Anbei ein kurzer Überblick, was gemäss meinen Beobachtungen neu hinzugekommen ist. Die Policies sind im iPCU in Payloads unterteilt:

Restrictions-Payload:

Gerätefunktionalität:

- Siri erlauben

- Benutzer muss für alle Einkäufe das iTunes Store-Kennwort eingeben (verhindert wohl Apps innerhalb eines gewissen Zeitraums ohne PW-Eingabe zu installieren)

- Game Center Einstellungen: Mehrspielermodus erlauben

- Game Center Einstellungen: Hinzufügen von Game Center-Freunden zulassen.

iCloud

- Backup erlauben

- Synchronisierung von Dokumenten erlauben

- Fotostream erlauben (Nichterlauben kann zu Datenverlust führen, da die im Fotostream gespeicherten Bilder gelöscht werden)

Sicherheits- und Datenschutzrichtlinien erzwingen:

 - Diagnosedaten dürfen an Apple gesendet werden

- Benutzer dürfen nicht vertrauliche TLS-Zertifikate annehmen

- Verschlüsselte Backups erzwingen (Was ich noch nicht getestet habe, ist ob dies auch für die iCloud Backups gilt)

 

VPN-Payload

 - Für alle Daten (Somit kann der ganze Netzverkehr über die VPN-Verbindung geschickt werden, und damit im Unternehmen über einen Proxy kontrolliert werden)

E-Mail Payload

- Bewegen erlauben: Zwingt die Accounts in den Sandbox-Modus (damit werden für viele Anwender Drittlösungen wie ehemals MobileOffice eigentlich obsolet, wenn es lediglich darum geht die E-Mail-Daten in einer Sandbox zu speichern. Verhindert ebenfalls den Abfluss von Informationen ohne diese über einen Server verschicken zu müssen.)

- Gleiche Einstellung auch in Exchange möglich

 - Zusätzlich lassen sich Zertifikate oder SCEP-Settings für die Signierung/Verschlüsselung von Mails definieren.

 

Was nicht direkt im iPCU ersichtlich ist, ist das Verhalten von Anwendungen die über ein MDM verteilt werden. Wir verteilen bspweise eine App die als Quickguide die Services erklärt. Dies aus dem Grund, dass der Anwender das Gerät am MDM provisioniert, und auf diesem Weg direkt die notwendigen Anleitungen erhält. Nun konnte der Anwender die Kontrolle des MDM immer deinstallieren, hatte dann aber auch die Einstellungen und Zertifikate nicht mehr. Somit konnte man verhindern, dass der Anwender weiterhin auf Unternehmensressourcen zugreifen kann, wenn er kein MDM mehr installiert hat. Anders verhielt es sich mit den Applikationen die man verteilt hat. Diese blieben auf dem Gerät. Mit iOS 5 ändert dies nun. Applikationen werden, wenn über MDM verteilt, automatisch zu “managed Applications”. Wenn also die MDM-Kontrolle entfernt wird, werden auch die Applikation und deren Daten gelöscht. Somit könnte man kritischere Applikationen entwickeln und verteilen.

Wenn man sich aber für eine MDM-Lösung entscheiden muss, wird es schwierig. Da Apple Standards anbietet, unterscheiden sich die Hersteller auch nicht gross. Eine doch gute Übersicht hat enterpriseios.com

erstellt.

Wenn mein Firmenhandy abhanden kommt, mache ich mir wenig Sorgen. Das Gerät ist gut geschützt. Wenn ich es verliere, melde ich mich beim Service Desk und das Gerät wird via Befehl überall wo es ist gelöscht. Der “Finder” hat also keine Möglichkeit meine Firmendaten einzusehen. Mein neues Gerät bestelle ich in der Firma und kriege über das “over the air” Backup/Restore einfach meine ganze Konfiguration und all meine Daten wieder. Es fühlt sich sofort an wie mein altes Gerät.

Der obige Text ist in Quotes, da diese Situation zwar sehr einfach realisierbar ist, und in vielen Unternehmen tatsächlich so funktioniert, aber bei meinem Arbeitgeber ist der Mobilbereich noch eher in den Kinderschuhen.

Anyway. Diese Situation könnte für Blackberry Benutzer sehr bald Realität werden, egal wie weit deren Arbeitgeber ist. RIM stellte nämlich Blackberry Protect vor. Mit dem kostenlosen Protect, kann der Anwender folgende Features verwenden:

• Remote Device Management: Lokalisierung des Geräts auf einer Karte, Aktivierung des Klingeltons (das wirds dem Dieb zeigen oder macht das Finden im Wald einfacher), Sperren und Passwort-Wechsel, Anzeige eines “Verloren-Screen” (bsp. dieses Gerät gehört Fime, bitte retournieren an…), Löschen des Geräts
• OTA (over the air) Backup and Restore: Kontakte, Kalender, Notizen, Aufgaben, Browser-Bookmarks und Text-Nachrichten werden über die Luft gesichert und können bei Bedarf auf das neue Gerät geladen werden.
• Administration: Im Blackberry Kundenbereich hat man neu ein End-User-Portal und direkten Zugriff auf den Support.

Hey und sagte ich schon Kostenlos? Bei Apple kosten ähnliche Features leider schon 99$/Jahr. Also Blackberry Benutzer wird das sicher freuen, und könnte auch ein ausschlaggebender Grund bei der Smartphone Wahl sein wenn einem die Sicherheit und der Komfort bei der Entscheidung wichtig sind.

Weitere Infos in Englisch:

http://www.mobilecrunch.com/2010/07/12/rim-announces-blackberry-protect-free-remote-backup-restore-and-locate-service/

http://crackberry.com/blackberry-protect

Nun ja. Das iPhone ist jetzt also da. Runde eine Million Schweizer haben eines. Unternehmen müssen sich damit auseinandersetzen. Das muss aus meiner Sicht keinesfalls eine vollumfängliche Unterstützung sein. Aber eine Entscheidung muss her. Keine unklare Situation wo iPhones teilweise geduldet, teilweise verboten werden sondern eine klare Entscheidung inwiefern das iPhone unterstützt wird und bis wo diese Unterstützung geht.

Eine Unterstützung eines neuen Smartphones in einem Unternehmen beinhaltet meistens den Zugriff auf Firmenressourcen. Im häufigsten Fall ist dies der Zugriff auf Firmen-E-Mails, Kalender- & Kontaktdaten. Um dies zu gewähren, möchte das Unternehmen natürlich seine Daten auch sicher wissen. Hierbei gehts dann um die Sicherung des Übertragungsweges, Sicherung des Zugriffs und die Sicherung der Daten auf dem Gerät selber. Hier wurden die Möglichkeiten und aber auch die Limitationen vorgestellt. Das iPhone ist ja bekanntlicherweise in vielerlei Hinsicht speziell. Einer der Erfolgsgründe ist sicherlich der Appstore und die Einfachheit der Bedienung in Kombination mit iTunes. Das macht es für Unternehmen aber auch schon schwierig. Niemand will iTunes als Software in sein Unternehmen bringen. Sie braucht Administratorenrechte auf dem PC und sie glänzt oft mit Sicherheitslücken. Zudem sind die weiteren Funktionen von iTunes nur schwer mit Unternehmenseinsatz zu vereinbaren. Die wenigsten von uns müssen beruflich Musik kaufen und Podcasts abonnieren. Der Appstore hingegen ist unter der Kontrolle von Apple. Nichts was Apple nicht auf Herz und Nieren prüft wird dort aufgenommen. Anwendungen welche Funktionalitäten von Apple duplizieren werden nicht angenommen. Somit könnte ein Unternehmen keinen gehärteten, beschnittenen Browser anbieten, da ja die Funktionalität des Browsens durch Safari abgedeckt wird.

Auf diese Limitationen ging dann Herr Zimmermann von der Firma Dialogs noch näher ein. Er erklärte aus welchen Komponenten ein “Mobile Device Management” (MDM) besteht und wo da die Beschränkungen des iPhones sind. Dialogs bietet mit SmartMan eine MDM-Lösung für alle gängigen Mobile-OS an. Im Falle des iPhones beschränkt sich MDM leider auf die Möglichkeit Profile zu verteilen und deren Download zu kontrollieren. Mit Profilen bietet Apple die Möglichkeit gewisse Konfigurationen (pfd Link) vorzubereiten und an seine Anwender zu verteilen. Diese Profile kann SmartMan bereitstellen, eine SMS an die Anwender schicken und prüfen ob der Anwender das Profil runterlädt. Ob der Anwender das Profil anwendet, bleibt ihm selber überlassen. Hier liegt der grosse Schwachpunkt. Was nutzt es auf dem iPhone über ein Profil bspw. iTunes zu verbieten, wenn der Anwender das Profil dann nicht verwendet. Einmal installiert lässt sich das Profil immerhin nicht mehr deaktivieren Diese Limitation soll von Apple mal behoben werden. Aktuell gilt sie für alle am Markt befindlichen MDM Lösungen in Kombination mit iPhones.

Wenn sich eine Firma für den Einsatz des iPhones entscheidet, muss sie sich über diese Rahmenbedingungen und Limitationen im Klaren sein. Aus meiner Sicht ist der Einsatz aber durchaus sicher realisierbar. Die Anwender müssen ebenfalls sensibilisiert werden. Das eine Passwort-Policy bei einem so hochmobilen Device sinnvoll ist, sollte inzwischen jedem Anwender klar sein. Gepaart mit einem sicheren Zugriff auf seine Unternehmensdaten (ActiveSync oder MobileOffice) hat man schon eine recht gute Sicherheit, da Apple selber ja die völlige Hoheit über sein Betriebssystem hat. Apple prüft also alle Applikationen und lässt keine Applikationen zu die im Hintergrund Kontakt zu dubiosen Servern aufnehmen etc. Die bisherigen Medienberichte über Würmer-Attacken auf das iPhone beziehen sich alle auf iPhones die einen Jailbreak haben. Etwas auf was der Anwender auch sensibilisiert werden muss und das vermutlich von Apple immer wieder unterbunden wird. Schliesslich sind sie an der Medienberichterstattung nicht interessiert.

Am Schluss der Veranstaltung stellte ein Anwesender die Frage welchen Geschäftserfolg ihm der Einsatz des iPhones mehr bringe als der Einsatz von Symbian oder Windows-Mobile basierten Geräten. Die klassische Frage die in diesem Kontext aus meiner Sicht aber keinen Platz hat. Das iPhone ist eine Tatsache und man muss sich damit auseinandersetzen. Wie gesagt kann das auch im Verbot und dem Angebot einer Alternative passieren. Damit wird man aber bei den Anwendern, bis auf weiteres, vermutlich weniger Punkte machen auch wenn die “Fachpresse” nicht müde wird, iPhone-Killer vorzustellen und zu hypen.