BSI bestätigt Sicherheitseigenschaften von iPhone und iPad
von caschy | 21 Kommentare
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die allgemeinen Sicherheitseigenschaften und die Möglichkeiten zur sicheren Nutzung von Smartphones und Tablets, insbesondere der Betriebssysteme iOS und iPadOS, untersucht.
Die Prüfung bestätige die Wirksamkeit der eingebetteten Sicherheitsfunktionen und kommt zu dem Ergebnis, dass die in handelsüblichen iPhones und iPads integrierten Applikationen für E-Mail, Kalender und Kontakte auch bei der Verarbeitung von Verschlusssachen der Kategorie „Nur für den Dienstgebrauch“ eine Ergänzung des bestehenden Portfolios sicherer mobiler Lösungen darstelle. Vermutlich eine wichtige Nachricht für Unternehmen, weniger für den normalen Anwender.
Ein maßgeblicher Faktor für die Sicherheit von iPhones und iPads ist das auf diesen Geräten installierte Apple-Betriebssystem iOS beziehungsweise iPadOS. Apple hat einer unabhängigen Begutachtung zentraler Sicherheitsfunktionen des Betriebssystems zugestimmt und dafür eng mit dem BSI zusammengearbeitet, so das Bundesamt. Die Prüfung durch das BSI erfolgte in Anlehnung an die Standards und die Methodik der international anerkannten Common Criteria:
Das nun vorliegende Prüfungsergebnis bestätigt die Wirksamkeit der in iOS und iPadOS-eingebetteten Sicherheitsmechanismen. Dies schließt auch die vom Hersteller vorinstallierten Anwendungen (sogenannte First-Party-Apps) für die Funktionen E-Mail, Kalender und Kontakte ein. Das BSI konnte aus diesem Prüfungsergebnis eine Freigabe der handelsüblichen iPhones und iPads für den staatlichen Einsatz durch die Behörden des Bundes ableiten. Dies betrifft auch die Verarbeitung von Verschlusssachen der Kategorie „Nur für den Dienstgebrauch“ (VS-NfD). Dazu sind Vorgaben des BSI hinsichtlich des Nutzerverhaltens, der sicheren Anbindung an Infrastrukturen durch ein Virtual Private Network (VPN) und der Verwendung eines Mobile Device Management Systems (MDM) einzuhalten.
Anknüpfend an dieses Ergebnis hat das BSI mit Apple eine Fortführung dieser Zusammenarbeit vereinbart. Zukünftige Versionen von iOS und iPadOS werden nun regelmäßig einer Prüfung durch das BSI unterzogen. Darüber hinaus ist mit Blick auf Sicherheit im Bereich der mobilen IT ebenfalls eine verstärkte Kooperation zwischen Apple und dem BSI geplant. Erste Folgeentwicklungen für den Einsatz im behördlichen Bereich sollen noch im Jahr 2022 abgeschlossen werden.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Das klingt ja zuversichtlich.
Genau so eine Prüfung würde ich mir auch für die Desktop/Laptop Betriebssysteme wünschen.
Zum Beispiel sagt die IT-Abteilung bei uns (großer deutscher Konzern), dass MacOS nicht so sicher wäre.
Da haben sie auch irgendwo recht. Ein MACOS in einer Windows Domäne kann nicht so gut gesteuert werden wie ein Windows Gerät. Da man weniger Regeln/gpos für MACOS aufs Gerät bekommt, ist es theoretisch unsicherer für die IT Abteilung. Da gpos auf macs so nicht funktionieren, können bestimmte sicherheitsrelevante Einstellungen nicht gemacht werden, die man einem Windows PC mitgeben kann bei Domänenbeitritt.
macOS Geräte sollen auch nicht über die AD „gemanagt“ werden, sondern über ein spezialisiertes Mobile Device Management (MDM).
Jamf Pro ist ein Beispiel dafür.
Mit solch einer Software ist ein macOS Gerät deutlich besser, sicherer und Datenschutz-konformer managbar, als ein Windows Gerät via AD.
Nicht ohne Grund sind beim größten Windows PC Hersteller der Welt, IBM, mehr Macs im Einsatz, als Windows Geräte.
IBM stellt aber sicher schon sehr lange keine Windows PCs mehr her. Ist ja schon lange ein Lenovo verkauft.
IBM stellt aber sicher schon sehr lange keine Windows PCs mehr her. Ist ja schon lange ein Lenovo verkauft.
Ja natürlich soll man die darüber managen. Auch damit bekommt man die Regeln nicht alle auf die Geräte, da man bei Jedem MDM abhängig von den Schnittstellen des Herstellers ist. Wenn große Unternehmen bestimmte Geräte auf breiter Front einsetzen hat das eigtl so gut wie nie mit Sicherheit oder sonst was zu tun, sondern mit dem Deal der dort gelaufen ist. Wenn Apple die als Kunden wollte, haben sie die Preise halt so gedrückt das IBM keine Wahl hatte. So funktioniert eigtl jedes größere Projekt in der IT. Wenn man einen großen Kunden bekommen kann, der auch noch einen Namen hat, drücken die Hersteller die Preise bis quasi auf null. Oft genug erlebt, ich kann mir kaum vorstellen das das dort anders gelaufen ist. Die angeblichen Studien die dort gemacht wurden, strotzen ausserdem eigtl nur so vor einer Werbepartnerschaft zwischen IBM und Apple. Die Aussagen die IBM trifft, sind übrigens rein wirtschaftlich und nichts anderes. Da ist nie irgendwo mal die Sicherheit erwähnt. Nur die Kosten und die angeblich zufriedeneren Mitarbeiter.
Ah OK, klingt nachvollziehbar. Danke für die Info.
Sehr gut. Ich habe direkt mal ein Anfrage ans zuständige Schulamt bei uns geschickt, weil wir auf unseren Dienstgeräten die Mailapp nicht nutzen durften bisher. Bin gespannt, ob sich da nun was bewegt.
„auf unseren Dienstgeräten die Mailapp nicht nutzen durften bisher“
Aha.
Da würde mich wirklich interessieren, warum.
Ich habe zwei dienstliche iPhones, eins von meinem Arbeitgeber, einem KMU, eins von einem Kunden, einem Konzern. In beiden Fällen sieht die IT nicht das geringste Problem darin, iOS Mail- und Kalenderclient zu verwenden. Schon seit Jahren.
Wird halt mit den Firmen-Exchange-Servern verbunden und gut. Es ist ja nicht Google Mail, wo alles in die Cloud geht, es ist einfach ein Client.
Der kritische Punkt bei iOS Geräten ist meines Erachtens eher, das man nicht „aus Versehen“ iCloud einschaltet und Inhalte in Apples Cloud leakt. Aber bei einem Managed Device kann das ja unterbunden werden.
„„auf unseren Dienstgeräten die Mailapp nicht nutzen durften bisher“
Aha.
Da würde mich wirklich interessieren, warum.“
Vermutlich, weil irgendein „Waszusagenhabender“ vor ein paar Jahren was von einer Sicherheitslücke in der Mail-App gelesen hat und daher die Verwendung untersagt hat. Dass die Lücke meiner Erinnerung nach sehr flott geschlossen wurde, hat derjenige dann nicht mehr mitbekommen.
Ich vermute, dass das auf das erforderliche Datenschutzniveau ankommt. Wenn das Schulamt davon ausgeht, dass mit der Mail-App z.B. unter Kollegen Emails verschickt werden, die persönliche Daten über Schüler enthalten, dürfte VS-NfD nicht ausreichen. Zumindest aus lange vergangener Bundeswehrzeit erinnere ich mich, dass Personalsachen immer VS-Vertraulich (eine Stufe höher) klassifiziert waren.
Personalangelegenheiten werden in PersDat Stufen 1-3 „eingestuft“ und sind in der Regel NfD oder sogar Offen. Vertraulich wird es erst wenn die Sicherheit gefährdet wird und da gibt es deutlich striktere Vorgaben.
Immer dran denken. Ist das gleiche BSI, welches Kaspersky für böse erklärte, obwohl dies nachweislich nur politischer und nicht technischer Natur war.
Was ist daran falsch einem Unternehmen zu misstrauen, das evtl. Heimatland-treu handelt und somit gegen uns?
Das BSI stellt nach eingehender Prüfung fest, dass man via Internet Daten übertragen kann.
xD made my day
Dafür kann Apple keine Kindersicherung die Funktioniert. Mein Vertrauen ist aufgrund der Tatsache nicht (mehr) vorhanden. Wenn die das noch nicht Mal können, dann soll ich dennen in anderen Dingen vertrauen?
Bin da ganz bei dir. Gnaz schlimm. Allerdings hat das eine mit dem anderen nicht zwingend was zu tun. Da sitzen sicher mehrheitlich Single-Entwickler, die keine Kinder haben und sich daher einfach nicht in die Tehmen reindenken können.
Dann hast du wohl was falsch eingerichtet mit der Kindersicherung. Ohne Code kann man diese umgehen bzw. Apps nach Ablauf weiter verwenden…
Was konkret stimmt mit der Kindersicherung nicht?
Das ist grundlegend kein überraschendes Ergebnis da Apple ja schon lange eine Fokus auf Security hat.
Trotzdem sind Aussagen des BSI dahingehend immer etwas schwierig da sie ja aktiv am Staatstrojaner mitwirken und somit ein Interesse daran haben das Geräte Sicherheitslücken haben die nicht bekannt werden