MDM, Apps, iTunes, Siri

Apple iOS im Business – das empfiehlt das BSI

02.12.2013
Von 


Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.

Mobile Device Management verwenden

Das BSI empfiehlt, alle Einstellungen, soweit möglich, über eine MDM-Software vorzunehmen, wie sie zahlreiche Hersteller anbieten. Die MDM-Software muss dabei alle konfigurierbaren Richtlinien der Apple iOS-Geräte unterstützen und sollte eine Möglichkeit bieten, Geräte mit Jailbreak im Netz und unautorisierte Software auf den Endgeräten zu erkennen und zu melden.

Ein Problem bei der Verwendung von MDM bei iOS ist allerdings, dass der Anwender – wenn nicht der Supervised-Modus (Näheres dazu später) verwendet wird – an den auferlegten Richtlinien Änderungen vornehmen kann. Um dies zu verhindern, raten die Sicherheitsexperten, restriktive Einstellungen in einer Richtlinie mit für die Arbeit unerlässlichen, Einstellungen beispielsweise für den E-Mail Account zu verbinden. Möglich ist laut BSI auch, eine Einstellung pro Richtlinie zu nutzen und sie mit einem Passwort zu versehen. Sie können dann, mit Ausnahme der Basis-Richtlinie ("Enrollment Profile"), nicht mehr gelöscht werden. Entfernt ein Benutzer die Basis-Richtlinie, werden auch alle hierarchisch darunter liegenden Einstellungen gelöscht. Das iDevice ist danach nicht mehr im Firmennetz funktionsfähig.

Supervised-Modus nutzen

In dem iOS 6 verfügbaren Supervised-Modus kann der IT-Administrator mehr Kontrolle über das Gerät ausüben und zahlreiche sicherheitsrelevante Einstellungen vornehmen. So lässt sich beispielsweise der Zugriff zu Game Center, Bookstore und erotischen Büchern verbieten und ein globaler Proxy einrichten, über den sämtlicher HTTP-Verkehr geleitet wird. Außerdem erlaubt der Supervised-Modus eine Kiosk-Betriebsart (App-Lock), in der das Gerät nach dem Start nur eine definierte Anwendung ausführt, die der Benutzer nicht wechseln kann. Aus Sicherheitssicht ist besonders wichtig, dass Benutzer bei iOS-Geräten im Supervised-Modus MDM-Richtlinien nicht mehr entfernen können. Probleme kann jedoch laut BSI die nachträgliche Einrichtung des Supervised-Modus machen, da dieser eine Neuinstallation erfordert - wurde bereits mit dem Endgerät gearbeitet, müssen persönliche Daten und Apps vorher gesichert und wiederhergestellt werden

Copy & Paste abschalten

Für Einsatzgebiete mit sehr hohen Sicherheitsanforderungen hält es das BSI für sinnvoll, Kopieren und Einfügen (Copy & Paste) abzuschalten oder zu reglementieren. Diese Maßnahme verhindert, dass Daten aus geschützten in offene Anwendungen wie Web-Mail kopiert werden. Sie erfordert jedoch eine MDM-Lösung und kann nicht mit Bordmitteln umgesetzt werden.

Kein "Simple Passcode"

Der Passcode schützt iOS-Geräte vor unbefugtem Zugriff und sollte daher laut BSI immer aktiviert sein. Allerdings empfehlen die Sicherheitsexperten Unternehmen, sich nicht mit dem einfachen PIN aus vier Zahlen zu begnügen, sondern einen komplexeren Passcode vorzuschreiben. Zusätzlich biete Apple bei iOS im Zusammenhang mit dem Passcode einige weitere Schutzmaßnahmen an: Nach einer bestimmten Zahl von Fehleingaben wird das iOS-Gerät temporär gesperrt, um so zu verhindern, dass viele Kombinationen durchprobiert werden. Falls eine höhere Sicherheitsstufe gewünscht wird, lässt sich das iOS-Gerät nach mehr als zehn Fehleingaben löschen.

Profiles sicher verteilen

Richtlinien (Profiles) müssen auf einem sicheren Weg an die iOS-Geräte verteilt werden, da sie vertrauliche Benutzerinformationen enthalten können. Das kann laut BSI manuell mit dem iPhone Configuration Utility (iPCU) oder dem Apple Configurator über eine USB-Verbindung erfolgen oder, wenn vorhanden, mittels einer Certificate Authority mit LDAP-Directory, Simple Certificate Enrollment Protocol (SCEP) und einem Webserver.

Siri deaktivieren

Wie weitläufig bekannt ist, arbeitet die Spracherkennungssoftware Siri nicht lokal auf dem iOS-Gerät, sondern auf weltweit verteilten Servern. Zudem kann Siri auch Aktionen bei gesperrtem iOS-Gerät durchführen, wenn die Benutzer oder die Institution diese Funktion nicht explizit abgeschaltet haben. Das BSI legt daher Unternehmen nahe, je nach Sicherheitsanforderung zu überlegen, ob man Siri gänzlich abschaltet oder mit entsprechenden Profilen bei einer aktiven Bildschirmsperre deaktiviert.

Vorgehen bei Verlust oder Diebstahl regeln

Praktisch alle MDM-Lösungen unterstützen Remote Wipe
Praktisch alle MDM-Lösungen unterstützen Remote Wipe
Foto: Mücke Sturm & Company

Aus Sicht der Behörde sollten Unternehmen bereits im Vorfeld Prozesse etablieren, wie und unter welchen Voraussetzungen iOS-Geräte gelöscht werden können. Welche Methode dafür genutzt wird, hängt laut BSI auch davon ab, ob die Company oder ein Benutzer Eigentümer des Geräts ist. Besteht eine Netzverbindung zum iOS-Gerät, kann der Administrator die Sperrung über Exchange ActiveSync oder MDM-Software aus der Ferne einleiten. Ohne MDM-Lösung lässt sich dafür iCloud oder Mobile Me nutzen.

Sicheres Löschen

Auch wenn sich das iOS-Gerät in sicherer Nähe befindet, kann manchmal eine Komplettlöschung notwendig sein, zum Beispiel, wenn es ein neuer Mitarbeiter erhalten soll. Laut BSI stellt Apple dazu den Device Firmware Upgrade-Modus (DFU) oder die Systemeinstellung "Einstellungen und Inhalte löschen" bereit. Der DFU-Modus kann über iTunes ausgelöst werden, dazu muss iTunes keine vorherige Host-Verbindung mit dem iOS-Gerät etabliert haben. Wie die Behörde weiter ausführt, muss bei einer Erstverbindung mit dem Host für den Zugriff durch iTunes auf das Gerät der PIN Code eingegeben werden. Alternativ lässt sich der DFU-Modus durch eine Tastenkombination am iOS-Gerät starten. Daneben enthalten üblicherweise auch MDM-Lösungen eine entsprechende Funktionalität.