Wie sich das Gesetz über digitale Märkte auf Ihre iOS Flotte auswirkt

Mit der Einführung von iOS 17.4 wird Apple Änderungen vornehmen, um dem Gesetz über digitale Märkte der Europäischen Union (European Union's Digital Markets Act) zu entsprechen, was massive Auswirkungen auf die Endbenutzer*innen Ihres Unternehmens und die Sicherheit ihrer Geräte haben könnte.

March 5 2024 Von

Luke Allen

European Union flag

Was ist das Gesetz über digitale Märkte?

Im Jahr 2022 führte die Europäische Union (EU) das Gesetz über digitale Märkte ein, ein Framework, der einen fairen Wettbewerb auf den digitalen Märkten gewährleisten soll. Das Gesetz gibt den Behörden die Befugnis, bestimmte Online-Plattformen als „Gatekeeper“ zu bestimmen und verpflichtet sie dazu, wettbewerbswidrige Praktiken zu verhindern. Ziel ist es, gleiche Wettbewerbsbedingungen zu schaffen und die Innovation im digitalen Sektor zu fördern.

Infolgedessen muss Apple seine Herangehensweise an verschiedene Benutzererfahrungen in iOS ändern.

  • Apple wird App-Entwicklern von Drittanbietern die Möglichkeit geben, Endnutzer*innen von iOS Apps außerhalb des offiziellen App Stores anzubieten.
  • Entwickler können nun alternative Webbrowser-Engines entwickeln und nutzen.
  • Nachdem das iPhone auf iOS 17.4 aktualisiert wurde, zeigt das Betriebssystem eine neue Eingabeaufforderung an, wenn der/die Benutzer*in Safari das erste Mal startet. Diese Aufforderung bietet den Benutzer*innen die Möglichkeit, einen Standard-Webbrowser für ihr Gerät festzulegen.

Apple nimmt erhebliche Änderungen an der Art und Weise vor, wie iOS-Benutzer*innen in den Ländern der Europäischen Union Zugang zu Apps von Drittanbietern erhalten, und öffnet die Tür für neue Möglichkeiten des Web-Browsings. Infolgedessen wird Apple mehrere neue Ansätze zur Verwaltung der Sicherheit einführen, die damit einhergehen. Hier sind einige Dinge, die Sie wissen sollten:

Die Benutzer*innen erhalten nur in den EU-Ländern Zugang zu alternativen App-Marktplätzen.

Es gibt 27 EU-Mitgliedsländer, und um auf alternative App-Marktplätze zugreifen zu können, muss Ihr Endnutzer in einem dieser Länder ansässig sein. Wenn Sie versuchen, von einem Gerät außerhalb der EU mit einer Nicht-EU-Apple-ID auf alternative Marktplätze zuzugreifen, ist dies Stand heute nicht möglich.

Das Vereinigte Königreich ist von den mit iOS 17.4 eingeführten Änderungen nicht betroffen.

Mein Apple Business Manager oder Apple School Manager Instanz befindet sich außerhalb der EU. Ich bin also nicht von den Änderungen betroffen, oder?

Nicht unbedingt. Wenn Sie Benutzer*innen haben, die eine Apple ID aus europäischen Ländern verwenden, können sie auf diese Funktionen zugreifen. Multinationale Bildungs- und Unternehmensorganisationen sollten diese Veränderungen sorgfältig prüfen.

Was ist mit iPadOS, tvOS, watchOS und visionOS?

Diese Änderungen beziehen sich nur auf iOS, insbesondere auf iOS 17.4 und höher.

Wie ist das Nutzererlebnis, wenn man versucht, Apps von alternativen App-Marketplaces herunterzuladen?

Die Endbenutzer*innen müssen zu den Websites der Marketplace-Entwickler gehen (Entwickler, die sich bei Apple registriert haben, um Apps von Drittanbietern bereitstellen zu können).

Sobald sie eine App gefunden haben, die sie herunterladen möchten, müssen sie den Entwickler manuell zulassen, indem sie im Entwickler-Menü in den Einstellungen die Option „Marketplace zulassen“ wählen. Installierte Apps funktionieren ähnlich wie Apps aus dem App Store: Sie sind in einer Sandbox untergebracht und benötigen die Zustimmung des Benutzers, um Zugriff auf Dinge wie Kamera und Mikrofon zu erhalten.

Alternative App-Marktplätze: Sicherheit und Datenschutz

Mit iOS 17.4 wird Apple alternative App-Marktplätze einführen - App Stores, die von Drittanbietern in Europa gehostet und betrieben werden. Dadurch können Apps direkt von einer Quelle außerhalb des App Stores auf das iPhone heruntergeladen werden.

Apple hat einige der Sicherheitsrisiken, die mit diesen Änderungen verbunden sind, auf seiner Website beschrieben:

Wenn sie nicht ordnungsgemäß verwaltet wird, birgt die alternative Verbreitung erhöhte Risiken für den Datenschutz und die Sicherheit von Benutzer*innen und Entwickler*innen. Dazu gehören Risiken durch die Installation von Software von unbekannten Entwicklern, die nicht den Anforderungen des Apple Developer Program genügen, die Installation von Software, die die Systemintegrität durch Malware oder anderen bösartigen Code beeinträchtigt, die Verbreitung von raubkopierter Software, die Exposition gegenüber illegalen, anstößigen und schädlichen Inhalten aufgrund niedrigerer Inhalts- und Moderationsstandards sowie ein erhöhtes Risiko von Betrug und Missbrauch. Apple kann sich nicht vollumfänglich mit diesen Risiken befassen und die Kunden bei diesen Problemen unterstützen und entschädigen. Auch wenn Schutzmaßnahmen getroffen werden, bleiben viele dieser Risiken bestehen.

Diese Änderungen eröffnen zwar neue Risiken und Möglichkeiten für böswillige Akteure, sich diese zunutze zu machen, aber Apple wird weiterhin ein strenges Sicherheitsniveau für alternative App-Marktplätze bieten.

Die notarielle Beglaubigung kommt auf iOS.

Die notarielle Beglaubigung war bisher ein Sicherheitsprozess, der nur unter macOS möglich ist. Die Entwickler reichen ihre Apps bei Apple zur Prüfung ein, und wenn sie genehmigt werden, fügt Apple der App eine digitale Signatur (notarielle Beglaubigung) hinzu.

Durch die notarielle Beglaubigung wird sichergestellt, dass die App nach der Überprüfung und vor der Bereitstellung auf dem Gerät des Endnutzers nicht verändert oder manipuliert wird. Dies trägt dazu bei, dass die App frei von bösartigem Code ist und bietet den Nutzern ein gewisses Maß an Sicherheit, wenn sie die Software herunterladen und ausführen.

  • Die notatielle Beglaubigung für iOS soll strenger sein als in der Vergangenheit für macOS. Es werden automatisierte und menschliche Überprüfungen von Apps durchgeführt, und von den Entwicklern werden zusätzliche, detaillierte Informationen darüber verlangt, wie die App ausgeführt wird, sowie die ausdrückliche Verwendung von Berechtigungen (z. B. meine alternative Marketplace-App verwendet Standortdaten), damit Apple untersuchen kann, wie diese in der Praxis verwendet werden.
  • Alle Apps auf alternativen Marktplätzen müssen von Apple signiert werden, damit sie auf einem iOS Gerät ausgeführt werden können.
  • Der Entwickler einer App für einen alternativen Marketplace muss über ein legitimes Entwicklerkonto bei Apple verfügen. Dazu gehört auch ein Verifizierungsverfahren, um Spam und böswillige Akteure auszuschließen.
  • Apple kann Entwicklerzertifikate für Apps auf alternativen Marktplätzen jederzeit widerrufen, was dazu führt, dass sie nicht mehr auf iOS ausgeführt werden können. Falls in diesen Appsn Schadsoftware oder unzulässigee Praktiken entdeckt werden, kann Apple eingreifen, um die Nutzer zu schützen.
  • Die Entwickler müssen sich an die von Apple festgelegten Regeln für die Nutzung und Funktionalität dieser Apps halten.

Alternative Webbrowser-Engines: Sicherheit und Datenschutz

Alternative Browser-Engines sind eine weitere Änderung von iOS 17.4, bei der EU Jamf-Administratoren wachsam sein sollten.

Safari wird seit der Markteinführung des ersten iPhone im Jahr 2007 als Standardbrowser auf iOS ausgeliefert. Zwar können Sie unter iOS schon seit langem verschiedene Browser aus dem App Store herunterladen, aber diese Browser basieren immer noch auf WebKit, der Open-Source-Webbrowsing-Engine, die Apple für Safari verwendet.

Apple wird nun Drittanbietern die Möglichkeit geben, ihren Nutzern Webbrowser zur Verfügung zu stellen, ohne WebKit als Browser-Engine verwenden zu müssen. Dies ist an sich kein Grund zur Sorge, aber es bedeutet, dass, wenn sich Ihre Nutzer für einen alternativen Webbrowser entscheiden, ihr gesamter Datenverkehr über eine Anwendung läuft, die von einem Drittanbieter geschrieben wurde und möglicherweise proprietären Closed-Source-Code verwendet. Das bedeutet, dass Sie nicht wissen, was mit Ihren Daten passiert, und dass Sie sich auf die Entwickler verlassen müsseen, die diese App betreiben.

In der Vergangenheit mussten sich die meisten Jamf-Administratoren nicht mit der Verwaltung von Browsing-Erfahrungen auf iOS befassen, aber es könnte sein, dass Sie diesem Bereich in Zukunft etwas mehr Aufmerksamkeit widmen müssen, um die Sicherheit und den Datenschutz von Geräten und Benutzern zu gewährleisten.

Wie bei der notariellen Beglaubigung führt Apple neue Maßnahmen ein, um diese Erfahrungen zu regulieren und die Sicherheit für die Endbenutzer zu erhöhen. Darunter gehört:

  • Die Entwickler alternativer Browser-Engines müssen sich zu einer Reihe kontinuierlicher Datenschutz- und Sicherheitsanforderungen verpflichten, einschließlich rechtzeitiger Sicherheitsupdates zur Behebung neu auftretender Bedrohungen und Schwachstellen.
  • Entwickler dürfen keine Frameworks oder Bibliotheken verwenden, die keine Sicherheitsupdates mehr erhalten, um auf Schwachstellen zu reagieren.
  • Die Behebung von Schwachstellen sollte Vorrang vor der Entwicklung neuer Funktionen haben und innerhalb eines angemessenen Zeitrahmens erfolgen. Apple schlägt in den meisten Fällen 30 Tage vor.

Verwaltung und Schutz mit Jamf

Es ist wichtig zu bedenken, dass diese Änderungen für iOS neu sind. macOS hat seinen Nutzern schon immer erlaubt, Apps und Browser von Drittanbietern zu beziehen. iOS 17.4 enthält konsequente Änderungen, die neue Risikobereiche für iOS Bereitstellungen in ganz Europa darstellen, aber das bedeutet nicht, dass iOS jetzt eine unsichere, offene Plattform ist.

Jamf unterstützt seine Kunden seit vielen Jahren bei der Verwaltung und Sicherung von iOS-Geräten in Bildungs- und Unternehmensorganisationen und wird dies auch mit iOS 17.4 fortsetzen.

Verwaltung alternativer Marketplace-Apps

Bei Jamf Pro, Jamf School und Jamf Now können Sie diese Änderungen, die für Jamf-Kunden am Tag der Veröffentlichung von iOS 17.4 verfügbar sein werden, mit einer Kombination aus neuen und aktualisierten Befehlen und Beschränkungen verwalten und blockieren.

Beschränkungen

allowMarketplaceAppInstallation (Neu) - wenn auf „false“ eingestellt, verhindert iOS die Installation von alternativen Marketplace-Apps aus dem Web und hindert installierte alternative Marketplace-Apps an der Installation von Apps.

allowAppInstallation (Aktualisiert) - wenn auf „false“ eingestellt, deaktiviert iOS den App Store und das System entfernt sein Symbol vom Home-Bildschirm. Dies gilt auch für alternative Marktplätze/Apps.

allowAppRemoval (Aktualisiert) - wenn auf „false“ eingestellt, deaktiviert iOS das Entfernen von Apps von einem iOS-Gerät, einschließlich alternativer Marketplace-Apps.

allowListedAppBundleIDs (Aktualisiert) - falls vorhanden, gilt dies auch für die Verwendung von Marketplace-Apps und auf dem Marketplace gehostete Apps.

blockedAppBundleIDs (Aktualisiert) - verhindert auch die Verwendung von Marketplace-Apps und auf dem Marketplace gehostete Apps.

Befehls änderungen

InstalledApplicationList enthält jetzt einen DistributorIdentifier für Marketplace-Apps und auf dem Marketplace gehostete Apps, dessen Werte auf die Distributor-ID der App gesetzt sind.

InstallApplication kann nicht zur Installation von Marketplace-Apps oder von auf dem Marketplace gehosteten Apps verwendet werden. Auf Geräten, die sich für diese Funktion angemeldet haben, kann sie die Verwaltung solcher Apps übernehmen, wenn diese bereits installiert sind.

RemoveApplication kann verwendet werden, um eine verwaltete App von einem alternativen Marketplace oder eine auf dem Marketplace gehostete App zu entfernen.

Ich verwende nicht die neueste Version von Jamf Pro. Was nun?

Jamf hostet zwei Konfigurationsprofile:

Über die obigen Links erhalten Sie zwei Konfigurationsprofile, von denen eines von Jamf signiert ist und das andere nicht signiert ist. Die Funktionalität der beiden Profile ist identisch, und es muss nur ein Profil bereitgestellt werden, um das Nutzerverhalten in Ihrer Umgebung zu verwalten. Ein Profil ist nicht signiert, damit Sie das Profil einsehen und bei Bedarf bearbeiten können.

Die Konfigurationsprofile enthalten die Schlüssel/Wertepaare, die erforderlich sind, um die Installation von Apps von einem alternativen Marketplace zu blockieren (allowMarketplaceAppInstallation). Nach dem Download laden Sie die signierte oder nicht signierte Datei in Ihre Jamf-Instanz hoch. Jetzt müssen Sie die Datei nur noch auf Ihre iOS Geräte übertragen, und denken Sie daran, dass diese mit iOS 17.4 laufen müssen.

Wir bei Jamf sind gespannt auf die Möglichkeiten, die sich durch diese Änderungen ergeben, aber wir sind uns auch bewusst, dass dies für die Benutzer*innen ein spürbares neues Risiko darstellt. Diese Änderungen werden für böswillige Akteure eine interessante Möglichkeit darstellen, um sich Zugang zu vertraulichen Benutzer- und Unternehmensdaten zu verschaffen. Außerdem werden sie neue Wege finden wollen, um Malware auf den Geräten zu installieren, was zu weiteren Risiken für Bildungs- und Unternehmensorganisationen in Europa führt.

Wenn Sie diese Auswirkungen eingehender erörtern möchten, wenden Sie sich bitte an Ihren örtlichen Ansprechpartner bei Jamf und wir helfen Ihnen gerne weiter.