Konkrete Kritik an CVSS4
Marc Ruef
Mit der Einführung von iOS 4.2 hat Apple den entsprechenden Geräten eine neue und interessante Funktionalität spendiert: Mit dem Feature Find my iPhone wird es möglich, auf das Gerät aus der Ferne zuzugreifen.
Das Einrichten dieses Features ist relativ einfach. Als erstes muss die entsprechende App aus dem AppStore installiert werden. In der deutschen Fassung heisst sie Mein iPhone suchen und wird nach der Installation als iPhone-Suche dargestellt.
Die zu identifizierenden Geräte müssen vorgängig mit einem MobileMe-Konto verknüpft werden. Dieses lässt sich in Einstellungen/Mail/Accounts
einrichten. Die Nutzung im Rahmen des Suchdienstes ist gratis. Die erweiterte Funktionalität von MobileMe, welche soweit aber nicht erforderlich wird, ist noch immer mit Kosten verbunden.
Nach dem Öffnen der App wird ein Login mit der Apple-ID – welche auch im iTunes-Store genutzt wird – erforderlich. Dies ist jedes Mal der Fall, wenn die Applikation aufgestartet wird, um Missbrauch zu verhindern (ähnlich der erneuten Eingabe beim Kauf im Store).
Danach wird es möglich, die mit MobileMe registrierten Geräte auf einem iPhone oder iPad innerhalb der altbekannten Karten-App (auf der Basis von Google-Maps) anzeigen zu lassen. Alternativ kann die Funktionalität auch online auf www.me.com genutzt werden. Dabei wird das entsprechende Symbol des gelinkten Geräts in der Karte dargestellt, sowie darauf hingewiesen, wann das letzte Mal eine Ortung stattgefunden hat. Es können so auch verschiedene Geräte lokalisiert werden.
Durch das Klicken auf ein geortetes Gerät wird es möglich, ein bestimmtes Mass an Interaktivität herzustellen. Im angezeigten Menü werden die folgenden Möglichkeiten geboten:
Das Verschicken von Nachrichten entspricht im weitesten Sinn der Funktionalität, wie sie mit SMS oder Anwendungen wie WhatsApp geboten werden. Vor allem im Heimgebrauch, wenn ein Gerät in der Wohnung oder bei Bekannten vermisst wird, kann dies von Nutzen sein.
Interessanter ist jedoch die Fernsperre, bei welcher eine klassische Bildschirmsperre durchgesetzt wird. Ist die Eingabe eines PINs zur Entsperrung erforderlich, lassen sich damit verloren gegangene Geräte unverzüglich sichern (soweit das möglich ist).
Einen Schritt weiter kann mit dem Fernlöschen gegangen werden. Dies entspricht dem Kill Pill, wie er auch von anderen Herstellern (z.B. Blackberry oder OneBridge Mobile Groupware) angeboten wird. Durch diese Funktion wird es möglich, sämtliche PIM-Daten, Einstellungen und Anwendungen auf dem Gerät zu löschen und es damit in den Auslieferungszustand zurückzusetzen. Der einfache Zugriff auf das funktionale Gerät wird damit weitestgehend verhindert.
Die Funktionalitäten sind besonders für Unternehmen interessant. Damit könnte effizient und umfangreich verhindert werden, dass verloren gegangene oder gestohlene Geräte missbraucht werden. Doch die angebotenen Möglichkeiten sind mit einigen Risiken verbunden.
Als erstes müssen die Geräte mit einem MobileMe-Konto verknüpft werden. Dies erfordert zusätzlichen Wartungsaufwand. Besonders, weil nur ungern die gleichen MobileMe-Konten für verschiedene Geräte gebraucht werden (ein guter Kompromiss wäre das Zusammenziehen mehrerer Geräte in einem Konto).
Das iPhone bietet keine Möglichkeit, das Deaktivieren der MobileMe-Einstellungen zu verhindern (z.B. durch ein granulares Berechtigungsmodell mit unterschiedlichen Benutzergruppen). Sowohl ein legitimer Benutzer als auch ein Angreifer mit Zugriff auf die Einstellungen kann entsprechende Anpassungen vornehmen, um unerwünschte Eingriffe zu verhindern.
Zudem ist es sowohl aus technischer als auch juristischer Sicht fragwürdig, ob über einen Drittanbieter – in diesem Fall Apple – eine Ortung umgesetzt werden will. Gerade Finanzunternehmen in der Schweiz, die aufgrund des Bankgeheimnisses an gewisse Auflagen gebunden sind, werden sich nicht in diese Abhängigkeit begeben wollen. Zu gross ist das Risiko, dass die erweiterte Funktionalität durch Apple, Angreifer oder Behörden missbraucht werden.
Generell wird mit dem Fernsperren und dem Fernlöschen ein trügerischer Sicherheitsgewinn vorgegaukelt. Das Entsperren eines Geräts ist mit marginalem technischen Aufwand möglich. Und das Rekonstruieren der gelöschten Daten ebenso. Für Unternehmen mit sehr hohen Anforderungen an die Sicherheit mobiler Geräte, bleibt das iPhone also auch weiterhin keine vertretbare Option.
Die neuen Möglichkeiten sind interessant und können in gewissen Situationen von Nutzen sein. Gerade Privatanwender dürften sich über den freien Dienst freuen.
Unternehmen mit weitreichenden Anforderungen an die Sicherheit werden sich jedoch nicht auf der neuen Funktionalität abstützen können. Zu hoch ist das Risiko eines Missbrauchs und zu gering der effektive Sicherheitsgewinn.
Unsere Spezialisten kontaktieren Sie gern!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Unsere Spezialisten kontaktieren Sie gern!