Eingebettete Sicherheitsfunktionen in iOS und iPadOS gewährleisten hohe Plattformsicherheit
Tablets und Smartphones sind heutzutage unsere ständigen Begleiter. Weil immer mehr Menschen mobile Hardware auch im Berufsalltag nutzen und dabei häufig mit sensiblen Daten agieren, nimmt der Sicherheitsaspekt bei tragbaren Endgeräten eine immer wichtigere Rolle ein.
Auch für das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Datensicherheit höchste Priorität. Die Behörde ist deshalb auch für die Prüfung, Zertifizierung und Akkreditierung von IT-Produkten und -Dienstleistungen zuständig. Nach eingehender Untersuchung bescheinigt das BSI nun erstmals, dass iPhones und iPads des US-amerikanischen Apple-Konzerns über besonders ausgeprägte Sicherheitseigenschaften verfügen.
BSI lobt hohe Datensicherheit auf iOS- und iPadOS-Geräten
Eine intensive Prüfung von iPhone und iPad lässt das BSI zu folgendem Schluss kommen: Bei iOS und iPadOS handelt es sich um grundlegend sichere Betriebssysteme. Somit können mit den genannten Apple-Geräten auch sensible Daten verarbeitet werden. Selbst Verschlusssachen, die nur für den Dienstgebrauch bestimmt sind, sind auf aktuellen iPads und iPhones gut aufgehoben, stellt die Bundesbehörde fest. Die Verwendung eines Virtual Private Network (VPN) und eines Mobile Device Management Systems (MDM) sieht das BSI aber als zwingende Voraussetzung für die Datensicherheit an.
Doch warum ist mobile Apple-Hardware so sicher? Das vorliegende Prüfungsergebnis resultiert primär aus der Wirksamkeit der in iOS und iPadOS eingebetteten Sicherheitsmechanismen. Vor allem die von Apple vorinstallierten Applikationen (sogenannte First-Party-Apps) sind für das gute Testergebnis ausschlaggebend. Apples hauseigene Anwendungen für E-Mail, Kalender und Kontakte sind laut BSI so gut vor Datenzugriffen geschützt, dass das Bundesamt erstmals eine Freigabe der handelsüblichen Endgeräte für den staatlichen Einsatz durch die Behörden des Bundes ableitet.
Einen großen Anteil daran haben auch die von Apple bereitgestellten Authentifizierungs- und Authorisierungsmechanismen. Natürlich spielen auch die Kryptographie – sprich Verschlüsselung von Informationen – sowie die nutzerfreundliche Verwaltung von Berechtigungen und Zugriffsrechten bei der BSI-Bewertung eine Rolle.
Deutsche Behörden dürfen künftig handelsübliche Apple-Endgeräte nutzen
Die Bewertung des BSI ist eine Neuheit und könnte künftig für Veränderungen sorgen. „Die Freigabe von handelsüblichen Produkten für die Verarbeitung von Informationen mit besonderem Schutzbedarf ist ein Novum, aus dem sich zukünftig schnell und kostengünstig maßgeschneiderte mobile Lösungen für eine sichere Digitalisierung ableiten lassen”, erklärt BSI-Präsident Arne Schönbohm. Voraussetzung dafür ist allerdings, dass Vorgaben des BSI bezüglich des Nutzerverhaltens eingehalten werden.
iOS-App-Entwicklung
BSI-Prüfung erfolgt nach internationalen Standards
Die Prüfung der Sicherheit von Apple-Produkten durch das BSI erfolgte nach strengen Standards. Das BSI orientierte sich hier an der Common Criteria for Information Technology Security Evaluation, einem internationalen Standard zur Prüfung und Bewertung der Sicherheitseigenschaften von IT-Produkten.
Apple und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben nach den aktuellen Tests auch für die Zukunft vereinbart, regelmäßig neue Versionen von iOS und iPadOS auf Sicherheitsaspekte zu prüfen. Gut für das Unternehmen aus Cupertino, denn die Zertifizierung eröffnet Apple neue Möglichkeiten, seine Geräte an Behörden in Deutschland verkaufen zu können. Hier sind Kaufentscheidungen oftmals mit bestimmten Sicherheitsstandards verknüpft, welche die Geräte unbedingt erfüllen müssen.
Durch die Zertifizierung nach CC ist Apple damit theoretisch in der Lage, seine mobile Hardware an Organisationen mit hohen Ansprüchen an die IT-Sicherheit zu veräußern.
Ist iOS sicherer als Android?
Die BSI-Prüfung zeigt, dass Apple beim Thema Sicherheit seine Hausaufgaben gemacht hat. Mit jeder neuen Version des iOS-Betriebssystems optimiert das Unternehmen die Sicherheitseigenschaften von iPhone & Co. und hat damit das BSI schlussendlich überzeugt.
Doch auch Google ist bedacht, die Sicherheitseigenschaften seiner Devices stetig zu verbessern. Mit der Einführung des Common Criteria Mode für Android Enterprise-Geräte bietet das Unternehmen einen Modus an, welcher den spezifischen Anforderungen des Common Criteria Mobile Device Fundamentals Protection Profile (MDFPP) gerecht wird. Seit Android 11 können Unternehmen Android Enterprise verwenden, um diesen speziellen Modus für unternehmenseigene Geräte zu aktivieren. Bei Hardware mit Android-Betriebssystem und aktiviertem CC-Mode werden dann postwendend mehrere Sicherheitskriterien verschärft. So werden zum Beispiel nicht-authentifizierte Bluetooth-Verbindungen konsequent verhindert. Unter anderem ausgewählte Samsung Galaxy-Geräte mit integrierter Knox-Plattform verfügen damit ebenfalls über eine Common Criteria (CC)-Zertifizierung.
Fazit: Sicherheit von mobilen Devices wird immer besser
Die aktuellen Smartphones von Apple sind sicherer als je zuvor, auch Android-Hardware wird in Sachen Sicherheit mit jeder Version ausgereifter. Dennoch sollten Nutzer:innen aufmerksam und vorsichtig bleiben, um sich beispielsweise gegen Hacker-Angriffe zu wappnen. Um Ihr Smartphone oder Tablet optimal zu schützen, empfiehlt das BSI eine Reihe von wichtigen Maßnahmen, welche Sie über die Webseite des Bundesamtes abrufen können.
Übrigens: Auch bei adesso mobile werden immer mehr Apps entwickelt, die sensible Daten verarbeiten. Zum Schutz dieser Daten haben wir eine Software Security Group für maximale Software-Sicherheit ins Leben gerufen. Sie möchten mehr über dieses Thema erfahren? Dann lesen Sie jetzt unseren Blogbeitrag „Aus AppSecure.nrw wächst Software Security auf Top-Niveau”.
