Sicherheitsaspekte von Apple iOS

Aus Winfwiki

Wechseln zu: Navigation, Suche

Fallstudienarbeit

Hochschule: Hochschule für Oekonomie & Management
Standort: Essen
Studiengang: Bachelor Wirtschaftsinformatik
Veranstaltung: Fallstudie / Wissenschaftliches Arbeiten
Betreuer: Dipl-Inf._(FH)_Christian_Schäfer
Typ: Fallstudienarbeit
Themengebiet: Smartphone OS
Autor(en): Lennart Koop, Stephan Riegel
Studienzeitmodell: Abendstudium
Semesterbezeichnung: SS11
Studiensemester: 2
Bearbeitungsstatus: Bearbeitung abgeschlossen
Prüfungstermin:
Abgabetermin:


Inhaltsverzeichnis


1 Einleitung

„Die weltweit führenden Wirtschaftsnationen stecken inmitten eines Veränderungsprozesses von der Industrie- zur Informationsgesellschaft“, was zur Folge hat, dass die Informationsplattform Internet immer wichtiger wird, bis hin zur Unverzichbarkeit. Andreas Schulz, Leiter des internationalen Marketings eines Unternehmens im Bereich Softwareentwicklung für digitalisierte Arbeitsabläufe, vergleicht den Stellenwert des Internets sogar mit dem von Strom und Wasser. Doch was ist, wenn man gerade nicht zu Hause oder am Arbeitsplatz ist, um den guten alten PC zu nutzen?

Was die Informationstechnologie angeht ist hier also Mobilität gefragt. Notebooks, die im Vergleich zur Workstation eine gewisse Mobilität ermöglichen, gehören in den Haushalten, sowie in Unternehmen längst zu den Alltagsgegenständen. Sie sind leichter, kleiner, also kompakter und dabei nicht unbedingt weniger leistungsfähig und nähern sich somit den Aspekten, die das A und O der Mobilität ausmachen, eindeutig an.

Dem ganzen noch etwas näher kommen aber Tablet-PCs und vor allem Smartphones, die aufgrund dessen mehr ins Auge fallen. So sind inzwischen mehr Smartphones als Notebooks in Gebrauch, da man bereits im Jahr 2009 weltweit an die 180. Mio Smartphones verkaufen konnte.

Einen mittlerweile sehr großen Anteil daran hat Apple. Mit dem iPhone schaffte man es in nur 2 jahren auf den 3. Platz der martkführenden Smartphone Anbieter, wobei sogar prognostiziert wird, dass Apple in den kommenden Jahren die Marktführung übernehmen wird.[1] Da auch der Tablet-PC, das iPad, von Apple nicht weniger gut gegenüber seiner Konkurrenz abschneidet, vor allem bei Unternehmen, gilt es einen genaueren Blick auf die Plattform der Geräte zu werfen, denn iPhone und iPad basieren beide auf Apples iOS, so dass man ahnen kann, dass nicht nur das Aussehen der Geräte, sondern vor allem das Betriebssystem als aktiver Leistungsbringer bei den Endbenutzern zu überzeugen scheint.

Das Erscheinen oder Einsetzen neuer Gerätschaften bringt jedoch meist auch neue Sicherheitslücken und -anforderungen mit sich. Besonders im Unternehmensbereich, wo Sicherheit mit die größte Rolle spielt, muss man sich mit dem Aspekt intensiv auseinandersetzen. Also was bedeutet es für einen Privatnutzer oder ein Unternehmen wenn es sich für ein iOS Gerät entscheidet, insbesondere im Hinblick auf die Sicherheit?

Diese Fallstudie beschäftigt sich mit dem Betriebssystem iOS mit einem besonderen Augenmerk auf die Sicherheitsaspekte und deren Auswirkungen, sowie potentielle Maßnahmen im privaten als auch im Unternehmensumfeld. Als Einstieg und Schaffung einer Wissensbasis wird das generelle Mobile Computing einmal genauer erläutert und durchleuchtet, bevor explizit auf das Betriebssystem iOS eingegangen wird.

2 Mobile Computing

2.1 Definition

Eine allgemeingültige Definition zu dem Begriff Mobile Computing gibt es nicht, was wohl vor allem daran liegt dass die Wissenschaftler immer wieder verschiedene Begriffe hierfür nutzen, die ähnliches meinen jedoch bestimmte Merkmale als besonders signifikant hervorheben. Laut Fuchß [2] sind ähnliche Bezeichnungen beispielsweise das tragbare / wearable Computing, das allgegenwärtige/ ubiquitous Computing und Mobile Kommunikation. Hanhart [3] definiert Mobile Computing als die Gesamtheit jeglicher Aktivitäten, Anwendungen und Prozesse in Betrieben, welche mit Hilfe von mobilen Technologien durchgeführt oder unterstützt werden. Mit mobilen Endgeräten haben Benutzer (Arbeitnehmer, Kunden und Lieferanten) Zugriff auf Daten und Informationen unabhängig von Ort und Zeit. Der Schwerpunkt hierbei liegt auf der Kommunikation von Mensch und Maschine. Einen anderen Definitionsansatz beschreiben dagegen Bollmann und Zeppenfeld [4], die zunächst die Wichtigkeit der drei Bedeutungsmöglichkeiten von dem Begriff Mobilität aufzeigen:

  • Gerätemobilität: das Gerät ist Zeit- und Raumunabhängig vernetzt (wie beschrieben)
  • Benutzermobilität: der mobile Nutzer verwendet situativ das passende Gerät.
  • Dienstmobilität: bezeichnet Dienste, auf die unabhängig von Gerät, Ort und Zeit zugegriffen werden kann (als Beispiel wäre hier in etwa ein E-mail Account denkbar, der sowohl vom PC zu Hause, Webclient am Arbeitsplatz als auch mit Hilfe eines Mobilen Endgeräts von jedem sonstigen Ort aus abgerufen werden kann).

Bollmann und Zeppenfeld[5] kommen schließlich dazu überein, dass „Mobile Computing (…) die Gesamtheit von Geräten, Systemen und Anwendungen (bezeichnet), die einen mobilen Benutzer mit den auf seinen Standort und seine Situation bezogenen sinnvollen Informationen und Diensten versorgt.“

2.2 Sicherheitsaspekte im Mobile Computing

Durch die in den letzten Jahren stetig ansteigende Verbreitung von mobilen Endgeräten wie z.B. Smartphones, Personal Digital Assistants (PDA), Netbooks und Tablets steigt auch damit einhergehend die Bedrohung der IT-Sicherheit, für den privaten Nutzer und vor allem auch für Unternehmen [6]. Das namhafte Marktforschungsunternehmen Gartner prognostiziert, dass die Arbeit mit mobilen Endgeräten auch bis zum Jahre 2015 weiterhin drastisch ansteigen wird[7]. Viele Arbeitnehmer vertrauen bereits heute zunehmend auf mobile Geräte, wobei die grenzenlos scheinende Vielseitigkeit der Geräte besonders geschätzt wird[8]. So ist zu erklären, dass viele Arbeitnehmer diese mobilen Geräte auch im privaten Kontext verwenden, wodurch das Sicherheitsrisiko erhöht wird. Zum einen geschieht dies durch die Nutzung des mobilen Geräts in verschiedenen Netzwerkumgebungen. Hierdurch können z.B. Viren in einem fremden Netzwerk auf das Gerät gelangen und von hier aus weitere Netzwerke infizieren. Zum anderen werden Mobile Geräte auch häufiger verloren und leichter entwendet als fest im Büro installierte Arbeitsgeräte[9]. Zu ähnlichen Ergebnissen kam auch die Corporate-Trust-Studie aus dem Jahr 2009. Aus dieser geht hervor, dass die dort befragten Unternehmer die größten Gefahren für die Sicherheit ihrer IT und Telekommunikation sehen durch

  • den fahrlässigen Umgang von Angestellten mit den definierten Sicherheitsstandards
  • Hackerangriffe (Spyware, Trojaner, Würmer, Viren usw. inbegriffen)
  • Missbrauch von Daten durch eigene Angestellte
  • und den Diebstahl oder Verlust von Hardware[10].

Alle neuen Technologien stellen eine potentielle Gefährdung des bis dato erarbeiteten Sicherheitsstandards dar, weswegen sich Unternehmen solchen Innovationen oft aus Sicherheitsgründen zunächst verweigern[11]. Nicht nur für Unternehmen sondern auch für Privatpersonen sind Sicherheitsaspekte im Zusammenhang mit mobilen Endgeräten bedeutsam. Denn in einem Zeitalter in dem der Mensch ganz selbstverständlich Mobile Geräte nutzt um damit beispielsweise zu surfen, Online Banking zu nutzen (siehe hierzu auch Kapitel Mobile Payment), Einkäufe im Internet zu tätigen und sensible Daten (wie zum Beispiel Kontaktdaten, Emails, vertrauliche Benutzerdaten und Passwörter von diversen Internetseiten und Anwendungen) auf den Geräten zu speichern. All diese Informationen sind für Datendiebe von großem Interesse[12]. Für diese ist das ausnutzen von den Schwachstellen bei mobilen Geräten in der Regel einfacher, als bei Server- bzw. Desktopsystemen, da das Sicherheitsbewusstsein der Nutzer hier noch nicht in ausreichendem Umfang entwickelt ist[13].

2.3 Sicherheitsrisiken und potentielle Angriffsmöglichkeiten

Es ist zu beobachten, dass zunehmend zielgerichtete Angriffe auf ausgewählte Benutzerkreise oder Unternehmen stattfinden [14]. Solche Attacken zielen darauf ab unbefugten Dritten Zugang zu sensiblen Daten zu ermöglichen. Weil mobile Geräte wahre Schatztruhen sensibler Informationen (aus Privat- und Geschäftsleben) sein können, versuchen Kriminelle diese auszuspähen um sie entweder selbst zu nutzen oder aber an Interessenten weiter zu verkaufen (z.B. Wirtschaftsspionage) [15]. Ein weiteres Ziel derartiger Attacken kann es sein Daten, Software und sämtliche Anwendungen zu manipulieren, die Funktionalität des Geräts zu beeinträchtigen oder vollkommen zu zerstören [16]. Des Weiteren kann der Angriff auf unbefugte bzw. kostenlose Dienstnutzung abzielen, wie zum Beispiel das Lesen und Schreiben von Kurznachrichten (SMS/MMS) oder das Mithören bzw. tätigen von Anrufen mittels des attackierten Handys, von denen der Besitzer oftmals zunächst nichts merkt [17].

Mit welchen Techniken so genannte Hacker unter anderem ihre oben genannten Ziele verfolgen und oftmals auch erreichen soll im Folgenden beispielhaft erläutert werden. Dieses Kapitel erfordert keinerlei Anspruch auf Vollständigkeit, es soll lediglich einen Überblick über die häufigsten/bekanntesten Techniken verschaffen.

2.3.1 Auskundschaften

Besonders für die Werbewirtschaft ist der neue und einfache Weg der Informationsbeschaffung über potentielle Zielgruppen ein zunehmend in Erfüllung gehender Traum. Der erste Schritt der personalisierten Werbung mit Hilfe von Bannern und/oder Spots auf der aktuell aufgerufenen Homepage, wird vor allem ermöglicht durch das Spurenauslesen so genannter Cookies von Usern beim Surfen im Internet. Der nächste und ergiebigere Schritt wird durch den vermehrten Einsatz mobiler Endgeräte die beispielsweise mit WLAN, GPS, Bluetooth und anderen Techniken ausgestattet sind, erreicht. Diese Techniken ermöglichen, die Erstellung eines Bewegungsprofils durch die dauerhafte Aufzeichnung von aktuellen Standorten des mobilen Geräts. Hierdurch können Werber ableiten, wo sich der Arbeitsplatz des Kunden befindet, wo sie einkaufen, wo sie leben und wie viel sie in etwa verdienen(Abschätzung des durchschnittlichen Einkommens des Ortes, an dem sich der Kund nachts befindet). Diese Daten werden dann zusätzlich angereichert mit sozioökonomischen Daten. Dies ermöglicht, dass dem Kunden individuell angepasste Werbeinformationen zu kommen. Er erfährt wo Menschen mit ähnlichen Interessen und mit ähnlichem finanziellem Hintergrund sich aufhalten, welche Bars, Restaurants, Geschäfte oder Kinos diese besuchen. Hierdurch kann ein nahezu streuverlustfreier Zugang zu Konsumenten erwirkt werden. Ein Milliardenmarkt ist so entstanden, der sich augenscheinlich nicht aufhalten lässt durch die Sorge von Datenschützern über den Verlust der Privatsphäre des Einzelnen [18].

2.3.2 Ausnutzen von Schwachstellen in Betriebssystemen und Anwendungssoftware

Cisco Sicherheitsexperten verdeutlichen dass Professionelle Hacker ihr Hauptaugenmerk inzwischen weg vom PC auf mobile Endgeräte richten. Grund dafür ist, dass die Hackergemeinde auf den konventionellen PC´s längst nicht mehr so erfolgreich ist. Die von ihnen mühsam ausgearbeiteten Sicherheitslücken werden mittlerweile in kürzester Zeit mittels Hotfixes behoben. Im Gegensatz dazu ist das schnelle schließen von Sicherheitslücken durch Hotfixes nicht möglich, da sich die Smartphone-Betriebssysteme wie z.B. Android oder iOS lediglich mittels Firmware-Update auf den neuesten Stand bringen lassen. Dies ist mit einem hohen zeitlichen und finanziellen Aufwand verbunden, weswegen oftmals für ältere Smartphonemodelle keine Firmware-Updates zur Verfügung gestellt werden. Ist also eine Sicherheitslücke vorhanden, so existiert diese gegebenenfalls auch sehr lange, was Hackern die Möglichkeit gibt sich ausdauernd mit einer Sicherheitslücke zu befassen und sich einen Weg auszudenken diese optimal für ihre Zwecke auszunutzen. Während noch vor wenigen Jahren Handys mit einem geschlossenen System arbeiteten, sind aktuelle Smartphones mit Betriebssystemen ausgestattet die auch Anwendungen von Drittanbietern (z.B. Apps) unterstützen und zudem meist regelmäßige Internetverbindung haben [19]. Für solche Apps gilt überwiegend das Black-Box Prinzip es arbeitet als geschlossenes System ohne das der Nutzer dabei Kenntnis über die genaue Arbeitsweise oder die Zuverlässigkeit der Anwendung hat [20].

2.3.3 Trojaner, Viren, Würmer

Die Gefährdung für mobile Geräte durch Malware stieg in den letzten beiden Jahren bedeutsam an. Besonders die Malware für Smartphones boomte regelrecht. So entdeckten Experten der Virenforschung von Kaspersky Lab alleine bis zum Oktober des letzten Jahres hier 1600 mobile Schädlinge [21]. Als Beispiel für einen solchen mobilen Schädling kann der bekannte Smartphone-Schädling MITMO (Man-in-the-Mobile) an dieser Stelle genannt werden. Dieser ist stellt eine Abwandlung des längst bekannten ZeuS-Virus dar, dessen Spezialgebiet im Raub von Bankdaten liegt. MITMO stellt gemeinsam mit den iBot-Netzen die bislang größte Gefahr für Smartphone-Nutzer dar. Bei der am häufigsten vorkommenden Variante schleicht er sich über einen verfälschten App-Link in einer Kurznachricht(SMS) in das Smartphone ein. Hier beschafft er sich per Root administrative Rechte. Befindet sich MITMO erst einmal auf dem Smartphone, beginnt die Manipulation der mobilen Webseite einer Bank. Ziel ist es, an die Anmeldeinformationen des Users zu gelangen. Zudem kontrolliert MITMO die eingehenden Kurznachrichten von der Bank oder mobile Tans aufzuspüren und diese via Netzwerk an den Main-Bot weiter zu geben. All dies geschieht ohne dass das Opfer hiervon Kenntnis erhält. Das besondere an MITMO ist das iBot Netzwerk, welches sich aus den Folgenden drei Ebenen zusammensetzt. Wobei die oberste Ebene der Master Bot ist (normales, oftmals per Prepaid-Karte betriebenes Smartphone, kann nicht aufgespürt werden,) es folgt Sentinels (erhält Befehle von Master und tauschen Daten mit Slaves aus) und die schlussendlich Slaves (infiziertes Gerät)[22].

2.3.4 Man-in-the-Middle-Attack

Bei einem solchen Angriff gibt ein unbefugter Dritter zwei Kommunikationspartnern vor, selbst einer dieser beiden zu sein. Er nutzt dessen Identität um den jeweils anderen zu täuschen, in deren Datenfluss und somit an ausgetauschte Informationen zu gelangen [23]. Er kann diese abgefangenen Informationen zum einen simpel für sich verwerten/sammeln, er kann diese jedoch auch beliebig manipulieren[24]. Eine verschlüsselte Verbindung kann hierdurch umgangen werden und wird so angreifbar. Dabei fungiert der „Mann in der Mitte“ ähnlich wie ein Proxy, er fängt die von den beiden Kommunikationspartnern verschlüsselten Informationen ab, entschlüsselt sie und sendet sie dann weiter an den eigentlichen Adressaten. Um dies zu ermöglichen, muss es dem Angreifer zunächst gelingen die Verbindungsanfrage auf sich umzuleiten und die Kommunikationspartner dürfen im zweiten Schritt die Identität des Gegenübers nicht überprüfen. So könnte ein Angreifer eine eigentlich sichere SSL-Verbindung beispielsweise beim Online-Banking umgehen und so Zugriff auf Kontodaten erhalten [25].

2.3.5 Denial-of Service Angriffe (DoS)

Ein Denial of Service Angriff, im Deutschen als „Dienstverweigerungsangriff“, ist eine Attacke auf einen Host, der darauf abzielt Dienste und/oder Anwendungen, meist durch vom Angreifer herbeigeführte Überlastung, außer Kraft zu setzen. Wenn ein solcher Angriff nicht nur von einem sondern von einer Vielzahl von Systemen die gleichzeitig ausgeführt wird, bezeichnet man diesen als Distributed Denial of Service (DDoS)[26]. Für Opfer solcher Attacken mit mobilen Geräten ist der Angriff meist eher ein Ärgernis als ein folgenschweres Problem, in der Regel merkt er gar nichts davon. Im schlimmsten Fall startet sich das mobile Gerät neu und es wird dadurch ggf. ein Telefonat unterbrochen. Der Angreifer kann hier keine Daten abgreifen oder Dienste in Anspruch nehmen [27].

2.3.6 Ausnutzen der Sicherheitslücken bei Bluetooth

Bluetooth ist eine sehr beliebte und weit verbreitete Technologie über die mittlerweile beinahe jedes mobile Gerät standardmäßig verfügt [28]. Die Bluetooth-Technik birgt zwei zentrale potentielle Gefahren, nämlich zum einen die des unberechtigten Verbindungsaufbaus und zum anderen die, der Abhörbarkeit der Luftschnittstelle[29]. Beim so genannten Bluesnarfing nutzen Hacker eine Sicherheitslücke beim Object Push. Das Mobile Gerät des Opfers wird via PC, Notebook, oder mobilem Gerät über diese Sicherheitslücke angegriffen, um Daten zu stehlen. Für ältere mobile Geräte vermag auch das ausnutzen von Hackern der Bluebug-Lücke eine Rolle zu spielen, für aktuelle Technologien jedoch nicht mehr, weswegen hier auch im Folgenden nicht näher drauf eingegangen wird [30]. Eine aktuellere Hacker Methode ist das so genannte Bluejacking. Hierbei werden Daten via Bluetooth wahllos an alle im näheren Umfeld befindlichen Geräte gesendet. Solche Daten können in Form von Spam-Werbung, oder Viren als ein vorgetäuschter Kontakt versendet werden. Die beiden bereits erwähnten Hacker Techniken das Denial of Service und die Man-in-the-Middle-Attacke können ebenfalls mit Hilfe von Bluetooth durchgeführt werden [31].

2.3.7 Over-the-air-Angriff

Die Bezeichnung Over-the-Air-Attack (zu Deutsch: Luftangriff) steht für ein Kollektiv verschiedener Angriffsarten. Diese werden ausnahmslos aus einer großen Distanz über das Mobilfunknetz abgewickelt. Angreifer können mit Over-the-air-Attacks bisweilen den umfassenden Systemzugriff eines Gerätes erhalten, wodurch wahrhaftes Hacken ermöglicht wird. Dieses ist mit den im vorangegangenen Abschnitt erwähnten Angriffen via Bluetooth nicht möglich. Grundsätzlich können Over-the-Air Attacks in zwei Arten unterteilt werden:

  • jene die sich Systemschwächen zu Nutze machen und angreifenund
  • solche die Fehler (entstanden durch Unkenntnis, Naivität oder Fehlkonfiguration) von Geräte-Usern für ihre Zwecke ausnutzen.

Es gibt Bereiche in denen die Attacken lediglich via Notebook oder PC realisiert werden kann, andere sind inzwischen bereits so fortschrittlich entwickelt worden, dass sich auch mittels eines mobilen Geräts abgewickelt werden können [32].

2.4 Schutzmaßnahmen

Im Folgenden soll beispielhaft beschrieben werden wie sich die Sicherheit im Umgang mit mobilen Endgeräten verbessern lässt. Zunächst einmal kann grundsätzlich gesagt werden, dass alle Kommunikationsschnittstellen (wie beispielsweise Bluetooth oder WLAN) nur dann aktiviert werden, wenn sie auch tatsächlich benötigt werden[33]. Um dann zu verhindern, dass ein unberechtigter Verbindungsaufbau von Dritten erfolgt, oder die Luftschnittstelle abgehört wird, sind die Schutzmaßnahmen Authentisierung und Verschlüsselung nötig [34]. Des Weiteren sollten sowohl das Gerät selbst, als auch die elementaren Anwendungen mit Passwörtern und PIN-Codes geschützt werden, hierbei sollte darauf verzichtet werden die Standardpasswörter beizubehalten [35].

Benutzer von mobilen Geräten sollten diese, sofern möglich, stets auf die aktuellste Firmware updaten. Außerdem sollten keine Nachrichten (z.B. SMS, MMS, E-Mail) mit verdächtigem Inhalt oder von unbekanntem Absender geöffnet werden [36].

Wichtige Daten sollten nicht, oder nur verschlüsselt auf mobilen Geräten gespeichert werden. Sensible Informationen sollten unverzüglich vom Gerät gelöscht werden, sobald diese nicht mehr gebraucht werden. Dies gilt gleichermaßen für abgespeicherte Daten wie auch für Nachrichten jeglicher Art [37].

Es kann auch von Nutzen sein, eine Antivirensoftware auf dem mobilen Gerät zu installieren um die Sicherheit zu optimieren [38]. Doch welche Maßnahmen kann der Besitzer eines mobilen Gerätes nach Geräteverlust, bzw. -Diebstahl ergreifen, um sensible Daten nachträglich bestmöglich zu schützen.

Künstler [39] rät zu den folgenden fünf Maßnahmen:

  • akustischer Alarm: Der Besitzer kann im Zweifelsfall ob sein mobiles Gerät tatsächlich verschwunden (verloren/gestohlen) oder lediglich verlegt ist, beispielsweise über den PC einen akustischen Ton anfordern. Befinde sich das Gerät in der Nähe so ist dieses Signal wahrnehmbar.
  • Gerät sperren: Bleibt das Gerät unauffindbar, kann der Besitzer des Gerätes auch aus der Distanz ein Passwort festlegen. Der Dieb oder Finder erhält ohne dieses Passwort einzugeben keinen Zugriff auf das Gerät und die darauf befindlichen Daten.
  • Ortung via GPS: Mit Hilfe einer GPS-Trackingfunktion (falls eine solche Funktion auf dem mobilen Gerät vorhanden ist) kann der aktuelle (ebenso wie vorherige) Standort(e), ermittelt werden.
  • Daten löschen: kann das mobile Gerät trotz aller Bemühungen nicht aufgefunden werden, kann man aus der Ferne alle Daten per Löschbefehl entfernen.
  • Datensicherung: zum Teil vorhandene Backup-Funktionen ermöglichen es, die auf dem abhanden gekommenen Gerät befindlichen Daten zu sichern. Durch regelmäßige Sicherungen kann der Datenverlust minimiert werden.

3 Betrachtung des Betriebssystems Apple iOS

3.1 Allgemeines

iOS ist das auf Mac OS X basierende mobile Betriebssystem des Applekonzerns, das für die Produkte iPhone, iPad und iPod Touch (weiter-) entwickelt wurde. Ist es auf diesen Geräten installiert, wird es weitestgehend über einen Touchscreen bedient, weswegen auf den meisten Geräten kaum Tasten vorhanden sind. Bis Juni 2010 hieß das Betriebssystem iPhone OS [40].

Die Umbenennung in iOS konnte erst zu diesem späteren Zeitpunkt erfolgen, da die Lizenzrechte für den Namen iOS bei dem Konzern Cisco lagen. Bereits zuvor hatte es zwischen den Konzernen Cisco und Apple Streit um den Namen iPhone gegeben, da Cisco auch diesen Namen lizenziert hatte [41].

Das Betriebssystem Apple iOS stellt die Verbindung zum iTunes Store und dem App Store von Apple dar. Durch diese Verbindung ist es dem User möglich, Apps direkt auf das iOS-betriebene Gerät herunterzuladen. Ende 2010 standen den Usern mehr als 300.000 verschiedene teils kostenlose und kostenpflichtige Apps zum Download zur Verfügung.

Am 15. Januar diesen Jahres wurde im App Store die 10 milliardenste App heruntergeladen [42].

3.2 Die historische Entwicklung von iOS

Im Juni 2007 erschien mit dem ersten iPhone auch das erste Betriebssystem zunächst unter dem Namen iPhone OS. Beim ersten erschienenen Modell des iPhone OS hatte man sich auf die wesentlichen Funktionen eines Smartphones konzentriert, weswegen der Nutzer bei diesem Modell beispielsweise noch keine weiteren Anwendungen zu installieren. Das hierbei benutzte Betriebssystem iPhone OS wurde seither auch auf den von Apple entwickelten iPod Touchs verwendet.

Um dennoch weitere Programme nutzen zu können, sah Apple so genannte „Webapps“ vor. Darunter versteht man auf einem Webserver befindliche Anwendungen, die für den User über einen Webbrowser abrufbar sind. Im Juli 2008 wurde die enorm verbesserte, so genannte „dritte Generation“ des iPhones, mit dem neuen Betriebssystem iPhone 2.0 veröffentlicht. Eine der bedeutsamsten Weiterentwicklungen hierbei war, dass mit dem neuen iPhone die Mobilfunkstandards UMTS in Europa bzw. 3G in den USA unterstützt wurden. Während mit dem ersten iPhone die Onlineverbindung lediglich über Edge möglich war.

Des Weiteren wurde es mit dem weiterentwickelten iPhone 3G möglich Anwendungen (Apps) auf dem Gerät zu installieren. Diese Applikationen vertreibt Apple seither teils kostenpflichtig, teils kostenlos über den App Store und erzielt damit große Erfolge. Schon ein Jahr später, konnte der User aus mehr als 65.000 unterschiedlichsten Apps, die für ihn passenden aussuchen. Apple erreichte zeitgleich mehr als eine Milliarde herunter geladene Apps. Das nächste im April 2009 erschienene Modell war das iPhone 3GS. Das im Namen hinzugekommene „S“ stand hierbei zu Recht für „Speed“ (zu Deutsch: Tempo). Denn durch die verbesserte Hardware war es wesentlich schneller, als das vorangegangene Modell. Zeitgleich hiermit erschien auch das neue Betriebssystem iPhone OS 3.0, welches erstmals das „OS“ für Operating System im Namen enthielt [43].

Im April 2010 erfolgte die Weiterentwicklung des Betriebssystems iPhone OS 3.2, welche eigens für das erste veröffentlichte iPad entwickelt wurde. Wenig später, im Juni 2010 kam dann für das iPhone und den iPod Touch das iPhone OS 4 auf den Markt, an dieser Stelle der Entwicklung wurde das Betriebssystem iPhone OS in iOS umbenannt. Das Besondere am iPhone OS 4 war, dass diese Version erstmalig Multitasking beherrschte [44].

Ab der Version iOS 4.2 steht das Betriebssystem iOS 4 auch nicht nur iPhone und iPod sondern auch iPad Usern zur Verfügung. Im März 2011 wurde im Zuge der iPad 2 Veröffentlichung auch das derzeit aktuellste Betriebssystem der Firma Apple iOS 4.3 vorgestellt [45].

3.3 Marktanteil

Smartphone-Markt:

Von dem Zeitpunkt an dem Apple das erste computerähnliche Telefon, das iPhone, auf den Markt brachte, waren die Machtverhältnisse gefestigt. Einerseits gab es Apples Designerstück, das Innovation vorantrieb und sowohl Vorbild als auch beispielloses Mode-Accessoire. Andererseits gab es die mehr oder weniger ratlosen Nachahmer.

Vor nicht allzu langer Zeit jedoch änderte sich diese monopolistische Stellung von Apple Produkte auf dem freien Markt. Seither haben Smartphone Interessenten die Auswahl zwischen einer ganzen Menge von Produkten verschiedener Hersteller die ernsthaft mit den Geräten aus dem Hause Apple konkurrieren können. Allen voran führt Google mit ihrem Betriebssystem Android den erbitterten Kampf mit Apple um die Vorreiterposition auf dem Smartphone-Markt [46].

Eine aktuelle Zukunftsprognose aus dem Hause Gartner (namhaftes Institut für Marktforschung) prophezeit das Google schon in diesem Jahr diesen Kampf deutlich für sich entscheiden, und Apple auf Platz Nummer zwei verdrängen wird.

Des Weiterhin geht Gartner davon aus, dass im kommenden Jahr 2012 Google ihren Marktanteil auf fast 50% ausbauen wird, während die Verkaufszahlen bei Apple kaum weiter entwickeln (siehe Graphik). Dass solche Studien nicht immer zutreffend sein müssen, zeigt dass bei einer ähnlichen Studie vom gleichen Unternehmen am Ende ein vollkommen anderes Ergebnis stand. Dieser inzwischen widerlegten Studie zufolge, hätte Android es bis 2014 nicht schaffen sollen die Marktführerschaft zu übernehmen. Wie oben beschrieben ist dies widerlegt und Android befindet sich bereits im Jahr 2011 auf der Position des Marktführers [47].

Tablet-Markt:

Eine vollkommen andere Situation stellt sich hingegen auf dem Tablet-Markt dar. Hier geht Gartner davon aus, dass Apple iOS diesen bis zum Jahre 2015 dominieren wird. Für 2011 wurde für iOS ein Marktanteil von 69 % vorausgesagt. Im Jahr 2015 soll dieser dann immerhin noch 47 % betragen. Googles Android hingegen wird prophezeit, seinen Marktanteil von ca. 20% in diesem Jahr bis 2015 auf 39% zu erhöhen. Die Verkaufsprognosen besagen dass 2011 rund 69,7 Millionen und bis 2015 rund 294 Millionen Geräte verkauft werden [48].

4 Sicherheit von iOS

4.1 Allgemein

Die mit iOS betriebenen mobilen Geräte von Apple Inc. werden wegen ihres Funktionsumfangs und dem gehobenen Bedienkomfort sehr geschätzt. So stellt sich die Frage nach der Sicherheit der mit iOS betriebenen Geräte, der im Folgenden Abschnitt auf den Grund gegangen werden soll. Die Geräte von Apple Inc. halten zunächst einmal einige elementare Sicherheitsfunktionen bereit. Hierzu zählen:

  • Die Tatsache, dass Daten (abgesehen von Multimedia-Dateien) nicht unmittelbar auf einem solchen Gerät abgespeichert werden können. Dies ist nur möglich über ein zwischengeschaltetes Programm (iTunes).
  • Auf Apple Inc. Geräten arbeiten Applikationen in dedizierten Sandboxen, lediglich über festgelegte Schnittstellen verläuft der nötige Austausch von Informationen. Der Kernel und Systemdaten sowie Ressourcen werden unabhängig von Benutzerdaten auf einer separaten Partition abgelegt.
  • Der Nutzer kann eine Funktion (genannt Local Wipe) zum zählen von Eingabefehlversuchen des Passwortes zum Freischalten des Geräts einrichten. Wird das Passwort zu oft falsch eingegeben, löschen sich automatisch alle auf dem Gerät befindlichen Benutzerdaten. Apple bietet auch unter anderem den kostenpflichtigen Zusatzservice „Mobile Me“ an. Über diesen Dienst können verloren gegangene Geräte geortet und darauf befindliche Benutzerdaten aus der Distanz gelöscht werden (Remote Wipe).
  • Außerdem sind die mit iOS betriebenen Geräte inzwischen mit einer Hardwareverschlüsselung versehen, diese sorgt dafür, dass alle Benutzerdaten unwillkürlich verschlüsselt abgespeichert werden.
  • Alle elementaren Geräteeinstellungen (Passwort-Policy, Wi-Fi-, und VPN-Einstellungen usw.) können in einer Gerätekonfigurationsdatei gebündelt abgespeichert werden.
  • Die Codes von Anwendungen für mit iOS betriebene Geräte müssen digital signiert sein. Apple signiert ihre Standardapplikationen (Apps) von Haus aus, Drittanbieter müssen ihre Apps durch Apple Inc. zertifizieren lassen.

Doch auch solche Geräte weisen Sicherheitsschwächen auf. So lassen sich auch die Sicherheitseinrichtungen von mit iOS betriebenen Geräten mit etwas Wissen umgehen und diese nichtig machen.

Mit iOS betriebene Geräte speichern abgesehen von den PIM-Daten auch eine Unmenge anderer zum Teil durchaus sensibler Daten, was vom Benutzer nicht registriert wird.

So gibt es beispielsweise den Tastatur-Cache, über den das Gerät beinahe alle Tastatur-Eingaben unaufgefordert abspeichert. So auch Anmeldedaten, Nachrichtenfragmente, Suchbegriffe etc. die auch nach dem Löschen weiterhin auf dem Gerät existieren. In gleicher Weise verbleiben Bilder auf dem Gerät, die durch automatisch gespeicherte Screenshots bei drücken der Hometaste entstehen und so den letzten Stand einer aktiven App wiedergeben. Auch bereits gelöschte Bilder aus Bildergalerie, von der integrierten Kamera oder dem Browser Browser-Cache, bleiben weiterhin auf dem Gerät gespeichert. Gleiches gilt für gelöschte Adressbucheinträge, Anruferlisten, gecachte oder gelöschte Nachrichten und Pairing Informationen (Verbindungen mit anderen Geräten z.B. via Bluetooth).

All diese Informationen können durch forensische Analysen wieder hergestellt und lesbar gemacht werden, auch wenn der User glaubt diese längst gelöscht zu haben [49].

Ein beliebtes Ziel von Hackern sind so genannte gejailbreakte iOS-Geräte. Als Jailbreak bezeichnet man die Installation von modifizierter Firmware auf iOS-Geräte die die Verbindung des Geräts zum Apple iTunes Store auflöst, wodurch die Installation von fremder nicht durch Apple zertifizierter Software ermöglicht wird. Des Weiteren können einige Funktionen des Betriebssystems iOS genutzt werden, welche für den gewöhnlichen Nutzer normalerweise zunächst deaktiviert sind [50].

Das Sicherheitsrisiko steigt bei gejailbreakten Geräten in unermessliche Ausmaße. Denn es traten bereits einige Schädlinge auf, die sich auf den Angriff gejailbreakter Geräte spezialisiert haben. So beispielsweise auch ein Wurm der die betroffenen Geräte infizierte und dafür sorgte dass diese in ein Bot-Netz (siehe hierzu auch Punkt 2.3.3 dieser Arbeit) eingliederte und somit dafür sorgte, dass das Gerät alle vom Server eingehende Anweisung per Download annahm und diese eigenmächtig ausführte. Darüber hinaus änderte der Wurm auch das Passwort des Geräts, so dass der Besitzer das Gerät schließlich nicht mehr benutzen konnte, nachdem der Wurm es einmal ausgeschaltet hatte [51].

Waren die massiven Sicherheitsrisiken von iOS vor einigen Jahren noch Hackerträume erfüllte, hat sich dies in den vergangenen Jahren doch stark geändert. Durch die schnelle Reaktion von Apple auf Meldungen gefundener Sicherheitslücken „iOS has become the most secure software platform to date“ meint CTO Raimund Genes von Trend Micro [52].

4.2 Im Unternehmensumfeld

Der lang anhaltende Ansturm von Privatnutzern auf das iPhone ist auch im Unternehmensbereich nicht unbemerkt geblieben. Immer mehr Unternehmen - egal ob kleine, mittlere oder große - ziehen eine Integration von iOS basierenden Geräten in ihre Unternehmensstruktur in Betracht. Obwohl der Einsatz von mobilen Endgeräten keineswegs eine Neuerfindung darstellt, machen es die Zahlen, der in den letzten Monaten verkauften und aktivierten Endgeräte, deutlich, dass der Entwicklungsschub von Smartphones und besonders von Tablet-PCs bei Unternehmen für großes Interesse und Aufsehen sorgt.

Besonders Apple mit seinem iOS scheint davon zu profitieren. Laut einer Studie von Good Technology (Anbieter für mobile Geschäftslösungen, USA), basieren mittlerweile knapp 70% aller auf Unternehmensbasis eingesetzten mobilen Endgeräte auf dem Betriebssystem iOS. Etwas über 30% liegt der Nutzungsanteil von Adroid Geräten, was bedeutet, dass in diesen Unternehmen Endgeräte von Samsung, Motorola oder auch HTC eingesetzt werden.

Auf dem globalen Markt können die Betriebssysteme Symbian und Windows Mobile nur einen eher geringeren Marktanteil für sich sprechen lassen, im Unternehmensbereich geht dieser sogar gegen Null.[53]


Neben den Smartphones sind inzwischen die Tablet-PCs, wie z.B. das Apple iPad, gerade im Unternehmensumfeld stark gefragt, da diese die Möglichkeit bieten geschäftliche Arbeiten im Außendienst abzudecken und somit das Mitführen eines wesentlich schwereren und sperrigeren Notebooks überflüssig machen.

Trotz der immer größer werdenden Beliebheit der iPads machen den Großteil der iOS basierenden Geräte in Unternehmen immer noch das iPhone 3GS und das iPhone 4 aus. Da zunächst nur wenige Unternehmen den Schritt der Implementierung von iOS Geräten in die eigene Unternehmensstruktur mit dem Modell iPhone 3GS wagten, lässt sich das 3GS als ein Vorreiter von iOS Systemen auf Unternehmensbasis betrachten. Für den richtigen Durchbruch sorgten allerdings erst der Nachfolger, das iPhone 4, sowie das iPad. Erst mit dem Erscheinen dieser beiden Modelle stieg die Anzahl der in Unternehmen eingesetzten iOS Geräte stark an.

Besonders der Tablet-PC von Apple findet großen Zuspruch bei Unternehmern. So sind laut einer Erhebung des amerikanischen Anbieters für mobile Geschäftslösungen, Good Technology, inzwischen an die 28% aller in Unternehmen aktivierter mobiler Endgeräte iPads.[54]


Der Einsatz der Tablet-PCs ist jedoch auch stark abhängig von der Branche. Einleuchtend ist, dass iPads, die den Ruf als reines "nettes Spielzeug"[55] nicht ganz los werden, nicht für jede Tätigkeit benötigt werden und auch nicht immer ein voll ausgestattetes Notebook ersetzen können. So finden sie zum Beispiel überwiegend ihren Nutzen in der Finanzdienstleistungsindustrie. Diese Branche gilt, was den Einsatz von iPads angeht, sogar als so genannter Early Adopter, da der Anteil von aktivierten Geräte im letzten Quartal 2010 von 28% auf 40%.

Auch im Gesundheitswesen zeigt man größeres Interesse an den Tablet-PCs mit der iOS Plattform. In den Bereichen des Handels, der Dienstleistungen und des öffentlichen Dienstes hält man sich hingegen noch etwas zurück.[56] Womöglich hat das iPad in diesem Umfeld seine Nischen noch nicht finden können, so dass dort eine erhöhte Nachfrage bislang ausgeblieben ist.


Unternehmer, die vor haben in Zukunft iOS Technologie in ihrem Unternehmen einzuführen, sollten jedoch immer ein Augenmerk auf den Sicherheitsaspekt legen, denn besonders in diesem Punkt ist man geteilter Meinung, was das Potential der mobilen iOS Geräte im Vergleich zur Konkurrenz betrifft. So meinen Analysten von Forrester Research, ein Unternehmen für Marktanalysen im Bereich der Informationstechnologie, dass sich in Sachen Unternehmenssicherheit iOS nur hinter Microsoft und RIM platzieren kann.

Trotz diesem Ergebnis sprechen die Verkaufs- und Aktivierungszahlen für iOS. So glaubt Forrester Research weiter, dass das Unternehmenssicherheitspotential zwar geringfügiger ist, den meisten Unternehmen aber wohl trotzdem ausreiche[57], um die Sicherheit in ihren IT-Strukturen nicht zu beeinträchtigen.

Ist in einem Unternehmen nach gründlichen Evaluierungen beschlossen worden iPhones, bzw. iPads anzuschaffen, muss eine Integration in die eigene Unternehmensstruktur geplant werden, denn die sichere Integration der Geräte bedeutet nicht nur weiterer Aufwand für das Finanzwesen, sondern auch die Administratoren der IT müssen dafür sorgen, dass die Einführung, die Nutzung und eine anschließende Entsorgung durchdacht strukturiert sind. Dafür sind nicht nur währenddessen, sondern bereits im Vorfeld einige Maßnahmen zu treffen, um die weiter bestehende Sicherheit der Unternehmenstruktur gewährleisten zu können. Die größten Sicherheitsmaßnahmen bringen jedoch nicht viel wenn der Nutzer des Endgerätes nicht mit ihnen umzugehen weiß. Daher ist die Einweisung oder Schulung der Mitarbeiter, die ein solches iOS Endgerät nutzen werden, unabdingbar. Dabei ist nicht nur die eigentliche Nutzung des Geräts zu beachten, sondern gilt den auf das Unternehmen spezifisch abgestimmten Umgang zu vermitteln, da Vorgaben von Unternehmen zu Unternehmen variieren können.


Es gilt also die folgenden Punkte sorgfältig zu planen und durchzuführen:

  • Evaluierung
  • Integration in Unternehmens-IT
  • Sicherheitsmaßnahmen (Anforderung an das Unternehmen)
  • Sicherheitsrichtlinien (Anforderung an den Nutzer/Mitarbeiter)


4.2.1 Evaluierung

Bevor in einem Unternehmen mit der Integration von iOS Geräten begonnen werden kann muss das Unternehmen nicht nur das iPhone, bzw. iPad, sondern auch sich selbst auf die Tauglichkeit prüfen. Bis es zur letztendlichen Einführung der Geräte in die Produktion kommt, kann einiges an Zeit verstreichen, da es davon abhängig ist, was und wie tief ein Unternehmen die Gerätschaft im Vorfeld testen will. Dazu macht es durchaus Sinn zuerst Testgeräte zu organisieren und diese im Unternehmen an den betroffenen Stellen zu verteilen. Betroffene Personen oder Abteilungen sowie deren Testszenarien können zum Beispiel folgende sein:

  • Endbenutzer
    • Bedienfreundlichkeit
    • Umfang der potentiell abgedeckten Arbeitsbereiche
  • Administration/Support
    • Aktivierungsprozess
    • Tiefe der Verwaltungs- und Konfigurationsmöglichkeiten
    • Fernwartung
    • Wiederherstellung
    • Veröffentlichung von Updates und Hotfixes
  • Anwendungsentwicklung
    • Entwicklung von Unternehmens Apps
  • Security Management
    • Technische Absicherungsmöglichkeiten/-lücken
    • Umweltbedingte Absicherungsmöglichkeiten-/schwachstellen
  • Kommunikation
    • Anbindung an das Unternehmensnetzwerk
    • interne E-Mail Anbindung
  • Beschaffung
    • Anbieter und Tarife
    • Modelle und Versionen


Ist die Testphase abgeschlossen so sollten die zusammengetragenen Ergebnisse im Hinblick auf folgende Kriterien bewertet werden, wobei den Kriterien nach eigenem Bedarf und Ermessen eine entsprechende Gewichtung zugeordnet werden sollte:

  • Nutzfaktor
  • Kostenfaktor
    • Anschaffungs- und Mobilfunkkosten
    • internes/externes Mobile Device Management (wenn benötigt)
    • Anpassung der IT-Umgebung (wenn benötigt)
  • Erfüllung der Sicherheitsanforderungen

4.2.2 Integration in Unternehmens-IT

Bei der Integration der iOS basierenden Geräte in ein Unternehmen, gibt es verschiedene Möglichkeiten, die auch in Kombination eingerichtet werden können, vom Gerät aus die im Unternehmen befindlichen Technologien zu nutzen. So unterstützen iOS Endgeräte Anbindungen an eine Reihe von Kommunikationsservices, die in Unternehmen üblich sind.

Die Einrichtungsoption einer WiFi-Anbindung ist bei iOS Geräten standardmäßig on board. Eine Verbindung zu bestehenden WLAN-Netzwerken kann somit ohne Prbleme hergestellt werden - und das auch gesichert. Neben WPA2-Enterprise, welche mit einer 128-Bit-AES-Verschlüsselung als sicher gilt, werden folgende standardisierten WLAN-Netzwerkprotokolle ünterstützt:

  • WEP
  • WPA-Personal
  • WPA-Enterprise
  • WPA2-Personal

Das Gerät kann so konfiguriert werden, dass eine Verbindung zu zur Verfügung stehenden WLAN-Netzwerken automatisch hergestellt wird.[58]


Das Einrichten eines Virtuellen Privaten Netzwerkes ist unter der Anwendung von standardisierten VPN-Protokollen mit einem iOS Gerät möglich. Das iPhone, sowie das iPad, besitzen einen integrierten VPN-Client mit dem folgende Verbindungen hergestellt werden können:

  • Cisco IPSec
  • L2TP über IPSec
  • L2TP über PPTP

Die Definition eines VPN-Proxy oder eines allgemeinen Proxy für eine kontrollierte und gesicherte Internetnutzung ist ebenso möglich.[59]


Das Zugreifen auf E-Mails, Kalender und Kontakte im Unternehmen wird durch die Kommunikationsfähigkeit mit einem Microsoft Exchange Server ermöglicht. Micrsoft Exchange ActiveSync erlaubt ebenso das Pushen dieser Dienste, sodass manuelles Abrufen nicht von Nöten ist. Beim Anwenden von Exchange ActiveSync werden von iOS Geräten folgende Sicherheitsrichtlinien unterstützt:

  • Gerätelöschung (Fernwartung)
  • Eingabe eines Gerätekennworts erwzingen
  • Kennwortrichtlinien (Länge, Fehlversuche, Komplexität)
  • Einfache Kennwörter ablehnen/zulassen*
  • Speichern der Kennworthistorie*
  • Zulassung von Kamera und Browser*[60]

*nur für Exchange 2007 und 2010


Zur Sicherstellung und Optimierung der Authentifizierung, der Datenintegrität, sowie der Verschlüsselung im Unternehmen, unterstützten iOS Geräte den Einsatz von digitalen Zertifikaten. Das iOS nutzt Zertifikate, um Gewissheit zu erlangen, dass Informationen nicht geändert werden können, die Identität von Autoren sicherzustellen, als auch die Kommunikation über Netzwerke zu verschlüsseln. Diesbezüglich werden die folgenden Zertifikats- und Identifikationsformate akzeptiert:

  • X.509 Zertifikate mit RSA-Schüssel
  • .cer
  • .crt
  • .der
  • .p12
  • .pfx[61]


Unumgänglich bei einer Integration von iOS Geräten ist das Bedenken der Rolle von Apples iTunes. Dadurch dass die Aktivierung der Geräte bereits iTunes erfordert, steht ein Verzicht auf die Software schon außer Frage. Aber nicht nur der Aktivierungsvorgang wird über iTunes gesteuert, sondern auch folgende Prozesse:

  • Synchronisation von Medien
  • Softwareaktualisierungen
  • Gerätesicherung

iTunes muss somit auf dem Arbeitsplatzrechnern installiert werden oder aber alternativ auf den Heim-PCs der Mitarbeiter.[62]


Bei einer vielzahl an eingesetzten Geräten könnte Mobile Device Management (MDM) eine zentrale Rolle spielen. Im Grunde handelt es sich dabei um eine zentrale Verwaltung der sich im Unternehmen befindlichen Smartphones und Tablet-PCs über das Mobilfunknetz. In der Regel wird die Verwaltung von der IT-Administration übernommen, die zentral auf einem Server Benutzerprofile definiert, die folgende Aspekte abdecken können:

  • E-Mail-Push
  • VPN
  • APN
  • Dienste
  • Businessprogramme
  • Geräteeinstellungen

Auf diese Weise lassen sich Einstellungen, Programme und Zertifikate verteilen und installieren. Durch die bequeme zentralisierte Ausbringungsmöglichkeit via Mobilfunk ergeben sich folgende Vorteile:

  • Endbenutzer muss sein Smartphone zur Verwaltung nicht an IT-Abteilung übergeben
  • alle Engeräte können problemlos auf dem selben aktuellen Stand gebracht werden
  • Kosten- und Zeitersparnis durch Massenabfertigung
  • Manipulationsschutz der Geräteeinstellungen[63]

4.2.3 Sicherheitsmaßnahmen

Um im Unternehmen die Sicherheit in den Bereichen, in denen die iOS basierenden Geräte eingreifen werden, weiterhin sicherzustellen, müssen geplante Sicherheitsmaßnahmen umgesetzt werden. Dabei hängt es einzelnd davon ab, wann diese getroffen werden muss. Änderungsmaßnahmen in der Unternehmens- bzw. IT-Struktur sollten bereits im Vorfeld getroffen werden, ebenso die Einweisung und Schulung von Administratoren und Supportern. Einweisungen der Endbenutzer, sowie Konfigurationen am Gerät selbst werden üblicherweise erst beim Erhalt des Geräts oder im nachhinein vorgenommen. Auch die Nutzung von privaten Geräten sollte gut Überdacht werden, da diese nicht immer die benötigten Sicherheitskonfigurationen aufweisen und nicht ohne eine Kontrolle oder Anpassung durch einen Administrator in das Unternehmensnetzwerk integriert werden sollten.[64] Um die Unternehmenssicherheit nicht zu gefährden sollten folgende Maßnahmen im Unternehmen, für den Endbenutzer und am Gerät implementiert werden:

  • Maßnahmen im Unternehmen
    • Hotspot (WPA/WPA2 verschlüsselt) mit sicherem Internetzugang über einen Proxyserver bereitstellen[65]
    • Administratoren und Supporter regelmäig schulen
    • Einrichtung eines Mobile Device Management (inkl. Fernwartung)[66]
    • Einrichten eines VPN Gateways (Zugang zum Firmennetzwerk von außerhalb)
    • Erzwingen einer zertifikatsbasierten Authentifizierung[67]
  • Maßnahmen für den Endbenutzer
    • Einweisung im sicheren Umgang mit dem Gerät
    • Bereistellen eines unternehmensspezifischen Nutzerleitfadens
    • Anlaufstelle/internen Support (z.B. zum Melden bei Geräteverlust)
  • Maßnahmen am Gerät
    • Zugriffssperre einrichten
    • Selbstlöschung bei mehrfacher Falscheingabe des Passwortes
    • Installieren von Sicherheitsprofilen
    • Komplexe Passwörter erzwingen
    • Deaktivieren der Kamera (z.B. Spionageschutz in Entwicklungsbereichen)
    • Einschränken der erlaubten Apps
    • Gerät stets aktualisieren
  • Datensicherheit
    • Backup regelmäßig durchführen
    • Verschlüsselung von Mail und anderen Datenübertragungen[68]
  • Plattformsicherheit
    • Schutz der Laufzeit und der Programmdaten
    • Verbindliche Codesignierung[69]

4.2.4 Sicherheitsrichtlinien

Trotz aller getroffenen und durchgeführten Maßnahmen sind gewisse Richtlinien unabdingbar. Ein abgesichertes Gerät kann durch einen ungeschulten Anwender zur Achillesferse der Unternehmenssicherheit werden. Daher ist es eine Grundvoraussetzung Regeln für Administratoren, Endbenutzer, sowie Arbeitsabläufe zu definieren, an die es sich zu richten gilt. Eine Einhaltung von gestellten Richtlinien ist nicht immer zu gewährleisten, jedoch lässt sich durch Schulen oder Einweisen der Administratoren und Endbenutzer, sowie das Anwenden von Sicherheitsmaßnahmen eine Minimierung von Sicherheitslücken erreichen. Folgende Richtlinien sind daher in Erwägung zu ziehen:

  • Administratoren
    • Gerätebereinigung vor der Entsorgung
    • Regelmäßiges Prüfen der Richtlinieneinhaltung (z.B. per Fernwartung)[70]
    • Gerätelöschung bei verloren gegangenen Geräten einleiten[71]
  • Endbenutzer
    • Nutzung von komplexen Passwörtern
    • Drahtlosverbindungen nur einschalten wenn diese benötigt werden
    • Nur mit bekannten und gesicherten Funknetzwerken verbinden
    • Gerät bei Nichtnutzung sperren (wenn dies nicht automatisch geschieht)[72]
    • Gerät und installierte Software stets aktualisieren
    • Gerät niemals Dritten zur Verfügung stellen
    • Verlust des Geräts umgehend melden
    • Regelmäßige Sicherheitsbackups durchführen[73]
  • Arbeitsabläufe
    • Geräteeinrichtung/-konfiguration erfolgt ausschließlich durch den Administrator
    • Geräteentsorgung erfolgt ebenso durch den Administrator
    • Apps testen bzw. prüfen bevor diese im Unternehmen freigegeben werden

5 Vor- und Nachteile von iOS

Der momentane, aber auch schon länger anhaltende Erfolg der iOS basierenden Geräte muss natürlich in einer Weise nachvollziehbar sein. So scheint iOS vielerlei Vorteile bzw. gute Argumente zu liefern, die Endbenutzer überzeugt und zum Kauf eines iPhones oder auch iPads bewegt. Ebenso hagelte es in der Vergangenheit aber auch Kritik an den Geräten und seinem Betriebssystem. Folgend ist eine Auflistung von Vor- und Nachteilen, die aus Anwendersicht günstige bzw. fehlende oder mangelnde Aspekte nennt.

5.1 Vorteile

  • Einfache und schnell zu erlernende Bedienung
  • Regelmäßig erscheinende Updates
  • Exchange-Unterstützung bietet Businesstauglichkeit
  • Optimales Zusammenspiel zwischen OS und Internet[74]
  • Nur Zulassung von signierten Apps[75]

5.2 Nachteile

  • keine Archivierung von SMS möglich
  • aufwändige, manuelle Konfigurationsabläufe
  • keine Application-Whitelist
  • keine Trennung von privaten und geschäftlichen Daten[76]

6 Fazit

Mobile Geräte bieten in der heutigen Zeit, in der man durchaus von einer Informationsgesellschaft sprechen kann, optimale Möglichkeiten die Vorzüge des Internets jederzeit und überall zu nutzen. Dem Anwender wird dank mobiler Geräte ein höheres Maß an Mobilität ermöglicht, was ihm in jeglicher Hinsicht zu mehr Flexibilität verhilft.

Die immer größer werdende Anzahl eingesetzter mobiler Geräte hat ein stetig wachsendes Mindestmaß an Sicherheitsanforderungen zur Folge. Denn der steigende Beliebtheitsgrad der Geräte, sorgt dafür dass diese immer öfter zur Zielscheibe von Hackerangriffen werden. Vor allem im privaten Gebrauch sind die Daten auf mobilen Geräten für potentielle Angreifer leichter zugänglich, weil die Anwender meist über Unwissenheit oder Desinteresse über konfigurierbare Sicherheitsoptionen verfügen. Würden diese Sicherheitsaspekte wahrgenommen werden, wären mobile Geräte nicht weniger unsicher als PCs oder Notebooks, was ein wesentlicher Grund dafür ist, dass sie auch in Unternehmen eingesetzt werden.

Unter den mobilen Geräten haben es Unternehmen am meisten auf iOS basierende Geräte abgesehen, wie man im Kapitel 4.2 deutlich lesen kann. Das iPhone, ebenso wie das iPad, werden nicht nur aufgrund ihrer Beliebtheit in Unternehmen eingesetzt, sondern vor allem ihre Sicherheitsaspekte und die leichte Integration in die IT-Infrastruktur machen sie unternehmenstauglich.

7 Abbildungsverzeichnis

Abb.-Nr. Abbildung
1 Sicherheitsrisiken für den deutschen Mittelstand
2 Marktanteil bei Smartphones
3 Tablet-Verkäufe Weltweit
4 Nutzungsanteile eingesetzter Betriebssysteme für mobile Geräte in Unternehmen
5 Protentualer Anteil der in Unternehmen aktivierten mobilen Geräte

8 Einzelnachweise

  1. Vgl. Schulz, Andreas (2010) S.1
  2. Vgl. Fuchß, Thomas (2009), S. 13
  3. Vgl. Hanhart, Daniel (2008), S. 9
  4. Vgl. Bollmann, Tilman & Zeppenfeld, Klaus (2010), S. 2
  5. Vgl. Bollmann, Tilman & Zeppenfeld, Klaus (2010), S. 2
  6. Vgl. Wirsig, Christian (2011) Weblink: www.funkschau.de
  7. Vgl. Eppig, Detlef (2011) S. 1 Weblink: www.lanline.de
  8. Vgl. Power (2011), S. 6 Weblink: www. Mcafee.com
  9. Vgl. Power (2011), S. 4 Weblink: www. Mcafee.com
  10. Vgl. Corporate Trust business risk & crisis management, (2010) S. 36 www.corporate-trust.de
  11. Vgl. Oelmaier, Florian; Hörtreiter, Jochen; Seitz Andreas, (2011) S. 89
  12. Vgl. Künstler, Diana (2011), S. 1 Weblink: www.funkschau.de
  13. Vgl. Bollmann, Tilman & Zeppenfeld, Klaus (2010), S. 114
  14. Vgl. Tönsing, Friedrich (2009) S. 29
  15. Vgl. Power (2011), S. 8 Weblink: www. Mcafee.com
  16. Vgl. Bundesamt für Sicherheit in der Informationstechnik (2006), S. 17 Weblink: www.bsi.bund.de
  17. Vgl. Dewitt, Dominique (2010), S. 51
  18. Vgl. Stölzel, Thomas (2010), S. 65
  19. Vgl. Heinfling, Benjamin (2011) Weblink: www.chip.de
  20. Vgl. Rütten, Christiane (2010) Weblink: www.Heise.de
  21. Vgl. Wirsig, Christian (2011) Weblink: www.funkschau.de
  22. Vgl. Heinfling, Benjamin (2011) Weblink: www.chip.de
  23. Vgl. Persson, Christian. Weblink: www.Heise.de
  24. Vgl. Bundesamt für Sicherheit in der Informationstechnik (2006), S. 40 Weblink: www.bsi.bund.de
  25. Vgl. Persson, Christian. Weblink: www.Heise.de
  26. Vgl. Bundesamt für Sicherheit in der Informationstechnik (2006), S. 38 Weblink: www.bsi.bund.de
  27. Vgl. Pauler, Wolfgang (2004) Weblink: www.chip.de
  28. Vgl. Dewitt, Dominique (2010), S. 50
  29. Vgl. Fuchß, Thomas (2009), S. 129
  30. Vgl. Dewitt, Dominique (2010), S. 51
  31. Vgl. Brack, Lisa (2008), S. 2 Weblink: www.chip.de
  32. Vgl. Dewitt, Dominique (2010), S. 51
  33. Vgl. Bollmann, Tilman & Zeppenfeld, Klaus (2010), S. 117
  34. Vgl. Fuchß, Thomas (2009), S. 129
  35. Vgl. Bollmann, Tilman & Zeppenfeld, Klaus (2010), S. 117
  36. Vgl. Dewitt, Dominique (2010), S. 60
  37. Vgl. Bollmann, Tilman & Zeppenfeld, Klaus (2010), S. 117
  38. Vgl. Bundesamt für Sicherheit in der Informationstechnik (2006), S. 29 Weblink: www.bsi.bund.de
  39. Vgl. Künstler, Diana (2011), S. 2 Weblink: www.funkschau.de
  40. Vgl. Areamobile (2011) Weblink: www.areamobile.de
  41. Vgl. Ihlenfeld, Jens (2010) Weblink: www.golem.de
  42. Vgl. Areamobile (2011) Weblink: www.areamobile.de
  43. Vgl. Damaschke, Giesbert (2009), S. 9
  44. Vgl. Costello, Sam (2011) S. 1 Weblink: www.about.com
  45. Vgl. Farsan, Parwez (2011) Weblink: www.computerbase.de
  46. Vgl. Kuhn, Thomas (2010) S.70
  47. Vgl. Hochstätter, Christoph H. (2011) Weblink: www.zdnet.de
  48. Vgl. Klingler, Anita (2011) Weblink www.zdnet.de
  49. Vgl. Völker, Jörg (2011), S. 1-12 Weblink: www.dfn-cert.de
  50. Vgl. Künstler, Diana (2010), S.7 Weblink: www.funkschau.de
  51. Vgl. Heinfling, Benjamin (2011), S. 3 Weblink: www.chip.de
  52. Vgl. Lemos, Robert (2011) Weblink: www.infoworld.com
  53. Vgl. Schaffry,Andreas (2011) S.2 Weblink: www.cio.de
  54. Vgl. Schaffry,Andreas (2011) S.1 Weblink: www.cio.de
  55. Vgl. König, Andrea (2010) S.2 Weblink: www.cio.de
  56. Vgl. Schaffry,Andreas (2011) S.1 Weblink: www.cio.de
  57. Vgl. Müller, Peter (2010) Weblink: www.computerwelt.at
  58. Vgl. Apple Inc. (2010) S.1 Weblink: www.apple.com
  59. Vgl. Apple Inc. (2010) S.1-2 Weblink: www.apple.com
  60. Vgl. Apple Inc. (2010) S.1 Weblink: www.apple.com
  61. Vgl. Apple Inc. (2010) S.1 Weblink: www.apple.com
  62. Vgl. Apple Inc. (2010) S.1-2 Weblink: www.apple.com
  63. Vgl. Ubitexx GmbH (2011) Weblink: www.ubitexx.com
  64. Vgl. Zeitler, Nicolas (2010) S.1 Weblink: www.cio.de
  65. Vgl. Apple Inc. (2010) S.1 Weblink: www.apple.com
  66. Vgl. Müller, Peter (2010) Weblink: www.computerwelt.at
  67. Vgl. Apple Inc. (2010) S.1 Weblink: www.apple.com
  68. Vgl. Müller, Peter (2010) Weblink: www.computerwelt.at
  69. Vgl. Apple Inc. (2010) S.1 Weblink: www.apple.com
  70. Vgl. Zeitler, Nicolas (2010) S.2 Weblink: www.cio.de
  71. Vgl. Pelkmann, Thomas (2010) S.2 Weblink: www.cio.de
  72. Vgl. Pelkmann, Thomas (2010) S.3 Weblink: www.cio.de
  73. Vgl. Pelkmann, Thomas (2010) S.4 Weblink: www.cio.de
  74. Vgl. Jäger, Moritz (2010) S.3 Weblink: www.cio.de
  75. Vgl. Apple Inc. (2010) S.5 Weblink: www.apple.com
  76. Vgl. Kaneshige, Tom und Pelkmann, Thomas (2010) S.1-3 Weblink: www.cio.de

9 Literatur- und Quellenverzeichnis

Monographien:
Bollmann, Tilman & Zeppenfeld, Klaus Mobile Computing. Hardware, Software, Kommunikation, Sicherheit, Programmierung. Herdecke Witten 2010
Dewitt, Dominique Festnetz, Handy, Internet- das inoffizielle Buch. Poing 2010
Fuchß, Thomas Mobile Computing. Grundlagen und Konzepte für mobile Anwendungen. München 2009
Damaschke, Giesbert iPhone 3G S: Telefon. Musik. Video. Internet. GPS. München 2009
Hanhart, Daniel Mobile Computing und RFID im Facility Management. Anwendungen, Nutzen und serviceorientierter Architekturvorschlag. Berlin - Heidelberg 2008
Oelmaier, Florian;Hörtreiter, Jochen;Seitz, Andreas Apple's iPad im Enterprise-Einsatz: Einsatzmöglichkeiten, Programmierung, Betrieb und Sicherheit im Unternehmen. Berlin 2011
Sammelbände:
Tönsing, Friedrich Entwicklungen im Sicherheitsmarkt. In: Hrsg. Bub, Udo & Wolfenstetter, Klaus-Dieter: Sicherheit und Vertrauen in der mobilen Informations- und Kommunikationstechnologie. Tagungsband zur EICT-Konferenz IT-Sicherheit. 2009 S. 25-45
Internet-Quellen:
Apple Inc. iPhone in Unternehmen. Sicherheitsaspekte. 2010 http://images.apple.com/de/iphone/business/docs/iPhone_Security.pdf (21.06.2011)
iPhone in Unternehmen. WiFi. 2010 http://images.apple.com/de/iphone/business/docs/iPhone_WiFi.pdf (21.06.2011)
iPhone in Unternehmen. Virtuelle Private Netzwerke. 2010 http://images.apple.com/de/iphone/business/docs/iPhone_VPN.pdf (21.06.2011)
iPhone in Unternehmen. Exchange ActiveSync. 2010 http://images.apple.com/de/iphone/business/docs/iPhone_EAS.pdf (21.06.2011)
iPhone in Unternehmen. Digitale Zertifikate. 2010 http://images.apple.com/de/iphone/business/docs/iPhone_Certificates.pdf (21.06.2011)
iPhone in Unternehmen. iTunes Implementierung. 2010 http://images.apple.com/de/iphone/business/docs/iPhone_iTunes.pdf (21.06.2011)
Brack, Lisa Attacke aufs Handy. Sicherheitslücken bei Bluetooth. 2008 http://www.chip.de/artikel/Sicherheitsluecken-bei-Bluetooth_31001240.html (19.06.2011, 20:00)
Bundesamt für Sicherheit in der Informationstechnik Mobile Endgeräte und mobile Applikationen: Sicherheitsgefährdung und Schutzmaßnahmen. 2006 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/MobilEndgeraete/mobile_endgeraete_pdf.pdf?__blob=publicationFile (Stand 13.06.2011, 15:30h)
Corporate Trust, Business Risk & Crisis Management Studie: Gefahrenbarometer 2010. Sicherheitsrisiken für den deutschen Mittelstand. 2010 http://www.corporate-trust.de/studie/Gefahrenbarometer2010.pdf (Stand 13.06.2011, 12:30h)
Costello, Sam iOs / iPhone OS History. 2011 http://www.ipod.about.com/od/iphonesoftwareterms/a/firmw_history.htm (Stand 22.06.2011, 17:00h)
Eppig, Detlef Mobilitätsstrategien für Unternehmen. 2011 http://www.lanline.de/fachartikel/mobilit%C3%A4tsstrategie-f%C3%BCR-Unternehmen.html?page=1 (Stand 13.06.2011, 13:15h)
Farsan, Parwez Apple stellt das iPad 2 und das iOS 4.3 vor. 2011 http://www.computerbase.de/news/consumer-electronics/tablet-pcs/2011/maerz/apple-stellt-das-ipad-2-und-ios-4.3-vor/
Heinfling, Benjamin Handy Viren: Mobile Schädlinge attackieren iPhone, Android und Symbian. Mitmo: Bankräuber für Android, Symbian und BlackBerry. 2011 http://www.chip.de/artikel/Handy-Viren-Mobile-Schaedlinge-attackieren-iPhone-Android-Symbian-2_48108860.html (Stand 19.06.2011, 15:20h)
Hochstätter, Christoph H. Gartner: Knapp 50 Prozent Marktanteil für Android bis 2012. 2011 http://www.zdnet.de/news/41551444/gartner-knapp-50-prozent-marktanteil-fuer-android-bis-2012.htm (Stand 22.06.2011, 23:45h)
Ihlenfeld, Jens IOS. Cisco lizenziert IOS an Apple. 2010. http://www.golem.de/1006/75632.html (Stand: 22.06.2011, 17:15h)
Jäger, Moritz Sinnloser Smartphone Streit. 2010 http://www.cio.de/knowledgecenter/mobile_it/alles-zum-blackberry/2236290/ (Stand 21.06.2011)
Kaneshige, Tom & Pelkmann, Thomas Forrester: Einsatz im Unternehmen. 5 Gründe gegen iPhone und iPad. 2010 http://www.cio.de/das_iphone_im_unternehmen/tipps/2243417/ (Stand 22.06.2011)
Klingler, Anita Gartner: iOS wird Tablet-Markt bis 2015 dominieren. 2011 http://www.zdnet.de/news/41551626/gartner-ios-wird-tablet-markt-bis-2015-dominieren.htm (Stand 22.06.2011 23:00h)
König, Andrea Das iPad bringt dem Business nichts. 2010 http://www.cio.de/strategien/analysen/2222124/ (Stand 19.06.2011)
Künstler, Diana Special: Die mobile Bedrohung. 2010 http://www.funkschau.de/telekommunikation/know-how/article/69200/6/Spezial_Die_mobile_Bedrohung/ (Stand 22.06.2011, 12:50h)
Künstler, Diana Bullguard: Datenschätze auf Smartphones im Visier von Datendieben. 2011 http://www.funkschau.de/mobile-solutions/produkte/article/78652/0/bullguard_datenschaetze_auf_smartphones_im_Visier_von_Datendieben/ (Stand 13.06.2011, 13:30h)
Lemos, Robert Apple iOS: Why it´s the most secure OS, period. 2011 http://www.infoworld.com/print/162792 (Stand 22.06.2011, 12:30h)
Müller, Peter Forrester: iOS4 sicher für den Unternehmenseinsatz. 2010 http://www.computerwelt.at/detailArticle.asp?a=129479&n=1 (Stand 19.06.2011)
Pauler, Wolfgang Aufgedeckt: Sicherheitslücken bei Bluetooth. 23 Handys im Hacker-Test. 2004 http://www.chip.de/artikel/23-Handys-im-Hacker-Test_30655794.html (Stand 19.06.2011, 18:10h)
Pelkmann, Thomas 7 Sicherheitsregeln für iPhone und iPad. 2010 http://www.cio.de/das_iphone_im_unternehmen/tipps/2242574/ (Stand 22.06.2011)
Persson, Christian Glossar. Man-in-the-Middle-Angriff (MITM). Man in the Middle. http://www.heise.de/glossar/entry/Man-in-the-Middle-Angriff-399039.html(Stand 19.06.2011, 13:30h)
Power, Richard Mobilität und Sicherheit. Grenzenlose Möglichkeiten, gewaltige Herausforderungen. 2011 www.mcafee.com/de/resources/reports/rp-cylab-mobile-security.pdf (Stand 12.06.2011, 18:30h)
Rütten, Christiane Ungesicherte Einsichten. Sicherheit für Android und iPhone. 2010 http://www.heise.de/mobil/artikel/Sicherheit-von-Apps-fuer-Android-und-iPhone-1103681.html (Stand 19.06.2011, 17:00h)
Schaffry, Andreas Unternehmen sind gierig aufs iPad 2010.iOS deutlich vor Android. http://www.cio.de/knowledgecenter/mobile_it/2263089/ (Stand 18.06.2011)
Schulz, Andreas Mobilität verändert das Geschäftsleben 2010.Auf dem Weg zur mobilen Informationsgesellschaft. www.cebit-studio-mittelstand.de/dlf/f72338a7e8892f8e16f3fb744d5a9049 (Stand 22.06.2011)
Ubitexx GmbH Mobile Device Management. http://www.ubitexx.com/language/de-de/mobile_device_management/glossar/mobile_device_management (Stand 22.06.2011)
Völker, Jörg iPhone Security. Security Features, Gefahrenpotentiale und Maßnahmenempfehlungen. 2011 http://www.dfn-cert.de/dokumente/workshop/2011/folienvoelker.pdf (Stand 22.06.2011, 12:00h)
Wirsig, Christian Smartphones in der Security-Strategie. 2011 www.funkschau.de/mobile-solutions/know-how/article/78777/0/Smartphones_in_der_security-strategie/ (Stand 12.06.2011, 20:00h)
Zeitler, Nicolas iPhone bleibt Sicherheitsrisiko. 2010 http://www.cio.de/das_iphone_im_unternehmen/tipps/2245942/ (Stand 22.06.2011)
Zeitschriften:
Kuhn, Thomas Vertreibung aus dem Paradies. In Wirtschaftswoche, 2010 Jg. Nr. 43 S. 70-73
Stölzel, Thomas Der Spion, den wir lieben. In: Wirtschaftswoche, 2010 Jg. Nr. 29, S. 65-67
Persönliche Werkzeuge