Wenn auch nicht über alle Zweifel erhaben, ist das BSI für die meisten CIOs hierzulande bei IT-Sicherheitsfragen die oberste Instanz: Hält man sich an die Empfehlungen der Behörde, so die weitverbreitete Auffassung, kann man so falsch nicht liegen. Aus diesem Grund ist es wenig verwunderlich, dass das BSI häufig Anfragen erhält, was Sicherheitsempfehlungen zu aktuellen neuen Vorgehensweisen, Technologien oder Anwendungen betrifft. Nach einer Reihe anderer Themen hat sich das Bundesamt daher in dem „Überblickspapier Apple iOS“ (PDF) auf zwölf Seiten das mobile Betriebssystem zur Brust genommen, die iOS-spezifischen Gefährdungen analysiert und Gegenmaßnahmen vorgeschlagen.
Generell bewertet das BSI Apples mehrstufiges Sicherheitskonzept bei iOS positiv: Apple setze verglichen mit anderen Herstellern auf eine restriktive Politik, was die Erweiterbarkeit der Hardware und die Verfügbarkeit von Software angehe, heißt es in dem Papier. So dürften etwa Apps erst über den App Store vertrieben werden, nachdem sie verschiedene Tests durch Apple bestanden haben. Dieses Konzept habe bislang dazu geführt, dass es - verglichen mit anderen Plattformen - nur wenig Schadsoftware und kaum erfolgreiche Attacken auf iOS-Geräte gebe. Trotzdem seien laut BSI auch iDevices Angriffen ausgesetzt und müssten dementsprechend geschützt werden, durch korrektes Verhalten und durch technische Abwehrmaßnahmen. Hier eine Zusammenfassung der wichtigsten grundliegenden Maßnahmen zur Risikominimierung:
Zentraler Einkauf
Als überzeugter Gegner von ByoD spricht sich das BSI klar für eine zentrale Beschaffung und Aktivierung von iOS-Geräten im Unternehmen aus – nur so könne man generelle Nutzungsbeschränkungen (Supervised Modus) oder – via MDM-System - Policies für die Sicherung von Daten, die Installation von Apps oder die Verbindung mit WLANs vorgeben. Generell sollten Unternehmen dabei nur Endgeräte nutzen, die vom Hersteller noch unterstützt werden.
Aktualisierungen zeitnah einführen
In Betriebssystem-Updates und -Patches werden in der Regel viele potenzielle Sicherheitslücken behoben. Weil die Schwachstellen danach allgemein bekannt sind, sollten Unternehmen laut BSI testen, ob Geräte und Apps einwandfrei funktionieren und danach die Updates möglichst zeitnah ausrollen. Für Einsatzbereichen mit erhöhten Sicherheitsanforderungen empfiehlt das BSI generell, keine iOS-Geräte zu nutzen, die nicht die aktuellste iOS-Version ausführen können.
Whitelisting von Apps
Da Software immer fehlerbehaftet ist und Schwachstellen aufweisen kann, rät das BSI, wenn möglich nur die vom Unternehmen freigegebenen Apps auf dem iOS-Gerät zu erlauben und zu verhindern, dass zusätzliche Apps installiert werden. Möglich ist dies über Richtlinien in einem Mobile-Device-Management-System (MDM) und durch den Supervised-Modus von iOS ab Version 6.
Jailbreaks erkennen
Mit einem Jailbreak ist es möglich, die von Apple auferlegten Nutzungsbeschränkungen für iOS-Geräten zu umgehen. So kann der Anwender etwa Apps zu installieren, die nicht über den offiziellen Kanal des Apple App-Store bezogen werden können, was prinzipiell Angriffe durch Schadsoftware auf iOS erleichtert. Technisch lassen sich Jailbreaks durch restriktive Richtlinien (MDM) und den Supervised-Modus erschweren.
Backup via iTunes oder iCloud einschränken
Ab iOS 5 ist iTunes nicht mehr zwingend für die Verwaltung der iOS-Geräte notwendig. Werden die Funktionen nicht unbedingt zur Datensicherung benötigt, rät das BSI daher dazu, die Software nicht zu verwenden oder administrativ zu sperren (locked-down) sowie ganz oder selektiv die Freigabe von Musik- und anderen Dateien abschalten. Sollte iTunes im Unternehmen genutzt werden, sollte für die Übertragung unbedingt die Verschlüsselung aktiviert werden.
Die Datensicherung über Apples Online-Dienst iCloud erfolgt standardmäßig verschlüsselt, wie das BSI hinweist, ist der Dienst jedoch in erster Linie für Privatanwender konzipiert. So ziehe sich Apple bei der Aufbewahrung der Daten in der iCloud weitgehend aus der Verantwortung und garantiere für nichts – weder für eine dauerhafte Aufbewahrung der Daten noch dass die Daten „nicht versehentlich beschädigt oder verfälscht werden, verloren gehen oder entfernt werden.“ Trotz der Annehmlichkeiten, die die iCloud mitbringt, empfiehlt die Behörde daher aus gutem Grund, bei der beruflichen Verwendung von iPhones auf Synchronisierungsdienste über die iCloud zu verzichten. Ebenso rät das BSI, keine dienstlichen Dokumente und Backups in der iCloud zu speichern sowie keinen iCloud-E-Mail-Account zu verwenden.
Mobile Device Management verwenden
Das BSI empfiehlt, alle Einstellungen, soweit möglich, über eine MDM-Software vorzunehmen, wie sie zahlreiche Hersteller anbieten. Die MDM-Software muss dabei alle konfigurierbaren Richtlinien der Apple iOS-Geräte unterstützen und sollte eine Möglichkeit bieten, Geräte mit Jailbreak im Netz und unautorisierte Software auf den Endgeräten zu erkennen und zu melden.
Ein Problem bei der Verwendung von MDM bei iOS ist allerdings, dass der Anwender – wenn nicht der Supervised-Modus (Näheres dazu später) verwendet wird – an den auferlegten Richtlinien Änderungen vornehmen kann. Um dies zu verhindern, raten die Sicherheitsexperten, restriktive Einstellungen in einer Richtlinie mit für die Arbeit unerlässlichen, Einstellungen beispielsweise für den E-Mail Account zu verbinden. Möglich ist laut BSI auch, eine Einstellung pro Richtlinie zu nutzen und sie mit einem Passwort zu versehen. Sie können dann, mit Ausnahme der Basis-Richtlinie ("Enrollment Profile"), nicht mehr gelöscht werden. Entfernt ein Benutzer die Basis-Richtlinie, werden auch alle hierarchisch darunter liegenden Einstellungen gelöscht. Das iDevice ist danach nicht mehr im Firmennetz funktionsfähig.
Supervised-Modus nutzen
In dem iOS 6 verfügbaren Supervised-Modus kann der IT-Administrator mehr Kontrolle über das Gerät ausüben und zahlreiche sicherheitsrelevante Einstellungen vornehmen. So lässt sich beispielsweise der Zugriff zu Game Center, Bookstore und erotischen Büchern verbieten und ein globaler Proxy einrichten, über den sämtlicher HTTP-Verkehr geleitet wird. Außerdem erlaubt der Supervised-Modus eine Kiosk-Betriebsart (App-Lock), in der das Gerät nach dem Start nur eine definierte Anwendung ausführt, die der Benutzer nicht wechseln kann. Aus Sicherheitssicht ist besonders wichtig, dass Benutzer bei iOS-Geräten im Supervised-Modus MDM-Richtlinien nicht mehr entfernen können. Probleme kann jedoch laut BSI die nachträgliche Einrichtung des Supervised-Modus machen, da dieser eine Neuinstallation erfordert - wurde bereits mit dem Endgerät gearbeitet, müssen persönliche Daten und Apps vorher gesichert und wiederhergestellt werden
Copy & Paste abschalten
Für Einsatzgebiete mit sehr hohen Sicherheitsanforderungen hält es das BSI für sinnvoll, Kopieren und Einfügen (Copy & Paste) abzuschalten oder zu reglementieren. Diese Maßnahme verhindert, dass Daten aus geschützten in offene Anwendungen wie Web-Mail kopiert werden. Sie erfordert jedoch eine MDM-Lösung und kann nicht mit Bordmitteln umgesetzt werden.
Kein "Simple Passcode"
Der Passcode schützt iOS-Geräte vor unbefugtem Zugriff und sollte daher laut BSI immer aktiviert sein. Allerdings empfehlen die Sicherheitsexperten Unternehmen, sich nicht mit dem einfachen PIN aus vier Zahlen zu begnügen, sondern einen komplexeren Passcode vorzuschreiben. Zusätzlich biete Apple bei iOS im Zusammenhang mit dem Passcode einige weitere Schutzmaßnahmen an: Nach einer bestimmten Zahl von Fehleingaben wird das iOS-Gerät temporär gesperrt, um so zu verhindern, dass viele Kombinationen durchprobiert werden. Falls eine höhere Sicherheitsstufe gewünscht wird, lässt sich das iOS-Gerät nach mehr als zehn Fehleingaben löschen.
Profiles sicher verteilen
Richtlinien (Profiles) müssen auf einem sicheren Weg an die iOS-Geräte verteilt werden, da sie vertrauliche Benutzerinformationen enthalten können. Das kann laut BSI manuell mit dem iPhone Configuration Utility (iPCU) oder dem Apple Configurator über eine USB-Verbindung erfolgen oder, wenn vorhanden, mittels einer Certificate Authority mit LDAP-Directory, Simple Certificate Enrollment Protocol (SCEP) und einem Webserver.
Siri deaktivieren
Wie weitläufig bekannt ist, arbeitet die Spracherkennungssoftware Siri nicht lokal auf dem iOS-Gerät, sondern auf weltweit verteilten Servern. Zudem kann Siri auch Aktionen bei gesperrtem iOS-Gerät durchführen, wenn die Benutzer oder die Institution diese Funktion nicht explizit abgeschaltet haben. Das BSI legt daher Unternehmen nahe, je nach Sicherheitsanforderung zu überlegen, ob man Siri gänzlich abschaltet oder mit entsprechenden Profilen bei einer aktiven Bildschirmsperre deaktiviert.
Vorgehen bei Verlust oder Diebstahl regeln
Foto: Mücke Sturm & Company
Aus Sicht der Behörde sollten Unternehmen bereits im Vorfeld Prozesse etablieren, wie und unter welchen Voraussetzungen iOS-Geräte gelöscht werden können. Welche Methode dafür genutzt wird, hängt laut BSI auch davon ab, ob die Company oder ein Benutzer Eigentümer des Geräts ist. Besteht eine Netzverbindung zum iOS-Gerät, kann der Administrator die Sperrung über Exchange ActiveSync oder MDM-Software aus der Ferne einleiten. Ohne MDM-Lösung lässt sich dafür iCloud oder Mobile Me nutzen.
Sicheres Löschen
Auch wenn sich das iOS-Gerät in sicherer Nähe befindet, kann manchmal eine Komplettlöschung notwendig sein, zum Beispiel, wenn es ein neuer Mitarbeiter erhalten soll. Laut BSI stellt Apple dazu den Device Firmware Upgrade-Modus (DFU) oder die Systemeinstellung "Einstellungen und Inhalte löschen" bereit. Der DFU-Modus kann über iTunes ausgelöst werden, dazu muss iTunes keine vorherige Host-Verbindung mit dem iOS-Gerät etabliert haben. Wie die Behörde weiter ausführt, muss bei einer Erstverbindung mit dem Host für den Zugriff durch iTunes auf das Gerät der PIN Code eingegeben werden. Alternativ lässt sich der DFU-Modus durch eine Tastenkombination am iOS-Gerät starten. Daneben enthalten üblicherweise auch MDM-Lösungen eine entsprechende Funktionalität.
Betreibermodell Container
Generell empfiehlt das BSI bei der beruflichen Nutzung von iPhone und iPad die Verwendung eines „Secure Containers“, da hier die Wechselwirkung zwischen beruflicher und privater Verwendung weitestgehend vermieden und alle dienstlichen Daten sicher gespeichert werden könnten. Die Sicherheitsexperten sind sich jedoch bewusst, dass stattdessen häufig die "nativen" (vorinstallierten) Apps (Kontakte, Kalender, E-Mail-Client, Webbrowser) und/oder vergleichbare Apps von Drittanbietern verwendet würden.
Außerdem weist das BSI darauf hin, dass es selbst bei Containern Restrisiken gebe, wie die unerlaubte Verwendung des Gerätemikros zum Abhören. Generell müsse man auch dem iOS-Ökosystem blind vertrauen, weil es sich hier um ein proprietäres System handle, dessen Sourcecode nicht offengelegt und damit überprüfbar ist. Eine andere Gefahr sind laut BSI allzu sichere Konfigurationen, die den Nutzer stark einschränken – dies rege mitunter die Phantasie an, Grenzen und Einschränkungen zu überwinden, warnen die Sicherheitsexperten.
Welche konkreten Schritte ergriffen werden sollten, hängt daher laut BSI stark vom Risikoprofil des Unternehmens ab. So lege der gesunde Menschenverstand grundlegende Maßnahmen wie Datensicherung, Verschlüsselung und Datensparsamkeit nahe, während bei weitergehenden technische Restriktionen abzuwägen sei - ein Softwarekonzern müsse etwa in der Regel anderen Ansprüchen an die Datensicherheit genügen als ein kleiner produzierender Betrieb.