Bei Airwatch und Mobileiron

Datenlecks in iOS-8-Container festgestellt

unabhängiger Enterprise Mobility Solutions Architect aus Seefeld bei München.
Wenn es darum geht, Dienstliches von Privatem auf mobilen Endgeräten zu trennen, gilt Containerisierung als die erste Wahl. Wie jedoch ein einfacher Praxistest zeigt, weisen vermeintlich sichere Container-Apps von Airwatch und Mobileiron unter iOS 8 eine eklatante Lücke in ihrer „Data Leak Prevention“ auf.
Business-Contaner sollen auf mobilen Endgeräten geschäftskritische Daten vor neugierigen Blicken schützen.
Business-Contaner sollen auf mobilen Endgeräten geschäftskritische Daten vor neugierigen Blicken schützen.
Foto: Evren Kalinbacak - Fotolia.com

Mit neuen MDM-Funktionen für iOS 7 stellte Apple im September 2013 seinen ersten eigenen Beitrag zum Trend "Business Container" vor, nachdem bereits BlackBerry mit "Balance" und Samsung mit "Knox" ihre Container-Konzepte auf Betriebssystemebene für die eigene Hardware implementiert hatten. Eine Vorreiterrolle für einen OS-unabhängigen Ansatz mit Unterstützung sowohl für iOS und Android nahm zu diesem Zeitpunkt bereits Good Technology mit seinen Plattformen "Good for Enterprise" und "Good Dynamics" ein.

Mittlerweile bieten aber alle namhaften Anbieter im EMM-Zirkus (Enterprise Mobility Management) Container-Lösungen zumindest für iOS und Android, sowie zunehmend, wenn auch funktionell noch eingeschränkt, für Windows Phone an. Dazu gehören heute AirWatch (VMware), BlackBerry, Citrix, Good Technology, IBM/Fiberlink und MobileIron.

Unter iOS verfolgen diese Lösungen das Ziel, einen geschützten, zentral durch die Firmen-IT verwalteten Verbund von Business-Apps zu schaffen, der einen sicheren Container für Firmendaten und -anwendungen schafft. Allgemeine Eigenschaften von Business-Apps innerhalb eines Container-Verbunds für iOS sind:

  • Ein firmeninterner App-Catalog zur Installation ausgewählter Container Apps

  • Zentrale, automatisierte Konfiguration über die EMM-Konsole, um erforderliche Benutzereingaben zur Inbetriebnahme zu minimieren ("Managed App Config")

  • Zusätzliche, OS-unabhängige Datenverschlüsselung

  • Zusätzliche Zugangskennung zur Business App mittels PIN oder SmartCard (Single-Sign-On zum App-Verbund im Container)

  • Verschlüsselter Tunnel/Per-App VPN zur abgesicherten Unternehmensanbindung

  • Jailbreak-Erkennung, um die Umgehung der Schutzmaßnahmen durch ein kompromitiertes Betriebssystem zu verhindern

  • Beschränkung der "Öffnen in" Funktion auf andere Apps im Container, um zu verhindern, dass Firmendokumente unkontrolliert nach Dropbox & Co. transferiert werden können ("Managed Open-In", DLP)

  • App-Fernverwaltung (App-Zugriffssperrung/-Entsperrung und gezielte Datenlöschung)

Mit den hauseigenen MDM-Mitteln von iOS selbst lassen sich nicht alle dieser Eigenschaften realisieren. So existieren zwar mit Managed Apps, Managed App Config, Managed Open-In, Per-App VPN und - neu seit iOS 8 - mit Managed Web Domains und (eingeschränkt) Touch ID von Apple standardisierte Bausteine für einen Business-Container, doch sind damit nicht alle Aufgaben abgedeckt.

Setzt man beispielsweise weiterhin auf die nativen PIM Apps von iOS, verbleibt die Verantwortung gänzlich beim Mitarbeiter, dienstliche Mails vor neugierigen Blicken zu schützen, die eigentlich nur für die Fotos des letzten Wochenendausflugs autorisiert waren. Auch der Abfluss von dienstlichen Kontaktdaten aus synchronisierten Exchange- oder Domino-Konten in soziale Netzwerke verbleibt gänzlich außerhalb der technischen IT-Kontrolle. Da Apples Schutzfunktionen zudem auch zwingend die vollständige Gerätekopplung mit dem firmeneigenen MDM-System voraussetzen, gestaltet sich eine Nutzung in BYOD-Szenarien als schwierig.

EMM-Lösungen auch bei iOS 8 nicht obsolet

In sicherheitssensitiven Firmenumgebungen, in denen iOS-Geräte mit tolerierter privater Nutzung bzw. "unmanaged" Apps aus dem iTunes AppStore zum Einsatz kommen sollen, behalten daher die proprietären Container-Lösungen der EMM-Anbieter auch in iOS8-Zeiten weiterhin ihre Daseinsberechtigung. Um eine App in einen der Business-Container aufnehmen zu können, muss die Anwendung dessen spezifische Eigenschaften unterstützen. Eine Einbindung erledigt der App-Entwickler, indem er seine App entweder weitreichend mit dem Enterprise SDK der jeweiligen EMM-Lösung integriert oder indem er (bzw. eine dazu autorisierte Partei) ein "App Wrapping" mit den Container-Funktionen vornimmt. Die SDK-Integration erlaubt nicht nur weitergehende Funktionalitäten (z.B. ein Managed App Config über die EMM-spezifischen Funktionen), sondern auch die Nutzung des öffentlichen iTunes App Stores als Distributionskanal.

Im Zuge eines App Wrappings wird die App um Funktionen, wie lokales SSO, zusätzliche lokale Datenverschlüsselung und verschlüsselte Datenverbindungen ins Unternehmen generisch erweitert, indem iOS Standardklassen intern auf neue "Enterprise"-Klassen umgebogen werden. Zu diesem Verfahren sind nicht grundsätzlich alle Apps kompatibel. Zudem muss die App zwangsläufig mit dem Enterprise Developer Zertifikat des Unternehmens signiert werden. Dies verbietet sich grundsätzlich für Apps aus dem iTunes App Store. Auch dürfen entsprechend signierte Apps nach Apples Vorgabe nur auf iOS-Geräten ausgebracht werden, die vom Unternehmen mittels MDM kontrolliert werden.

Quantität statt Qualität sorgt für Probleme

Bereits diese grobe Betrachtung lässt Apps mit einer dedizierten SDK-Integration für die jeweiligen EMM-Anbieter als optimale Lösung erscheinen. Business-App-Entwickler werden daher derzeit von den EMM-Herstellern umworben, das eigene Enterprise SDK zu integrieren und damit das Angebot des eigenen Business App Marketplace zu mehren. Der Erfolg dieser Bemühungen fällt jedoch durchaus unterschiedlich aus. Es gilt vornehmlich das Gebot der Quantität, statt auf Qualität und Sicherheit zu setzen. Von einer Sicherheitsprüfung oder "App-Zertifizierung" sehen die Betreiber der "Business App Marketplaces" derzeit ab. Die Verantwortung beim Aufbau einer sicheren mobilen Betriebsumgebung verbleibt damit gänzlich beim Kunden.

Beispiele für Versäumnisse einer sicherheitsbewussten App-Entwicklung liefern ausgerechnet die EMM-Schwergewichte AirWatch und MobileIron selbst. Im Praxistest mit iOS 8.1.2 sind AirWatch Secure Content Locker 2.3.4 und MobileIron Docs@Work 1.1.1.4 als Vertreter der jeweiligen Container-Lösungen nicht in der Lage, einen externen Dokumententransfer über "Share" und "Action" Extension Apps zu kontrollieren. Damit lassen sich entgegen der administrativen Vorgabe Firmendokumente aus einem vermeintlich geschlossenen Container-Verbund mit Apps wie Evernote, Transmit von Panic Inc, OneNote von Microsoft und Workflow von DeskConnect vom Benutzer unbeschwert und von der IT unkontrolliert auf Cloud-Dienste übertragen. Auch beim PIM-Container Divide 2.1.4. für MobileIron AppConnect lässt sich diese Lücke beobachten. "App Extensions" führte Apple mit iOS 8 bereits im September 2014 ein.

Die eingestellten Sicherheitsrichtlinien von Docs@Work sollten eigentlich nur ein „Öffnen in“ anderen abgesicherten AppConnect Apps zulassen.
Die eingestellten Sicherheitsrichtlinien von Docs@Work sollten eigentlich nur ein „Öffnen in“ anderen abgesicherten AppConnect Apps zulassen.
Foto: Peter Meuser, iTlab Consulting

Das Datenleck lässt sich auch in Kombination mit Apples eigener "Öffnen In" Beschränkung von iOS-MDM nicht wirksam unterbinden, die prinzipiell auch für Share Extensions greift. Die iOS-Restriktion greift nur für "Managed Apps". Eine App aus dem iTunes App Store wird zur Managed App, in dem diese mittels MDM-Request - meist ausgelöst via internen App-Catalog - installiert wird. Entscheidet sich der Benutzer allerdings die App unter Umgehung des internen App-Catalogs direkt aus dem iTunes App Store zu installieren, greift die Restriktion nicht. Beide EMM-Lösungen sind nicht in der Lage, Container-Einstellungen davon abhängig zu machen, ob eine App als Managed App installiert wurde. Damit bestimmt das Benutzerverhalten und nicht die IT die wirksame Einstellung zur Datensicherheit.

Inhalt dieses Artikels

 

Patricia29

Cooles Angebot von 2 jahre mit einem SmartDNS für 1,96 Euros/monat während 2 jahre bei PureVPN

Man nutzt SmartDNS für streamen und es ist kostenlos mit deisem Deal.

PureVPN hat mehr als 500 Server in 141 Ländern. (Bis zu 2-fach Geschwindigkeitgegenüber den andere VPN-Service), keine Logs, 7-TAGE GELD-ZURÜCK-GARANTIE, Gleichzeitige Nutzung auf bis zu 5 Geräten, Militärisch-starke Verschlüsselung, Zensurfrei streamen und P2P downloaden.

Fantastische Deal. :)

comments powered by Disqus