Apple iNDiGO – eine Option zum Schutz sensibler Daten auf mobilen iOS-Geräten

INDIGO repräsentiert eine speziell gehärtete Betriebssystem-Konfiguration von Apple. Diese Lösung ermöglicht sicheres und mobiles Arbeiten. Durch die native Integration auf Geräteebene erfordert das Sicherheitskonzept keinerlei zusätzliche zusätzliche Software oder Apps auf dem iOS-Gerät, was eine Akzeptanz regulierter, eingeschränkter iOS-Geräte erleichtern kann.


Was bedeutet Apple iNDiGO?

iNDiGO ist ein Kunstbegriff, gebildet aus "iOS Native Device in Government Operation" und beschreibt primär drei Prämissen:



  1. iNDiGO richtet sich als technische Kommunikationslösung für mobile Endgeräte speziell an den öffentlichen Sektor, einschließlich Ministerien, Ämter, Kommunen und Behörden. Es wurde erfolgreich durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) als kommerzielle Apple-Lösung zertifiziert. Die BSI-Zertifizierung legt strenge Produktanforderungen fest, die von iNDiGO erfüllt werden müssen.
  2. Ein gehärtetes Apple iOS und iPadOS gewährleistet eine sichere Trennung sensibler Daten, einschließlich solcher mit dem Klassifizierungsgrad „Verschlusssache – Nur für den dienstlichen Gebrauch“ (VS-NfD), durch die native Nutzung des Geräts. Diese Härtung ermöglicht eine klare Abgrenzung der Daten ohne zusätzliche Software auf dem Gerät.
  3. iNDiGO beinhaltet eine sichere Datenanbindung an geschützte Dienste, was einen abgesicherten Zugriff auf sensible Ressourcen wie E-Mail-Dienste gewährleistet. Die Daten werden nicht, wie oft üblich, direkt über das Internet oder aus einer Cloud heraus bereitgestellt. Sie sind so lediglich über eine schützende Tunnelverbindung erreichbar.

Die Umsetzung in einer Kombination verschiedener Sicherheitsmethoden:



  • Die Verwaltung der iOS-Geräte erfordert einen überwachten Modus. Dazu ist es notwendig, diese Geräte entweder als DEP-Geräte zu erwerben oder entsprechend umzuwandeln.
    Hinweis Wir unterstützen Sie gerne bei der Einrichtung Ihres Apple-Business-Accounts und der Umwandlung bestehender Geräte zu DEP-Geräten. Sprechen Sie uns an!

  • Die Geräte werden umfassend durch ein Mobile Device Management (MDM) wie BlackBerry UEM über Apple DEP verwaltet. Dabei härtet die UEM-Lösung das iOS-Betriebssystem, um eine strikte Trennung zwischen geschäftlichen und persönlichen Daten auf dem Gerät zu erreichen.
  • Ein VPN-Zugang von den Geräten zu den Diensten muss eingerichtet werden. Es wird vorausgesetzt, dass auf den Dienst, bspw. E-Mail, technisch nicht direkt aus dem Internet zugegriffen werden kann. Hier sind nur sehr wenige VPN-Produkte vom BSI für iNDiGO zertifiziert worden.


iNDiGO steht aktuell sehr im Fokus. Diese Lösung wird mit Attributen wie hoher Sicherheit und Vielseitigkeit umworben, wodurch sie sich sowohl für den öffentlichen Sektor als auch darüber hinaus als sichere Alternative präsentiert.

Für wen ist Apple iNDiGO geeignet?

iNDiGO ist für Bereiche des öffentlichen Sektors, allerdings ebenso Bereiche der Privatwirtschaft gedacht, die mit hochsensiblen Daten agieren.
Dazu zählen:

Privatwirtschaft:

  • Energieversorger
  • Rüstung
  • Versicherungen
  • Bankwesen
  • Gesundheitseinrichtungen
  • kritische Infrastrukturen, Firmen mit hohem Schutzbedarf
Öffentlicher Sektor:
  • Behörden
  • Verwaltung (Bund, Länder, Kommunen)
  • Polizei
  • Einsatzkräfte
  • DRK, THW, usw.

FAQ FAQ

iNDiGO bildet bereits langjährig etablierte Sicherheitsansätze ab.

Neu ist, dass bislang noch keine native Sicherheitslösung für iOS mit einem vergleichbaren Sicherheitsanspruch vom BSI zertifiziert wurde. Dies ist zur Zeit der entscheidende Unterschied zu anderen Lösungen. iNDiGO ist eine Kombination einer Konfiguration verschiedener Produkte nach einem streng vorgegebenen, jedoch bekanntem Muster.

Android bietet beispielsweise seit jeher ein bewährtes Konzept zur Trennung geschäftlicher und persönlicher Daten.
Gleichwertige oder sogar höhere Sicherheitsansätze können alternative durch Containerlösungen und verwaltete VPN-Zugänge abgebildet, sie sind jedoch bislang noch nicht BSI-zertifiziert.

Einige Fragestellungen zur Absicherung der Endgeräte bleiben durch iNDiGO leider unbeantwortet. Beispielsweise die Sicherheit der Nutzung des Geräts, welche Person es tatsächlich gerade benutzt oder ob ein Passwort oder der VPN-Zugang kompromittiert wurde. Diese Themen erfordern eine zusätzliche Betrachtung.

Alle aktuelleren iOS-DEP-iPhones ab Version 15.1 und iPads ab Version 15.6.1 können mit iNDiGO verwendet werden.

Eine spezielle Apple-Lizenz ist nicht erforderlich, da iNDiGO lediglich eine Konfiguration mittels des Apple Device Enrollment Programs (DEP) und somit auf Apple-Geräte beschränkt ist. Daher ist der Lösungsansatz tendenziell in einem höheren Preissegment angesiedelt.

Apple-DEP-Geräte sind keine regulären Apple-Produkte und können von vielen, jedoch nicht allen Anbietern erworben werden. Zunächst muss über den Apple Business Manager eine Organisation registriert werden, für die die Geräte gekauft werden sollen. Die Preise dieser DEP-Produkte liegen nicht zwangsläufig höher, jedoch handelt es sich in der Regel nicht um Sonderangebote.
Zudem verknüpfen die Anbieter oft zusätzliche Dienstleistungen wie AppleCare für die Geräte und Software, was die Kosten nicht reduziert.

DEP-verwaltete Geräte erfordern ein Mobile Device Management (MDM), welches die Richtlinien für die Härtung des iOS-Betriebssystems steuert.
Dafür sind entsprechende Lizenzen nötig. Der (VPN)-Zugang zu den Diensten muss für die BSI-zertifizierte Umsetzung über wenige spezialisierte Produkte, beispielsweise von Rohde & Schwarz, erfolgen. Auch hierfür sind entsprechende Softwarelizenzen erforderlich.

Aus unserer Perspektive ergeben sich keine Kosteneinsparungen, da beispielsweise günstige Android-Geräte keine Option innerhalb dieser Lösung darstellen. Zudem bedeutet die zwangsläufige Homogenisierung der IT-Infrastruktur, dass die gesamte mobile Geräteflotte kostenintensiv durch neue iOS-Geräte ersetzt werden muss.

Darüber hinaus bleibt eine Mobile-Device-Management-Lösung in jedem Fall erforderlich. Hier besteht somit kein Einsparpotenzial. Eventuell müsste das bestehende MDM durch ein alternatives System ersetzt werden.

Bereits in MDM- oder Firewall-Lösungen integrierte VPN-Zugänge, die möglicherweise sogar höhere Sicherheitsanforderungen erfüllen (z. B. BlackBerry UEM), sind mit iNDiGO nicht verwendbar. Nur zertifizierte Lösungen des Bundesamts für Sicherheit in der Informationstechnik müssen zusätzlich implementiert werden, was zwangsläufig zu weiteren Kosten und einer komplexeren Infrastruktur führt.

Oft mit iNDiGo verknüpft angebotene AppleCare-Produkte sind hochwertige und daher hochpreisige Versicherungen, die lediglich den Beschaffungsprozess für Ersatzgeräte vereinfachen.

In jedem Fall sind dann noch die Projektkosten für Implementierung, Migration und Beschaffung zu berücksichtigen.

Apple-Anwender schätzen ihre Geräte aufgrund der intuitiven Bedienung und des nahtlosen Zusammenspiels innerhalb des Apple-Ökosystems. Jedoch beschreibt iNDiGO in seiner Anwendung die Trennung geschäftlicher Daten. Das entspricht in etwa containerbasierten Lösungen, was die vermeintlich erhoffte und bessere Nutzererfahrung deutlich relativiert.

Zwar können Nutzer weiterhin die gewohnten Apple-Apps für Mail, Kalender und Kontakte nutzen, jedoch müssen hier diverse Einschränkungen durch die Anwender akzeptiert werden. Dazu zählen beispielsweise:

  • Siri muss ausgegrenzt sein. Somit steht keine Sprachsteuerung oder Diktierfunktion zur Verfügung.
  • Attachments dürfen nicht den geschützten Bereich verlassen, können also nicht ohne Weiteres in Office geöffnet werden.
  • Fremde Daten dürfen nicht in den geschützten Bereich gelangen, also können heruntergeladene Dateien nicht einfach per E-Mail geteilt werden.
  • Kontakte dürfen nicht der Freisprechanlage im Auto bereitgestellt werden.

    • Diese Art der Abgrenzungen kennen wir bereits von anderen Containerlösungen. Zwar kommen weiterhin Apple-Apps zum Einsatz, diese verhalten sich jedoch anders, was auf die verstärkte Sicherheit des Betriebssystems zurückzuführen ist. Einige ausgereifte Containerlösungen wie BlackBerry Work bieten aus diesem Grunde innerhalb des Containers zusätzliche Funktionen wie einen alternativen Browser, lokalen Speicher und Dateibetrachter, wodurch in bestimmten Fällen sogar eine verbesserte Benutzererfahrung gegenüber iNDiGO erreicht werden kann.

    Selbstverständlich, ebenso wie andere mobile Sicherheitsstrategien.

    MDM-Systeme lassen sich in Darkside- und Brightside-Systeme unterteilen. Erstere agieren gegenüber dem Internet ausschließlich verdeckt, sind somit nicht erreichbar und deutlich schwerer anzugreifen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt daher die Nutzung von iNDiGO-Darkside-MDM-Systemen.

    BlackBerry UEM ist derzeit das einzige System, welches BSI-zertifiziert die Sicherheitsanforderungen für beide Betriebsweisen erfüllt - eine Darkside- und Brightside-Konfiguration.

    Nein, da es im Kern natürlich eine Konfiguration von Apple-Endgeräten beschreibt.
    Weiterhin hat das BSI für die Implementierung von iNDiGO nur eine sehr begrenzte Anzahl zusätzlich erforderlicher Lösungsanbieter bspw. für die VPN-Verbindung zertifiziert. Dies ist jedoch nicht zwangsläufig ein Indikator für die Qualität anderer, nicht zertifizierter Anbieter. In Bezug auf das erforderliche MDM sind alle Darkside-Systeme oder eben der BlackBerry UEM in der Brightside-Konfiguration in der Auswahl.

    Selbstverständlich stehen wir Ihnen gern zur Verfügung. Kontaktieren Sie uns, damit wir Sie umfassend zur optimalen Integration Ihrer mobilen Endgeräte beraten können.

  • Planung und Umsetzung von iNDiGO-Lösungen
  • Konzeption, Implementierung und Betrieb von MDM-Lösungen, auch als Managed Services
  • Unterstützung / Einrichtung von Apple-Business-Accounts
  • Umwandlung von iOS-Geräten zu iOS-DEP-Geräten
  • Schulungen, Sicherheits-Beratungsleistungen, Pen-Test, Red Teaming, Audits



    • Wir sind für Sie da!

    Schön, dass Sie es bis hier unten geschafft haben.
    Dann rufen Sie uns doch gleich an! Sie erreichen uns von Montag bis Freitag in der Zeit von 08:00 Uhr bis 19:00 Uhr.