Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

12.03.2008

Security-Alptraum iPhone 2.0?

12.03.2008
Das Apple-Handy soll ab Juni Enterprise-tauglich werden. Wir zeigen, worauf sich IT-Manager einstellen müssen.

Bislang ging der Kelch des Hype-Handys iPhone an IT-Managern vorbei. Dem Kulttelefon fehlten schlicht die notwendigen Features für den Business-Einsatz. Ab Juni dürfte es aber mit der Ruhe für die IT-Verantwortlichen vorbei sein. Dann will Apple nämlich das Betriebssystem des iPhone in der Version 2.0 auf den Markt bringen. Der Fokus der Neuerungen liegt dabei auf Features für die Nutzung im Enterprise-Umfeld. Auf der Agenda stehen laut Apple folgende Erweiterungen:

IPsec VPN-Client;

WLAN mit WPA2 und 802.1x;

Löschen des Geräts im Fernzugriff;

verbesserter Schutz/Verschlüsselung der Daten;

Richtlinien für die Sicherheit;

Push-Mail;

SDK zur Entwicklung von Anwendungen für Drittanbieter.

VPN nach Cisco-Art

Auf den ersten Blick scheint das iPhone damit nun wirklich fit für den Unternehmenseinsatz zu sein, doch der Teufel steckt im Detail. So gibt es beispielsweise in Sachen IPsec-VPN eine entscheidende Einschränkung: Die Implementierung basiert auf Ciscos VPN-Software, so dass ein reibungsloses Zusammenspiel mit VPN-Routern und -Gateways nicht garantiert ist. Dennoch ist die VPN-Unterstützung mit Zwei-Faktor-Authentifizierung und Zertifikaten ein echter Fortschritt, da das Telefon ursprünglich keine VPN-Funktion besaß. Erst gegen Ende 2007 rüstete Apple die VPN-Protokolle L2TP und PPTP nach und brachte dem Device die SecurID-basierende Authentifizierung von RSA bei.

Mehr Sicherheit im WLAN

Mehr Sicherheit verspricht auch die überarbeitete WLAN-Funktion. Mit WPA 2 (Wifi Protected Access), das heute noch als sicher gilt, und einer Authentifizierung gemäß 802.1x über einen Radius-Server sollte sich das iPhone im Unternehmenseinsatz sicher in Funknetzen verwenden lassen.

Hier lesen Sie …

wie Apple das iPhone für den Business-Einsatz fit macht;

wo Experten Schwachstellen im Sicherheitskonzept des iPhone sehen;

was beim Einsatz von ActiveSync zu beachten ist.

Doch mit der sicheren Anbindung an die Unternehmensnetze wartet auf die IT-Verantwortlichen eine neue Gefahr. Dank 16 GB Speicher, wie sie in der neuesten iPhone-Generation verbaut wird, eignet sich das Telefon vorzüglich zum Datenklau durch Mitarbeiter. Der Speicherzuwachs hat noch eine andere Konsequenz. Verliert ein Mitarbeiter sein iPhone und hat darauf sensible Daten gespeichert, dann wird es für das betroffene Unternehmen nicht nur peinlich, sondern je nach Gesetzeslage auch richtig teuer. In der Vergangenheit hatte Apple dem nichts entgegenzusetzen, denn der vierstellige Code zum Schutz des iPhones war für richtig schwere Jungs gerade mal Morgengymnastik zum Warmmachen. Damit soll nun Schluss sein.

Risiko Hacker-Tools

Für das iPhone 2.0 verspricht Apple nicht nur die Möglichkeit, das Telefon per Fernzugriff zu löschen beziehungsweise zu sperren, sondern auch Richtlinien für die Sicherheit, um den Anwender an die Kandare nehmen zu können. Zudem sollen die Daten nun auf dem Handy verschlüsselt gespeichert werden. In der Theorie klingt das gut, doch leider hüllte sich Apple zu weiteren Details in Schweigen. Gerade die Erfahrungen von RIM und Microsoft haben aber in der Vergangenheit gezeigt, dass es nicht trivial ist, ein Smartphone wirkungsvoll zu schützen und zu verhindern, dass etwa ein User einfach eine andere SIM-Karte einsteckt und so die Sicherheitsvorgaben umgeht. Ebenso bleibt unklar, wie Apple verhindern will, dass der User das ROM manipuliert und so an die Daten kommt. Tools wie ZiPhone, mit dem sich ein iPhone entsperren lässt, geben zumindest Anlass zur Sorge - zumal die Werkzeuge zum Jailbreaking (wie der Vorgang unter Eingeweihten heißt) für das iPhone 2.0 bereits fertig sind. Damit liegt für den Benutzer das iPhone-Betriebssystem offen. Kritikern ist es deshalb ein Rätsel, wie Apple darauf ein sicheres System aufbauen will, das Unternehmensdaten vor unberechtigten Zugriffen schützen soll. In ihren Augen genügt es nicht, einige Sicherheits-Features hinzuzufügen. Vielmehr setze eine Sicherheitsstrategie für den Unternehmenseinsatz eine End-to-End-Architektur voraus, die von Beginn an in Software und Hardware implementiert ist.

Schützenhilfe von Microsoft

Klarheit herrscht dagegen in Sachen Push-Mail. Statt wie RIM oder GoodLink eine eigene Mail-Infrastruktur zu entwickeln, vertraut Steve Jobs lieber auf die Schützenhilfe von Microsoft und nimmt ActiveSync in Lizenz. Exchange-Benutzer dürfte dies erfreuen: Sie gleichen unterwegs problemlos Mails, Adressen oder Termine quasi in Echtzeit mit den Informationen auf den Servern im Unternehmen ab. Dafür lässt Apple Notes- oder Groupwise-Benutzer mit dieser Entscheidung weiter im Regen stehen. Sie haben lediglich die Möglichkeit, ihre elektronische Post per Imap oder POP 3 abzurufen, wobei das kürzeste Zeitintervall zur Abholung 15 Minuten beträgt.

Besser als der Blackberry?

Überzeugt vom ActiveSync-Ansatz, stänkerte Steve Jobs bei der iPhone-2.0-Präsentation kräftig gegen den Konkurrenten RIM, der vor Apple Marktführer bei den Smartphones ist: "Bei uns gibt es keinen Single Point of Failure, weil wir nicht jede Mail über ein Network Operating Center (NOC) in Kanada (Anm. d. Red.: das europäische NOC steht in England) routen." Die direkte Verbindung, wie sie ActiveSync - auch als Direct Push bekannt - verwende, so glaubt Jobs, sei eben sicherer.

Was Jobs jedoch bei der Präsentation verschwieg, ist, dass er sich mit der Entscheidung zugunsten von ActiveSync auf Gedeih und Verderb Microsofts Outlook Web Access (OWA) ausgeliefert hat. Zwar wird hierzu kein NOC wie beim Blackberry benötigt, dafür weist der Ansatz unter Kosten- und Sicherheitsaspekten schwere Nachteile auf. So verursacht OWA im Vergleich zum Blackberry ein deutlich höheres Datenvolumen.

Im Ausland teuer

Diverse Untersuchungen kamen zu dem Ergebnis, dass Direct Push für das Übertragen einer 5 KB großen Nachricht ein Datenvolumen von 12,4 KB erzeugt, während der Blackberry dank Komprimierung nur 3,2 KB transferiert. Hochgerechnet auf einen Monat kommen Blackberry-Nutzer im Schnitt mit einem Datenvolumen von 2 MB aus, während für Direct Push 50 MB zu veranschlagen sind. Da die iPhones in der Regel mit einer Daten-Flatrate vermarktet werden, scheint dies auf den ersten Blick kein Problem zu sein. Im Business-Umfeld schlägt hier jedoch schnell die Kostenfalle zu, wenn der Geschäftsreisende im europäischen Ausland die immer noch horrenden Daten-Roaming-Gebühren bezahlen muss. Zudem dürfte die Standby-Zeit des iPhone mit aktiviertem ActiveSync drastisch sinken.

Offene Firewall

Zu guter Letzt sprechen gegen ActiveSync einige Sicherheitsaspekte. In Verbindung mit OWA muss der IT-Administrator nämlich auf seiner Firewall den Port 443 für eingehende Verbindungen öffnen - also vom Internet frei ansprechbar machen. Beim Blackberry-System wird dagegen nur der ausgehende Port 3101 geöffnet. Erschwerend kommt hinzu, dass Microsoft empfiehlt, an der Firewall den Timeout für eine entsprechende Verbindung auf 30 Minuten heraufzusetzen. Dies scheint erforderlich zu sein, weil bei OWA anders als beim Blackberry keine direkte Verbindung aufgebaut wird, sondern sich das Device per https am Exchange Server meldet und nach neuer Post fragt. Der Sicherheitsproblematik ist sich Microsoft auch bewusst, weshalb die Company den zusätzlichen Einsatz des Internet Security und Acceleration Servers empfiehlt.

Bei seiner Push-Mail-Lösung für das iPhone setzt Apple auf ActiveSync. Zwar kann so im Gegensatz zum Blackberry auf externe NOCs verzichtet werden, dafür müssen die Firmen ihre Firewall nach außen öffnen.
Bei seiner Push-Mail-Lösung für das iPhone setzt Apple auf ActiveSync. Zwar kann so im Gegensatz zum Blackberry auf externe NOCs verzichtet werden, dafür müssen die Firmen ihre Firewall nach außen öffnen.