MDM Essen­ti­als — How­To Mobi­le Device Manage­ment und Jail­b­reak-Erken­nung bei iOS 6

Eine seit dem Erschei­nen von iOS 6 immer wie­der an uns gestell­te Fra­ge gilt der Pro­ble­ma­tik von iOS6 und Jail­b­reaks. Was geht, was geht nicht?

Aktu­el­ler Stand heu­te ist, dass iOS 6 auf dem iPho­ne 4S, iPho­ne 5 und allen iPads ab der zwei­ten Genera­ti­on nur von Spe­zia­lis­ten mit Deve­lo­per-Account und Kon­tak­ten in die JB-Sze­ne gejail­b­re­akt wer­den kann, dies dann auch nur mit einem soge­nann­ten „Tethe­red Jail­b­reak”, was bedeu­tet, dass das Gerät nur mit einer Kabel­ver­bin­dung beim Boo­ten zum Jail­b­reak-Rech­ner wie­der mit Jail­b­reak gestar­tet wer­den kann.

Für Gerä­te mit A4-Pro­zes­sor, dass sind das iPho­ne 4 und das iPad 1, sowie für das iPho­ne 3GS gibt es aktu­ell einen funk­tio­nie­ren­den tethe­red Jail­b­reak für iOS 6 und iOS 6.0.1. Für das iPho­ne 3GS der ers­ten Genera­ti­on gibt es den iOS 6 Jail­b­reak auch schon unt­e­the­red, also in der fina­len Ver­si­on. Die­se Jail­b­reaks sind frei ver­füg­bar und kön­nen von jedem instal­liert wer­den.

Wir ver­mu­ten bei Pre­tio­so der­zeit, dass der fina­le Jail­b­reak nicht mehr lan­ge auf sich war­ten läßt, da die Ent­wick­ler erst noch iOS 6.1 abwar­ten woll­ten, was Apple sehr viel schnel­ler auf den Markt brach­te als in der Ver­gan­gen­heit (u.a. den Update­pro­ble­men auf dem iPho­ne 5 geschul­det). Die Funk­ti­ons­fä­hig­keit der aktu­el­len Jail­b­reaks auf der neu­es­ten Genera­ti­on von Gerä­ten — iPho­ne 5, iPad 4 und iPad mini — ist kom­plett nach­ge­wie­sen, der­zeit wird noch an der benut­zer­freund­li­chen Umset­zung des Jail­b­reaks gear­bei­tet.

Was bedeu­tet der aktu­el­le Stand für Unter­neh­men die iOS-Gerä­te ein­set­zen?

Unter­neh­men mit eige­ner Hard­ware

Bei Vor­lie­gen von aus­schließ­lich iOS6-Gerä­ten im Gerä­te­be­stand ist das Jail­b­reak-Risi­ko deut­lich gerin­ger als beim Vor­han­den­sein von Vor­gän­ger­ver­sio­nen. Inso­fern gilt grund­sätz­lich erst ein­mal die Emp­feh­lung, alle Gerä­te schnells­tens auf iOS 6 upzu­da­ten. Wenn Sie die Hard­ware selbst (in Ihrer IT-Abtei­lung) auf iOS 6 gebracht haben ohne das die SHSH-Blobs gesi­chert wur­den kön­nen Sie bei allen Gerä­ten — außer dem iPho­ne 3GS und dem iPho­ne 4 — davon aus­ge­hen, dass Ihre Mit­ar­bei­ter die­se der­zeit nicht jail­b­rea­ken kön­nen. Das iPho­ne 3GS und das iPho­ne 4 kann ggf. von jedem Mit­ar­bei­ter gejail­b­re­akt wer­den, wenn die Gerä­te nicht von einem leis­tungs­fä­hi­gen MDM-Sys­tem wie datomo Mobi­le Device Manage­ment ver­wal­tet wer­den.

Gene­rell schützt Sie ein MDM-Sys­tem nicht vor Jail­b­reaks nur weil der Her­stel­ler dies behaup­tet. In kei­nem Bereich wird der­zeit mehr gelo­gen. Die Spann­brei­te ist in die­sem Bereich sehr breit gefä­chert. Es gibt Lösun­gen, die über­haupt kei­nen Jail­b­reak erken­nen genau­so wie Lösun­gen, die nur Jail­b­reaks ein­zel­ner Exploits (Sicher­heits­lü­cken) erken­nen. Lösun­gen, die jeden mög­li­chen Jail­b­reak erken­nen sind nicht weit ver­brei­tet.

Inso­fern emp­feh­len wir allen Nut­zern von iOS in Unter­neh­men eine reprä­sen­ta­ti­ve Aus­stat­tung gejail­b­re­ak­ter Gerä­te in der IT-Abtei­lung vor­zu­hal­ten. Nur so kön­nen MDM-Sys­te­me fort­lau­fend eva­lu­iert und poten­ti­el­le Sicher­heits­lü­cken erkannt wer­den. Die Aus­sa­gen der MDM-Her­stel­ler sind oft nicht das Papier wert auf dem sie ste­hen. Nur stän­di­ges Tes­ten und Über­prü­fen der eige­nen Vor­sor­ge­maß­nah­men garan­tiert den zuver­läs­si­gen Schutz der Infra­struk­tur.

Unter­neh­men, die Bring Your Own Device (BYOD) zulas­sen

Unter­neh­men, die Bring Your Own Device (BYOD) ohne ein MDM-Sys­tem zulas­sen, kön­nen sich nicht wirk­sam vor gejail­b­re­ak­ten Gerä­ten und den damit ver­bun­de­nen Gefah­ren schüt­zen. Ein sol­ches Vor­ge­hen birgt die gro­ße Gefahr, dass Mit­ar­bei­ter gehackt wer­den kön­nen und Daten das Unter­neh­men unkon­trol­liert ver­las­sen.

Unter­neh­men, die BYOD mit einem MDM-Sys­tem ver­wal­ten, kön­nen einen begrenz­ten Schutz auf­bau­en, der aller­dings nie das Mass des Schut­zes errei­chen kann wie in Unter­neh­men, die die mobi­len End­ge­rä­te selbst besit­zen. Wich­ti­ge Mass­nah­men zum Schutz sind:

  • Durch­set­zen des Updates auf iOS 6 — wer nicht updatet wird vom MDM-Sys­tem aus­ge­sperrt (Wenn das MDM-Sys­tem dies kann)
  • Per­ma­nen­te geziel­te Unter­su­chung von iPho­ne 3GS und iPho­ne 4‑Geräten auf Jail­b­reak — ent­we­der durch das MDM-Sys­tem, wenn man sicher ist, dass die­ses die Jail­b­reaks erken­nen kann oder phy­si­ka­lisch vor Ort. Den­ken Sie dar­an: der Ein­satz eines MDM-Sys­tems garan­tiert nicht das Auf­spü­ren von iOS 6‑Jailbreaks -> Tes­ten!
  • Per­ma­nen­te Unter­su­chung aller ande­ren Gerä­te sobald für die­se ein Jail­b­reak ver­füg­bar ist.

Das Jail­b­reak-The­ma erfor­dert schon bei dem Unter­neh­men gehö­ren­den Gerä­ten kon­se­quen­te Beach­tung und Über­wa­chung, bei BYOD-Sze­na­ri­en kann eine Jail­b­reak-Bedro­hung noch leich­ter ent­ste­hen — trotz mehr Auf­wand und Sorg­falt beim Manage­ment.

Wenn Sie ande­re Fra­gen zu den The­men Jail­b­reak und iOS haben, fra­gen Sie uns bit­te. Wir haben die Ant­wort — Garan­tiert! Las­sen Sie auch Ihre Freun­de und Bekann­ten die Risi­ken und Gefah­ren von iOS 6 im Zusam­men­hang mit dem Them Jail­b­reak erfah­ren und emp­feh­len Sie ihnen die­sen Arti­kel auf Face­book, Goog­le oder Twit­ter. Beant­wor­ten Sie bit­te auch unse­re 3 Fra­gen am Ende des Arti­kels. Vie­len Dank!


Ande­re inter­es­san­te Bei­trä­ge:
Mobi­le Device Manage­ment (MDM) und Win­dows Pho­ne 8
Ges­tern kam Win­dows Pho­ne 8 auf den Markt, was mei­nes Erach­tens für die mobi­le Sze­ne die glei­che Bedeu­tung hat wie Win­dows Pho­ne 7 und Win­dows Pho­ne 7.5 — schlicht kei­ne. Ich ent­sin­ne mich noch an den Mobi­le World Con­gress 2010, wo Micro­soft mit Rie­sen-Tam­tam auf Win­dows Pho­ne 7 hin­wies. Als die Ger…
Gart­ner ver­öf­fent­licht Mobi­le Device Manage­ment Report 2012 mit Magic Qua­drant — Eine kri­ti­sche Sicht
Am Frei­tag war es wie­der so weit. Gart­ner ver­öf­fent­lich­te sei­ne Mei­nung zum The­ma Mobi­le Device Manage­ment und das Inter­net ist vol­ler Infor­ma­tio­nen zum neu­en Magic Qua­drant für Mobi­le Device Manage­ment. Die meis­ten der Autoren dürf­ten den Gart­ner-Report nicht gele­sen haben, es wird ein­fach dumpf de…
Bring Your Own Device — Vor­la­ge für BYOD-Ver­ein­ba­rung oder Dienst­ver­ein­ba­rung
Wäh­rend Bring Your Own Device (BYOD) in der ame­ri­ka­ni­schen Rea­li­tät weit weni­ger Aner­ken­nung fin­det und Bedeu­tung hat, als dies viel­fach in Deutsch­land ver­mu­tet und erwar­tet wird — ich habe dies in mei­nem Arti­kel Mobi­le Trends in den USA — Mei­ne Beob­ach­tun­gen der letz­ten bei­den Wochen beschrieb…
datomo Mobi­le Device Manage­ment (MDM) mit Sup­port für Touch­down-Con­tai­ner — War­um?
Seit letz­tem Frei­tag als datomo Mobi­le Device Manage­ment 3.9 ver­öf­fent­licht wur­de wur­de ich mehr­fach gefragt, wie sich denn die Inte­gra­ti­on von Touch­down, einer Con­tai­ner-App für Andro­id mit der Kri­tik an Con­tai­ner-Lösun­gen hier im Blog ver­trägt, bei­spiels­wei­se im Bei­trag MDM Essen­ti­als — Gefahr f…
Ist Good for Enter­pri­se wirk­lich „good for enter­pri­se”?
Vor zwei Tagen habe ich mich schon ein­mal hier im Blog mit Con­tai­ner-Kon­zep­ten beschäf­tigt und mei­nen Test von Touch­down von Nitro­desk im Bei­trag App­Test — Con­tainer­lö­sung Touch­down von Nitro­desk auf iPho­ne und iPad beschrie­ben. In der kur­zen Zeit seit­dem erreich­ten mich drei Leser­zu­schrif­ten,…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.