Die Datentrennung bei iOS geht auf Vorgaben der Sicherheit zurück. Bei der Nutzung eines Dienstgeräts für sowohl private als auch geschäftliche Zwecke schreibt die DSGVO eine klare Trennung der Daten vor – denn dies verhindert, dass Daten kompromittiert werden können. Bei mobilen Dienstgeräten, wie Smartphones und Tablets, gibt es nämlich unterschiedliche Nutzungsszenarien. Sie können als klassisches Dienstgerät, mit lediglich rein geschäftlichen Daten, genutzt werden, oder eben für sowohl private als auch geschäftliche Nutzung freigegeben sein. Die technische Datentrennung macht letzteres Szenario möglich.

Datentrennung ist nicht gleich Datentrennung

Die Art und Weise, wie Daten getrennt werden, ist jedoch abhängig von der Art der Geräte, die verwendet werden. Dementsprechend funktioniert die Datentrennung immer unterschiedlich. Während bei Android-Geräten zwei unterschiedliche Profile auf dem Gerät eingerichtet werden, trennen iOS-Geräte die Daten, indem Sie diese in verwaltet (managed) und nicht-verwaltet (unmanaged) aufteilen.

Der Vorteil dieser Vorgehensweise ist eine klare und übersichtliche Bedienung des Gerätes, da die Bedienoberfläche nicht mit jeweils zwei Sätzen Apps belegt wird und somit schlank bleibt. Auch ist es nicht nötig, sich jeweils auf einem der beiden Accounts an-oder abzumelden. Die gewohnte Nutzung von iPhone und iPad bleibt somit vorhanden.

Die Datentrennung bei iOS geht nur per MDM

Um dafür zu sorgen, dass die Daten auch wirklich getrennt werden, müssen die mobilen Geräte zunächst mit einem MDM (Mobile Device Management System) und dem Apple Business Manager verbunden werden. Der Apple Business Manager fungiert hierbei als Online-Portal, welches den IT-Admins eines Unternehmens die Möglichkeit gibt, alle Geräte zentral zu verwalten. Es dient dabei jedoch nicht als vollwertiges MDM, da hierüber keine Einschränkungen oder Berechtigungen für die Nutzung der Geräte implementiert werden können. Vielmehr unterstützt er das VPP (Volume Purchase Programme) von Apple, über das Apps und Bücher für die Geräte bezogen werden können. Diese Verknüpfung ist möglich, damit die über das VPP gekauften, verwalteten Apps auch über das MDM an die Geräte gesendet werden können.

Wie bereits erwähnt, unterscheidet Apple zwischen Managed Data (verwalteten Daten) und Unmanaged Data (nicht verwalteten Daten). Dabei werden als “Managed Data” alle Apps, Kontakte, Accounts oder Dokumente bezeichnet, die per MDM auf das Gerät gespielt wurden. Als “Unmanaged Data” wird dementsprechend alles bezeichnet, was vom User selbst installiert wurde, da diese Möglichkeit bei der Datentrennung in iOS erhalten bleibt.

Eine “Unmanaged App” kann zudem in eine “Managed App' umgewandelt werden, indem sie erneut durch das MDM auf das Gerät gesendet wird. Jedoch kann “Unmanaged Data” nicht in “Managed Data” umgewandelt werden. Dennoch ist diese Art der Nutzung für Unternehmen zu empfehlen, welche die Einfachheit der iOS Bedienoberflächen schätzen und diese weiter nutzen wollen.

Managed Apps: Datentrennung mit iOS in der Praxis

Um eine vollständige Datentrennung und Absicherung der Geräte zu gewährleisten, können für iOS Geräte weiterführende Richtlinien eingerichtet werden. Mit diesen kann zum Beispiel verhindert werden, dass “Managed Dokumente” in “Unmanaged Dokumenten” geöffnet werden (und vice versa) usw. Weiterhin ist es möglich, per MDM zu verhindern, dass bestimmte, Apple-spezifische Funktionen verwendet werden, wie z.B. AirDrop. Auch sollte der Webbrowser beschränkt werden, falls es nicht vorgesehen ist, dass User uneingeschränkt auf alle Inhalte des Internets Zugriff haben sollten.
Eine ausführliche Beschreibung (auf englisch), welche Einschränkungen zu empfehlen sind, finden Sie hier.

Letzten Endes muss jedoch immer selbstständig getestet werden, welche Richtlinien und Einschränkungen individuell Sinn ergeben. Denn wird das Gerät so stark eingeschränkt, kann die Benutzerfreundlichkeit durchaus verloren gehen. Die Mitarbeitenden fühlen sich dann eher nicht dazu geneigt, die Geräte auch wirklich einzusetzen.

Vorteile der Datentrennung mit iOS

Wie oben schon erwähnt, ist der wohl größte Vorteil dieser Art der Datentrennung, dass auf einem Gerät immer nur ein Profil, welches verwaltet werden muss, bestehen bleibt. Ein weiterer Vorteil liegt in der App-Distribution: durch die Trennung in managed und unmanaged Apps bleibt das Unternehmen immer der Eigentümer über die von ihm installierten Apps. Selbst wenn das Gerät z.B. durch Leasing in den Besitz des Nutzenden übergeht, können die Unternehmens-Apps, inklusive aller Daten, einfach deinstalliert werden. Weiterhin wird sichergestellt, dass Daten, die privat sind, auch bleiben und umgekehrt. Das bedeutet auch, dass das Unternehmen sich keinen Zugang zu den unmanaged Apps verschaffen kann (und auch nicht einsehen kann, welche installiert wurden), der Mitarbeitende wiederum aber auch nicht die Unternehmensapps einfach deinstallieren kann, wenn sie ihm nicht passen. Letztlich sollte den Kolleg*innen und der Unternehmensleitung an einer fairen Handhabe der Nutzung mobiler Geräte gelegen sein. Das heißt auch, diese Trennung zu akzeptieren.

Fazit

Für Unternehmen, deren Mitarbeitende mit Apple-Geräten ausgestattet werden sollen, (Psst! Schauen Sie hier auch noch einmal nach, ob iPhones wirklich zu Ihrem Unternehmen passen) ist die Form der Datentrennung, die iOS benutzt, ideal. Sie vereint alle nötigen privaten und geschäftlichen Apps auf einem Gerät, ohne jedoch jemals die Nutzbarkeit einzuschränken. Durch den alleinigen Zugriff des Unternehmens auf die verwalteten Apps, besteht keine Gefahr, dass private Apps jemals heruntergelöscht werden. Zeitgleich können Unternehmens-Apps ebenfalls nicht gelöscht und die Nutzung des Geräts bis zu einem gewissen Grad eingeschränkt werden.
Dadurch bleibt eine gute Nutzbarkeit des Geräts für die Arbeit erhalten.