Viele Neuigkeiten für Unternehmen in iOS 17

Neuigkeiten im Datenschutz für Firmen und Entwickler!

In iOS 17 hat Apple die Datenschutzdialoge speziell für den Kalenderzugriff erweitert. Nutzer können nun entscheiden, ob eine App keinen Zugriff, vollen Zugriff oder nur die Möglichkeit haben soll, Ereignisse zu einem Kalender hinzuzufügen, ohne andere Kalendereinträge einsehen zu können. Dies verbessert die Nutzererfahrung, ohne den Datenschutz zu beeinträchtigen.

Der Safari-Browser in iOS 17 eliminiert Tracking-Informationen aus Webadressen, erschwert somit das Web-Tracking und schützt die Privatsphäre der Nutzer beim Surfen im Internet. Doch auch App-Entwickler können einiges an Datenschutz für ihre Nutzer unternehmen. So stellt die „Oblivious HTTP API“ eine wesentliche Neuerung in iOS 17 dar, die es Entwicklern ermöglicht, den Schutz der Privatsphäre der Nutzer zu erhöhen, indem die IP-Adresse des Endgeräts und damit die Auswertung von Nutzungsmustern geschützt werden. Diese Technologie, die zuvor als iCloud Private Relay bekannt war, verschleiert die IP-Adresse, um die Anonymität des Nutzers zu gewährleisten.

Entwickler erhalten allerdings auch einige Pflichten, die in Zukunft nicht nur für den AppStore, sondern auch für unternehmensinterne Vorgaben z. B. aus Compliance-Gründen von Bedeutung sein werden. So verpflichtet das neue Datenschutz-Manifest App-Entwickler dazu, Transparenz über die Praktiken der Datensammlung ihrer App und aller integrierten Dritthersteller-Software-Development-Kits (SDKs) zu schaffen. Entwickler müssen dieses Datenschutz-Manifest in ihren Apps integrieren und dort die gesammelten Datentypen, deren Verwendung sowie den Zweck der Datensammlung dokumentieren. Für bestimmte Application Programming Interfaces (APIs) und SDKs, die potenziell für das Fingerprinting eingesetzt werden könnten, ist eine detaillierte Dokumentation im Rahmen des Manifestes erforderlich.

Passkey als passwortlose Zukunft

Passkeys, die seit iOS 17 auf Apple-Geräten verfügbar sind, revolutionieren das Konzept der digitalen Sicherheit. Sie ersetzen traditionelle Passwörter und bieten eine schnellere, einfachere und sicherere Methode, sich bei Apps und Websites anzumelden. Anstatt sich mühsam Passwörter zu merken und einzugeben, authentifizieren sich Nutzer einfach über Touch ID oder Face ID. Passkeys sind einzigartig und stark, was sie extrem resistent gegen Phishing-Angriffe macht.

Diese Passkeys werden in Apples integriertem Passwortmanager unter iOS, iPadOS und macOS gespeichert und dank iCloud Keychain sicher über alle Apple-Geräte hinweg synchronisiert. Der Begriff „passkey“ wird dabei kleingeschrieben, da er ein allgemeiner Begriff ist – ähnlich wie „password“ – und von der FIDO-Allianz sowie Unternehmen wie Google und Microsoft verwendet wird.

Eines der größten Probleme für Unternehmen sind Phishing-Angriffe, Diebstahl von Anmeldeinformationen und das Umgehen von Zwei-Faktor-Authentifizierungen. Laut dem Verizon Data Breach Investigation Report 2022 klicken 2,9 % der Mitarbeiter auf Phishing-Links, was oft der Ausgangspunkt für größere Sicherheitsverletzungen ist. Passkeys eliminieren das Risiko des Phishings, da Nutzer nichts eingeben müssen und die Passkeys untrennbar mit der jeweiligen Website oder App verbunden sind (siehe Abbildung 1).

Für Unternehmen, die Passkeys einführen möchten, ergeben sich besondere Anforderungen, speziell in verwalteten Umgebungen. Es ist wichtig, die Apple-ID-Konten zu verwalten, die iCloud Keychain und Passkeys verwenden. Passkeys sollten nur auf verwaltete Geräte und nicht auf private Geräte der Mitarbeiter synchronisiert werden. Außerdem sollte sichergestellt werden, dass Passkeys für die Arbeit im iCloud Keychain der Managed-Apple-ID gespeichert und nicht mit anderen geteilt werden. Mit Managed-Apple-IDs und neuen Zugriffsverwaltungsfunktionen im Apple Business Manager und Apple School Manager können IT-Administratoren kontrollieren, welche Geräte mit den Managed-Apple-IDs synchronisiert werden und wo Inhalte von iCloud, einschließlich Passkeys, synchronisiert werden dürfen.

Stolen Device Mode zur Absicherung!

Im vergangenen Jahr berichtete das Wall Street Journal über eine landesweite Diebstahlserie in den USA, bei der Kriminelle iPhone-Passcodes nutzten, um an gespeicherte Passwörter zu gelangen, Geld zu stehlen und die Besitzer aus ihren iCloud-Konten auszusperren. Die Diebe beobachteten in Städten wie New York und Chicago die Eingabe von Passwörtern durch iPhone-Besitzer und schlugen dann zu. Apple hat auf diese Bedrohungslage reagiert und eine neue Sicherheitseinstellung für iPhones entwickelt, die es Dieben selbst bei Kenntnis des PIN-Codes erschwert, an persönliche Daten zu gelangen (siehe Abbildung 2).

Der Diebstahlschutzmodus in iOS 17.3 erhöht die Sicherheit, indem für bestimmte Aktionen wie das Ändern des Apple-ID-Kennworts, das Aktualisieren der Sicherheitseinstellungen des Apple-ID-Kontos und das Ändern des iPhone-Passcodes eine Authentifizierung per Face ID oder Touch ID erforderlich ist. Der Modus beinhaltet auch eine einstündige Sicherheitsverzögerung für Aktionen, die eine biometrische Authentifizierung erfordern.

Der „Stolen Device Mode“ ist standardmäßig deaktiviert und kann in den Einstellungen unter „Face ID & Code“ (oder „Touch ID & Code“) aktiviert werden. Die Funktion ist für alle iPhone-Modelle ab iPhone XS verfügbar, die mit iOS 17 kompatibel sind.

Neue manuelle Verwaltungsmöglichkeit

Der Apple Configurator 2 (AC-2) stellt für Administratoren eine essentielle Software dar, um iPhones, iPads und iPod-Touch-Geräte in Schulen, Unternehmen und anderen Einrichtungen effizient zu verwalten. Dieses von Apple entwickelte Tool ist ein Schlüsselinstrument, um eine Vielzahl von Geräten nahtlos zu konfigurieren und zu überwachen.

Die Funktionsvielfalt des AC-2 ist beeindruckend: Administratoren können damit Betriebssysteme aufspielen und aktualisieren, Anwendungen installieren sowie Sicherheits- und Datenschutzeinstellungen vornehmen. Ein weiterer Vorteil ist die Möglichkeit, Gerätedaten zu sichern und wiederherzustellen. Auch die Überwachung des Gerätestatus ist mit diesem Tool möglich, worauf in Umgebungen mit einer großen Anzahl von verwalteten Geräten nicht verzichtet werden kann.

Die jüngste Version des Apple Configurator 2 erweitert seine Möglichkeiten speziell für iOS-Geräte. Eine Schlüsselfunktion ist die automatische Zuweisung von Geräten zu einem Server für Mobile Device Management (MDM). Dies ermöglicht eine noch effizientere Verwaltung: Geräte können entweder dem Standard-MDM-Server im Apple Business Manager (ABM) zugeordnet oder einem speziellen MDM-Server für die jeweilige Organisation im ABM zugewiesen werden.

Ein weiteres Highlight des AC-2 für Mac ist die Integration automatisierter Arbeitsabläufe mit Verknüpfungsaktionen. Diese Funktion erlaubt es, Aufgaben zum Konfigurieren von iOS- und iPadOS-Geräten zu vereinfachen oder sogar zu automatisieren. Dadurch wird die Verwaltung von Geräten in großem Maßstab nicht nur erleichtert, sondern auch effizienter und zeitsparender gestaltet (siehe Abbildung 3).

Insgesamt bietet der Apple Configurator 2 eine robuste und vielseitige Lösung für die Herausforderungen der Geräteverwaltung in professionellen Umgebungen. Mit seinen fortschrittlichen Funktionen und der Möglichkeit zur Automatisierung ist der AC-2 (doch auch andere Drittmarkt-Apps wie iMazing) ein unverzichtbares Werkzeug für Administratoren, die eine große Anzahl von Apple-Geräten effektiv verwalten und konfigurieren müssen.

Neue MDM-Verwaltungsmöglichkeiten

Mit den neuen Versionen hat Apple ebenso viel Neues eingeführt, doch würde es den Artikel sprengen, diese hier vollständig aufzulisten. Es gibt jedoch einige Besonderheiten, auf die ich im Folgenden eingehen möchte.

„Account-driven enrollment“ ist eine neue Methode, um Geräte in Mobile Device Management (MDM) zu registrieren: Benutzer können ihre Geräte direkt über die Einstellungen-App mithilfe ihrer verwalteten Apple-ID von ihrer Organisation registrieren, ohne ein Profil von einem externen Link herunterzuladen. Diese Methode ist sowohl für BYOD-Geräte als auch für organisationseigene Geräte ohne automatische Registrierung (DEP) geeignet und wurde mit iOS 17 eingeführt.

Die Konfiguration von „Account-driven enrollment“ erfordert, dass Administratoren einen Webserver auf ihrer Domain einrichten, der zur Domain ihrer verwalteten Apple-IDs passt. Dieser Server muss eine „wohlbekannte“ Service-Entdeckungs-URL konfigurieren, die zur Registrierungs-URL weiterleitet.

Es ist wichtig zu beachten, dass Apple angekündigt hat, dass die profilbasierte Methode für die Benutzereinschreibung in Zukunft veraltet sein wird, und „Account-driven enrollment“ der empfohlene Weg ist. Wenn Sie das MDM-System nutzen, können Sie sich auf diese Änderung vorbereiten, indem Sie „Account-driven enrollment“ verwenden.

Apple bringt mit den neuen Betriebssystemen iOS 17, iPadOS 17 (und macOS Sonoma 14) wichtige Neuerungen im Bereich der Passwortverwaltung und Netzwerksicherheit für Unternehmensgeräte. Eine zentrale Neuerung ist die Einführung von „regulären Ausdrücken“ zur Definition komplexerer Passwörter. Diese erweiterten Möglichkeiten erlauben es Administratoren, Passwortanforderungen flexibler und sicherer zu gestalten, indem sie die ICU-Syntax nutzen.

Eine weitere bedeutende Verbesserung ist die Unterstützung für Network Relays, eine Alternative zu traditionellen VPNs. Diese Relays ermöglichen es, den Datenverkehr sicher zu tunneln und auf interne Ressourcen zuzugreifen. Apple stellt ein verwaltetes Relay-Profil zur Verfügung, das über MDM-Systeme auf iPhones, iPads und Mac-Geräten eingerichtet werden kann und den gesamten TCP- und UDP-Verkehr über ein sicheres HTTP/3- oder HTTP/2-Relay leitet.

Darüber hinaus bietet iOS 17 nun auch 802.1X-Unterstützung für Ethernet-Verbindungen an, was die Anbindung an authentifizierungspflichtige Netzwerke erleichtert.
Wichtig für Organisationen ist Apples Ankündigung, dass bestimmte MDM-Einstellungen in zukünftigen iOS-Versionen nur noch im Betreuungsmodus verfügbar sein werden. Dazu gehören Einstellungen wie allowAutoUnlock, allowFingerprintForUnlock, allowSpotlightInternetResults und weitere. Für private Apple-IDs auf Endgeräten gelten dabei Besonderheiten bei den letzten vier der aufgeführten Konfigurationen.

Einige Konfigurationen werden als veraltet deklariert und in zukünftigen Betriebssystemen entfernt, darunter forceITunesStorePasswordEntry, allowPhotoStream und allowVoiceDialing. Auch die profilbasierte Benutzerregistrierung ist betroffen.

Während noch keine offizielle Bestätigung vorliegt, ist davon auszugehen, dass Apple einen Migrationspfad anbieten wird, ähnlich wie bei früheren Übergängen von nicht überwachten zu überwachten Konfigurationen. Organisationen sollten daher Beta-Updates sowohl auf zurückgesetzten als auch auf normalen Geräten durchführen, um den richtigen Zeitpunkt für den Wechsel nicht zu verpassen. Es ist zu erwarten, dass bestehende Konfigurationen weiterhin auf Geräten funktionieren, die nicht im überwachten Modus sind, solange diese nicht gelöscht oder aus einem Backup wiederhergestellt werden.

In der Welt des Mobile Device Management (MDM) stellt die Integration der Apple Watch eine wesentliche Neuerung dar. Sie ermöglicht es, dass die Uhr in Verbindung mit einem iPhone als effizientes Werkzeug in Unternehmensnetzwerken fungiert. Beim Pairing mit dem iPhone tauscht die Apple Watch MDM-Profile aus, die vom MDM-Server bereitgestellt werden. Dies erleichtert die Verwaltung und erhöht die Sicherheit.

Interessant ist auch das neue Zusammenspiel zwischen Apple Watch und iPhone: MDM-Richtlinien, die auf dem iPhone eingestellt werden, wirken sich auch auf die Apple Watch aus. So führt beispielsweise eine Passcode-Richtlinie auf dem iPhone dazu, dass auch für die Apple Watch ein Passcode eingerichtet werden muss. Eine Löschung des MDM-Profils auf dem iPhone bewirkt zudem eine Abmeldung der Apple Watch vom MDM-Server.

Mit watchOS 10 können Administratoren zudem spezifische Konfigurationen vornehmen, wie Passwortanforderungen, Zertifikateinstellungen und das Setzen bestimmter Beschränkungen. Auch die Installation von Apps und die Konfiguration von Wi-Fi- und Mobilfunkverbindungen sind möglich. Ebenso lässt sich ein Per-App-VPN einrichten, wobei hier die VPN-Einstellungen des iPhones berücksichtigt werden müssen.

Die Fähigkeit, MDM-Abfragen zur Inventarisierung der Apple Watch durchzuführen, liefert wichtige Informationen über den Status des Gerätes und bietet Organisationen eine zusätzliche Sicherheitsebene. Insgesamt eröffnet die Einbindung der Apple Watch in MDM-Systeme neue Möglichkeiten für eine effiziente Verwaltung und Sicherheit in Unternehmensumgebungen.

Declarative Device Management für alle Gerätearten!

Das Declarative Device Management (DDM) ist eine wegweisende Innovation von Apple, die in der Welt der mobilen Geräteverwaltung für Aufsehen sorgt. Bei diesem Ansatz handelt es sich um ein autonomes System, das auf der Definition des gewünschten Gerätezustands basiert und den Geräten erlaubt, selbständig und asynchron zu agieren. Dieses Konzept, das auf den jährlichen Worldwide Developers Conferences 2021, 2022 und 2023 eingehend diskutiert wurde, markiert einen Paradigmenwechsel in der Art und Weise, wie Geräte verwaltet werden.

Im herkömmlichen Mobile Device Management (MDM) übernimmt der MDM-Server die komplette Kontrolle und kommuniziert über APN-Push-Nachrichten mit den Endgeräten. Diese Methode erfordert eine ständige Kommunikation zwischen Server und Gerät und führt zu einem erheblichen Overhead. Mit der Einführung von DDM bei iOS 15 wird dieses System grundlegend verändert. Die Geräte werden befähigt, ihren eigenen Verwaltungszustand zu steuern und nur bei Bedarf mit dem MDM-Server zu kommunizieren.

Das Declarative Device Management bietet bei den Konfigurationen auch eine Unterstützung für die Unternehmens-Passkey-Beglaubigung, die eine sichere Generierung eines Passkeys auf einem Gerät ermöglicht, wenn der Nutzer eine spezifizierte Seite besucht. Dies gibt IT-Administratoren die Möglichkeit, spezifische Passkeys für die Arbeit zu erstellen, die von vertrauenswürdigen Parteien erkannt und akzeptiert werden können.

Die Zukunftsfähigkeit von DDM ist besonders bemerkenswert. Apple hat beispielsweise angekündigt, dass es watchOS-Unterstützung ausschließlich für das deklarative Management anbieten wird. Somit entstehen für die Verwaltung von Geräten wie der Apple Watch neue Möglichkeiten, die nun proaktiv Updates an den Server senden kann, ohne ständig abgefragt werden zu müssen.

VPN für Apple TVs

Apple TVs finden sich in vielen Konferenzräumen moderner Unternehmen. Ihre Einbindung in ein VPN, sowohl am eigenen Standort als auch in fremden Umgebungen, ist ein häufig geäußerter Wunsch.

Mit tvOS 17 hat Apple selbst das Network Extension Framework auf Apple TV erweitert, das es Entwicklern ermöglicht, benutzerdefinierte VPN-Lösungen direkt in ihre Apps zu integrieren. Dieses Framework bietet unter anderem VPN-, Content-Filter- und DNS-Proxy-Erweiterungen, die es Entwicklern erlauben, tiefer in dem Betriebssystem integrierte Netzwerklösungen zu erstellen. Verschiedene VPN-Anbieter haben bereits von diesen neuen Möglichkeiten Gebrauch gemacht und Apps für tvOS entwickelt. PureVPN, IPVanish, FlowVPN, SwizzVPN, Tailscale, VPNIFY und X-VPN bieten nun alle ihre Dienste über den Apple TV App Store an. Jede dieser Apps bringt eigene Funktionen und Vorteile mit sich, von visuellen Kartenansichten bis hin zu Hochgeschwindigkeitsverbindungen, die für Streaming in 4K und HD geeignet sind. Für Unternehmen, die mehrere Apple TVs verwalten, bieten MDM-Systeme eine effiziente Lösung. MDM-Systeme wie Kandji, Citrix Endpoint Management, JAMF, Scalefusion, VMWare Workspace One und Hexnode UEM unterstützen die Verwaltung von Apple TVs, einschließlich der Installation von VPN-Konfigurationen. Dies ermöglicht eine zentrale Verwaltung und Kontrolle über die Geräte und ihre Konfigurationen.

Kontaktschlüsselüberprüfung zur Identitätsprüfung!

Apples iMessage, seit 2011 ein Pionier in der sicheren Nachrichtenkommunikation mit Ende-zu-Ende-Verschlüsselung, hat mit iOS 17 einige weitere bedeutende Schritte in Richtung Sicherheit und Unternehmen gemacht. So können Managed-Apple-IDs nun ebenfalls auf Facetime und iMessage berechtigt werden (siehe Abbildung 4).

Die neueste Funktion, die Kontakt-Schlüssel-Verifizierung, zielt darauf ab, die Authentizität der Kommunikationspartner in iMessage zu stärken und das Risiko von Spoofing und Man-in-the-Middle-Angriffen zu reduzieren. Der neue Prozess der Schlüsselüberprüfung beinhaltet die Generierung eines auf Benutzerebene erstellten ECDSA-Signaturschlüssels, der auf dem Gerät des Benutzers erzeugt und im iCloud-Schlüsselbund gespeichert wird. Durch diese Maßnahme wird sichergestellt, dass nur verifizierte Kontakte zu verschlüsselten Chats zugelassen werden, wodurch das Risiko eines unbefugten Zugriffs deutlich reduziert wird. Die Einführung der iMessage-Kontaktschlüssel-Verifizierung ist somit ein entscheidender Schritt zur Erhöhung der Sicherheit und des Datenschutzes in der digitalen Kommunikation. Diese Funktion stellt sicher, dass die Nutzer mit den richtigen Personen kommunizieren, und schützt effektiv vor Identitätsdiebstahl und anderen Cyber-Bedrohungen. Damit setzt Apple erneut einen Standard in der sicheren Nachrichtenkommunikation und zeigt, dass Sicherheit und Benutzerfreundlichkeit Hand in Hand gehen können (siehe Abbildung 5).

Fazit

In den neuesten Versionen von iOS, iPadOS und watchOS hat Apple umfassende Optimierungen und Verwaltungsfunktionen eingeführt, die sowohl für Endnutzer als auch für Administratoren von Vorteil sind. Diese beinhalten verbesserte Sicherheitsfunktionen, effizientere Geräteverwaltung und erweiterte Datenschutzoptionen. Sie merken bestimmt, es gibt eine ganze Menge von Neuigkeiten, die in diesem Text nur angerissen werden konnten.

Falls Sie Interesse bekommen haben und eine detaillierte Einsicht und weitere Informationen wünschen, melden Sie sich bitte bei ComConsult zu meiner neu aufgelegten Seminarreihe zu diesen Themen an.