Sichere Behörden-Smartphones mit iOS iNDIGO
Auf Staatsmission
Veröffentlicht in Ausgabe 08/2025 - PRAXIS
Die Abkürzung iNDIGO (iOS Native Devices in Government Operation) steht für ein Sicherheitskonzept, mit dem sich handelsübliche iPhones erstmals für den Einsatz in sicherheitskritischen Behördenumgebungen nutzen lassen. Das Konzept basiert auf einer gehärteten Konfiguration des Apple-Betriebssystems iOS, bei der alle erforderlichen Sicherheitsfunktionen bereits nativ integriert sind. Dadurch bedarf es keines zusätzlichen Spezial-Equipments wie etwa separater Krypto-Smartcards oder Container-Apps. Die vorhandene Secure Enclave der Geräte dient als interner Hardware-Sicherheitsanker – Stichwort "Security by Design".
Die für den beruflichen Einsatz genutzten, im Betriebssystem vorinstallierten Applikationen – insbesondere E-Mail-Client (inklusive S/MIME-Verschlüsselung), Kalender und Kontakte – sind damit für die dienstliche Nutzung ab Werk sicher verfügbar und vom BSI für die Verarbeitung eingestufter Informationen freigegeben. Anwender können auf diesen Geräten vertrauliche Dokumente bis zur Geheimhaltungsstufe "Verschlusssache – nur für den Dienstgebrauch" (VS-NfD) geschützt verarbeiten. Mitarbeiter können ihre vertraute iOS-Umgebung nutzen, ohne aufwendige Zusatzschritte für Kryptographie oder Authentifizierung durchführen zu müssen. Trotzdem bleiben die erweiterten Sicherheitsmaßnahmen unsichtbar im Hintergrund aktiv, um sensible Informationen konsequent zu schützen.
Technische und organisatorische Auflagen
Apple garantiert für iNDIGO laut eigenen Angaben eine langfristige Unterstützung mit mindestens sechs Jahren Sicherheitsupdates, was Behörden Planungssicherheit bei der Hardwarebeschaffung gibt. Dabei bleibt sogar eine private und dienstliche Doppelnutzung des Geräts möglich. Die jeweiligen Daten werden hierbei strikt voneinander getrennt verwaltet – dazu später mehr.
Die Abkürzung iNDIGO (iOS Native Devices in Government Operation) steht für ein Sicherheitskonzept, mit dem sich handelsübliche iPhones erstmals für den Einsatz in sicherheitskritischen Behördenumgebungen nutzen lassen. Das Konzept basiert auf einer gehärteten Konfiguration des Apple-Betriebssystems iOS, bei der alle erforderlichen Sicherheitsfunktionen bereits nativ integriert sind. Dadurch bedarf es keines zusätzlichen Spezial-Equipments wie etwa separater Krypto-Smartcards oder Container-Apps. Die vorhandene Secure Enclave der Geräte dient als interner Hardware-Sicherheitsanker – Stichwort "Security by Design".
Die für den beruflichen Einsatz genutzten, im Betriebssystem vorinstallierten Applikationen – insbesondere E-Mail-Client (inklusive S/MIME-Verschlüsselung), Kalender und Kontakte – sind damit für die dienstliche Nutzung ab Werk sicher verfügbar und vom BSI für die Verarbeitung eingestufter Informationen freigegeben. Anwender können auf diesen Geräten vertrauliche Dokumente bis zur Geheimhaltungsstufe "Verschlusssache – nur für den Dienstgebrauch" (VS-NfD) geschützt verarbeiten. Mitarbeiter können ihre vertraute iOS-Umgebung nutzen, ohne aufwendige Zusatzschritte für Kryptographie oder Authentifizierung durchführen zu müssen. Trotzdem bleiben die erweiterten Sicherheitsmaßnahmen unsichtbar im Hintergrund aktiv, um sensible Informationen konsequent zu schützen.
Technische und organisatorische Auflagen
Apple garantiert für iNDIGO laut eigenen Angaben eine langfristige Unterstützung mit mindestens sechs Jahren Sicherheitsupdates, was Behörden Planungssicherheit bei der Hardwarebeschaffung gibt. Dabei bleibt sogar eine private und dienstliche Doppelnutzung des Geräts möglich. Die jeweiligen Daten werden hierbei strikt voneinander getrennt verwaltet – dazu später mehr.
Damit ein iPhone als iNDIGO-Gerät im behördlichen Umfeld zugelassen werden kann, müssen strenge technische und organisatorische Auflagen erfüllt sein. Nur erlaubte Devices aus vertrauensvollen Quellen, registriert über den Apple Business Manager und mit einer vom BSI geprüften Betriebssystemversion, dürfen Verwendung finden. So erhielt iOS 18.x im Oktober 2024 den Status "Zulassung mit Restrisiken". Das bedeutet: Kleinere Updates wie Version 18.4 darf der Anwender respektive die IT-Abteilung direkt installieren, um Sicherheitslücken sofort zu schließen. Sicherheitsupdates sind zeitnah einzuspielen, um bekannte Schwachstellen zu schließen.
Jedes iNDIGO-iPhone muss in ein zulässiges MDM-System eingebunden sein. Darüber setzen Administratoren zentrale Sicherheitsrichtlinien durch, konfigurieren die Devices und überwachen sie. So können IT-Verantwortliche mithilfe eines MDM iPhone-Einstellungen vorschreiben, starke Passwörter erzwingen, Gerätesperren durchsetzen und die Installation nicht freigegebener Apps unterbunden.
Auf der dunklen Seite des MDM
Die iNDIGO-Terminologie spricht im Hinblick auf die zentrale Device-Verwaltung von "Darksite-MDM" oder "Brightsite-MDMs". Die dunkle Variante leitet die gesamte Kommunikation der Endgeräte über ein VPN, sodass der Datenfluss auch im Internet für Dritte unsichtbar bleibt. Diese Implementierung beeinträchtigt jedoch die Flexibilität der Anwender und kann die Akkulaufzeit des iPhones verkürzen, da das VPN ständig aktiv bleibt. Dies alles kann zu höheren Kosten für das Unternehmen führen, die Anwender frustrieren und die Produktivität beeinträchtigen. Beim Darksite-Management lassen sich die iPhones zudem nur im internen Netzwerk aktiviert und initial einrichten.
Im Gegensatz dazu verzichtet das Brightsite-Verfahren auf eine vollständige Verschleierung des Datenverkehrs. Der VPN-Tunnel wird ausschließlich bei aktiver dienstlicher Datenkommunikation genutzt, also bei einem tatsächlichen Bedarf. Dies erhöht die Akkulaufzeit. Um den BSI-Anforderungen zu genügen, muss ein Brightsite-MDM jedoch eine BSI-Zertifizierung nach dem Sicherheitsstandard EAL 4+ oder höher vorweisen. EAL steht für "Evaluation Assurance Level" und beschreibt die Anforderungen an IT-Sicherheitstests sowie die Vertrauenswürdigkeitsstufe.
Die Datenübertragung vom mobilen Device in die behördliche Infrastruktur darf nur über zugelassene VPN-Gateways erfolgen. Damit ist sichergestellt, dass sämtliche dienstliche Kommunikation – E-Mails, Kalendereinträge, App-Daten – durch einen starken Tunnel verschlüsselt sind und nicht unautorisiert mitgelesen oder manipuliert werden können. Das BSI verlangt hierfür die Nutzung eines VS-NfD-geprüften VPN. In der Praxis kommen hier häufig spezialisierte VPN-Dienste deutscher Anbieter zum Einsatz – zum Beispiel der Trusted VPN Gateway von Rohde & Schwarz.
Mitarbeiter in der Pflicht
Neben technischen Vorkehrungen sind auch organisatorische Maßnahmen und Schulungen notwendig. Nutzer von iNDIGO-iPhones müssen die vom BSI vorgegebenen Verhaltensregeln strikt einhalten. Dazu gehören unter anderem:
- der sorgfältige Umgang mit dem Gerät, etwa Schutz vor Diebstahl oder Verlust,
- die Nutzung ausschließlich freigegebener Apps und Dienste,
- die Einhaltung von Richtlinien für Passwörter und Biometrie,
- die Sensibilisierung für Social-Engineering-Gefahren.
Auch der konkrete Umgang mit den Apps, beispielsweise das Pflegen von Orten in Terminen im Kalender, lässt sich über Behördenrichtlinien genau reglementieren. Regelmäßige Unterweisungen stellen im Idealfall sicher, dass die Mitarbeiter sich ihrer Mitverantwortung für die IT-Sicherheit bewusst sind und die Geräte korrekt bedienen.
Diese Kombination aus technischen Vorkehrungen (MDM, VPN, System-Hardening) und organisatorischen Maßnahmen (Benutzerschulung, Richtlinien) gewährleistet, dass die Sicherheit nicht an einem einzelnen Punkt kompromittiert werden kann. Device, Infrastruktur und Nutzer bilden eine Einheit, die den strengen BSI-Vorgaben entspricht. Nur wenn alle oben genannten Voraussetzungen vollständig erfüllt sind, erreicht ein iOS-Gerät den iNDIGO-Status und darf bis VS-NfD eingestufte Informationen verarbeiten.
Langjähriger BSI-Freigabeprozess
Die Zulassung von iNDIGO für den Einsatz in deutschen Bundesbehörden ist das Ergebnis eines mehrstufigen Prüf- und Freigabeprozesses durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Bereits 2021 begann die Bewertung der Sicherheitsarchitektur von iOS (zum Beispiel Secure Boot, Sandbox, Datenverschlüsselung oder Secure Enclave). Im Oktober 2022 bestätigte das BSI in einer Pressemitteilung erstmals offiziell die Wirksamkeit der eingebetteten Sicherheitsmechanismen in iPhones.
Insbesondere hob die Behörde hervor, dass die vorinstallierten Apple-Apps für E-Mail, Kalender und Kontakte die Sicherheitsanforderungen erfüllen und eine sichere Verarbeitung von VS-NfD-Daten erlauben. Daraufhin erteilte das BSI eine erste Freigabeempfehlung für den behördlichen Einsatz dieser Geräte, allerdings gebunden an die Einhaltung der zuvor genannten Auflagen. Diese Freigabeempfehlung – ein Novum für ein US-Mobilprodukt – bedeutete, dass Bundesbehörden nun grundsätzlich iPhones zur Ausstattung der Mitarbeiter in Erwägung ziehen konnten.
Mit diesen Schritten ist iNDIGO nun fest in der Liste der vom BSI zugelassenen IT-Sicherheitsprodukte [1] verankert. Es wird dort als "Sichere Mobile Lösung – Apple Indigo" mit Gültigkeit bis Schutzklasse VS-NfD geführt – vergleichbar mit etablierten Angeboten wie SecurePIM oder den SecuSmart-Krypto-Telefonen. Parallel zur Betriebssystemprüfung hat das BSI auch flankierende Komponenten bewertet, insbesondere die genannten MDM-Systeme und VPN-Gateways.
So wurde zum Beispiel für MDM-Systeme ein eigenes Zertifizierungsprogramm aufgelegt, das diese als Teil des Gesamtkonzepts betrachtet. BlackBerry UEM erhielt als erstes Devicemanagement bereits Anfang 2024 die Freigabe für den Einsatz mit iNDIGO (Common Criteria-Zertifikat BSI-DSZ-CC-1235), weitere Anbieter wie Ivanti folgten.
VPN-Gateways wie das erwähnte Trusted VPN von Rohde & Schwarz sind ebenfalls schon seit Längerem durch das BSI für VS-NfD zugelassen und integraler Bestandteil des Konzepts. Durch diese umfassenden Prüfungen wird sichergestellt, dass sämtliche Bausteine – vom Endgerät über die Netzwerkverbindung bis zur Managementplattform – den hohen Sicherheitsstandard konsistent einhalten.
Praktischer Einsatz von iNDIGO
In der Praxis befindet sich das iNDIGO-Konzept mittlerweile in der Umsetzungsphase bei Bundes- und Landesbehörden. Ein Meilenstein war im Juli 2024 die Vergabe eines Rahmenvertrags der deutschen Bundesverwaltung zur Beschaffung von iNDIGO-Devices: Die Beschaffungsstelle des BMI schloss einen Vertrag über bis zu 300.000 iPhones ab, die mit den BSI-geprüften iNDIGO-Voraussetzungen kompatibel sind.
Diese Geräte können von sämtlichen Bundesbehörden bezogen werden und kommen bereits vorkonfiguriert mit iNDIGO-Konfiguration. Beauftragt mit der Lieferung und Betreuung ist ein Konsortium aus dem IT-Dienstleister Bechtle, Apple selbst und weiteren Partnern wie Materna. Damit verfügt der Bund über eine einheitliche, sichere mobile Plattform, die sich zentral administrieren und laufend aktualisieren lässt.
Die Einführung von iNDIGO in Behörden bietet spürbare Erleichterungen im Arbeitsalltag: Mitarbeiter in Ministerien, Bundesbehörden sowie Landes- und Kommunalverwaltungen können nun dieselben modernen Smartphones und Tablets nutzen, die sie aus dem privaten Umfeld gewohnt sind. Dies steigert die Akzeptanz und Zufriedenheit der Nutzer und erhöht die Produktivität, da sich der Schulungsaufwand geringhalten lässt.
Gleichzeitig wird die IT-Abteilung entlastet: Dank des vorgeschriebenen Apple Business Manager – der Vertrauenskette bei Auslieferung und automatischer Anbindung an das MDM – und der Verwaltung durch das MDM lassen sich die Devices über automatisierte Zero-Touch-Verfahren einrichten und ausrollen. Auch Sicherheitsrichtlinien und Updates sind zentral ausspielbar. Im Fall von Verlust oder Kompromittierung kann der Administrator ein iPhone remote sperren oder sogar löschen.
Interoperabilität mit bestehenden Ansätzen
Ein weiterer Vorteil von iNDIGO ist auch die Interoperabilität mit vorhandenen Produkten: Die Geräte sind kompatibel mit etablierten sicheren Kommunikations-Apps wie etwa SecurePIM Government für höhere Geheimhaltungsgrade oder bestimmte Zusatzfunktionen und Wire Bund, dem Messenger der Bundesverwaltung.
Behörden können so einen sanften Übergang gestalten und iNDIGO-Geräte zunächst parallel zu bestehenden Spezialplattformen einsetzen, ohne diese sofort komplett zu ersetzen. Beispielsweise könnten besonders sensible Kommunikationsvorgänge weiterhin über vorhandene Spezialhardware erfolgen, während der Großteil der täglichen Kommunikation (E-Mail, Organisation, Zusammenarbeit) auf den flexibleren iNDIGO-iPhones stattfindet.
Auch externe Apps aus dem App-Store (zugewiesen über ABM und MDM) lassen sich in einem kontrollierten Umfang nutzen, sofern sie den Sicherheitsrichtlinien genügen – etwa Anwendungen für digitale Signaturen, Dokumentenmanagement oder sichere Messenger für den behördlichen Gebrauch. Dies eröffnet neue Möglichkeiten zur Digitalisierung von Verwaltungsprozessen, die vorher aufgrund restriktiver Plattformen nicht praktikabel waren.
Private Nutzung möglich
Erfreulicherweise ist auch die private Nutzung von Apple-Geräten trotz fehlender Multi-User-Unterstützung von iOS unter Umständen möglich. Die iNDIGO-Spezifikationen gestatten es Endanwendern mit administrativer Berechtigung, über einen persönlichen Apple-Account auf den App-Store zuzugreifen. Es ist jedoch zu hoffen, dass das Installieren von Apps wie HTTP Injector, Charles oder ähnlichen den Netzwerkverkehr verändernden und mitlesenden Tools durch ein Blacklisting verboten wird.
Die Entscheidung über die private Nutzung, die Freigabe von Apps und Ähnlichem oder gar der Einsatz von iCloud liegt in der Verantwortung der Behördenleitung. Grundsätzlich ist vor der Umsetzung dieser optionalen Möglichkeiten eine Risikoanalyse durch den CISO der jeweiligen Anwenderorganisation erforderlich. Ist die private Nutzung nicht erwünscht, lässt sich dies ebenso durch Richtlinien und Vorgaben verhindern.
Nicht nur für den Behördeneinsatz
Der Einsatz von iNDIGO ist auch in weiteren Bereichen mit hohen Sicherheitsanforderungen außerhalb der klassischen Verwaltung sinnvoll: Kritische Infrastrukturen wie Energieversorger, die Polizei und Rettungsdienste oder Unternehmen der Rüstungs- und Rüstungszulieferindustrie profitieren ebenfalls von der Möglichkeit, Standard-iOS-Geräte hochsicher einzusetzen.
Gerade bei Einsatzkräften und mobilen Teams ist die Kombination aus Vertrautheit, Usability und hoher Sicherheit ein Gewinn: Sensible Einsatzdaten lassen sich sicher auf Smartphones nutzen, während die iPhones robust und bedienfreundlich bleiben.
Insgesamt stärkt iNDIGO die Mobile-Work-Strategie der öffentlichen Hand, da nun ortsunabhängiges Arbeiten selbst mit eingestuften Daten möglich ist – ein wichtiger Faktor etwa für Homeoffice-Szenarien im öffentlichen Dienst. Nach der dienstlichen Nutzungsphase lassen sich die Geräte zudem datenlöschend zurücksetzen, weiterverwenden oder weiterverkaufen, was wirtschaftlich und aus Aspekten der Nachhaltigkeit sinnvoll ist.
Fazit
Mit iOS iNDIGO steht Behörden erstmals eine praxisnahe Plattform zur Verfügung, um handelsübliche iPhones auf BSI-konforme Weise sicher bis zur Geheimhaltungsstufe VS-NfD einzusetzen. Die native Sicherheitsarchitektur von iOS – kombiniert mit strengen Vorgaben zu MDM, VPN und Nutzerverhalten – ersetzt bisher nötige Spezialhardware und senkt die Komplexität im Alltag spürbar. Erstmals kann ein Consumer-Betriebssystem damit die hohen Anforderungen deutscher Behörden erfüllen – ohne Abstriche bei Komfort oder Mobilität.
(ln)
Link-Codes
[1] BSI-Liste zugelassener IT-Sicherheitsprodukte: https://it-a.eu/p7p31