Jedes private iPhone muss vor dem Einsatz im Unternehmen von der IT-Abteilung geprüft werden. Außerdem sind strenge Sicherheits-Richtlinien nötig. Zu diesem Schluss kommen Experten des Beratungsutnernehmens Deloitte in einem Whitepaper zur iPhone-Sicherheit. Noch immer lasse Hersteller Apple ausgefeilte Sicherheitseinstellungen vermissen, heißt es darin.
Mit der "iPhone Configuration Utility" von Apple kann die IT-Abteilung Konfigurations-Profile erstellen und auf die Geräte aufspielen - entweder per USB, Mail, Download oder über SCEP (Simple Certificate Enrollment Protocol). Weitere Hilfsmittel, um iPhones ins Unternehmen zu integrieren, biete der Hersteller aber nicht an, schreiben Peter Wirnsperger und Richard Sammet in dem Whitepaper "Risks with iPhone Integration in an Enterprise Environment".
Als Business-Gerät verwenden lasse sich das iPhone zusammen mit Microsoft Exchange Server 2007 mit der Erweiterung ActiveSync. Damit könne man von den neuesten Sicherheitsstandards von Apples Betriebssystem OS 3.1.X profitieren und Funktionen wie Push-Mail nutzen.
Um die Geräte sicher einzubinden, raten die Verfasser zu einer ganzen Reihe von Komponenten: der Cisco ASA Security Appliance als VPN-Concentrator oder dem Stand-alone VPN-Concentrator von Cisco, außerdem einem Certificate Enrollment und Revocation List Server (SCEP, OCSP, SCVP) zum Empfang von Zertifikaten sowie eine sogenannte oberste Zertifizierungsstelle (Root CA). Darauf zu achten sei außerdem, dass man das iPhone 3GS mit Hardware-Verschlüsselung verwende, auf dem mindestens die Version 3.1 des Apple-Betriebssytems laufen müsse. Zuletzt brauche man noch iTunes.
iTunes für Sicherheitsupdates
Das vielen als Musikprogramm bekannte iTunes sei dabei nicht selbst eine Sicherheitskomponente, aber notwendig für Einsatz und Update von Sicherheitsprogrammen auf dem Telefon. In der Regel muss iTunes auf jedem iPhone einzeln installiert werden.
Ein mögliches Szenario für den iPhone-Einsatz umreißen die Berater in ihrem Whitepaper so: Über Microsoft Exchange ActiveSync können die Mitarbeiter vom iPhone aus Mails abrufen, in ihrem Adressbuch blättern und Termine in den Kalender eintragen. Dank 128-Bit-Verschlüsselung sei die Exchange-Anbindung sicher genug für diese Aufgaben. Wer mit Lotus Notes arbeitet, hat unterdessen Pech. Erweiterungen für dieses Programm gebe es nicht.
Als unproblematisch bezeichnen die Autoren die VPN-Anbindung. Sie einzurichten sei ein Standardprozess wie für andere Endgeräte auch. Der drahtlose Internetzugang per iPhone ist laut Deloitte ebenfalls nicht von Haus aus unsicher - der Vorgang sei derselbe wie bei anderen drahtlosen Rechnern.
Einzelne Apps verbieten
Nutzen die Mitarbeiter ihre privaten iPhones beruflich, ist die Betreuung aufwändiger, Sicherheitsprobleme unter Umständen größer, als wenn das Unternehmen die Geräte stellt, betonen Wirnsperger und Sammet. Nur unter strengen Vorgaben sollten die Angestellten ihre eigenen Smartphones einsetzen können: Nötig seien allgemein akzeptierte Nutzungsbedingungen und ein striktes Geräte-Management, Bestimmungen für den Umgang mit Sicherheitsvorfällen und Zugangsbeschränkungen für bestimmte Apps. Ob die Mitarbeiter die Bestimmungen einhalten, muss die IT-Abteilung zudem möglichst überwachen.
Zum Aufspielen von Konfigurationen empfehlen die Autoren nur drei Wege: Entweder verschickt die IT-Abteilung per Mail Profile, die die Nutzer anschließend installieren, oder die Anwender laden die Profile selbst herunter. Als sicherste Variante sehen die Deloitte-Berater allerdings SCEP an. Die IT-Abteilung legt dafür die Profile und Zertifikate gebündelt auf einem SCEP-Webserver ab. Von dort laden die iPhone-Nutzer sie herunter und installieren sie.
Sicherheitsprofile auf iPhones schwer zu überprüfen
Ob ein Anwender das aktuelle Sicherheitsprofil heruntergeladen und installiert hat, sollte die IT-Abteilung eigentlich überprüfen können. Per direktem Zugriff auf die Geräte geht das aber nicht. Möglich wird es, wenn die Profile per SCEP bereitgehalten werden. Dann lässt sich per Log-Daten nachvollziehen, wer sie von dort heruntergeladen hat.
Das Surfen im Netz zu beschränken, gelingt der IT-Abteilung bei iPhones nicht gänzlich. Eine Möglichkeit: Sie konfigurieren ihren http-Proxy-Server so, dass nicht der Zugang zu allen Seiten möglich ist.
Abgesehen von den beschriebenen Methoden für den sicheren iPhone-Einsatz in Firmen sehen die Autoren des Whitepapers deutliche Schwachstellen bei Apples Smartphone. Was sich über Konfiguratoins-Profile vorgeben lasse, seien nichts weiter als Basiseinstellungen. Bestimmte Funktionen innerhalb einer Anwendung zu blockieren, sei bisher nicht möglich. Nicht einschränken lasse sich auch das Stöbern im AppStore: Bisher ließen sich keine Schwarzen Listen erstellen mit Programmen, die Mitarbeiter nicht herunterladen und verwenden dürfen.
Blackberry besser vorbereitet
Ein weiteres Manko: Beim Aufspielen aller Sicherheits-Updates und Profile muss der Nutzer mitarbeiten. Von fern Neuerungen aufzuspielen, ohne dass der Besitzer des Geräts das zulässt und bestätigt, ist nicht möglich. Solche Schwachstellen sind laut Deloitte der große Unterschied zum Blackberry, das von vorn herein auf den Gebrauch in Firmen zugeschnitten worden sei.
Die Liste der Mängel geht weiter: Mail-Verschlüsselung nach S/MIME oder PGP kenne das iPhone nicht. Also könne der Nutzer vom iPhone aus Mails nicht mit diesen Methoden verschlüsselt. Elektronische Post anderer, die mit diesen Protokollen kodiert wurde, kann er nicht lesen.
Hobby-Angreifer knacken iPhones
Daten auf dem iPhone seien zudem nicht ausreichend geschützt. Kostenlose Programme im Netz machten die Entschüsselung auch für mittelmäßig geübte Angreifer zum möglich. Das sei besonders gefährlich, wenn ein beruflich genutztes iPhone gestohlen werde.
Der dringende Rat der Whitepaper-Verfasser an CIOs: Bevor ein Mitarbeiter sein privates iPhone im Unternehmen nutzt, muss sich die IT-Abteilung das Gerät aushändigen lassen und prüfen.
Apple habe zwar schon bei Erscheinen des zweiten iPhone-Modells beteuert, auf Anforderungen des professionellen Einsatzes einzugehen. Man habe aber den Eindruck, Fortschritte gebe es am ehesten bei der Handhabbarkeit, nicht beim Thema Sicherheit.