PRISM been­det den Ein­satz von iPho­ne und iPad in sicher­heits­be­wuss­ten Unter­neh­men — auch bei Pretioso

Wir waren in den letz­ten Wochen mit unse­rem Part­ner AirIT­Sys­tems aus Han­no­ver auf der Hei­se Ver­an­stal­tungs­rei­he ‘Siche­res Mobi­le Device Manage­ment’ in Ham­burg, Köln, Stutt­gart und Mün­chen unter­wegs und fan­den viel Inter­es­se und Zuspruch für unse­re leicht ver­ständ­li­che Nach­richt, dass siche­res Mobi­le Device Manage­ment nie­mals von einem Anbie­ter aus den USA oder von einem Anbie­ter mit selbst nur einer Nie­der­las­sung in den USA kom­men darf. Unse­re Bot­schaft kommt gut an.

Heu­te sprach mich einer der Teil­neh­mer in Mün­chen freund­lich an, nach­dem er mich beob­ach­tet hat­te wie ich mit einem iPho­ne tele­fo­nier­te. „Herr Düll, das ist aber nicht kon­se­quent,” mein­te er freund­lich zu mir. „Nach all dem was Sie schrei­ben hät­te ich nicht geglaubt, dass Sie jetzt noch den Apfel nut­zen,” ergänz­te er.

Recht hat er! Als ich ihm dann mein Gala­xy S3 zeig­te und ihm erklär­te, dass ich am letz­ten Sonn­tag alle Fir­men­in­hal­te von mei­nem iPho­ne gelöscht habe war er beru­higt, dass ich nicht zu den­je­ni­gen gehö­re, die Was­ser pre­di­gen und Wein sau­fen. Wir haben bei Pre­tio­so sofort nach Bekannt­wer­den des gesam­ten Aus­mas­ses der ame­ri­ka­ni­schen Spio­na­ge ent­schie­den, dass iOS-Gerä­te im Netz­werk von Pre­tio­so ver­bo­ten sind, genau­so wie dies mit Black­Ber­ry schon seit lan­gem der Fall ist.

Wir haben umge­hend aus­rei­chend Android-Gerä­te von Sam­sung bestellt, die wir von Sam­sungs Spy­wa­re befrei­en (sie­he den Bei­trag Daten­schutz­skan­dal: Sam­sung Gala­xy S3 über­trägt Daten heim­lich zu ame­ri­ka­ni­schen Geheim­diens­ten) und mit datomo Mobi­le Device Manage­ment sicher betrei­ben werden.Ein How­to für den siche­ren Betrieb von Android-Gerä­ten in Unter­neh­men wer­den wir kurz­fris­tig ver­öf­fent­li­chen. Die Kon­se­quenz unse­res raschen Han­delns: Wir wer­den ab nächs­ter Woche bei Pre­tio­so kom­plett iOS-frei sein.

Dar­über hin­aus war das Risi­ko einer Kom­pro­mit­tie­rung unse­rer Daten schon in der Ver­gan­gen­heit sehr gering. Wir haben für sicher­heits­re­le­van­te Daten noch nie ame­ri­ka­ni­sche Cloud-Diens­te ver­wen­det. Wir haben mitt­ler­wei­le auch die Nut­zung von Sug­ar­sync ein­ge­stellt, was wir zeit­wei­se für bie Bereit­stel­lung von Mar­ke­ting­da­ten genutzt haben. Dies haben wir aber vor dem Hin­ter­grund unse­rer Kri­tik an US-Lösun­gen schon im vori­gen Jahr been­det, indem wir unse­re dies­be­züg­li­che Infra­struk­tur kom­plett auf eine eige­ne Team­dri­ve-Infra­struk­tur umge­zo­gen haben.

Wir kom­mu­ni­zie­ren alle sicher­heits­re­le­van­ten Inhal­te schon seit Jah­ren aus­schließ­lich über gesi­cher­te VPN-Ver­bin­dun­gen und nut­zen htt­ps nur aus­nahms­wei­se, Email ver­schlüs­seln wir grund­sätz­lich, wenn es um sicher­heits­re­le­van­te Inhal­te geht.

Vor die­sem Hin­ter­grund hat­ten wir die Abkehr von iPho­ne und iPad schon seit dem 17.05. vor­be­rei­tet, da am 17.05. die Zulas­sung von iOS-Gerä­ten durch das US-Ver­tei­di­gungs­mi­nis­te­ri­um für den Dienst­ge­brauch erfolg­te. Spä­tes­tens seit die­sem Zeit­punkt war jedem Sach­kun­di­gen klar, dass iOS-Gerä­te nun­mehr genau­so nach­hal­tig kom­pro­mit­tiert sein dürf­ten wie dies bei Black­Ber­ry schon immer anzu­neh­men war und ist.

Die Ent­hül­lun­gen durch PRISM haben die Kom­pro­mit­tie­rung von Apple in ein noch dra­ma­ti­sche­res Licht gestellt. Die NSA zeich­net spä­tes­tens seit Okto­ber 2012 alle Kom­mu­ni­ka­ti­on auf, die über Apple’s Infra­struk­tur ver­mit­telt wird — und das ist ver­dammt viel! Fol­gen­de Inhal­te sind betroffen:

  • Alle Inhal­te der iCloud — bei Stan­dard­ein­stel­lun­gen ist dies der gesam­te Geräteinhalt!
  • Alle Inter­ak­tio­nen und Trans­ak­tio­nen mit Apple
  • Alle Infor­ma­tio­nen, die über Apple’s APNS (Apple Push Noti­fi­ca­ti­on Ser­vice) gesen­det werden

Spe­zi­ell die Kom­pro­mit­tie­rung von APNS ist für sicher­heits­ori­en­tier­te Anwen­der ggf. dra­ma­tisch, da die­ser Ser­vice auch von vie­len MDM-Anbie­tern genutzt wird /​genutzt wer­den muss. Spe­zi­ell Con­tai­ner­lö­sun­gen (von denen wir schon immer abge­ra­ten haben, sie fin­den diver­se Bei­trä­ge hier­zu im Pre­tio­so Blog) haben jetzt ein Sicherheitsproblem.

Apple läßt kei­ne Push-Nach­rich­ten in Con­tai­ner zu. Die Anbie­ter von Con­tai­ner­lö­sun­gen haben die­ses Pro­blem viel­fach dadurch umschifft, dass Sie APNS dazu genutzt haben, Tei­le der Nach­richt dem Anwen­der durch Push-Messages anzu­zei­gen. Die­se Nut­zung wur­de von uns schon immer kri­tisch bewer­tet, ab jetzt ist ein sol­ches Kon­zept für sicher­heits­ori­en­tier­te Anwen­der aus­zu­schlie­ßen. Das Ende der Con­tai­ner auf iOS rückt näher!

Um Miss­ver­ständ­nis­se aus­zu­schlie­ßen erlau­be ich mir den Hin­weis, dass ich Apple-Gerä­te auch wei­ter­hin coo­ler fin­de als Android-Gerä­te. Des­halb nut­ze ich auch wei­ter­hin mein iPho­ne und mein iPad. Aber nur noch rein pri­vat. Und ich habe sie deut­lich weni­ger lieb! 😉 Der ers­te Schritt zu einer end­gül­ti­gen Tren­nung? Man wird sehen, ähn­lich fing mei­ne Tren­nung von Black­Ber­ry auch an …

PS 1:

Der Neben­ef­fekt der hier ange­stell­ten Betrach­tun­gen und Über­le­gun­gen soll nicht ver­schwie­gen wer­den. Die dar­ge­stell­ten Pro­ble­me erschwe­ren die ohne­hin schon seri­ös unmög­li­che Umset­zung von BYOD-Kon­zep­ten. Inso­fern ist die Kom­pro­mit­tie­rung von iPho­ne und iPad ein wei­te­rer Sarg­na­gel für die fina­le Beer­di­gung von Bring Your Own Device, ein beson­ders lan­ger sogar!

PS 2:

PRISM ist an und für sich nichts Neu­es, wenn man sich mit der Abschaf­fung des Rechts­staa­tes in den USA schon seit län­ge­rem beschäf­tigt. Die NSA konn­te schon immer, kann wei­ter­hin und wird auch in Zukunft auf sämt­li­che Inhal­te, die durch ame­ri­ka­ni­sche Net­ze lau­fen, auf ame­ri­ka­ni­schen Ser­vern lie­gen oder ame­ri­ka­ni­sche Ver­schlüs­se­lung ein­set­zen zugrei­fen kön­nen. Inso­fern sind ame­ri­ka­ni­sche Anbie­ter, die nicht auf der PRISM-Lis­te ste­hen, in kei­ner Wei­se sicherer.

Aber Fir­men, die nicht auf der PRISM-Lis­te ste­hen, sind zwei­fels­frei inte­grer, anstän­di­ger und kun­den­ori­en­tier­ter als die Schrott­fir­men, die auf der PRISM-Lis­te ste­hen. Die meis­ten Teil­neh­mer an PRISM haben mich nicht über­rascht, denn ich habe noch nie auch nur das Gerings­te von Micro­soft, Yahoo, Goog­le, Face­book, You­tube, Sky­pe und AOL gehal­ten. Palt­alk ken­ne ich nicht, aber die Fir­ma wird sicher lücken­los zu den sie­ben Erst­ge­nann­ten passen.

Ein­zig von Apple bin ich mehr als ent­täuscht. PRISM zeigt mehr als der läh­men­de Still­stand und der Absturz der Aktie seit dem Tod von Ste­ve Jobs, dass das Unter­neh­men sei­ne Beson­der­heit und sei­ne Inno­va­ti­ons­kraft ver­lo­ren hat. Bei Apple sind nun­mehr Mana­ger am Ruder, Visi­on wur­de durch Anpas­sung ersetzt. Ich bin fast sicher, dass Ste­ve Jobs die Luschen, die bei Apple PRISM zuge­stimmt haben, raus­ge­schmis­sen hät­te. Lei­der kann man dar­auf nicht mehr wetten.


Ande­re inter­es­san­te Beiträge:
Bring Your Own Device (BYOD) hilft nicht spa­ren — beson­ders im Öffent­li­chen Dienst
In die­ser Woche hat­te ich schon drei Gesprä­che mit IT-Ver­ant­wort­li­chen aus dem öffent­li­chen Bereich. Alle waren stark vom The­ma Bring Your Own Device beein­flusst. BYOD wird in man­chen Berei­chen des Öffent­li­chen Diens­tes — lei­der sehr vor­der­grün­dig — als Lösung grund­sätz­li­cher Pro­ble­me gese­hen. Mir …
datomo Mobi­le Device Manage­ment 3.13.2, 3.13.3, 3.13.4 — Neue­run­gen für Android, iOS und Win­dows Pho­ne
Im Febru­ar 2014 haben wir inner­halb kür­zes­ter Zeit 3 wei­te­re Updates von datomo Mobi­le Device Manage­ment ver­öf­fent­licht. Über die Inhal­te infor­mie­ren wir in die­sem zusam­men­fas­sen­den Bei­trag. Die­se wei­ter­hin hohe Update-Geschwin­dig­keit ermög­licht es unsm unse­re markt­füh­ren­de Stel­lung wei­ter auszubaue…
MDM Essen­ti­als — Mobi­le Device Manage­ment muss microSD-Kar­ten mana­gen kön­nen
Das Manage­ment von microSD-Kar­ten ist ein viel­fach ver­nach­läs­sig­ter Aspekt von MDM-Sys­te­men. Vie­le Anbie­ter kön­nen dies nicht oder nicht aus­rei­chend. Es liegt auf der Hand, dass die siche­re Ver­wal­tung der in den mobi­len End­ge­rä­ten ein­ge­setz­ten microSD-Kar­ten eine zen­tra­le Auf­ga­be von einem MDM-Syste…
News zu datomo MDM Updates
Die neu­es­ten Updates von datomo MDM haben ihren Fokus auf dem wei­te­ren Aus­bau der Ver­wal­tung von Apple und Android Enter­pri­se sowie auf der Opti­mie­rung der UI und der Ser­ver­per­for­mance. Bei iOS sind die iOS 13 Fea­tures in die Lösung imple­men­tiert. Beson­ders her­vor­ge­ho­ben wer­den kann hier z.B. di…
MDM Essen­ti­als — Kann man bei Mobi­le Device Manage­ment zwi­schen Hos­ting und Inhouse-Nut­zung wech­seln?
Die­se Fra­ge wird mir in den letz­ten Wochen teil­wei­se mehr­fach pro Woche gestellt, so auch hier in den USA, wo ich mich gera­de auf­hal­te. Dies ist eine typi­sche ‘Radio-Eri­wan-Fra­ge’. Denn die Ant­wort lau­tet: Im Prin­zip Ja. Nur kön­nen es die meis­ten Lösun­gen und Anbie­ter nicht. Denn die Auf­ga­be eines …

6 Kommentare

Schreibe einen Kommentar»
  1. Ist ihre Lösung auch für Pri­vat­per­so­nen prak­ti­ka­bel und bezahlbar?

    Wir haben umge­hend aus­rei­chend Android-​Ge­rä­te von Sam­sung bestellt, die wir von Sam­sungs Spy­ware befrei­en (sie­he den Bei­trag Daten­schutz­skan­dal: Sam­sung Gala­xy S3 über­trägt Daten heim­lich zu ame­ri­ka­ni­schen Geheim­diens­ten) und mit datomo Mobi­le Device Manage­ment sicher betrei­ben werden.Ein How­to für den siche­ren Betrieb von Android-​Ge­rä­ten in Unter­neh­men wer­den wir kurz­fris­tig ver­öf­fent­li­chen. Die Kon­se­quenz unse­res raschen Han­delns: Wir wer­den ab nächs­ter Woche bei Pre­tioso kom­plett iOS-​frei sein.”

    1. Ja, lesen Sie bit­te den Arti­kel, der noch folgt.

  2. Ich bin nicht sicher, ob der Umstieg auf Andro­id­ge­rä­te unbe­dingt einen Fort­schritt dar­stellt, Goog­le ist schließ­lich eben­so bei PRISM dabei. Android ist zwar quell­of­fen, aber woher weiß man denn, dass das auf dem eige­nen Gerät instal­lier­te Sys­tem auch aus den öffent­lich ein­seh­ba­ren Quel­len kom­pi­liert wur­de? Wenn man sicher gehen will, muss man das Sys­tem also sel­ber kom­pi­lie­ren, opti­ma­ler­wei­se mit einem ver­trau­ens­wür­di­gen Com­pi­ler. Das ist teil­wei­se aber schlicht nicht mach­bar, da eini­ge der Trei­ber für das jeweils ein­ge­setz­te Gerät nicht quell­of­fen vor­lie­gen. An irgend­ei­ner Stel­le wird man also auch bei Android einem gro­ßen, aus­län­di­schen Unter­neh­men ver­tau­en müs­sen. Goog­le und Sam­sung sehe ich da nicht unbe­dingt als Traumkandidaten.

    1. Hal­lo Lugu,

      vie­len Dank für den Kommentar.

      Das sehen wir zu 100% iden­tisch, unse­re Kri­tik an Goog­le und Sam­sung fin­det man in diver­sen Arti­keln auch hier im Blog. Aber: Der­zeit kann man mit Android-Gerä­ten bzw. mit Android-Gerä­ten von Sam­sung noch das höchs­te Mass an Sicher­heit erzie­len. Man kann auf die Goog­le-Akti­vie­rung ver­zich­ten, man viel Soft­ware deinstal­lie­ren, man kann euro­päi­sche oder deut­sche Apps­to­res nut­zen, man kann weit­ge­hend siche­re Cus­tom-ROMs kompilieren.

      Aber es stimmt natür­lich auch, dass Android von der Quell­of­fen­heit zu den schlech­tes­ten Open Source Pro­jek­ten aller Zei­ten gehört. Aber es stimmt posi­tiv, dass die NSA Android in der nati­ven Form ablehnt und des­halb SE Android ent­wi­ckelt hat.

      Wir kön­nen aber im Jahr 2013 nicht ein­fach sagen: Alles ist unsi­cher, was im Kern stimmt. Wir müs­sen den Anwen­dern das unter Abwä­gung aller Risi­ken sinn­haf­tes­te Kon­zept emp­feh­len. Und hier sind wir der­zeit der Auf­fas­sung, dass Android die gerings­ten Risi­ken impli­ziert, wenn man alles rich­tig macht.

      Natür­lich war­ten wir auch auf Fire­fox OS und Unbun­tu Mobi­le, aber das dau­ert für einen rea­lis­ti­schen Use­ca­se bei Fire­fox OS noch rund ein Jahr und bei Ubun­tu Mobi­le ver­mut­lich noch 2 Jahre.

  3. Darf ich Ihremn vor­letz­ten Satz des 2. Post­scrip­tum kom­men­tie­ren? Mög­li­cher­wei­se hät­te Jobs die­se Mana­ger raus­ge­schmis­sen, aber sicher nicht wegen deren Ent­schei­dung zu PRISM. Even­tu­ell vor­her. Soweit kann ich Ihnen zustim­men, wobei wir ja hier nur auf Spe­ku­la­tio­nen ange­wie­sen sind.
    Ich fin­de es eher erstaun­lich wie lan­ge sich die Apple Mana­ger weh­ren konn­ten, einen Zugriff der NSA zuzu­las­sen. Dass sie es letzt­end­lich machen muss­ten, steht für mich außer Fra­ge, dar­an hät­te auch ein Ste­ve Jobs nichts ändern kön­nen. Ich glau­be jeden­falls nicht, dass sich EINER (Jobs) gegen den wie Sie schrei­ben abge­schaf­fe­nen Rechts­staat — bleibt dann ja wohl nur noch der Begriff Dik­ta­tur übrig — hät­te weh­ren kön­nen. Ergo, „Hoch­ach­tung” vor den Mana­gern, die sich so lan­ge weh­ren konnten.

    Dann habe ich aber noch eine Fra­ge, wel­che Desk­top Cli­ents nut­zen Sie im Unter­neh­men? Win­dows? Seit 2007 dabei. Bedeu­tet die Soft­ware­ak­ti­vie­rung einer Win­dows Lizenz nicht auch eine gewis­se Über­wa­chung? Oder Macs? Seit 2012 in der NSA Runde.
    Viel­leicht wäre ja ein Umstieg auf ein deut­sche Linux besser?
    Dan­ke und ich wün­sche Ihnen eine schö­nen Blog.

    1. Hal­lo Herr Kricke, 

      vie­len Dank für Ihren Kom­men­tar. Ja, Dik­ta­tur trifft die Zustän­de in den USA mitt­ler­wei­le bes­ser als Demo­kra­tie. Und es gibt anschei­nend ja auch noch Mana­ger, die sich dem Spio­na­ge-Ter­ror erfolg­reich wider­set­zen, Twit­ter ist ein sol­ches Beispiel.

      Ich wer­de an die­ser Stel­le nicht die Details unse­rer Infra­struk­tur beschrei­ben. Des­halb eine etwas ande­re Ant­wort. Wir stel­len sicher, dass alles, was unse­re Tech­no­lo­gien und den Schutz unse­res Know­hows betrifft, grund­sätz­lich nicht ein Byte von Apple oder Micro­soft ent­hält — schon seit Jah­ren. Wir ver­wen­den aus­schließ­lich Open Source Kom­po­nen­ten in unse­ren Pro­duk­ten, die wir für sicher hal­ten und die wir dar­über hin­aus sepa­rat schüt­zen. Alle unse­re Pro­duk­te sind mehr­fach ver­schlüs­selt, da dies die Pro­duk­te — im Gegen­satz zu Paten­ten — wirk­lich schützt.

      Unse­re Kom­mu­ni­ka­ti­on kön­nen wir nur schüt­zen, wenn dies auch von der ande­ren Sei­te gewünscht, unter­stützt und durch­ge­führt wird. So haben wir Anwen­der und Kun­den mit denen die Kom­mu­ni­ka­ti­on grund­sätz­lich ver­schlüs­selt erfolgt. Mit Kon­tak­ten von uns, die kei­ne siche­re Kom­mu­ni­ka­ti­on wün­schen, kom­mu­ni­zie­ren wir nicht sicher. Aber auf unsi­che­ren Kanä­len kom­mu­ni­zie­ren wir grund­sätz­lich kei­ne ver­trau­li­chen Inhalte.

      Dar­über hin­aus schüt­zen wir uns mit einem brei­ten Fächer von Mass­nah­men, die ich nicht öffent­lich machen will und wer­de. Dies führt dazu, dass wir defi­ni­tiv schwe­rer anzu­grei­fen sind als ande­re und dass mit even­tu­ell erlang­ten Infor­ma­tio­nen nichts ange­fan­gen wer­den kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.