Eine Frage der Konfiguration - Sicherheit mit iPhone und iPad - Corporate Trust
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
ENDPOINT/MOBILE SECURITY
Sicherheit mit iPhone und iPad
Eine Frage der Konfiguration
Dass mobile Geräte im Geschäftsleben eine bedeutende Rolle spielen, steht außer Frage. Sollten bei dieser Nutzung auch
sensible Daten bearbeitet beziehungsweise gespeichert werden, ist es von maßgeblicher Bedeutung, dass diese Geräte ent-
sprechend gegen unbefugten Zugriff gesichert werden. Man spricht hier von einer Härtung. Dieser Artikel beschreibt für
iOS-Geräte, mit welchen Schritten diese Härtung mit Bordmitteln, die das Betriebssystem mitbringt, erreicht werden kann.
Apple hat in den neueren Versionen einiges vorgesehen …
Apple hat in den letzten Jahren das Thema legenden Sicherheitskonzepte von Apple wird dabei die Fingerabdruck-Struktur und
IT-Sicherheit deutlich nach vorne getrieben. (wie beispielsweise die „Secure Enclave“) bei Face-ID die Gesichts-Struktur als Merk-
Angefangen von Themen wie dem ständi- hier nicht weiter vertieft. Zum besseren mal herangezogen.
gen Ausbau der integrierten System-Sicher- Verständnis soll aber kurz auf die Punkte
heit und des zugrundeliegenden kryptogra- Touch- beziehungsweise Face-ID eingegan- Es ist hierbei wichtig zu wissen, dass die-
phischen Konzepts von iOS, sind es im Alltag gen werden, da sie für das behandelte The- se biometrischen Verfahren als zusätzliche
vor allem die Einführung von Touch- bezie- ma von grundlegender Bedeutung sind. Es Funktionen zum Passcode zu verstehen
hungsweise Face-ID, welche die Umsetzung wird weiterhin auch keine Third-Party-Soft- sind. Dieser ist nach wie vor die Grundla-
von IT-Sicherheitsmaßnahmen unterstützen ware betrachtet. Es geht nur um die Funk- ge zur Entschlüsselung der Daten des iOS-
beziehungsweise erleichtern können. tionen, die das Apple-Betriebssystem mit- Geräts. Der Passcode kann nun allerdings
bringt. komplexer gestaltet werden (einen vierstel-
Bild: © depositphotos.com/Rosinka79
Dieser Artikel hat das Ziel, einem interes- ligen Passcode verwendet ja wohl hoffent-
sierten iOS-Anwender (und mit iOS sind Touch-ID und Face-ID lich niemand mehr zur Absicherung seines
hier iPhone und iPad gemeint) in verständ- Geräts), da die Entsperrung des Geräts ja
licher Art und Weise Möglichkeiten aufzu- Mit Touch- beziehungsweise Face-ID hat nun durch Touch- beziehungsweise Face-ID
zeigen, wie er die vorhandenen Bordmittel Apple biometrische Verfahren eingeführt, erfolgt. Es gibt aber Ausnahmen, bei denen
von Apple nutzen kann, um sein Gerät si- um die Bestätigung der Identität einer be- ein Passcode nach wie vor notwendig ist.
cherer zu machen. Daher werden die grund- rechtigen Person zu erlangen. Bei Touch-ID Diese sind in der Tabelle 1 aufgeführt.
44 IT-SICHERHEIT [3/2019]
ENDPOINT/MOBILE SECURITY
Tabelle 1: Situationen, in denen ein Wie weit vertraue ich Firmen, die ihren facheren Lesbarkeit halber wurde die Tabel-
Passcode zwingend benötigt wird Sitz außerhalb der Europäischen Union lenform gewählt und bedarfsweise ein kur-
Aktualisierung des Geräts haben (z.B. der iCloud von Apple)? zer Kommentar hinzugefügt. Die erste Ebene
Löschen des Geräts (also ganz links) entspricht den Bereichen in
Änderung des Passcodes Auf Basis dieser eigenen Überlegungen, der App „Einstellungen“.
Installieren von iOS-Konfigurations- können dann Entscheidungen getroffen
Profilen werden, in welcher Form und „Schärfe“ die
Nach dem Einschalten oder Neustart nun folgenden Absicherungsmaßnahmen
des Geräts tatsächlich umgesetzt werden. Funktionen
Das Gerät wurde für 48 Stunden nicht und Einstellungen, die eine solche Abwä-
entsperrt gung erfordern, werden in den Empfehlun-
Das Passwort wurde in den letzten 156 gen mit „prüfen“, gefolgt von einer Empfeh-
Stunden (sechseinhalb Tage) nicht zum lung, gekennzeichnet.
Entsperren des
Geräts verwendet und das Gerät wurde Basis-Sicherheit: der Pass-
in den letzten 4 Stunden nicht durch Bio- code, Updates und Back-up
metrie entsperrt
Das Gerät wurde remote gesperrt Zu den grundlegenden Bestandteilen eines
Es gab fünf erfolglose biometrische An- Sicherheitskonzepts gehört der Passcode.
meldeversuche Wie schon erwähnt, stellt ein vierstelliger
Nach einem SOS Ruf numerischer Code heute keine angemesse-
ne Absicherung mehr dar. Also ist hier die
Empfehlung, dass Benutzer von Touch-/Face- Die Bereiche der App „Einstellungen“
Wie sicher möchte ich sein? ID einen komplexen Passcode aus Sonder-
zeichen, alphanumerischen Zeichen in Klein-
Bevor es darum geht, wie ein iOS-Gerät und Großschreibung und mit einer Länge App „Einstellungen“
gehärtet wird, ist es ratsam, dass der Be- von 8 bis 13 Zeichen verwenden. Es bietet
nutzer sich Gedanken darüber macht, wie sich an, die Zeichen aus den Anfangsbuch- Apple-ID
wichtig ihm persönlich IT-Sicherheit ist. staben eines leicht merkbaren Satzes zu Dieser Bereich befindet sich in der App ganz
Die folgenden Beispiele sollen als Anre- verwenden. Sonderzeichen lassen sich am oben.
gungen dienen, wie eigene Überlegungen besten über eine einfache Regel generieren, Passwort & Sicherheit R Zwei-Faktor-Au-
aussehen könnten, insbesondere in der beispielsweise ein „!“ für ein „I“. Der Pass- thentifizierung R aktivieren
Abwägung zwischen „Härtung“ (Grad der code sollte schriftlich fixiert und an einem R Erhöht die Sicherheit der Apple-ID
Sicherheitskonfiguration) und dem soge- sicheren Ort aufbewahrt werden. durch Abfrage eines weiteren Faktors
nannten „Ease of Use“ (der einfachen Be- (Code).
nutzbarkeit): Von nicht weniger Bedeutung ist es, die Ge- iCloud R Mein iPhone suchen R akti-
räte auf dem neuesten Versionsstand (am vieren
Ist mir bewusst, welche Vielzahl an per- besten mit automatischen Updates, siehe iCloud R iCloud Back-up R optional
sönlichen Daten auf dem Gerät ge- unten) zu halten sowie regelmäßig ein ak- aktivieren
speichert werden? Als Beispiele hierfür tuelles Back-up zu erstellen. Wer Apple ver- Standort teilenR optional aktivieren
werden E-Mails, Zahlungsdaten, Kontakt- traut, kann hier Cloud-Back-up nutzen. Die- R Je nach persönlicher Einschätzung ak-
daten, Website-Accounts und -Passwörter, ses Variante ist aber nicht so umfangreich tivieren, dann aber Mitglieder regelmä-
Termine, Gesundheitsdaten, Daten von und sichert vor allem nicht die Passwörter ßig in der „Freunde“-App prüfen.
Ortungsdiensten genannt. von Apps, wie es das verschlüsselte iTunes-
Es können Funktionen und Informationen Back-up tut. Mobiles Netz
auch bei einem gesperrten Gerät verfüg- WLAN-Anrufe R aktivieren
bar sein (iMessage, E-Mail, Siri). Möchte Konfigurationsempfehlungen R WLAN-Anrufe haben in der Regel eine
ich das einschränken? höhere Abhörsicherheit
Was mache ich, wenn das Gerät verloren Alle hier dargestellten Konfigurationsemp- SIM-PIN prüfen, deaktivieren
geht oder gestohlen wird? fehlungen beziehen sich auf iOS 12.x und R setzt eine aktive Touch-/Face-ID be-
Wie sehr möchte ich mich und meine Da- stellen eine Auswahl dar. Es wird also nicht ziehungsweise einen starken Passcode
ten im Internet exponieren? jeder mögliche Parameter bewertet. Der ein- voraus. Nur so ist die Funktion „Mein
IT-SICHERHEIT [3/2019] 45
ENDPOINT/MOBILE SECURITY
iPhone suchen“ nach einem Neustart Kontrollzentrum Im Sperrzustand Zugriff erlauben:
funktionsfähig. Steuerelemente anpassen R prüfen, an- 1. Ansicht heute R deaktivieren
passen 2. Mitteilungszentrale R prüfen,
Persönlicher Hotspot R Die im Kontrollzentrum verfügbaren deaktivieren
Persönlicher Hotspot R prüfen, deakti- Elemente sollten auf die wirklich notwen- R Wenn die Mitteilungszentrale aktiv
vieren digen Funktionen beschränkt werden, bleiben soll, den Stil der Benachrichti-
R Wenn ein persönlicher Hotspot benö- insbesondere dann, wenn das Kontroll- gungen pro App individuell anpassen
tigt wird, sollte er nur für die Dauer des zentrum im Sperrbildschirm verfügbar ist R zumindest bei Mail und Nachrich-
Einsatzes aktiviert sein und mit einem (siehe auch „Touch/Face-ID & Code“). ten „Vorschauen zeigen“ deaktivieren.
angemessenen WLAN-Passwort (> 8 al- 3. Kontrollzentrum R prüfen, deaktivie-
phanumerische Zeichen) versehen sein. Anzeige & Helligkeit ren
Automatische Sperre R aktivieren R siehe auch „Kontrollzentrum“
Mitteilungen R Empfohlen wird eine Zeitspanne nicht 4. Siri R prüfen
Vorschauen zeigen (wenn entsperrt) größer als zwei Minuten, bei Verwen- R siehe „Siri & Suchen“
R Erlaubt, dass Vorschauen von Mittei- dung von Touch/Face-ID nicht größer als 5. Mit Nachricht antworten R prüfen,
lungen aus Apps, wie Nachrichten, Mail, 30 Sekunden. deaktivieren
Kalender, Erinnerungen oder FaceTime, 6. Wallet R prüfen, deaktivieren
erst angezeigt werden, wenn das Gerät Siri & Suchen R bei aktivierter Touch/Face-ID akti-
entsperrt ist. Siri im Sperrzustand erlauben R prüfen, vieren
deaktivieren 7. verpasste Anrufer zurückrufen R prü-
Allgemein R Wie bei der Diktierfunktion werden fen, deaktivieren
Softwareupdate R Automatische Up- Daten an Apple gesendet. 8. USB-Zubehör R deaktivieren
dates R aktivieren R Wenn die Option deaktiviert ist,
AirDrop R nur für Kontakte Mit Siri können im gesperrten muss das iPhone, wenn es länger als
R AirDrop lässt den Austausch von Da- Zustand die folgenden Funktionen eine Stunde gesperrt war, entsperrt
ten zwischen iOS-Geräten in der Nähe ausgelöst werden: werden, damit USB-Zubehör eine Ver-
zu. Diese Funktion sollte nur beschränkt Telefonanrufe tätigen, SMS versenden, bindung herstellen kann.
und kontrolliert verfügbar sein. E-Mails versenden 9. Daten löschen R aktivieren
Handoff R prüfen, deaktivieren Anruferliste ansehen R Regelmäßig verschlüsselte Back-
R Mit Handoff kann auf einem Gerät Voicemails anhören ups erstellen, damit im Fall einer
eine Aktivität anfangen und nahtlos auf Apps aufrufen Löschung – durch die Versuche
einem weiteren iOS-Gerät mit gleicher Bluetooth ein- und ausschalten, Unbefugter – das Gerät wieder-
Apple ID fortgesetzt werden. Flugmodus einschalten hergestellt werden kann.
Hintergrundaktualisierung R prüfen, de- Details von bestimmten, namentlich be-
aktivieren kannten Kontakten ansehen Datenschutz
R Bei der Hintergrundaktualisierung Details von Kontakten mit einfach zu Apps und Apps in Ortungsdiens-
werden unter Umständen auch Daten erratenden Namen ansehen te R prüfen, selektiv setzen
(wie der Standort) an Dritte übertragen. Einträge auf Twitter und Facebook R Die Berechtigungen der
Tastatur R Diktierfunktion aktivieren R machen Apps sollten sinnvoll und
prüfen, deaktivieren In Apple Maps gespeicherte Adressen möglichst restriktiv gesetzt
R Ist die Diktierfunktion aktiviert, wird ansehen werden. Unnötige Berechti-
alles Gesagte an Apple gesendet. Ebenso gungen sollten vermieden
die Standortdaten, wenn die Ortungs- Touch/Face-ID & Code werden.
dienste aktiviert sind. Nach eigener Aus- Touch/Face-ID verwenden für: R alles Analyse R nicht senden
sage verknüpft Apple diese Daten nicht aktivieren ( iPhone entsperren, iTunes & R die hier lokal aufge-
mit Daten, die aus anderen Apple-Diens- App-Store, Passwort automatisch auf- zeichneten Daten können
ten stammen. füllen auch persönliche Informati-
Profile & Geräteeinstellungen R nur not- Aufmerksamkeitsprüfung (nur Face-ID) onen enthalten!
wendige Profile R aktivieren Werbung R Kein Ad-Tracking
R Profile bieten weitreichende Möglich- R Hierbei wird geprüft, ob der Anwender aktiv
keiten, iOS-Geräte zu beeinflussen und aktiv ist (also zum Beispiel nicht schläft). R Hiermit wird den Werbeanbie-
sind deshalb mit Sorgfalt regelmäßig zu Code anfordern R aktivieren tern mitgeteilt, dass keine zielgerich-
prüfen. R Geräte mit Touch/Face-ID „sofort“, tete Werbung gewünscht ist.
andere nach 1 Minute
46 IT-SICHERHEIT [3/2019]
ENDPOINT/MOBILE SECURITY
Ortungsdienste R Systemdienste R prü- Ortungsdienste R Systemdienste R Pro-
fen, deaktivieren duktverbesserungen R deaktivieren
R Bei der Weitergabe von Standort und
Bewegungsdaten ist Sparsamkeit anzu- Passwörter & Accounts
raten. Website & App-Passwörter R regelmä-
R Folgende Ausnahmen sollten ak- ßig prüfen
tiviert bleiben: Kompasskalibrierung, R Hier werden Passwörter von Web-
Mein iPhone suchen, Mobilfunknetzsu- seiten und Apps angezeigt, die iOS spei-
che, Notruf & SOS, WLAN-Anrufe, chert. Mehrfach vorkommende Passwör- Website & App-Passwörter mit Hinweis-
WLAN Netzwerke und Zeit- ter werden durch das Symbol Dreieck Symbol
zone einstellen. mit Ausrufezeichen dargestellt.
Diese sollten genauer überprüft
werden. Es empfiehlt sich,
bei der Generierung solcher Safari
Passwörter die automatische Allgemein R Pop-Ups blockieren R ak-
iOS-Funktion zu nutzen. tivieren
Datenschutz & Sicherheit R aktivieren
R alle aktivieren, bis auf „alle Cookies
blockieren“
Fotos
iCloud-Fotos, Mein Fotostream R prüfen,
deaktivieren
R Diese Funktionen laden Ihre Fotos
automatisch in die iCloud. Wer das nicht
will, sollte diese Funktionen deaktivieren.
Diese Empfehlungen verstehen sich als Vor-
schläge. Schlussendlich entscheidet der Be-
nutzer auf der Basis eigener Überlegungen
(siehe Abschnitt „Wie sicher möchte ich
sein?“) über sein persönliches Sicherheitsni-
veau. Einer individuellen Härtung des eige-
nen iOS-Geräts steht nun aber nichts mehr
im Weg. n
Bild: © depositphotos.com/GaudiLab
ANDREAS JAGERSBERGER,
Principal Security Consultant bei CORPORATE
TRUST Business Risk & Crisis Management
IT-SICHERHEIT [3/2019] 47
Sie können auch lesen
