Sophos warnt Unternehmen vor iPad

August 05, 2010 Sophos Press Release

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell vor einer Sicherheitslücke in Apples Betriebssystem iOS. Der IT- und Datensicherheitsanbieter Sophos bekräftigt das und rät Unternehmen dazu, das iPad aus Sicherheitsgründen besser nicht einzusetzen. In punkto Browser-Sicherheit und Integration in die bestehende IT-Infrastruktur weist der Tablet-PC Defizite auf. Sophos sagt Unternehmen, welche Sicherheitsfeatures auf dem iPad nicht fehlen dürfen.

Mobile Endgeräte erfreuen sich großer Beliebtheit und halten verstärkt auch in Unternehmen Einzug. Schon das iPhone sorgte für eine Veränderung der Firmenkultur. Und das obwohl es mittlerweile zu den größten Sicherheitsrisiken in der Unternehmens-IT zählt. Viele der Sicherheitsbedenken lassen sich auf das iPad übertragen.

Aktuelle Sicherheitslücken bei iPhone und iPad

Laut BSI können Cyberkriminelle über eine Sicherheitslücke mit Administratorrechten auf iPhone, iPad und iPod Touch zugreifen. Betroffen sind die Apple-Betriebssysteme iOS des iPhone in der Version 3.1.2 bis 4.0.1, des iPad in der Version 3.2 bis 3.2.1 und des iPod Touch in der Version 3.2.1. bis 4.0. Bislang sind keine Cyber-Attacken bekannt, das BSI rechnet aber damit, dass die Sicherheitslücke zeitnah für Attacken ausgenutzt wird.

Antworten auf die wesentlichen Fragen zur aktuellen Sicherheitsbedrohung der Apple-Betriebssysteme, befinden sich auf der Webseite des BSI: https://www.bsi-fuer-buerger.de/cln_174/ContentBSIFB/Aktuelles/FAQ-Betriebssystem-IOS.html

Größter Gefahrenherd: Browser-Sicherheit

"Meines Erachtens ist der Browser die größte Sicherheits-Schwachstelle für iPads ohne Jailbreak. Er ist das größte Einfallstor für Schadprogramme oder für Datenklau", meint Graham Cluley, Senior Technology Consultant bei Sophos. Der Safari Browser offenbart eine Menge Sicherheitslücken und bescherte schon dem iPhone mehrfach Probleme mit Schadsoftware. Allerdings fängt Sicherheit beim Anwender an. Nur bei angemessener Mitarbeiterschulung kann ausreichender Schutz vor Malware-Attacken gewährleistet bleiben, das gilt besonders im Umgang mit sozialen Netzen. Sophos beobachtete in der Vergangenheit verstärkt Phishing-Attacken über Social Media.

Wichtige Sicherheitsfeatures

Aus Sicht von Sophos dürfen wichtige Sicherheitsfeatures nicht fehlen, damit die Integration in die vorhandene IT-Infrastruktur funktioniert.

So muss für IT-Abteilungen in Unternehmen unumschränkte Application Control gewährleistet sein, damit nur sichere Anwendungen im Unternehmensnetzwerk zum Einsatz kommen. Die Sicherheit muss für mobile Endgeräte genauso wie für Desktop-PCs garantiert sein, insbesondere in Bezug auf die Proxy-Einstellungen für E-Mail- und Internet-Zugang. Und auch Patches und Updates sollten automatisch aufgespielt werden können.

IT-Administratoren müssen zudem in der Lage sein, vertrauliche Unternehmensdaten sicher per Fernzugriff zu verwalten Das schließt sowohl Backup-Möglichkeiten, als auch die Möglichkeit sensible Daten bei Verlust des iPads zu löschen, mit ein.

Zusätzlich ist ein ausreichendes Kennwort-Management unersetzlich, das Vorgaben zur Länge des Kennworts, über den Gebrauch von Sonderzeichen und Häufigkeit eines Kennwortwechsels beinhaltet.

Ähnlich wie beim iPhone wird es iPad-Nutzer geben, die ihr Tablet entsperren, um nicht von Apple geprüfte Apps installieren zu können. Sophos warnt eindringlich davor, denn das würde es Hackern noch einfacher machen, iPads mit Schadsoftware zu infizieren. Cyberkriminelle wären nicht mehr nur auf die Schwachstelle Browser festgelegt, sondern hätten mehr Möglichkeiten für Malware-Attacken. Details dazu enthält der Blog von Graham Cluley (englisch) .