Plattform-Fähigkeiten und Einschränkungen

Übersicht

Diese Seite beschreibt die geplanten Plattform-Faehigkeiten des Device Agent. Die Schutzfaehigkeiten variieren je nach Betriebssystem aufgrund unterschiedlicher APIs, Berechtigungsmodelle und Sandbox-Einschraenkungen.

Achtung

Superheld ist plattformgleich ausgerichtet. Aktuell hat nur Android einen runtime-verifizierten Prototyp-Pfad. Alle anderen Plattformen und die meisten Faehigkeiten sind Zielarchitektur. Die Faehigkeitsmatrix ist als Produktzielbild mit expliziter Runtime-Abgrenzung zu lesen.

Faehigkeitsmatrix

Legende: Prototyp = im Workspace verifiziert, Ziel = Zielarchitektur, — = nicht geplant

Faehigkeit	Android	iOS	Windows	macOS	Linux
App-Install-Erkennung	Prototyp	Ziel	Ziel	Ziel	Ziel
Anrufschutz	Ziel	Ziel	—	—	—
Phishing-Erkennung	Ziel	Ziel	Ziel	Ziel	Ziel
Fernsteuerungsschutz	Ziel	Ziel	Ziel	Ziel	Ziel
Deepfake-Erkennung	Ziel	Ziel	Ziel	Ziel	Ziel
Netzwerk-Monitoring	Ziel	Ziel	Ziel	Ziel	Ziel
Lokale KI-Inferenz	Ziel	Ziel	Ziel	Ziel	Ziel
Push-Benachrichtigungen	Ziel	Ziel	Ziel	Ziel	—
Familienverwaltung	Ziel	Ziel	Ziel	Ziel	—

Plattform-Details

Android

Erforderliche Berechtigungen:

Berechtigung	Zweck	Optional?
CALL_LOG / READ_PHONE_STATE	Anrufschutz — Erkennung verdächtiger Anrufe	Nein (für Anrufschutz)
PACKAGE_USAGE_STATS	App-Scanner — Überwachung installierter Apps	Nein (für App-Scanner)
ACCESSIBILITY_SERVICE	Fernsteuerungsschutz — Erkennung von Overlay-Angriffen	Nein (für Fernsteuerungsschutz)
POST_NOTIFICATIONS	Benachrichtigungen bei Bedrohungen	Nein
INTERNET	Cloud Enrichment und Modell-Updates	Nein

Einschränkungen:

• Hintergrund-Dienste können durch aggressive Batterie-Optimierung beeinträchtigt werden (Hersteller-abhängig: Samsung, Xiaomi, Huawei)

Current Workspace Note

Empfohlene Batterie-Optimierung-Ausnahmen sind im aktuellen Workspace nicht als belastbarer öffentlicher Detailvertrag dokumentiert.

MDM/Enterprise:

Current Workspace Note

Android-Enterprise-Managed-Configurations bleiben hier Zielbild und sind im aktuellen Workspace nicht als vollständig bestätigter Vertragsumfang belegt.

iOS

Erforderliche Berechtigungen:

Berechtigung	Zweck	Optional?
CallKit Integration	Anrufschutz — Caller ID und Call Blocking	Nein (für Anrufschutz)
Benachrichtigungen	Push-Alerts	Nein
Netzwerk-Extension (VPN)	Netzwerk-Monitoring und Phishing-Schutz	Nein (für Netzwerkschutz)

Einschränkungen:

• iOS-Sandbox verhindert direkten Zugriff auf andere Apps — App-Scanner beschränkt auf bekannte Signaturen und URL-Prüfung
• Anrufschutz über CallKit: nur Identifikation und Blockierung, kein Echtzeit-Audio-Zugriff
• Kein Accessibility-Service-Äquivalent — Fernsteuerungsschutz eingeschränkt auf bekannte App-Erkennung

Current Workspace Note

Die iOS-Einschränkungen werden hier bewusst nur auf hoher Ebene beschrieben und nicht als abschließende, versiongenaue Vertragsliste behauptet.

MDM/Enterprise:

Current Workspace Note

Managed App Configuration und Supervision bleiben hier Zielarchitektur und sind im Workspace nicht als vollständig belegter Runtime-Umfang bestätigt.

Windows

Erforderliche Berechtigungen:

Berechtigung	Zweck	Optional?
Administrator (Installation)	Agent-Installation als System-Dienst	Nein
Netzwerk-Zugriff	DNS-Monitoring und Phishing-Schutz	Nein
Dateisystem-Zugriff	App- und Datei-Scanner	Nein

Einschränkungen:

• Kein Anrufschutz (keine native Telefonfunktion)

Current Workspace Note

Windows-Defender-Kompatibilität ist im aktuellen Workspace nicht als belastbar dokumentierter Detailvertrag beschrieben.

MDM/Enterprise:

Current Workspace Note

GPO-/Intune-Deployment und Silent-Install sind hier als Dokumentationslücke im Zielbild zu lesen, nicht als bestätigter Workspace-Umfang.

macOS

Erforderliche Berechtigungen:

Berechtigung	Zweck	Optional?
System Extension	Netzwerk-Monitoring	Nein
Full Disk Access	Datei-Scanner	Optional
Benachrichtigungen	Push-Alerts	Nein

Einschränkungen:

• Kein Anrufschutz (keine native Telefonfunktion)
• System Extensions erfordern Benutzerbestätigung in Systemeinstellungen

Current Workspace Note

Apple-Silicon- und Intel-Kompatibilitätsdetails sind im Workspace derzeit nicht als abgeschlossener öffentlicher Detailvertrag dokumentiert.

MDM/Enterprise:

Current Workspace Note

PPPC-/TCC-Profile für MDM-Deployment bleiben hier Zielbild und sind im Workspace nicht als vollständig bestätigter Betriebsvertrag belegt.

Linux

Erforderliche Berechtigungen:

Berechtigung	Zweck	Optional?
root (Installation)	Agent-Installation als systemd-Service	Nein
Netzwerk-Zugriff	DNS-Monitoring	Nein

Einschränkungen:

• Kein Anrufschutz
• Keine Push-Benachrichtigungen — Alerts nur via API/Webhook/E-Mail
• Keine Familienverwaltung

Current Workspace Note

Unterstützte Distributionen und Kernel-Versionen werden hier bewusst nicht als abschließende, workspace-verifizierte Matrix behauptet.

Enterprise:

Current Workspace Note

Ansible-/Puppet-Deployment-Playbooks gehören aktuell nicht zu einem bestätigten öffentlichen Workspace-Vertrag.

Mindestanforderungen

Plattform	Mindestversion	Speicher	Netzwerk
Android	8.0 (API 26)	Nicht als workspace-verifizierter Mindestwert bestätigt	Optional (für Cloud Enrichment)
iOS	15.0	Nicht als workspace-verifizierter Mindestwert bestätigt	Optional (für Cloud Enrichment)
Windows	10 (1903+)	Nicht als workspace-verifizierter Mindestwert bestätigt	Optional (für Cloud Enrichment)
macOS	12.0 (Monterey)	Nicht als workspace-verifizierter Mindestwert bestätigt	Optional (für Cloud Enrichment)
Linux	Kernel 5.4+	Nicht als workspace-verifizierter Mindestwert bestätigt	Optional (für Cloud Enrichment)

Current Workspace Note

Speicher- und CPU-Mindestanforderungen bleiben hier Zielbild und sind im aktuellen Workspace nicht als belastbare externe Mindestwerte bestätigt.

Querverweise

• Apps & Plattformen — Plattformspezifische Schutzfunktionen im Detail
• Kernkonzepte — Device Agent und Device-Definitionen
• Schutzrichtlinien — Policy-Konfiguration pro Plattform