Apple und Samsung bieten sich nicht nur im privaten Markt einen Schlagabtausch um Kunden, auch Behörden müssen immer mobiler tätig werden. Das BSI hat von beiden Herstellern jeweils eine Lösung für VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) eine Freigabe gegeben. Vergleichen wir beide Lösungen.
Apple INDIGO – iOS Native Device In Government Operation
Zusammenfassung:
native iOS Apps Mail, Kontakte, Kalender werden genutzt, speziell gehärtete MDM Konfiguration (ab iOS15.1) und 6 Jahre garantierte Updates.
Samsung Knox Native Solution
Zusammenfassung:
native Samsung Apps Mail, Kontakte, Kalender werden genutzt, BSI Applet und dedizierte Hardware werden genutzt und 7 Jahre garantierte Updates.
Die eingesetzten MDM Lösungen sind nicht Teil der folgenden Betrachtung.
Vergleich
Zu iOS hatte ich mich schon geäußert:
Aber schauen wir einmal im Detail und zählen Punkte (nicht alphabetisch, kein Anspruch auf Vollständigkeit):
Apps
Samsung Apps sind im Google Play Store gelistet und können so schnell und effektiv aktualisiert werden. iOS benötigt dafür ein OS Update.
Für die Verteilung von geschäftlichen Apps ohne ein privates Konto ist für Apple ein Apple Business Manager Account notwendig, um VPP (Volume Purchase Program) nutzen zu können. Diese Tokens müssen regelmäßig erneuert werden. Für Android Enterprise benötigt man nur ein Gmail Account.
Die Samsung Lösung lässt auf weitere Apps in Zukunft hoffen:
Zitat Oliver Zendel, Fachbereichsleiter V2 beim BSI:
Durch die Skalierbarkeit der nativen Sicherheitsfunktion und den modularen Aufbau des Ökosystems kann der Funktionsumfang kontinuierlich um zusätzliche sichere Apps erweitert werden.
Samsung 1 – Apple 0
OS Updates
Samsung bietet 5 Jahre garantierte Updates für Enterprise Edition Geräte, zuletzt wurde die Updategarantie mit dem Release mancher Geräte auf 7 Jahre verlängert. Apple bietet 6 Jahre. Hier muss man also bei Samsung die genauen Daten der Geräte prüfen. Der Vorteil von Android liegt aber in monatlichen Updates.
Für beide Hersteller spricht aber ein langer Supportzeitraum, damit die Geräte dementsprechend länger sicher eingesetzt werden können.
Samsung 2 – Apple 1
OS Update Steuerung
Apple Geräten kann man per MDM gewisse Update Richtlinien mitgeben (zurückstellen für x Tage oder herunterladen und installieren). Was der Hersteller jedoch nicht bietet ist eine feingranulare Updatesteuerung. Samsung bietet dies mit E-FOTA (Enterprise Firmware over the Air).
Samsung 3 – Apple 1
Einheitliche UI
Egal welches Apple Gerät man nutzt es ist optisch immer identisch (kleine Abweichungen durch Anpassungen wie den Action Button statt mechaischen Button). Auch bei Samsung sind die Geräte rein optisch nahe zusammen.
Apple Geräte können per MDM einen Kiosk Modus unterzogen werden. Für Samsung gilt dies auch, kann aber mit Knox Config hier noch mehr anpassen.
Samsung 4 – Apple 2
MDM Config / Anbindung
Für eine Anbindung an ein MDM benötigt man für Apple Geräte ein APNS Zertifikat. Dieses muss vor Ablauf jährlich verlängert werden. Sollte es ablaufen und man nimmt nicht innerhalb der nächsten 30 Tage Kontakt mit dem Apple Support auf, sind die Geräte im Datennirvana und haben Probleme eine Verbindung mit MDM System aufzubauen. Für Android Enteprise ist dies nicht notwendig.
Sollte ein MDM eine neue Funktion von Apple nicht in die UI aufnehmen oder das Update dauert zu lange, muss man ein Custom Payload erstellen. Dies kann manchmal eine Herausforderung sein. Samsung bietet hier eine OEMConfig an.
Samsung 5 – Apple 2
Mass Enrollment – Company Binding
Beide Hersteller bieten ein Mass Enrollment mit zertifizierten Käufen und der Möglichkeit die Geräte manuell hinzuzufügen. Es gibt jedoch einen großen Fallstrick bei Apple Geräten: der erste Screen des Einrichtungsassistenten um ein neues Gerät mit Hilfe eines bereits im Einsatz befindlichen Gerätes einzurichten bzw den Nutzer von einem Gerät auf das andere mit all seinen Daten umzuziehen. Diese Seite wird angezeigt bevor das Gerät eine Internetverbindung hat und dementsprechend erst nach dem Mass Enrollment und somit kann die MDM Aktivierung fehlerhaft sein.
Samsung 6 – Apple 3
Datentrennung bei COPE
iOS und Android können beide Multi-User unterstützen, Apple beschneidet dies aber aus mir unerklärlichen Gründen. Rein technisch prüft ein Apple Gerät, aus welcher Quelle kommen die Daten und wie sind diese dann durch das MDM reglementiert. Alles was von einem MDM kommt ist verwaltet, alles andere unverwaltet. Für Mails und Kontakte klappt das noch (wenn der Admin hier auch die richtige Richtlinien im MDM gesetzt hat), aber für die Foto App geht dies nicht ohne weiteres.
Gravierender ist eigentlich, dass man auf einem Apple Gerät eine App nur einmal installieren kann. Android Enterprise nutzt hier den Multi User und jeder User kann dieselbe App installieren. Nutzt ein User also privat eine App oder einen Dienst, welche/r auch dienstlich genutzt wird, wird alles automatisch in den dienstlichen Kontext gestellt.
Samsung 7 – Apple 3
Fazit
Persönlich kann ich eine Entscheidung für INDIGO nicht nachvollziehen. Es gab schon mehrfach Sicherheitslücken in der Mail App bzw im Account Manager und man musste warten, bis Apple hier trotz Ausnutzung der Sicherheitslücke ein OS Update zur Verfügung stellt.
Samsung Geräte nutzen für die geschäftlichen Daten eine dedizierte Hardware, Apple Geräte haben nur eine gemeinsame Hardware für alle Daten auf einem Gerät.
Und die Vertikaldienste bei Samsung haben mehr Möglichkeiten als bei Apple bzw decken diese überhaupt ab.
Vielleicht sollte sich Samsung noch um eine dedizierte BSI Freigabe von DeX bemühen, dann hätte man hier auch noch mehr Möglichkeiten in den Behörden (gilt auch für andere geschäftliche Kunden). Denn mit DeX benötige ich nur einen Bildschirm und Eingabegeräte und kann dann einen Deskoptmodus nutzen. Somit benötigt jeder Mitarbeiter “nur” ein Smartphone. Dies wird aber in unseren Behörden noch Jahre lang nicht gehört werden.
Samsung hat zudem noch eine Chance verpasst: INDIGO hat sofort mit DSGVO und NIS2 Konformität geworben bzw die Enterprise Partner. Beide Richtlinien tauchen Stand heute nicht bei Samsung auf.
Gut an beiden Lösungen ist jedoch, dass nun Consumer Geräte in Behörden eingesetzt werden können. Es drückt die Kosten und Behörden können nun mobiler arbeiten.