Tablets wie das iPad 2 oder sein aktuell erschienener Nachfolger, das New iPad, sind bei vielen bereits ein stetiger Begleiter. Die Gefahr, das Tablet unbeaufsichtigt liegen zu lassen oder zu verlieren, ist latent gegeben. Wenn die Daten dann in falsche Hände geraten, ist der Schaden schnell groß.
Da auf dem Gerät oft auch sensible Zugangsdaten gespeichert sind, tut jeder Anwender gut daran, sich Gedanken über die Sicherheit zu machen. Durch die vielfältigen Apps und Standardmittel, die im Appstore zur Verfügung stehen, lassen sich auf iPads auch problemlos alle Arten von Daten im Netzwerk speichern, zum Beispiel komplette SharePoint-Bibliotheken, inklusive Offline-Versionen der Dokumente.
Wenn ein iPad verloren geht, kann der Finder auf alle Daten des Gerätes zugreifen. Administratoren müssen daher auch die Anwender dafür sensibilisieren, das Gerät so sicher wie möglich zu betreiben.
Sicherheit mit Bordmitteln erhöhen: Code-Sperre aktivieren
Die Sicherheit beim Einsatz des iPads lässt sich schon mit Bordmitteln deutlich erhöhen, ohne dass irgendeine App installiert sein muss. Aus diesem Grund ist jedem Anwender anzuraten, sich bei der Anschaffung des iPads zunächst die Sicherheitseinstellungen anzusehen und optimal anzupassen.
In Unternehmen können auch Administratoren die Sicherheitseinstellungen vorgeben und durch ein Kennwort vor Änderungen schützen. Der erste Schritt besteht darin, Einstellungen\Allgemein aufzurufen. Hier finden sich drei wichtige Sicherheitseinstellungen, die besonderer Betrachtung bedürfen und standardmäßig nicht optimal eingestellt sind:
-
Automatische Sperre
-
Code-Sperre
-
Einschränkungen
Wenn Sie das iPad nicht manuell sperren, bleibt es aktiv. Das heißt, wenn Sie das Gerät unbeaufsichtigt auf Ihrem Platz liegenlassen, hat jeder Zugriff auf alle Daten. Es ist auf jeden Fall empfehlenswert, die Einstellungen für Automatische Sperre zu aktivieren und so zu setzen, dass Sie bei der Arbeit nicht gestört werden, sich das Gerät nach gewisser Zeit aber automatisch sperrt und für das Entsperren einen Code verlangt.
Optionen der Code-Sperre
Auch wenn sich das iPad sperrt, lässt es sich problemlos wieder entsperren, solange Sie keinen Code festlegen. Aus diesem Grund sollten Sie auch auf Einstellungen\Allgemein\Code-Sperre aufrufen und entsprechende Einstellungen setzen. Im Fenster haben Sie verschiedene Einstellungsmöglichkeiten, mit denen Sie die Sicherheit deutlich erhöhen können:
-
Code aktivieren/deaktivieren - Über diese Schaltfläche legen Sie einen Code für das iPad fest. Diesen Code müssen Sie eingeben, wenn Sie das iPad entsperren oder nach der Aktivierung erneut in die Konfiguration der Code-Sperre wechseln. Die Code-Sperre lässt sich auch über Exchange-ActiveSync-Richtlinien festlegen. Sobald sich das iPad das erste Mal mit dem entsprechend konfigurierten Exchange-Postfach verbindet, übernimmt es nach Bestätigung diese Einstellung. Akzeptiert der Anwender die Einstellungen nicht, lässt Exchange keinen Postfachzugriff durch das iPad zu.
-
Code ändern - Haben Sie einen Code gesetzt, können Sie Ihn an dieser Stelle ändern.
-
Code anfordern - Hier legen Sie fest, wann das iPad den Code benötigt. In der Standardeinstellung Sofort muss der Code eingegeben werden, sobald Sie das iPad entsperren. Sie können die Eingabe aber auch verzögern und andere Einstellungen festlegen. Je kürzer der Zeitraum ist, umso sicherer ist die Einstellung. Mit Sofort haben Sie die beste Sicherheitseinstellung. Diese sollten Sie bei der beruflichen Verwendung des iPads auf jeden Fall aktivieren.
-
Einfacher Code - Durch Aktivierung dieser Einstellung müssen Sie nur eine vierstellige Zahl zum Entsperren eingeben. Deaktivieren Sie diese Einstellung, können Sie einen längeren und sicheren Code verwenden. Auch hier sollten Sie einen Kompromiss zwischen Sicherheit und effizienter Bedienbarkeit eingehen.
-
Bilderrahmen - Ist diese Option aktiviert, kann jeder Anwender, auch bei gesperrtem iPad, über die Bilderrahmen-Schaltfläche eine Diashow der auf dem iPad gespeicherten Bilder starten. Aus Sicherheitsgründen sollten Sie diese Option deaktivieren. In diesem Fall zeigt das iPad diese Schaltfläche auf dem Sperrbildschirm nicht mehr an.
-
Daten löschen - Aktivieren Sie diese Option, löscht das iPad automatisch alle Daten vom Gerät, wenn jemand zehnmal den falschen Code in das iPad eingibt. Vor allem für iPads, die in Unternehmen eingesetzt werden, ist diese Einstellung fast Pflicht. Ist das iPad an Exchange angebunden, können Anwender und Administratoren das Gerät auch über das Internet löschen lassen. Dazu sendet der Exchange-Server ein Löschsignal an das iPad, sobald es sich das nächste Mal mit dem Server verbindet. Zusammen mit der Einschränkung, dass Anwender keine Einstellungen auf dem iPad bezüglich der E-Mail-Accounts ändern dürfen, kann niemand diesen Löschvorgang verhindern, sobald sich das iPad auf irgendeinem Weg mit dem Internet verbindet.
iPad mit Exchange und Office 365 betreiben
Viele der erwähnten Einstellungen lassen sich auch festlegen, wenn Sie im Unternehmen Exchange einsetzen. Hier können über Exchange-ActiveSync-Richtlinien folgende Einstellungen auf das iPad übertragen werden:
-
Fernlöschen (Remote Wipe)
-
Erzwingung eines Codes zum Sperren des Gerätes
-
Mindestlänge für Kennwörter
-
Mindestanzahl/Maximale Anzahl falscher Eingaben, bis sich das Gerät selbst löscht oder sperrt
-
Kennwort muss Ziffern und Buchstaben erhalten
-
Inaktivitätszeit
-
Einfaches Kennwort zulassen
-
Kennwortablauf und Kennwortverlauf
-
Aktualisierungsintervall für Richtlinien
-
Mindestanzahl komplexer Zeichen im Kennwort
-
Kamera zulassen oder sperren
Sobald Sie an OWA (Outlook Web Access) angemeldet sind, rufen Sie über den Menüpunkt rechts die Einstellungen Ihres Postfachs auf. Sie erreichen die Verwaltung Ihres Telefons über Telefon\Mobiltelefone\<Name des Gerätes>. Über Wiederherstellungskennwort lässt sich das Kennwort anzeigen, welches das iPad verlangt, wenn es aufgrund falscher Kennworteingaben gesperrt ist.
Sie sehen alle mobilen Geräte, die sich per Exchange-ActiveSync mit dem Postfach synchronisieren, sowie ausführliche Details zu dieser Verbindung. Für die einzelnen Telefone können Sie sich auch die Details anzeigen lassen und kontrollieren, ob Richtlinien angewendet wurden beziehungsweise wann der letzte Synchronisierungsvorgang stattgefunden hat. Über die Schaltfläche Geräterücksetzung löschen Sie das Endgerät, sobald es sich das nächste Mal mit dem Exchange-Server verbindet. Diese Einstellungen stehen auch in den meisten gehosteten Exchange-Lösungen zur Verfügung, zum Beispiel in Office 365.
Nicht nur Admins können iPads löschen
Administratoren können die Endgeräte der Anwender ebenfalls löschen. Die Einstellungen dazu finden sich in der Exchange-Verwaltungskonsole im Kontextmenü des entsprechenden Benutzerpostfachs. Haben Sie das iPad an Office 365 angebunden, können Administratoren auch die Geräte der Anwender steuern und löschen:
-
Die Einstellungen dazu finden Sie über den Administratorbereich des Portals, wenn Sie auf Allgemeine Einstellungen im Bereich Outlook klicken.
-
Markieren Sie einen Benutzer und klicken auf Details.
-
Über Telefon- und Sprachfeatures\Bearbeiten sehen Sie die angebundenen Smartphones und können als Administrator die Löschung durchführen oder ein Wiederherstellungskennwort anfordern.
Auch wenn Anwender ihr privates iPad oder iPhone im Unternehmen nutzen, haben Administratoren die Möglichkeit, das Endgerät zu löschen - mit allen darauf gespeicherten Daten. Dessen sollten sich Anwender bewusst sein, die ein privates Gerät an das Unternehmensnetzwerk anbinden.
Ab iOS 5 können auch die Benutzer ihr Gerät mit der iCloud-Funktion "Mein iPad suchen" orten, fernsperren und löschen.
Apps auf dem iPad sperren
Mit dem iPad haben Sie auch die Möglichkeit, bestimmte Apps für Anwender zu sperren. Setzen Sie als Administrator die Einstellungen, kann der Anwender diese später nicht rückgängig machen. Sie legen beim Aktivieren der Einschränkungen einen eigenen Code fest, der nur für die Konfiguration der Einschränkungen gesetzt ist und nichts mit der Code-Sperre zu tun hat.
Das heißt, iPads lassen sich von Administratoren effizient steuern, was die Bedienung der Apps angeht. Über Einstellungen\Allgemeininschränkungen aktivieren Sie zunächst die Einschränkungen auf dem iPad. Sie müssen noch einen Code eingeben, über den Sie nach dem Setzen der Einstellung die Einschränkungen wieder ändern können. Anschließend haben Sie weitreichende Möglichkeiten, den Umgang mit Apps zu steuern.
Sie können Standard-Apps auf dem iPad ausblenden und die generelle Installation oder das Löschen von Apps verhindern. Auch die Einstellungen für Ortungsdienste oder die E-Mail-Accounts lassen sich an dieser Stelle vor Änderungen schützen. Die Spiele auf dem iPad können genauso effizient unter Kontrolle gebracht werden wie der Zugriff auf iTunes.
Achtung bei der Installation von Apps und Ortungsdienste
Auch wenn die Apps in Apples AppStore wesentlich besser vor Viren geschützt sind als bei anderen Systemen, besteht dennoch die Gefahr des Datenmissbrauchs. Installieren Sie eine App, müssen Sie in vielen Fällen bestätigen, dass diese auf die Ortungsdienste des iPads zugreift, also auch auf persönliche Daten.
Bevor Sie Apps installieren - vor allem kostenlose -, überprüfen Sie, auf welche Daten diese App zugreift. Vor allem wenn iPads gejailbreaked sind, also vollständigen Zugriff auf die komplette Umgebung gestatten, ist höchste Vorsicht geboten. Apps können problemlos selbst auf den AppStore zugreifen und Inhalte erwerben, wenn sie die entsprechende Genehmigung erhalten. Das kann zum Beispiel bei Zeitungsabonnements passieren.
Das Problem tritt besonders häufig bei kostenlosen Apps auf, da sich diese oft durch Werbung und den Verkauf von Benutzerdaten für den Entwickler bezahlt machen. Aus diesem Grund kann es für Administratoren sinnvoll sein, über die Einschränkungen des iPads die Installation von Apps komplett zu verhindern.
Vorsicht mit iCloud und anderen Webdiensten
Die mit iOS 5 eingeführten Synchronisier- und Backup-Funktionen für den Apple-Dienst iCloud sind vor allem für Unternehmen ein potenzielles Sicherheitsrisiko. Aus der Sicht von iCloud sind iOS-Geräte Datenträger, die es zu synchronisieren und auf dem gleichen Datenstand zu halten gilt, sobald die Funktion dafür aktiviert wurde. So landen schnell sensible Unternehmensdaten vollautomatisch auf den eigenen heimischen Apple-Geräten und sind damit außerhalb des Schutzes der IT-Abteilung in der Firma.
Auch das iCloud-Backup hat es in sich, denn es werden automatisch Aufnahmen, Accounts, Dokumente und Einstellungen in Apples Wolke gesichert, sobald sich das iOS-Gerät per WLAN oder USB mit dem Internet verbinden kann.
Zwar landen nicht alle Daten auf einem iPad automatisch in der iCloud, sondern nur die von iCloud-Accounts (E-Mail, Kalender …) und entsprechend ausgelegten Apps (etwa Numbers, Pages, Notizen …). Allerdings ist zu erwarten, dass in Zukunft immer mehr Anwendungen diese Funktionalität bieten werden. Und schon die bestehenden Möglichkeiten sind potenzielle Datenlecks.
Eine Unterscheidung zwischen privater iCloud-E-Mail (xyz@me.com) und -Kalender und beispielsweise einem beruflich genutzen IBM Lotus Notes Traveler-Mailaccount und -Kalender ist in iOS 5 gegeben, die Firmendaten werden nicht in die iCloud synchronisiert. Die IT-Abteilung kann ab iOS 5 mit entsprechender Verwaltungssoftware auch die Weiterleitungen von geschäftlichen Mails sperren.
Zusammenfassend ist anzuraten, dass Anwender und IT-Abteilung die vorhandenen Konfigurationsoptionen von iOS 5 nutzen und kritische Datentypen für Synchronisation mit Cloud-Diensten selektiv sperren oder auf die iCloud im Firmeneinsatz gänzlich verzichten.
Apple hat ab iOS 5 Verwaltungsschnittstellen für Lösungen zum Mobile Device Management integriert, mit denen die IT-Abteilung das iCloud-Backup deaktivieren kann. Es ist auch möglich, die Synchronisation von Dokumenten und Bildern sowie App-Daten zu unterbinden.
Die hier beschriebene grundsätzliche Problematik trifft natürlich auch auf alle anderen Cloud-Dienste zu. Die Apps solcher Angebote, wie etwa Dropbox, lassen sich seitens der IT-Abteilung aber sperren.
Sicherheitslücken beachten
Auch wenn iOS ein geschlossenes System ist, gibt es ständig Sicherheitslücken, die das iPad gefährden. So warnte im Sommer 2011 das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer Lücke im iOS, die es Angreifern ermöglicht, über PDF-Dateien auf die Daten des iPads/iPhones zuzugreifen. Betroffen waren auch die zu diesem Zeitpunkt aktuellen Geräte iPhone 4 und iPad 2, da sie die gleichen iOS-Versionen verwendeten.
Angreifer können schon beim Aufrufen eines PDFs einen Virus auf dem iPad installieren, der alle Passwörter, Daten, Terminkalender, E-Mails und Kontakte abrufen kann, ohne Rückmeldung und ohne dass Anwender etwas davon bemerken. Auch der Zugriff auf die Kamera und die Ortungsdaten per GPS oder Internet sind möglich, genauso wie das Mithören von Telefongesprächen. Im Internet gibt es dazu bereits zahlreiche Hacker-Tools, die auch Skript-Kiddies leicht verwenden können, um iPad-Nutzer anzugreifen.
Apple schließt solche Lücken durch Aktualisierung von iOS. Dies sollten Sie in regelmäßigen Abständen über iTunes durchführen. Ob sich das Gerät auf dem aktuellsten Stand befindet, erfahren Sie, wenn Sie es mit iTunes verbinden und auf das Gerät klicken sowie anschließend auf Updates suchen. Findet iTunes eine neue Version von iOS, sollten Sie diese möglichst schnell installieren, vor allem wenn dadurch Sicherheitslücken geschlossen werden.
Verlassen Sie sich auch nicht zu sehr auf die interne Verschlüsselung der Daten auf dem iPad oder die gesetzten Sicherheitskennwörter und Codes. Im Internet gibt es genügend Tools, die alle Daten von iPhones und iPads auslesen und kopieren können, auch wenn die Daten durch Kennwörter gesichert sind. Wie ein solcher Angriff ablaufen kann, zeigt das Fraunhofer-Institut.
Persönliche Daten vom iPad löschen
Wollen Sie das iPad an Kollegen oder Freunde weitergeben, ist es sehr empfehlenswert, alle persönlichen Daten vorher zu löschen. Dazu rufen Sie Einstellungen\Allgemein auf. Über Zurücksetzen\Inhalte & Einstellungen löschen können Sie zunächst im ersten Schritt alle gespeicherten Daten vom Gerät löschen.
Damit die Löschung zuverlässig funktioniert, sollten Sie im nächsten Schritt das Gerät neu wieder aktivieren wie bei der ersten Inbetriebnahme. Anschließend ist es ratsam, die App iErase: Zero Free Space oder die noch bessere iErase: Government Edition zu installieren und das Gerät löschen lassen. Nach dieser Löschung starten Sie erneut eine Systemzurücksetzung. Anschließend sind keine wiederherstellbaren Daten mehr auf dem Gerät zu finden. (TecChannel)