Foto: Jamf
Als Betriebssysteme sind iOS und macOS bisher nicht so stark von Cyberkriminellen ins Visier genommen worden, wie die unterschiedlichn Windows-Versionen von Microsoft. Inzwischen setzen jedoch auch Unternehmen zunehmend auf Apple-Geräte als Standard für ihre Mitarbeiter und die Bedrohungslandschaft verändert sich entsprechend. Denn es liegt im Interesse der meisten Angreifer, so viele Endgeräte, Systeme und Netzwerke wie möglich zu kompromittieren. In Folge werden Angriffsmethoden wie Malware, Ransomware oder Viren immer häufiger spezifisch auf Apple-Geräte und -Betriebssysteme zugeschnitten. Auf diesen Trend hat Apple bereits Anfang 2023 reagiert und das RSR-Modell eingeführt.
Was ist Apple RSR?
RSR (Rapid Security Response) ist ein neues Modell für das Ausrollen von Software-Updates für Apple-Betriebssysteme. Zuvor wurden neue Funktionen gemeinsam mit Patches für Softwarefehler und Sicherheitsschwachstellen gesammelt und in einer neuen Software-Version veröffentlicht. Dies hatte den Vorteil, dass der Entwicklungszyklus, die Dokumentation und das Roll-Out der Updates unkomplizierter und einfacher nachzuvollziehen waren.
Die inzwischen jedoch höchst dynamische Bedrohungslandschaft im Bereich Cybersicherheit verlangt allerdings einen höheren Grad an Flexibilität, wenn Sicherheitslücken geschlossen werden sollen, bevor sie flächendeckend von Angreifern genutzt werden können. Das neue RSR-Modell trennt daher kritische Sicherheitsupdates von den funktionalen Updates und ermöglicht es Apple auf diese Weise, potenzielle, von Angreifern ausnutzbare Schwachstellen schneller und punktueller zu beheben.
Ein weiterer Vorteil: Anbieter von Services rund um Apple-Produkte können auch in ihren Produkten die entsprechenden Updates und Fehlerbehebungen gezielter durchführen, da weniger Code auf einmal überprüft und aktualisiert werden muss. Oftmals umfangreichere Funktionsupdates können auf diese Weise separat und ohne den Zeitdruck, den ein Sicherheitsupdate mit sich bringt, in die eigene Software integriert werden.
Wie sich das RSR-Modell bestmöglich nutzen lässt
Mit Blick auf das neue RSR-Modell von Apple sollten RSR-Updates immer so schnell wie möglich - im Idealfall bereits am Tag der Veröffentlichung - ausgerollt werden, um kritische Sicherheitslücken bestmöglich zu schließen. In seltenen Fällen können frisch veröffentlichte Software-Updates zwar für kleinere Probleme mit bestehenden Systemen und Konfigurationen sorgen, doch üblicherweise überwiegen das Risiko und die negativen Folgen von Angriffen die geringfügigen Auswirkungen, die ein noch nicht optimiertes Update auf das Nutzererlebnis oder den Zugriff auf nicht-kritische Anwendungen haben könnte.
Bei weniger dringenden Updates, die vor allem neue Funktionen einführen oder bestehende Funktionen benutzerfreundlicher machen, besteht etwas mehr Spielraum. Aber auch die sollten innerhalb von 30 Tagen nach Veröffentlichung unternehmensweit ausgerollt werden. Auf diese Weise haben Unternehmen genügend Zeit um sicherzustellen, dass alle wichtigen Anwendungen und Prozesse zu den neuen Funktionen kompatibel sind, alle Endnutzer entsprechend geschult werden und die Dokumentation der Updates einwandfrei durchgeführt wurde.
Egal ob RSR- oder Funktions-Update, im Idealfall werden die Apple-Geräte im Unternehmen nach und nach in Gruppen aktualisiert, um die Auswirkungen des Updates auf die eigenen Systeme besser kontrollieren zu können - und um zu verhindern, dass im Falle einer Inkompatibilität alle Geräte auf einmal betroffen sind. Individualgeräte, welche nur von einzelnen Nutzern verwendet werden und die idealerweise über ein Backup-Gerät verfügen, sollten als erstes aktualisiert werden. Wenn ein solches Gerät ausfällt, ist dies zwar ärgerlich, aber für das gesamte Unternehmen ein geringerer Schaden als beispielsweise ein nicht verwendbares Point-of-Sale-Gerät im Laden, das von mehreren Verkäufern genutzt wird.
Schritt für Schritt: Die Software-Update-Strategie optimieren
Unabhängig von Apples neuem RSR-Modell sollte jedes Unternehmen zudem eine eigene, gut durchdachte Software-Update-Strategie erarbeiten, die auf die unternehmensspezifischen Anforderungen, Systeme und Besonderheiten abgestimmt ist. Diese sollte in drei groben Schritten erfolgen: Pre-Rollout, Rollout und Post-Rollout.
Beim Pre-Rollout handelt es sich um eine Vorbereitungs- beziehungsweise Planungsphase. Während dieser werden zunächst die aktuellen, im Unternehmen genutzten Systeme, kritischen Geschäftsanwendungen, Geräte und deren Konfigurationen ermittelt und dokumentiert. Bei den Geräten sollte darauf geachtet werden, dass diese Inventarisierung möglichst vollständig ist - Laptops und Smartphones, firmeneigene und Bring-Your-Down-Device-Geräte, verwaltete und nicht verwaltete Geräte.
Außerdem ist für diese Dokumentation relevant, wann bestimmte Geräte nicht mehr vom Hersteller mit Updates unterstützt werden, da diese dann zu Sicherheitsrisiken werden. Zusätzlich sollte noch ermittelt werden, welche Geräte im Unternehmen auf welche kritischen Geschäftsanwendungen zugreifen, da diese während des Rollouts von Updates als erstes aktualisiert werden sollten.
Sobald die Dokumentation abgeschlossen ist, empfiehlt es sich, eine Testgruppe für das Software-Update zu identifizieren. Idealerweise ist dies keine homogene Gruppe aus technisch versierten IT-Spezialisten, sondern sie besteht aus Vertretern verschiedener Unternehmensbereiche, sowie Vor-Ort- und Hybrid-Mitarbeitern und -Mitarbeiterinnen.
Der nächste Schritt, sobald ein für das Unternehmen relevantes Software-Update veröffentlicht wird, ist der Rollout. Dabei sollten zunächst die Geräte der vorher definierten Testgruppe sowie die Geräte, die im Falle von Problemen die geringsten Risiken aufweisen, priorisiert werden. Wichtig ist, dass die Testphase lange genug angesetzt ist, damit die IT-Abteilung Komplikationen wie Leistungseinbußen identifizieren und gegebenenfalls beheben kann.
Das Feedback der Testgruppe sollte dabei entscheidend sein. Sobald eventuell auftretende Probleme behoben sind und das Update ausgerollt werden kann, sollte der Rollout in einer festgelegten Reihenfolge durchgeführt werden. Die Priorisierung sollte dabei auf Basis der im Rahmen der Dokumentation ermittelten Wichtigkeit der einzelnen Geräte für den reibungslosen Geschäftsablauf erfolgen. Idealerweise sollten 90 bis 95 Prozent aller Geräte aktualisiert sein, bevor die nächsten Schritte eingeleitet werden.
Der letzte Schritt - das Post-Rollout - sollte darin bestehen, Richtlinien zu implementieren, die es nur Geräten ermöglicht, auf kritische Geschäftsanwendungen und -ressourcen zurückzugreifen, die bereits mit den neuesten Sicherheitsupdates ausgestattet sind. Sicherheitsprotokolle, die während des Rollouts von den Geräten erstellt wurden, können das IT-Team dabei unterstützen, potenziell anfällige oder bereits kompromittierte Geräte zu identifizieren. Solche Geräte sollten umgehend isoliert und überprüft werden, bevor sie wieder regulär in Betrieb genommen werden und weitere Updates erhalten.
Fazit
Eine durchdachte Software-Update-Strategie zu haben, lohnt sich für jedes Unternehmen, unabhängig von Apples neuem RSR-Modell. Ein Mobile Device Management-System (MDM) befähigt Unternehmen hier umfassend, sowohl beim Aufsetzen einer entsprechenden Strategie als auch bei allen nachfolgenden Update-Iterationen. MDMs mit integrierten Sicherheitsfunktionen können zudem noch die IT- und IT-Sicherheitsverantwortlichen bei der Bedrohungssuche unterstützen und dazu beitragen, dass im Zeitraum zwischen der Veröffentlichung eines Updates und des tatsächlichen Rollouts im Unternehmen keine Geräte kompromittiert werden.
Insbesondere Reseller sollten sich darüber bewusst sein, dass regelmäßige Software-Updates, sowohl mit Blick auf Cybersicherheit als auch auf neue Funktionen und deren möglichst nahtlosen Rollout einen wesentlichen Aspekt bei der Kundenentscheidung für oder gegen Hard- und Software ausmacht. Reseller, die ihre Kunden hier bestmöglich unterstützen können und im Idealfall sogar dedizierte MDM-Angebote mitliefern können, verfügen über einen deutlichen Wettbewerbsvorteil im Markt.
Apple-Geräte im Business-Einsatz