Sicherung und Wiederherstellung von iOS- Geräten im Unternehmensumfeld

aus dem Netzwerk Insider Januar 2020

Sicherungs- und Wiederherstellungsfunktionen gehören zu den wichtigsten Funktionen mobiler Geräte. Apple bietet entsprechende Funktionen, sowohl in der iCloud als auch direkt auf einem Computer. Im privaten Umfeld funktionieren diese weitgehend zuverlässig. In Unternehmen führen diese Funktionen häufig zu Herausforderungen durch ein scheinbar inkonsistentes Verhalten.

Seit iOS 5 können Anwender auf dem iPhone gespeicherte Daten auf einem Computer oder auf iCloud sichern. Diese auf den Einsatz beim Endanwender konzipierte Funktion (siehe auch: https://support.apple.com/de-de/HT203977) setzt Administratoren immer wieder vor neue Herausforderungen. Aufgrund mangelnder Dokumente ist dieser Artikel eine Sammlung diverser Erfahrungen bezüglich dieser Herausforderungen.

Backup auf einem lokalen Computer

Auf einem Mac oder PC können Anwender ein Backup ihres Geräts direkt erstellen. Ein solches lokales Backup (siehe Abbildung 1) enthält dann eine Kopie von den auf dem Gerät befindlichen Daten wie Kontakte, App-Inhalte, Fotos, Kalender und (MDM-)Konfigurationsdateien. Es sind auch Informationen wie Seriennummer, UDID, SIM-Hardware-Nummer und Telefonnummer enthalten.

Abbildung 1: Lokale Backups an einem Computer

Ein derartiges standardmäßig unverschlüsseltes Backup enthält allerdings nicht alle Daten eines Gerätes. Folgende Daten sind in einem solchen lokalen unverschlüsselten Backup nicht enthalten:

Inhalte aus dem iTunes- und App-Store
PDF-Dateien aus Apple Books
iTunes-synchronisierte Inhalte
bereits in iCloud gespeicherte Daten (z. B. iCloud-Fotos, iMessage-Nachrichten)
Face-ID- oder Touch-ID-Einstellungen
dienstlich per MDM-System installierte (managed) Apps
per User-Enrollment verteilte Daten
Apple Pay-Daten und -Einstellungen
Apple Mail-Daten
Aktivitäts-, Gesundheits- und Schlüsselbunddaten
App-Daten, die der Entwickler aktiv von einem Backup ausgeschlossen hat

Optional lässt sich dieses lokale Backup auch verschlüsselt erstellen. Verschlüsselte Backups enthalten zusätzliche Daten. Aber auch hier sind einige Daten des Geräts nicht enthalten. Hierzu gehören:

Aktivitäts-, Gesundheits- und Schlüsselbunddaten (z.B. Gesundheitsdaten, gesicherten Passwörter)
WLAN-Einstellungen
Website-Verlauf
dienstlich per MDM-System installierte (managed) Apps
per User-Enrollment verteilte Daten

Für KeyChain (Schlüsselbund) gelten hier einige Besonderheiten. Standardmäßig ist die KeyChain ein sicherer Ablageort von Apple zur Verwaltung von Kennwörtern und digitalen Zertifikaten. Die Verschlüsselung bzw. die Negierung dieser Option in einem Backup wirken sich direkt auf den Umgang mit diesen KeyChain-Einträgen aus.

Unverschlüsselte Backups können standardmäßig die KeyChain-Einträge nur auf dem gleichen Gerät wiederherstellten, von dem aus sie auch gesichert wurden. Der Grund liegt in der Art und Weise, wie KeyChain-Einträge in ein Backupfile transferiert werden. Diese werden dabei standardmäßig mit einem von der Geräte-UID abgeleiteten Schlüssel chiffriert. Dies erlaubt eine Wiederherstellung nur auf dem Gerät, von dem diese „gezogen“ wurden, da nur dieses Gerät die besagte UID zur Entschlüsselung besitzt.

Verschlüsselte Backups ermöglichen es dem Benutzer, eine Passphrase auszuwählen, mit der er seine Backup-Daten verschlüsseln kann. Es wird hier ein sogenannter Backup-Keybag erstellt. Dieser wird durch die zur Verschlüsselung genutzte Passphrase geschützt. Diese Passphrase wird mit 10 Millionen Interaktionen per PBKDF2 verarbeitet. In dieser neuen Backup-Keybag werden die Datenschutzklassen-Schlüssel neu erstellt, um die KeyChain-Daten mit diesen neuen Schlüsseln erneut zu chiffrieren – statt mit der UID des Gerätes. KeyChain-Objekte, die nicht in einem Backup vorgehalten werden dürfen, bleiben hingegen mit der Geräte-UID verschlüsselt. Wenn Entwickler möchten, dass die Keychain-Objekte ihrer App in einer Sicherung gespeichert werden, können diese die Keychain-Datenschutzattribute (thisDeviceOnly) verwenden.

Dies hat zur Folge, dass sich diese Werte – auch bei einem verschlüsselten Backup – nur auf dem gleichen Gerät wiederherstellen lassen. Für die restlichen KeyChain-Einträge gilt, dass sie sich auf jedem Gerät wiederherstellen lassen.

Exkurs: Was enthält dieser KeyBag und warum ist dieser so wichtig?

Der in iOS 4 eingeführte Datenschutzmechanismus auf iOS-Geräten schützt die (sensiblen) Daten im Dateisystem und die Elemente im Schlüsselbund durch Hinzufügen einer weiteren Verschlüsselungsebene. Hierzu verwendet iOS den Geräte-Passcode und einen gerätespezifischen Hardwareschlüssel, um einen Satz von Klassenschlüsseln zu erzeugen. Entwickler verwenden die Datenschutz-API von iOS, um den Dateien und den Einträgen in der Keychain ein Schutzklassenkennzeichen – basierend auf den Klassenschlüsseln – hinzuzufügen. Auf dem iOS-Gerät sind die Schutzartenschlüssel in dem System Keybag gespeichert. Während des Backups generiert das System einen neuen Satz von Schutzklassenschlüsseln und speichert diesen in der Backup-Keybag. Die in der System-Keybag gespeicherten Klassenschlüssel unterscheiden sich dabei nicht von den Schlüsseln in der Backup-Keybag. Geschützte Dateien und Daten im Backup werden mit den Klassenschlüsseln verschlüsselt, die im Backup-Keybag gespeichert sind. In unverschlüsselten Backups ist der Backup-Keybag mit einem von der iPhone-Hardware generierten Schlüssel (Key 0x835) und in verschlüsselten Backups mit der Passphrase, die der Anwender definiert hat, geschützt.

Übersicht möglicher Tools für lokale Backups

Nachdem wir nun die unterschiedlichen Verfahren zur lokalen Backup-Erzeugung besprochen haben, möchte ich Ihnen noch die Tools an die Hand geben, mit denen Sie ein solches Backup erzeugen und ggf. weiterverarbeiten können.

Aus dem Hause Apple gibt es hierfür zum einen die Software iTunes. Mit macOS Catalia wurde diese abgelöst und die Funktionen im Finder von macOS (siehe Abbildung 1) überführt. Wenn Sie den kostenlosen Apple Configurator aus dem macAppStore herunterladen, können Sie auch hier ein Backup von Geräten erzeugen. Die erzeugten Backups entsprechen 1:1 einem iTunes-Backup (siehe Abbildung 2).

Abbildung 2: Backup per Apple Configurator

Im Folgenden werfen wir einen kurzen Blick auf die Inhalte und den Aufbau eines solchen lokalen Backups. In dem Ordner des Backups ist eine Liste von Dateien in einem nicht direkt lesbaren Format angelegt. Dabei entspricht der Dateiname einem 40-stelligen alphanumerischen Hex-Wert ohne Dateiendung. So ist cd6702cea29fe89cf280a76794405adb17f9a0ee ein Beispiel für einen Dateinamen. Dieser 40-stellige Hex-Dateiname im Sicherungsordner ist der SHA1-Hash-Wert des Dateipfades, der an den jeweiligen Domänennamen mit dem Symbol „-“ angehängt wird. Der Hash von DomainName-Dateipfad stimmt also mit der richtigen Datei im Backup überein. Die Liste der Systemdomänen kann aus der Datei /System/Library/Backup/Domains.plist auf dem iPhone eingesehen werden.

So entspricht das Backup des Adressbuchs dem SHA1-Hash-Wert “cd6702cea29fe89cf280a76794405adb17f9a0ee”. Wer den Hash-Wert einer spezifischen Datei ermitteln will, kann sich auch eines Online Hash Calculator (http://www.fileformat.info/tool/hash.htm) bedienen (z.B. HomeDomain-Library/AddressBook/AddressBookImages.sqlitedb -> cd6702cea29fe89cf280a76794405adb17f9a0ee).

Jedes iOS-Backup enthält außerdem die folgenden vier Meta-Dateien:

Info.plist: Diese Datei enthält unter anderem Gerätedetails wie Gerätename, Build-Version, IMEI, Telefonnummer, letztes Sicherungsdatum, Seriennummer, Synchronisierungseinstellungen und eine Liste der Anwendungsnamen, die auf dem Gerät installiert wurde.
Manifest.plist: Diese Datei enthält beispielsweise Details zu Drittanbieter-Apps, ein Flag zur Identifizierung, ob das Gerät eine Geräte-PIN hat (wasPasscodeSet).
Status.plist: Diese Datei enthält unter anderem den Backup-Status, ein Kennzeichen zur Identifizierung der Vollsicherung (isFullBackup).
Manifest.mbdb: Diese Binärdatei enthält Informationen über alle anderen Dateien in dem Backup. Wenn Sie Werkzeuge zur Extraktion von Daten aus Backups einsetzen, wird genau diese mbdb-Datei auf die enthaltene Dateistruktur geprüft. Damit werden die Kauderwelsch-Backup-Dateien in ein lesbares Format überführt.

Abbildung 3: Softwarelösungen wie iMazing erstellen ein individualisiertes Backup

All das hört sich eventuell kompliziert an. Es gibt allerdings Tools am Markt, die den Umgang mit Backups – auch aus Anwendersicht – stark vereinfachen (Beispiel siehe Abbildung 3). Dabei nutzen diese Tools die gleichen Schnittstellen, die Apple bereithält. Das heißt die Backup-Dateien enthalten nicht mehr und nicht weniger als die Standardwerkzeuge. Allerdings bieten diese Tools eine benutzerfreundliche Oberfläche, um aus den Backups – auf einem Computer – Daten besser extrahieren zu können.

Wer sein iOS-Gerät lokal am Computer sichert, wundert sich vielleicht, warum er (immer mal wieder) seinen PIN-Code am iOS-Gerät eingeben muss. Die Erklärung liegt wieder in der Betrachtung eines zusätzlichen Keybag. Diesmal handelt es sich um den sogenannten Escrow-Keybag. Wenn ein mit einem Code gesperrtes Gerät das erste Mal mit einem Computer verbunden wird, muss der Benutzer seine Geräte-PIN an diesem Gerät eingeben. Das iOS-Gerät erstellt daraufhin einen Escrow-Keybag, der mit einem neu erzeugten Schlüssel geschützt wird und dieselben Klassenschlüssel enthält, die auf dem Gerät verwendet werden. Der Escrow-Keybag und der erzeugte Schlüssel, mit dem er geschützt wird, werden zwischen dem iOS-Gerät und dem Computer aufgeteilt. Beide Teile zusammen werden für den Zugriff benötigt. Aus diesem Grund muss der Code für das iOS-Gerät das erste Mal nach einem iOS-Geräte-Neustart eingegeben werden, bevor der Anwender das iOS-Gerät wieder mit seinem Computer verbinden kann.

Abbildung 4: Transferieren Sie Daten direkt zwischen zwei iOS-Geräten

Eine Variante des Backups gibt es allerdings, die ohne Cloud und ohne lokalen Computer funktioniert. Es handelt sich um den direkten Transfer von Daten zwischen zwei iOS-Geräten. Hier erfolgt die Überführung der Daten, die inhaltlich einem verschlüsselten Backup entsprechen, direkt zwischen zwei Geräten. Diese Funktion wird auf Geräten ab iOS 12.4 angeboten (siehe Abbildung 4). Dabei kann dies sowohl über WLAN als auch direkt per Lightning/USBC erfolgen. Lediglich der Übertragungsweg (WLAN, Kabel) entscheidet über die Geschwindigkeit.

Achtung: Vergessen Sie nicht das Kennwort Ihres Backups

Verschlüsselte lokale Backups müssen am iOS-Gerät mit der Eingabe der Geräte-PIN bestätigt werden. Der Grund ist einfach. Nur wer das Kennwort für das Backup kennt, ist in der Lage dieses zurückzuspielen. Auch das Erzeugen des Backups (an einem anderen Computer) ist nur dann möglich, wenn man das Kennwort kennt.

Wer das Kennwort vergessen hat, muss es am iOS-Gerät zurücksetzen, damit ein neues Backup erstellt werden kann. Hierzu müssen Sie am iOS-Gerät unter „Einstellungen“ > „Allgemein“ > „Zurücksetzen“ den Menüpunkt „Alle Einstellungen zurücksetzen“ auswählen. Beachten Sie aber Folgendes: dies wirkt sich weitgehend auf Ihr iOS-Gerät aus. Passwörter, aber auch Einstellungen wie die Displayhelligkeit, das Layout des Home-Bildschirms oder das Hintergrundbild werden zurückgesetzt. Das Passwort für verschlüsselte Backups wird ebenfalls entfernt. Nun können Sie in Ihrem Computer ein neues Kennwort für ein verschlüsseltes Backup vergeben.

Backup in der Cloud

Wenn man keinen anderen Computer einsetzen will, bieten sich Backups in der iCloud an. Diese sind grundsätzlich immer verschlüsselt und beinhalten nahezu alle Daten und Einstellungen, die auf einem Gerät gespeichert sind.

Auch die Backups in der iCloud enthalten nicht alle Daten eines iOS-Gerätes. Folgende Daten sind nicht enthalten:

Bereits in iCloud gespeicherte Daten (z. B. Kontakte, Kalender, Notizen, iCloud-Fotos, iMessage-Nachrichten, Sprachmemos, Text- (SMS) und Multimedianachrichten (MMS) sowie Gesundheitsdaten)
Apple-Mail-Daten
Apple-Pay-Daten und -Einstellungen
Face-ID- oder Touch-ID-Einstellungen
dienstlich per MDM-System installierte (managed) Apps
per User-Enrollment verteilte Daten
Cloud-Musikmediathek und App Store-Inhalte
App-Daten, die der Entwickler aktiv von einem Backup ausgeschlossen hat

Auch in der iCloud wird ein spezieller Backup-Keybag verwendet. Der iCloud-Backup-Keybag ist dem lokal verwendeten Backup-Keybag dabei sehr ähnlich. Alle Klassenschlüssel in diesem Keybag sind asymmetrisch (per Curve25519) verschlüsselt. Nun werden alle Daten an die iCloud gesendet. Die entsprechenden Klassenschlüssel werden (die mit der Datenschutzklasse „NSFileProtectionNone“ ausgenommen) mit den iCloud-Schlüsseln aus dem Keybag geschützt. Die Klassenschlüssel der KeyChain werden mit einem Schlüssel verpackt, der von der UID abgeleitet wird, wie bei einem nicht verschlüsselten iTunes-Backup.

Entscheiden Sie sich zwischen einem lokalen Backup oder einem Backup in der iCloud!

Wer sich zwischen einem lokalen und einem iCloud-Backup entscheiden will, kann folgenden Umstand in seine Entscheidung einfließen lassen: Der große Vorteil eines lokalen Backups ist, dass hier mehrere Backups als Datei existieren können und dass diese Backups sich über die Zeit hinweg archivieren lassen. Ein iTunes-Backup gewährt hingegen nur den Zugriff auf die letzten beiden erstellten Backups.

Welche Bedeutung hat dies für den Unternehmenseinsatz?

Viele Unternehmen sind der Meinung, dass Backups auf privaten Rechnern oder in der Cloud problematisch sind. Ich teile diese Einschätzung nicht, aber aus einem anderen Grund als Sie vielleicht glauben.

Werfen wir hier zuerst einen Blick darauf, was ein Backup sichern kann und was nicht. Abgesehen von den bisher genannten Einschränkungen kann keine Backupmethode die dienstlichen Apps (managed Apps), die durch ein MDM-System verteilt wurden, sichern. Dies trifft auch für deren App-Inhalte und -Daten zu. Aber nicht nur diese Apps sind von einem Backup ausgeschlossen. Auch das neu mit iOS 13 eingeführte APFS-Volumen für die Benutzer-Registrierung (User Enrollment) wird ausgeschlossen.

Warum sollte man also gegen lokale Backups sein? Grundsätzlich sind Backups immer gut, denn egal ob der Anwender seine Daten lokal oder in der iCloud sichert – seine Daten sind, so gut es geht, geschützt.

Aus Unternehmenssicht würde ich ein iCloud-Backup einer kabelgebundenen Lösung vorziehen. Wenn Sie sich fragen warum, lässt sich das einfach erklären:

Die Anbindung an die iCloud auf der „privaten“ Seite hat keine Auswirkungen auf Ihre Unternehmensdaten. Ein Datenabfluss muss nicht befürchtet werden. Auch wenn dies für die kabelgebundene Backupvariante ebenso gilt, hat Letzteres einen starken Nachteil. Das Erlauben der Nutzung eines Kabels als Datenverbindung zwischen einem iOS-Gerät und einem Computer ist das Einfallstor Nummer Eins für Jailbreaks. Aus genau diesem Grund würde ich als Firma ein iCloud-Backup immer vorziehen und die kabelgebundene Variante durch das generelle Verbieten von USB-Datenverbindungen per MDM-Konfiguration unterbinden.

MDM Settings, DEP-Enrollment, Supervised-Mode und Auswirkungen auf das Backup

Ich gehe davon aus, dass Sie die Begriffswelten der Überschrift kennen. Wir sprechen in diesem Abschnitt von unterschiedlichen Szenarien und unterscheiden dabei zwischen zwei imaginären iOS-Geräten A und B. Dies soll verdeutlichen, wie sich ein Backup verhält, wenn es auf dem gleichen (iOS-Gerät A) oder einem anderen Gerät (iOS-Gerät B) wiederhergestellt wird.

Beginnen wir mit der Frage, wie sich MDM-Konfigurationen bzw. der Enrollment-Prozess in einem Backup-Fall auswirken. Es handelt sich also bei iOS-Gerät A um ein MDM-registriertes Gerät, das in ein Backup gesichert wurde. Stellt man dieses Backup auf iOS-Gerät A wieder her, ist dieses Gerät wieder bzw. weiterhin mit dem ursprünglichen MDM-System verbunden. Wird das Backup hingegen auf iOS-Gerät B eingespielt, ist das Gerät NICHT mit dem MDM-System verbunden.

Es ist dabei unerheblich, ob sich das iOS-Gerät A zusätzlich im Supervised (Betreuungsmodus) befindet oder nicht. Auch dieser Modus wird beim Zurückspielen des Backups auf iOS-Gerät A wiederhergestellt, auf iOS-Gerät B hingegen nicht. Der Grund dafür ist mit dem Wissen aus dem ersten Abschnitt erklärbar.

Damit ein Gerät per MDM gesteuert werden kann, muss es an einem solchen mithilfe der APNS-Dienste von Apple registriert und ausgerollt werden. Dabei erzeugt das APNS einen so genannten Trust-Token und das Gerät selbst eine Zeichenkette, die als PushMagic bekannt ist. Diese Zeichenkette wird an den MDM-Server gesendet und mit dem Datensatz des MDM für dieses Gerät verknüpft. Dieser PushMagic-Wert stellt dabei eine UUID dar, mit deren Hilfe sichergestellt werden soll, dass der MDM-Server mit dem richtigen Gerät spricht, wenn er Befehle sendet.

Genau dieser Wert wird im Backupfall mit der UID des Gerätes gesichert und ist damit nur auf dem gleichen Gerät (iOS-Gerät A) lauffähig. Wird ein Backup auf einem anderen Gerät wiederhergestellt, ist dieser Wert nicht mehr gültig und das System muss neu ausgerollt werden.
Bisher hört sich alles sicherlich noch nachvollziehbar und schlüssig an. Bei DEP-Geräten wird die Sache zwar nicht komplizierter, aber „spezieller“. Der Grund liegt in der zeitlichen Abfolge von DEP, MDM-Enrollment und dem Zurückspielen des Backups.

Wird ein Gerät per DEP (Device Enrollment Program) ausgerollt, erfolgt das Einspielen des Backups nach dem DEP-Prozess und damit nach der (erneuten) Registrierung am MDM-System. Handelt es sich bei dem Gerät um iOS-Gerät A, werden Sie sich wundern, denn die Wiederherstellung auf dem gleichen Gerät schlägt fehl. Die MDM-Anbindung geht in diesem Fall verloren. Der Grund ist einfach. Zwar stellt das Backup alle Daten korrekt wieder her, diese sind aber im Zeitverlauf ungültig geworden. Diese Ungültigkeit liegt darin versteckt, dass der Rollout per DEP die Generierung von Trust-Token und PushMagic neu veranlasst hat. Werden die Daten aus dem Backup nun wiederhergestellt, werden diese neuen und gültigen Werte mit den alten Werten aus dem Backup überschrieben. Stellt der Anwender das Ganze auf iOS-Gerät B wieder her, stimmt die UID nicht überein – die Daten werden aus dem Backup nicht übernommen und das Gerät ist trotzdem am MDM-System (bedingt durch das DEP) registriert – dank DEP.

Einige MDM-Systeme können mit diesen Szenarien trotzdem umgehen. Der Grund liegt darin, dass diese in der Lage sind, die Push-Magic-Zeichenkette zu speichern und bei einem neuen Geräteintrag im MDM-System zu korrigieren. Wird nun das IOS-Gerät A neu aufgesetzt, am DEP registriert und aus einem Backup von iOS-Gerät A wiederhergestellt, können diese MDM-Systeme diese Push-Magic-Zeichenkette neu vergleichen bzw. Erkennen, und die MDM-Anbindung funktioniert. Leider ist mir aber kein MDM-System bekannt, das diese Funktion offiziell bewirbt oder gar dokumentiert. Es funktioniert “einfach”. Sprechen Sie hier am besten Ihren MDM-Lieferanten oder -Dienstleister an.

Anmerkung am Rande

Alles dies kann Administratoren zur Verzweiflung bringen. Der Grund liegt einfach darin, dass diese Zusammenhänge nicht direkt ersichtlich bzw. als nicht als übersichtliche Dokumentation einsehbar sind.

Meine Meinung zu iCloud habe ich bereits zum Besten geben. An dieser Stelle gibt es noch eine Backup-Funktion, die weder so benannt noch als solche direkt erkannt wird. Die Rede ist von GameCenter. Ich empfehle Ihnen dringend, die Nutzung von GameCenter per MDM nicht zu unterbinden. Der Frustrationslevel von Mitarbeitern und Führungskräften ist enorm, wenn ein Gerätewechsel einen Spielstand ruiniert. Stellen Sie sich vor, Ihr Chef spielt über viele Jahre Angry Birds und fragt Sie, wo dieser Spielstand – unwiederbringlich – geblieben ist.

Geräte-Backups sind in erster Linie eine vom Endanwender gesteuerte Funktion. Es gibt keine Garantie dafür, dass sich diese Funktionalität in Zukunft nicht drastisch ändert oder sogar für Enterprise-(DEP-)fähige Geräte unzulässig wird.

Ich würde Unternehmen daher empfehlen, dass der Backup- und Wiederherstellungs-Screen auf DEP-Geräten komplett unterbunden wird und stattdessen die MDM-Möglichkeiten Verwendung finden, ein Gerät wieder ordnungsgemäß zu konfigurieren.

Eine Enterprise-Backup-Funktion bietet iOS (Stand heute) nicht.

Fazit

Das Backup-Thema ist stetiger Begleiter meiner Seminare. Ich habe diesen Artikel verfasst, um Ihnen die grundsätzlichen Zusammenhänge aus meiner Erfahrung zu erläutern. Weitere Details und Hintergründe habe ich in meinem Intensiv-Seminar vorbereitet. Hier erfahren Sie mehr über Push-Magic, die Risiken eines Backups bezogen auf die Apple Watch und vieles mehr. Ich würde mich freuen, Ihre Erfahrungen, Herausforderungen und Erkenntnisse im iOS Umfeld in mein Seminar einfließen lassen zu dürfen und würde Sie gerne persönlich bei diesem begrüßen.

Sicherung und Wiederherstellung von iOS- Geräten im Unternehmensumfeld

Kontakt

Services

Rechtliches

Sicherung und Wiederherstellung von iOS- Geräten im Unternehmensumfeld

Teile diesen Eintrag

Kontakt

Services

Rechtliches