein Benutzer im Zusammenspiel von Apple Watch und Mac-Rechner jetzt auch seinen Mac über seine Apple-Uhr ohne Passworteingabe freischalten. Ohne Passwort geht das allerdings nur, wenn die Uhr mit der Haut des Eigentümers in Kontakt ist und Mac-Rechner und Apple Watch nicht weiter als drei Meter voneinander entfernt sind – diese Vorsichtsmaßnahme soll Angriffe auf den Rechner verhindern, bei denen die Apple Watch als Relaisstation benutzt wird.

Das Resümee, das sich aus all diesen neuen Features ergibt, ist klar: Ebenso wie bei Windows 10 können jetzt auch im Apple-Reich über eine EMM-Plattform unterschiedliche Endgeräte von Standrechnern und Notebooks über Smartphones und Tablets bis hin zur Apple Watch gemeinsam verwaltet werden.

Verbesserte App-Sicherheit

Apps und App-Management sind zentral für die Produktivitätssteigerungen durch die mobile IT – aber Apps sollen natürlich nicht nur produktivitätssteigernd, sondern auch sicher sein. Insofern bedeutet Mobile- Security immer auch und ganz besonders App-Sicherheit. In iOS 10 hat Apple deshalb die App-Sicherheit noch einmal verbessert. Ab Anfang 2017 müssen alle Apps, die in den AppStore eingestellt werden, das Transport-Layer- Security-(TLS)-Protocol 1.2 unterstützen.

Darüber hinaus hat der Messages-Service nun seinen eigenen „Messages AppStore“, sodass Entwickler Apps ganz speziell für die Verwendung in Messages schreiben können. Dadurch werden viele neue Funktionen bereitgestellt, um die Produktivität von Geschäftsprozessen zu steigern: Unternehmen können beispielsweise einen vollständigen Workflow in eine Textbotschaft integrieren. Wenn etwa eine Zahlungsanweisung autorisiert werden soll, kann die Buchhaltung eine entsprechende Freigabebitte an den Abteilungsleiter in einer Textbotschaft senden. Der Abteilungsleiter kann dann einfach „Freigeben“ in der Textbotschaft anklicken und muss nicht extra eine getrennte App öffnen, um die Bitte zu erfüllen.

AppConfig-Community für EMM-System-neutrales App-Design

Eine wesentliche Wegmarke vom mobilen Betriebssystem zur kompletten Systemumgebung, die unter iOS 10 vollzogen wird, bildet die Verzahnung von Technik und Organisation, wie sie unter anderem durch das „Mobility Partner Program“ (MPP) und vor allem auch durch die „AppConfig Community“ sichtbar wird. Mit dem MPP stellt Apple vollständig integrierte Apps einer Vielzahl von Drittanbietern zur Verfügung. Unternehmen kommen damit schneller zu soliden leistungsfähigen Apps, auf deren Sicherheit sie vertrauen können.

Die AppConfig Community, an der weltweite IT-Schwergewichte wie Cisco, Oracle, IBM und Salesforce sowie EMM-Hersteller wie VMWare und MobileIron mitwirken, hat sich zum Ziel gesetzt, für das Verwalten von Anwendungen ganz auf die Nutzung der nativen mobilen Betriebssystemfunktionen zu setzen. Dadurch werden komplexe, zeit- und kostenintensive sowie störanfällige App-Wrapping- und SDK-Techniken überflüssig, mit denen Apps zuvor an die Erfordernisse des jeweiligen EMM-Systems und an die Sicherheitsanforderungen des jeweiligen Unternehmens angepasst werden mussten.

Die AppConfig-Community-Mitglieder setzen auf ein offenes XML-Schema für den Bau von unternehmenstauglichen iOS-Apps. Das Schema macht es für Entwickler leicht, App-Einstellungen in gleicher Weise für alle Apps zu definieren und diese Einstellungen durchgängig und konsistent in den Betrieb zu überführen. Die AppConfig Community stellt zudem Musterlösungen für Unternehmens-Entwickler bereit, die auf nativen Betriebssystemfunktionen basieren – etwa für Single-Sign-on, Per- App-VPN, Sicherheitsrichtlinien und Zugangskontrollen. Die Konstruktion der Apps ist dabei unabhängig von den Spezifika eines bestimmten EMM-Systems.

Fazit

Das mobile Betriebssystem von Apple ist längst zu einer reifen und unternehmenstrauglichen Systemplattform geworden – mit iOS 10 geht Apple noch einen Schritt weiter. Damit erhalten Unternehmen eine komplette Systemumgebung, welche die einfache Integration leistungsfähiger Apps und Services von Partnern in das System ermöglicht. Auf der Basis der Vorgaben der AppConfig Community (vgl. Kasten) entwickelt man zudem gemeinsam mit Partnern Apps, die nicht für ein bestimmtes EMM-System oder bestimmte Sicherheitsanforderungen ausgelegt sind, sondern die bestmögliche Produktivität und Sicherheit überhaupt bieten – ganz gleich, welches EMM-System ein Unternehmen einsetzt.

Freilich sind nicht alle EMM-Systeme auf dem Markt für ein solches umfassendes (App-) Ökosystem ausgelegt; hier gilt es Kaufentscheidungen zu treffen, die zukunftsorientiert sind. Wenig zukunftsorientiert erscheint beispielsweise die Wahl eines EMM-Systems, das eine sehr eingeschränkte Systemwelt bedient und mit weitgehend proprietären Mechanismen arbeitet – egal, ob dieses System von einem Hersteller mit „großem Namen“ kommt oder im Paket mit einem verlockenden Preis nahe am Nulltarif angeboten wird. Ein solcher Nulltarif kann den Anwender später unter Umständen teuer zu stehen kommen.

Wer strategisch und zukunftsorientiert denkt, sollte deshalb in jedem Fall auf ein konsistentes und auf Standards beruhendes Framework zur App-Konfigurierung achten, mit der das ganze App-Spektrum, das am Markt vorhanden ist, genutzt werden kann. Mit iOS 10 erhalten Unternehmen dann nicht nur ein leistungsfähiges mobiles Betriebssystem, sondern auch ein (App-) Ökosystem, das optimal mit den Top-EMM-Plattformen zusammenspielt. Denn die Steuerungselemente einer EMM-Plattform sind unabdingbar, wenn man die Vorteile der iOS-Plattform voll ausnutzen will.

Ojas Rege ist Chief Marketing & Strategy Officer von MobileIron.

Literatur

[1] Christof Baumgärtner, Apple’s Neunte, Mobile Computing im Unternehmen mit iOS 9, <kes> 2015#5, S. 12</kes>

[2] Ojas Rege, Mehr Konvergenz und Sicherheit, Mit Windows 10 auf dem Weg zum Unified Endpoint-Management, <kes> 2016#3, S. 46

[3] MobileIron, Die Bedeutung von iOS 10 für Unternehmen, Whitepaper, 2016, www.mobileiron.com/de/ whitepaper/bedeutung-von-ios-10-fur-unternehmen (Registrierung erforderlich)