So setzen Sie iOS-Konfigurationsprofile sicher ein
Konfigurationsprofile erleichtern die Verwaltung von BYOD-iPhones, werden aber auch mit Malware in Verbindung gebracht. Sicherheitsrichtlinien können für optimalen Schutz sorgen.
Obwohl iOS-Konfigurationsprofile schon lange ein Sicherheitsproblem für iPhones darstellen, auf denen Unternehmensdaten gespeichert sind, werden durch Fortschritte beim Mobile Device Management und dem iOS-Betriebssystem einige dieser Risiken entschärft und iPhones mit Konfigurationsprofilen geschützt.
Bei einem iPhone-Konfigurationsprofil handelt es sich um eine XML-Datei, mit der Benutzer Einstellungen und Berechtigungen auf ein Apple-Gerät laden können. In BYOD-Szenarien definieren Konfigurationsprofile Einstellungen, um Geräte in Unternehmensnetzwerken zu verwenden.
Unternehmen können sie mit dem Apple Configurator oder einer MDM-Plattform (Mobile Device Management) erstellen. Löscht man ein iPhone-Konfigurationsprofil, werden alle Einstellungen, Passwörter, Apps und Daten, die mit dem Profil verbunden sind, entfernt. Dadurch kann das Gerät nicht mehr auf Ressourcen wie E-Mail, CRM-Anwendungen oder andere Backend-Unternehmenssysteme zugreifen.
Konfigurationsprofile sind zwar ein nützliches Tool, aber IT-Administratoren fragen sich möglicherweise, ob sie nicht Sicherheitslücken für iPhones im Unternehmen darstellen. Um zu entscheiden, wie sich Konfigurationsprofile in eine mobile Sicherheitsstrategie integrieren lassen, muss man verstehen, welche Rolle sie bei den iOS-Bedrohungen spielen.
Sind iPhone-Konfigurationsprofile ein vertretbares Sicherheitsrisiko?
Angriffe auf Konfigurationsprofile waren bereits vor der Verbreitung von MDM-Plattformen in Unternehmen bekannt. Heutige MDM-Systeme stellen Konfigurationsprofile bereit und sperren sie während des gesamten Lebenszyklus eines Mobilgeräts für unbefugte Benutzer. Darüber hinaus schützen moderne E-Mail-Sicherheitsrichtlinien vor E-Mails mit schädlichen Konfigurationsprofilen, die als Teil von Phishing-Mails versendet werden.
Deshalb betrachten viele Sicherheitsanalysten die Bedrohung durch böswillige Angriffe auf ein Konfigurationsprofil lediglich als Unannehmlichkeit. Das bedeutet jedoch nicht, dass die IT diesen Angriffsvektor völlig ignorieren sollte. Es besteht immer die Möglichkeit, dass das Konfigurationsprofil bei einem zukünftigen iOS-Angriff eine Rolle spielt. Es gibt keine absolute Gewissheit. Trotzdem zeigt diese Entwicklung die wachsende Leistungsfähigkeit und Effektivität von professionell verwalteten MDM-Richtlinien und nativen Sicherheitsfunktionen.
MDM-Plattformen und iOS-Sicherheit
Es ist wichtig, die Sicherheit aller Geräte zu überprüfen, die Zugriff auf Google Workspace, Slack und andere SaaS-Backend-Systeme haben. Die Containerisierung von Daten, also die Trennung von Unternehmensdaten und persönlichen Daten auf BYOD-Geräten, sollte auf Geräten in persönlichem Besitz der Anwender eine standardmäßige Sicherheitsmethode sein, die einer MDM-Plattform die volle Kontrolle über den Zugriff auf Unternehmensressourcen ermöglicht.
Die Containerisierung ist in iOS integriert, und das Apple User Enrollment bietet eine noch deutlichere Trennung von beruflichen und persönlichen Daten für BYOD-iPhones. Darüber hinaus können Unternehmen MDM-Provider wie Jamf und Kandji in Betracht ziehen, die sie beim Management von unternehmenseigenen und BYOD-Endgeräten zusätzlich unterstützen. Jamf Pro zum Beispiel konzentriert sich ausschließlich auf die Sicherheit von Apple-Geräten und ermöglicht es der IT, ein Standardkonfigurationsprofil für unternehmenseigene und BYOD-iPhones zu erstellen.
Heutige MDM-Plattformen verwalten und schützen Konfigurationsprofile bereits beim Device Onboarding.
Heutige MDM-Plattformen verwalten und schützen Konfigurationsprofile bereits beim Device Onboarding. Wenn also ein bösartiger Angriff auf ein von einer MDM-Plattform verwaltetes Gerät erfolgt, der auf ein Konfigurationsprofil abzielt, wird das Konfigurationsprofil gesperrt und ist damit unveränderlich. Auch wenn sich Angriffe permanent weiterentwickeln, verhindert das Entfernen eines Konfigurationsprofils auf einem verwalteten Gerät dessen Zugriff auf Unternehmensressourcen, so dass die Daten des Unternehmens vor dem Angreifer geschützt sind.
Sicherheitsfunktionen in iOS 16
Neben der Implementierung von MDM sollten IT-Teams die Funktionen von iOS 16 kennen, die sie nutzen können, um die Sicherheit von Firmen-iPhones zu verbessern. Eine E-Mail-Funktion namens Brand Indicators for Message Identification (BIMI) ermöglicht die Identifizierung authentifizierter E-Mails und könnte in Zukunft als zusätzliches Tool dienen, um Benutzer vor potenziellen Phishing-E-Mails zu warnen. Rapid Security Response ist eine weitere nützliche Funktion, mit der Admins zwischen geplanten Software-Updates automatisch wichtige Sicherheitsverbesserungen für ihre iOS-Geräte bereitstellen können.
Eine andere neue Funktion in iOS 16 ist der Lockdown- beziehungsweise Blockierungsmodus, eine extreme Sicherheitsmaßnahme für Nutzer, die Opfer von staatlichen Hackern und anderen komplexen Angriffen werden könnten. Der Lockdown-Modus reduziert die Angriffsfläche des iPhones für moderne Spyware und schränkt den Zugriff auf Apps, Webseiten und Telefonfunktionen wie das Konfigurationsprofil, strikt ein. Diese Einstellung verhindert die Installation eines neuen Konfigurationsprofils oder die Registrierung des Geräts bei einem anderen MDM-System. Nichts hält Unternehmen und Behörden davon ab, ihren Mitarbeitern die Verwendung dieses Modus vorzuschreiben, wenn sie in bestimmte Teile der Welt reisen.
Verbreitete mobile Bedrohungen für Firmen-iPhones
Obwohl Apple in der Regel schnell über Bedrohungen für seine Geräte informiert und Sicherheitsupdates zur Verfügung stellt, tragen Unternehmen immer noch die volle Verantwortung für die Sicherheit ihrer mobilen Geräte. IT-Teams sollten sich einiger gängiger Bedrohungen bewusst sein und wissen, wie sie diese abwehren können.
CVEs und andere iPhone-Schwachstellen
Sicherheitslücken in mobilen Betriebssystemen sind nach wie vor ein häufiger Angriffsvektor, den Unternehmen in ihren MDM- und Sicherheitsstrategien berücksichtigen müssen. Es gibt zahlreiche dokumentierte verbreitete Schwachstellen und Risiken in iOS, sogenannte Common Vulnerabilities and Exposures (CVE), die Cybersecurity-Teams Anlass zur Sorge geben sollten. Einige gängige iPhone-Bedrohungen machen Schlagzeilen. So ist zum Beispiel iOS 16.1 als Reaktion auf eine aktiv ausgenutzte Zero-Day-Lücke und 19 weitere neu entdeckte Schwachstellen veröffentlicht worden.
Hinweis: Alle Benutzer sollten standardmäßig die neueste Version von iOS verwenden, wie in den MDM-Richtlinien festgelegt.
Man-in-the-Middle-Angriffe
Mobile Nutzer können besonders anfällig für Man-in-the-Middle-Angriffe sein, denn während der Web-Traffic in der Regel über verschlüsseltes HTTPS erfolgt, verwenden einige mobile Apps womöglich keine Verschlüsselung. Außerdem ist es für Angreifer ein Leichtes, Textnachrichten abzufangen.
VPN-Sicherheitsprobleme
Berichte warnen ebenfalls vor VPN-Sicherheitsproblemen bei iPhones, die in iOS 16 weiterhin bestehen. Forschern zufolge lässt sich der Datenverkehr sogar dann abhören, wenn Apples neuer Lockdown-Modus aktiviert ist.
Phishing
Phishing ist nach wie vor ein gängiger Angriffsvektor und eine der Hauptursachen für Attacken auf Konfigurationsprofile. Diese Art von Angriffen setzt darauf, dass die Empfänger auf einen bösartigen Link oder Anhang klicken, um Malware zu übertragen. Im Zusammenhang mit Konfigurationsprofilen besteht folgendes Hauptrisiko: Ein Cyberkrimineller könnte Phishing-Techniken einsetzen, um ein kompromittiertes Konfigurationsprofil per E-Mail an einen iPhone-Nutzer zu senden und ihn dazu zu bringen, die Datei auf seinem Gerät zu installieren.
Früher galten Konfigurationsprofile auf Apple-Geräten aufgrund dieser Möglichkeit als gefährliche Malware. Konfigurationsprofile sind jedoch nicht per se eine Bedrohung für die Sicherheit. iPhone-Konfigurationsprofile sind dann unbedenklich, wenn sie von der IT erstellt und auf sicherem Wege an die Benutzer verteilt werden. Die einzige echte Bedrohung sind bösartige Konfigurationsprofile, die Angreifer durch Phishing oder eine andere Form von Social Engineering verbreiten können. Solange Unternehmen die richtigen Datenschutzmaßnahmen implementieren und die Endanwender entsprechend schulen, sind iPhone-Konfigurationsprofile ein sicheres und nützliches Werkzeug.
