MDM Essen­ti­als — How­To Mobi­le Device Manage­ment und Jail­b­reak-Erken­nung bei iOS 6

Eine seit dem Erschei­nen von iOS 6 immer wie­der an uns gestell­te Fra­ge gilt der Pro­ble­ma­tik von iOS6 und Jail­b­reaks. Was geht, was geht nicht?

Aktu­el­ler Stand heu­te ist, dass iOS 6 auf dem iPho­ne 4S, iPho­ne 5 und allen iPads ab der zwei­ten Genera­ti­on nur von Spe­zia­lis­ten mit Deve­lo­per-Account und Kon­tak­ten in die JB-Sze­ne gejail­b­re­akt wer­den kann, dies dann auch nur mit einem soge­nann­ten „Tethe­red Jail­b­reak”, was bedeu­tet, dass das Gerät nur mit einer Kabel­ver­bin­dung beim Boo­ten zum Jail­b­reak-Rech­ner wie­der mit Jail­b­reak gestar­tet wer­den kann.

Für Gerä­te mit A4-Pro­zes­sor, dass sind das iPho­ne 4 und das iPad 1, sowie für das iPho­ne 3GS gibt es aktu­ell einen funk­tio­nie­ren­den tethe­red Jail­b­reak für iOS 6 und iOS 6.0.1. Für das iPho­ne 3GS der ers­ten Genera­ti­on gibt es den iOS 6 Jail­b­reak auch schon unt­e­the­red, also in der fina­len Ver­si­on. Die­se Jail­b­reaks sind frei ver­füg­bar und kön­nen von jedem instal­liert wer­den.

Wir ver­mu­ten bei Pre­tio­so der­zeit, dass der fina­le Jail­b­reak nicht mehr lan­ge auf sich war­ten läßt, da die Ent­wick­ler erst noch iOS 6.1 abwar­ten woll­ten, was Apple sehr viel schnel­ler auf den Markt brach­te als in der Ver­gan­gen­heit (u.a. den Update­pro­ble­men auf dem iPho­ne 5 geschul­det). Die Funk­ti­ons­fä­hig­keit der aktu­el­len Jail­b­reaks auf der neu­es­ten Genera­ti­on von Gerä­ten — iPho­ne 5, iPad 4 und iPad mini — ist kom­plett nach­ge­wie­sen, der­zeit wird noch an der benut­zer­freund­li­chen Umset­zung des Jail­b­reaks gear­bei­tet.

Was bedeu­tet der aktu­el­le Stand für Unter­neh­men die iOS-Gerä­te ein­set­zen?

Unter­neh­men mit eige­ner Hard­ware

Bei Vor­lie­gen von aus­schließ­lich iOS6-Gerä­ten im Gerä­te­be­stand ist das Jail­b­reak-Risi­ko deut­lich gerin­ger als beim Vor­han­den­sein von Vor­gän­ger­ver­sio­nen. Inso­fern gilt grund­sätz­lich erst ein­mal die Emp­feh­lung, alle Gerä­te schnells­tens auf iOS 6 upzu­da­ten. Wenn Sie die Hard­ware selbst (in Ihrer IT-Abtei­lung) auf iOS 6 gebracht haben ohne das die SHSH-Blobs gesi­chert wur­den kön­nen Sie bei allen Gerä­ten — außer dem iPho­ne 3GS und dem iPho­ne 4 — davon aus­ge­hen, dass Ihre Mit­ar­bei­ter die­se der­zeit nicht jail­b­rea­ken kön­nen. Das iPho­ne 3GS und das iPho­ne 4 kann ggf. von jedem Mit­ar­bei­ter gejail­b­re­akt wer­den, wenn die Gerä­te nicht von einem leis­tungs­fä­hi­gen MDM-Sys­tem wie datomo Mobi­le Device Manage­ment ver­wal­tet wer­den.

Gene­rell schützt Sie ein MDM-Sys­tem nicht vor Jail­b­reaks nur weil der Her­stel­ler dies behaup­tet. In kei­nem Bereich wird der­zeit mehr gelo­gen. Die Spann­brei­te ist in die­sem Bereich sehr breit gefä­chert. Es gibt Lösun­gen, die über­haupt kei­nen Jail­b­reak erken­nen genau­so wie Lösun­gen, die nur Jail­b­reaks ein­zel­ner Exploits (Sicher­heits­lü­cken) erken­nen. Lösun­gen, die jeden mög­li­chen Jail­b­reak erken­nen sind nicht weit ver­brei­tet.

Inso­fern emp­feh­len wir allen Nut­zern von iOS in Unter­neh­men eine reprä­sen­ta­ti­ve Aus­stat­tung gejail­b­re­ak­ter Gerä­te in der IT-Abtei­lung vor­zu­hal­ten. Nur so kön­nen MDM-Sys­te­me fort­lau­fend eva­lu­iert und poten­ti­el­le Sicher­heits­lü­cken erkannt wer­den. Die Aus­sa­gen der MDM-Her­stel­ler sind oft nicht das Papier wert auf dem sie ste­hen. Nur stän­di­ges Tes­ten und Über­prü­fen der eige­nen Vor­sor­ge­maß­nah­men garan­tiert den zuver­läs­si­gen Schutz der Infra­struk­tur.

Unter­neh­men, die Bring Your Own Device (BYOD) zulas­sen

Unter­neh­men, die Bring Your Own Device (BYOD) ohne ein MDM-Sys­tem zulas­sen, kön­nen sich nicht wirk­sam vor gejail­b­re­ak­ten Gerä­ten und den damit ver­bun­de­nen Gefah­ren schüt­zen. Ein sol­ches Vor­ge­hen birgt die gro­ße Gefahr, dass Mit­ar­bei­ter gehackt wer­den kön­nen und Daten das Unter­neh­men unkon­trol­liert ver­las­sen.

Unter­neh­men, die BYOD mit einem MDM-Sys­tem ver­wal­ten, kön­nen einen begrenz­ten Schutz auf­bau­en, der aller­dings nie das Mass des Schut­zes errei­chen kann wie in Unter­neh­men, die die mobi­len End­ge­rä­te selbst besit­zen. Wich­ti­ge Mass­nah­men zum Schutz sind:

  • Durch­set­zen des Updates auf iOS 6 — wer nicht updatet wird vom MDM-Sys­tem aus­ge­sperrt (Wenn das MDM-Sys­tem dies kann)
  • Per­ma­nen­te geziel­te Unter­su­chung von iPho­ne 3GS und iPho­ne 4‑Geräten auf Jail­b­reak — ent­we­der durch das MDM-Sys­tem, wenn man sicher ist, dass die­ses die Jail­b­reaks erken­nen kann oder phy­si­ka­lisch vor Ort. Den­ken Sie dar­an: der Ein­satz eines MDM-Sys­tems garan­tiert nicht das Auf­spü­ren von iOS 6‑Jailbreaks -> Tes­ten!
  • Per­ma­nen­te Unter­su­chung aller ande­ren Gerä­te sobald für die­se ein Jail­b­reak ver­füg­bar ist.

Das Jail­b­reak-The­ma erfor­dert schon bei dem Unter­neh­men gehö­ren­den Gerä­ten kon­se­quen­te Beach­tung und Über­wa­chung, bei BYOD-Sze­na­ri­en kann eine Jail­b­reak-Bedro­hung noch leich­ter ent­ste­hen — trotz mehr Auf­wand und Sorg­falt beim Manage­ment.

Wenn Sie ande­re Fra­gen zu den The­men Jail­b­reak und iOS haben, fra­gen Sie uns bit­te. Wir haben die Ant­wort — Garan­tiert! Las­sen Sie auch Ihre Freun­de und Bekann­ten die Risi­ken und Gefah­ren von iOS 6 im Zusam­men­hang mit dem Them Jail­b­reak erfah­ren und emp­feh­len Sie ihnen die­sen Arti­kel auf Face­book, Goog­le oder Twit­ter. Beant­wor­ten Sie bit­te auch unse­re 3 Fra­gen am Ende des Arti­kels. Vie­len Dank!


Ande­re inter­es­san­te Bei­trä­ge:
datomo Mobi­le Device Manage­ment (MDM) — Anders, mehr und bes­ser! — Neu­es White­pa­per erschie­nen
Wir reden hier bei Pre­tio­so von früh bis spät über Mobi­li­ty und dabei ganz beson­ders oft über Mobi­le Device Manage­ment, weil die­ses The­ma zur Zeit die meis­ten Anwen­der bewegt. So wird mir dann auch immer wie­der ein­mal gesagt, dass sich die gan­zen Sys­te­me doch im Kern nicht unter­schei­den. Das ist ric…
datomo Mobi­le Device Manage­ment (MDM) 3.8.1 — Inte­gra­ti­on Black­Ber­ry Enter­pri­se Ser­ver (BES) wei­ter ver­bes­sert
Das Release 3.8.1 dient aus­schließ­lich der leich­te­ren Inte­gra­ti­on und der Erleich­te­rung der Umstel­lung bestehen­der Instal­la­tio­nen auf den in der Ver­si­on 3.8 neu ein­ge­führ­ten und stark ver­bes­ser­ten BES-Adap­ter. Wir wer­den täg­lich nach den Beson­der­hei­ten des BES-Adap­ters in datomo Mobi­le Device Man­gem…
MDM Essen­ti­als — Benut­zer­ver­wal­tung im Mobi­le Device Manage­ment — Die Bedeu­tung von Active Direc­to­ry /​LDAP
Eine oft gestell­te Fra­ge an uns ist, wie eine MDM-Lösung wie datomo Mobi­le Device Manage­ment in die vor­han­de­ne Unter­neh­mens-IT inte­griert wer­den kann. Selbst­ver­ständ­lich kann datomo Mobi­le Device Manage­ment allein betrie­ben wer­den, die inte­grier­te User­ver­wal­tung ist mäch­tig und bie­tet alles, um eine…
Neu­es Release von datomo MDM 3.22.1 mit ver­bes­ser­tem Gerä­te­kenn­wort­schutz für Sam­sung Andro­id Gerä­te
 Kurz nach dem Major Release 3.22 im Dezem­ber 2015 ver­öf­ent­li­chen wir schon wie­der ein Update von datomo Mobi­le Device Manage­ment — dies­mal mit neu­en Gerä­te­funk­tio­nen für den Andro­id Base Agent 3.14.1. zum einen die Strong Swan VPN KNOX Kon­fi­gu­ra­ti­on betref­fend und dann geht es vor alle…
BYOD Bring Your Own Device — Eine der dümms­ten Ide­en aller Zei­ten von Gart­ner, For­res­ter und Vor­stän­den
Gott ver­damm­te einen Vor­stand in ein Flug­zeug Bring Your Own Device (BYOD) ist eine Bewe­gung, die unzwei­fel­haft von eini­gen schwach­sin­ni­gen CIO /​CTO und CEOs und ihren Kum­peln bei Gart­ner aus­ge­heckt wur­de. Wenn Sie sich noch nicht mit dem Kon­zept von BYOD aus­ein­an­der­ge­setzt haben, gehen Sie ein­fac…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.