MDM, Apps, iTunes, Siri

Apple iOS im Business – das empfiehlt das BSI

Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die wichtigsten Maßnahmen zur Absicherung des iPhone- und iPad-Betriebssystems vorgestellt.
Beliebt, aber nicht ohne weiteres im Business einsetzbar: Apple iPhone 5s
Beliebt, aber nicht ohne weiteres im Business einsetzbar: Apple iPhone 5s

Wenn auch nicht über alle Zweifel erhaben, ist das BSI für die meisten CIOs hierzulande bei IT-Sicherheitsfragen die oberste Instanz: Hält man sich an die Empfehlungen der Behörde, so die weitverbreitete Auffassung, kann man so falsch nicht liegen. Aus diesem Grund ist es wenig verwunderlich, dass das BSI häufig Anfragen erhält, was Sicherheitsempfehlungen zu aktuellen neuen Vorgehensweisen, Technologien oder Anwendungen betrifft. Nach einer Reihe anderer Themen hat sich das Bundesamt daher in dem „Überblickspapier Apple iOS“ (PDF) auf zwölf Seiten das mobile Betriebssystem zur Brust genommen, die iOS-spezifischen Gefährdungen analysiert und Gegenmaßnahmen vorgeschlagen.

Generell bewertet das BSI Apples mehrstufiges Sicherheitskonzept bei iOS positiv: Apple setze verglichen mit anderen Herstellern auf eine restriktive Politik, was die Erweiterbarkeit der Hardware und die Verfügbarkeit von Software angehe, heißt es in dem Papier. So dürften etwa Apps erst über den App Store vertrieben werden, nachdem sie verschiedene Tests durch Apple bestanden haben. Dieses Konzept habe bislang dazu geführt, dass es - verglichen mit anderen Plattformen - nur wenig Schadsoftware und kaum erfolgreiche Attacken auf iOS-Geräte gebe. Trotzdem seien laut BSI auch iDevices Angriffen ausgesetzt und müssten dementsprechend geschützt werden, durch korrektes Verhalten und durch technische Abwehrmaßnahmen. Hier eine Zusammenfassung der wichtigsten grundliegenden Maßnahmen zur Risikominimierung:

Zentraler Einkauf

Als überzeugter Gegner von ByoD spricht sich das BSI klar für eine zentrale Beschaffung und Aktivierung von iOS-Geräten im Unternehmen aus – nur so könne man generelle Nutzungsbeschränkungen (Supervised Modus) oder – via MDM-System - Policies für die Sicherung von Daten, die Installation von Apps oder die Verbindung mit WLANs vorgeben. Generell sollten Unternehmen dabei nur Endgeräte nutzen, die vom Hersteller noch unterstützt werden.

Aktualisierungen zeitnah einführen

Updates wie iOS 7.1 sollen Fehler bereinigen, neue Funktionen bieten und die Performance erhöhen.
Updates wie iOS 7.1 sollen Fehler bereinigen, neue Funktionen bieten und die Performance erhöhen.

In Betriebssystem-Updates und -Patches werden in der Regel viele potenzielle Sicherheitslücken behoben. Weil die Schwachstellen danach allgemein bekannt sind, sollten Unternehmen laut BSI testen, ob Geräte und Apps einwandfrei funktionieren und danach die Updates möglichst zeitnah ausrollen. Für Einsatzbereichen mit erhöhten Sicherheitsanforderungen empfiehlt das BSI generell, keine iOS-Geräte zu nutzen, die nicht die aktuellste iOS-Version ausführen können.

Whitelisting von Apps

Da Software immer fehlerbehaftet ist und Schwachstellen aufweisen kann, rät das BSI, wenn möglich nur die vom Unternehmen freigegebenen Apps auf dem iOS-Gerät zu erlauben und zu verhindern, dass zusätzliche Apps installiert werden. Möglich ist dies über Richtlinien in einem Mobile-Device-Management-System (MDM) und durch den Supervised-Modus von iOS ab Version 6.

Jailbreaks erkennen

Mit einem Jailbreak ist es möglich, die von Apple auferlegten Nutzungsbeschränkungen für iOS-Geräten zu umgehen. So kann der Anwender etwa Apps zu installieren, die nicht über den offiziellen Kanal des Apple App-Store bezogen werden können, was prinzipiell Angriffe durch Schadsoftware auf iOS erleichtert. Technisch lassen sich Jailbreaks durch restriktive Richtlinien (MDM) und den Supervised-Modus erschweren.

Backup via iTunes oder iCloud einschränken

Ab iOS 5 ist iTunes nicht mehr zwingend für die Verwaltung der iOS-Geräte notwendig. Werden die Funktionen nicht unbedingt zur Datensicherung benötigt, rät das BSI daher dazu, die Software nicht zu verwenden oder administrativ zu sperren (locked-down) sowie ganz oder selektiv die Freigabe von Musik- und anderen Dateien abschalten. Sollte iTunes im Unternehmen genutzt werden, sollte für die Übertragung unbedingt die Verschlüsselung aktiviert werden.

Die Datensicherung über Apples Online-Dienst iCloud erfolgt standardmäßig verschlüsselt, wie das BSI hinweist, ist der Dienst jedoch in erster Linie für Privatanwender konzipiert. So ziehe sich Apple bei der Aufbewahrung der Daten in der iCloud weitgehend aus der Verantwortung und garantiere für nichts – weder für eine dauerhafte Aufbewahrung der Daten noch dass die Daten „nicht versehentlich beschädigt oder verfälscht werden, verloren gehen oder entfernt werden.“ Trotz der Annehmlichkeiten, die die iCloud mitbringt, empfiehlt die Behörde daher aus gutem Grund, bei der beruflichen Verwendung von iPhones auf Synchronisierungsdienste über die iCloud zu verzichten. Ebenso rät das BSI, keine dienstlichen Dokumente und Backups in der iCloud zu speichern sowie keinen iCloud-E-Mail-Account zu verwenden.