Apple für Geschäftskunden: So funktioniert die private und geschäftliche Nutzung von iPhones
In vielen Unternehmen besteht die Möglichkeit, das private iPhone oder iPad auch zur Arbeit zu verwenden. Das Modell dahinter heißt BYOD (Bring Your Own Device) und bietet allerlei Vorteile: geringere Hardwarekosten, keine Umgewöhnung an ein neues Gerät und schneller und unkomplizierter Zugriff auf geschäftliche Daten zu jeder Zeit. Doch wie gut funktioniert BYOD auf Apple-Geräten tatsächlich? Können private und geschäftliche Daten sauber getrennt werden? Welche Rechte hat die IT-Abteilung und wo stößt die Verwaltung an Grenzen? Dieser Artikel zeigt, wie BYOD auf dem iPhone in der Praxis funktioniert, welche Risiken bestehen und für welche Art von Unternehmen BYOD geeignet ist.
Die geschäftliche Nutzung des privaten iPhones: BYOD bei Apple Geräten
Bei BYOD nutzt ein Mitarbeiter sein privates iPhone auch für berufliche Zwecke. Das Gerät bleibt im Besitz des Nutzers. Unternehmen verwalten nur den geschäftlichen Bereich über eine Mobile Device Management Lösung, wie MobiVisor MDM.
Das Smartphone wird nicht zentral kontrolliert, da Apple die Berechtigung des Admins zur Verwaltung privater Apple Geräte stark einschränkt. Als BYOD eingerichtete Geräte erscheinen jedoch in der Geräteübersicht des MDMs und können somit im Inventar gelistet werden.
Wie wird ein BYOD iPhone eingerichtet?
Ein privates iPhone ist normalerweise nicht im Apple Business Manager registriert. Stattdessen lädt der Nutzer die MDM-App oder das Verwaltungsprofil selbst herunter und installiert es manuell in den Einstellungen. Systemisch wird trotzdem die Verknüpfung von APNS (zum Senden von Befehlen) und VPP (zum Installieren von Unternehmens Apps) benötigt. Es ist immer die private Apple-ID hinterlegt.
Das bedeutet:
- Die Nutzer*innen müssen aktiv zustimmen
- Das Profil kann meist wieder entfernt werden
- Viele Verwaltungsaktionen benötigen Bestätigung auf dem Gerät
Für Unternehmen ist das komfortabel, aber deutlich weniger kontrollierbar als bei verwalteten Firmen-iPhones.
Welche MDM-Funktionen können auf BYOD Geräten genutzt werden?
Der Funktionsumfang für Admins ist auf BYOD Geräten sehr eingeschränkt. Da das Gerät in erster Linie privat eingerichtet wurde, hat der Enduser die Oberhand über jegliche Einschränkungen und Aktionen. Nutzer*innen müssen jeder App-Installation durch das MDM aktiv zustimmen, kann geschäftliche Apps jederzeit deinstallieren und auch das MDM-Profil mit allen Einschränkungen entfernen. In diesem Fall erscheint im MDM Portal ein Hinweis, dass der User das Profil gelöscht hat. Verhindern kann das der Admin aber nicht.
Trotzdem stehen einige grundlegenden Funktionen/Einschränkungen bei BYOD zur Verfügung:
- Datentrennung privat/geschäftlich
- iCloud-Einstellungen (Backup, Schlüsselbund, Fotos)
- WLAN-Konfigurationen
- Passwortrichtlinien
- Exchange-Accounts
- Zertifikate verteilen
- Passcode löschen
- Siri, Personalisierte Werbung usw.
Wichtige fehlende Funktionen:
- Kontomodifikation (Hinzufügen von Accounts/Apple ID)
- Systemapps einstellen
- Black- & Whitelists für Apps -> Kiosk Modus/Single App Modus
- Software-Updates managen (pushen oder verzögern)
- Webinhaltsfilter
- Startbildschirm-Layout & Hintergrundbilder
- Factory Reset verhindern oder erzwingen
- Shared iPad
- Lost Mode
Kann die IT Apps auf einem BYOD iPhone installieren?
Der Admin des Unternehmens kann die App-Installationen nur anstoßen. Anders als bei vollständig verwalteten Geräten erfolgt die Installation jedoch nicht lautlos im Hintergrund.
Die User*innen erhält eine Anfrage und muss diese bestätigen.
Bei der Installation von Apps auf BYOD Geräten gibt es zwei Varianten:
1. Senden von Installationsanfragen für private Apps:
Dies geschieht dann nicht über VPP, sondern über die private Apple-ID. Somit liegt die App auch nicht im Business Container.
2. Senden von Installationsanfragen für geschäftliche Apps senden (VPP): Diese Apps werden vom Unternehmen gänzlich verwaltet. Ihre Daten liegen in einem separaten Container/ Bereich und sind von den Privatapps getrennt.
Hinweis: Die Containertrennung bei Apple Geräten geschieht nur im Hintergrund. Auf dem Bildschirm werden alle Apps gleichrangig angezeigt und es gibt keine visuellen Hinweise auf eine Trennung von geschäftlich und privat. Mehr zur Datentrennung bei iOS finden Sie in diesem Video: Datentrennung bei Apple.
Ist die Verwaltung von Apps mit VPP bei BYOD trotzdem möglich?
Über das MDM gibt es für VPP-Apps die Einstellungsmöglichkeit: “Verwaltung übernehmen, wenn die App bereits installiert ist”. Diese Einstellung wird vorgenommen, wenn die Anwendung zum App-Katalog des Unternehmens hinzugefügt wird. Wenn “Verwaltung übernehmen” erlaubt wird, kann durch den Installationsbefehl eine bereits installierte private Anwendung vom privaten Bereich in den geschäftlichen Bereich verschoben werden.
Beim Endnutzer kommen dann effektiv 2 Anfragen an:
1. Darf das MDM die App installieren?
2. Wenn die App bereits installiert ist, darf das MDM die Verwaltung für die App übernehmen?
Wichtig dabei ist, dass die Appdaten und -accounts durch diese Aktion ebenfalls verschoben werden. Wenn etwa die private Outlook-App mit privatem E-Mail-Account über die o. g. Aktion in den Geschäftsbereich verschoben wird, befinden sich die privaten Daten anschließend im Geschäftsbereich. Eine saubere Trennung ist in diesem Fall nur möglich, wenn die Anwendung samt Daten zuerst vollständig deinstalliert wird und anschließend als VPP-App im Geschäftsbereich installiert wird. Alternativ muss das Unternehmen auf eine andere Anwendung ausweichen, da bei Apple eine Software nur privat oder geschäftlich sein kann.
Wichtig für Geschäftskunden: Private und geschäftliche Daten auf Apple Geräten trennen
Bei der Nutzung von Apple BYOD-Geräten für Geschäftskunden ist es besonders entscheidend, dass klar ist, wie Daten getrennt werden. Da bei Apple keine App “doppelt” (privat & geschäftlich) installiert werden kann, stellt sich die Frage, in welchem Bereich Systemapps zugeordnet sind bzw. wie die Datentrennung konkret funktioniert.
Manche Systemapps bieten eine Trennung innerhalb der Anwendung.
Dazu gehören:
- Kontakte
- Kalender
- Erinnerungen
- Notizen
Alle weiteren Anwendungen haben keine Trennung und zählen deshalb zum Privatbereich. Problematisch ist dies oft, wenn im Rahmen der Arbeit Fotos oder Videos versendet werden sollen, denn standardmäßig können geschäftliche Apps nicht auf private Daten zugreifen. Unternehmen können sich hier behelfen, indem sie separate Galerie- und Kamera-Apps installieren. Per MDM kann auch der Datenzugriff von geschäftlich auf privat genehmigt werden. Dies empfehlen wir aus Datenschutzgründen jedoch nicht.
Wie trenne ich geschäftliche und private Kontakte, Kalender und Mails bei BYOD?
Die Trennung innerhalb der Systemapps erfolgt bei Apple über die Accounts.
Werden Kontakte über einen geschäftlichen Exchange-Account über das MDM auf das Gerät gepusht, erkennt dieses, dass diese Kontakte dem Geschäftsbereich zugeordnet werden.
Werden Kontakte lokal (manuell) angelegt oder durch einen privaten Account (bspw. Google), der nicht über das MDM verteilt wird, dann sind die Kontakte im Privatbereich. Gleiches gilt für Mail, Kalender, Erinnerungen und Notizen. Innerhalb der Kontakte-App erkennt der Enduser keinen Unterschied, denn alle Kontakte werden gemeinsam dort angezeigt. Die Trennung erfolgt im Hintergrund, sodass bspw. ein privat installiertes WhatsApp nicht auf die per MDM hinzugefügten Exchange-Kontakte zugreifen kann.
Von Vorteil ist bei diesem Setup, dass mehrere Kalender, Kontaktlisten und E-Mail-Accounts auf dem Gerät parallel laufen können. Über das MDM kann man ebenfalls mehrere geschäftliche Accounts verteilen.
Apple-BYOD-Geräte: Das sollten Sie außerdem beachten!
Die technische Trennung von Daten auf BYOD-Geräten ist eine Sache, doch Mitarbeitende müssen auch klare Anweisungen und Richtlinien erhalten, was den Umgang mit privaten Geräten zur Arbeit betrifft. Dies wird im besten Fall in einer Betriebsvereinbarung geregelt.
Unter anderem sollen dort die folgenden Punkte eindeutig geklärt werden:
- Eigentumsverhältnisse & Schadensfall
- Umfang des Zugriffs der IT (Was kann der Admin sehen/machen?) → Datenschutz
- Melde- und Löschpflicht bei Verlust
- Sicherheitsrichtlinien & Einschränkungen
- Datentrennung (Wo/Wie werden neue Daten auf das Gerät gebracht, damit sie im richtigen Container sind?)
- App-Nutzung (Welche Apps sind für die Arbeit notwendig und was passiert, wenn die App bereits privat genutzt wird?)
- Umgang mit Daten aus Systemapps, die nicht nativ getrennt werden können, insbesondere. Fotos
Bei der Nutzung von Apple-BYOD-Geräten ist zu beachten, dass es sich immer noch um private Geräte der Mitarbeitenden handelt. Aus diesem Grund müssen diese den oben genannten Punkten der Betriebsvereinbarung zustimmen. Mitarbeitende dürfen nicht das Gefühl bekommen, dass die Nutzung der privaten Geräte für die Arbeit mit Nachteilen für sie einhergeht.
Was passiert, wenn der Mitarbeitende das Unternehmen verlässt?
Solange die Endnutzer*in im Unternehmen angestellt ist, unterliegt die Nutzung des mobilen Gerätes den betrieblichen Vereinbarungen. Zudem lässt sich das BYOD-Modell mit Apple-Geräten nur umsetzen, wenn die Mitarbeitenden einen verantwortungsvollen Umgang mit den Daten des Unternehmens pflegen. Sobald ein Mitarbeitender das Unternehmen verlässt, muss jedoch sichergestellt werden, dass auch die Daten des Unternehmens sicher gelöscht werden können, um den Datenschutz zu gewährleisten.
Bei iPhones und iPads, die als BYOD betrieben werden, werden Einschränkungen über das Apple-Profil auf dem Gerät angewendet. Der IT-Admin hat per MDM die Möglichkeit, dieses Profil von dem jeweiligen Smartphone oder Tablet zu löschen. Somit werden alle vom MDM vorgenommenen Einstellungen entfernt.
Fazit: Eignet sich BYOD mit Apple Geräten für Ihr Unternehmen?
Von besonderer Bedeutung für den Datenschutz in Unternehmen ist die saubere Trennung von privaten und geschäftlichen Kontakten, Kalendereinträgen, E-Mails usw. auf dem iPhone oder iPad. Apple bietet hierzu zwar Lösungen an, diese kommen aber immer mit einem kleinen Nachteil, der entweder für Endnutzer*innen oder das Unternehmen einhergeht. Das Unternehmen räumt mit der Nutzung von BYOD den Mitarbeitenden eine gewisse Freiheit ein, nimmt dafür aber in Kauf, dass besonders strenge Datenschutzrichtlinien nicht umgesetzt werden können. Daher ist das BYOD-Modell für Unternehmen der kritischen Infrastruktur – wie der Pflege oder der IT – nicht zu empfehlen. Auch wenn Firmen viele wichtige und wertvolle Klient*innen- oder Kund*innendaten vorhalten müssen, raten wir von diesem Modell ab, da nicht sichergestellt werden kann, dass es nie zum Zugriff auf arbeitsrelevante Daten außerhalb der Arbeitszeit kommt. Verlässt ein Mitarbeitender das Unternehmen, muss sich das Unternehmen zudem darauf verlassen, dass alle Daten vorschriftsmäßig gelöscht werden. Zwar können per MDM alle Einstellungen, die über das Apple-Profil auf dem Gerät angewandt wurden, gelöscht werden – dennoch bleibt das Restrisiko, dass wichtige Kontakte zuvor transferiert oder auch Screenshots getätigt wurden. Grundsätzlich ist das BYOD-Modell eher für Unternehmen geeignet, die nur wenige Geräte haben, keine strengen Datenschutzvorgaben erfüllen müssen und ihre Telefone nicht zur Dokumentation von Kundendaten nutzen.
