Unter­nehmen, die iPhones ihrer Mitar­beiter managen, wiegen sich mögli­cher­weise in falscher Sicher­heit: Das Fraun­hofer SIT weist darauf hin, dass sich die Tren­nung von privaten und geschäft­lichen Daten aushe­beln lässt. Apple tut bislang nichts.

Apple-Geräte galten lange als quasi unver­wundbar und sehr sicher - was aller­dings nicht gene­rell zutrifft. Entschei­dend ist immer auch die Frage, ob und wie Apple reagiert, wenn Experten auf Sicher­heits­lücken in den Systemen hinweisen.

Verhee­rend ist es aller­dings, wenn gar keine Reak­tion kommt und das Problem auch nicht behoben wird, wie ein deut­sches Forschungs­institut heute mitteilt.

Trotz Hinweis: Apple reagierte bisher nicht

Bild: teltarif.de Das Bundesamt für Sicher­heit in der Infor­mati­ons­technik (BSI) legte bei einer Begut­ach­tung von Apples iOS im Jahr 2022 wie berichtet beson­dere Schwer­punkte auf das Nutzer­ver­halten, eine sichere Anbin­dung an Infra­struk­turen durch ein Virtual Private Network (VPN) und die Verwen­dung eines Mobile Device Manage­ment Systems (MDM). Das dama­lige Ergebnis: Das BSI bestä­tigte die Sicher­heits­fea­tures von iPhone und iPad. Apple wirbt mit seinen beson­deren MDM-Features, die auf den Geräten für eine Tren­nung von geschäft­lichen und privaten Daten sorgen sollen - nach dem Motto: Ein Handy, zwei­fache Nutzung.

Das Fraun­hofer-Institut für Sichere Infor­mati­ons­tech­nologie (SIT) mit Sitz in Darm­stadt weist in einer heutigen Mittei­lung aller­dings darauf hin, dass sich die Tren­nung einfach aushe­beln lasse. Grund dafür sei eine Schwach­stelle im Zusam­men­hang mit Apples eigener App für Kurz­befehle. Das Fraun­hofer SIT habe Apple "bereits vor Monaten über die Schwach­stelle infor­miert" - bislang ohne Reak­tion. Der Konzern habe die Lücke nicht geschlossen und bewerbe weiter eine "sichere Beschrän­kung" durch das haus­eigene Mobile Device Manage­ment.

Unter­nehmen wiegen sich in falscher Sicher­heit

Die frag­liche Kurz­befehle-App sei auf iOS-Geräten vorin­stal­liert und diene der Auto­mati­sie­rung von Aufgaben. Anschei­nend habe die Kurz­befehle-App die Berech­tigung, auf alle Daten zuzu­greifen. Deshalb sei diese Schwach­stelle des iOS-Sicher­heits­fea­tures durch das Fraun­hofer SIT über den Apple-Prozess zur verant­wor­tungs­vollen Offen­legung von Sicher­heits­schwach­stellen mit detail­lierter Beschrei­bung und Screen­shots gemeldet worden.

Das Forschungs­institut schil­dert das Problem, das daraus resul­tiert, dass Apple nicht reagiert: Unter­nehmen würden sich weiterhin auf die bewor­bene Tren­nung von privaten und geschäft­lichen Daten verlassen, was fatale Folgen haben könne. So könnten auch ohne Vorsatz Unter­neh­mens­daten verse­hent­lich in private Apps versendet werden und unkon­trol­liert das Unter­nehmen verlassen – dies sei ein Sicher­heits­risiko und ein Compli­ance-Problem.

Guter Umgang mit Problemen inzwi­schen selbst­ver­ständ­lich

Weitere Infor­mationen zur Schwach­stelle und den damit verbun­denen Risiken hat das Fraun­hofer SIT auf seinem Blog veröf­fent­licht, doch auch darauf hat Apple offenbar nicht reagiert. In einem Video führt das Fraun­hofer SIT das Problem vor:

Laut dem Fraun­hofer SIT sichere gutes Schwach­stel­len­manage­ment rechts­kon­formes Verhalten, erhöhe das Kunden­ver­trauen und schütze das Firmen-Image. Zahl­reiche Unter­nehmen hätten gar keine Prozesse zur Meldung von Schwach­stellen und würden auch nicht wissen, wie sie ein effek­tives Product Secu­rity Inci­dent Response Team (PSIRT) aufbauen sollen.

Neue Regu­larien wie der Cyber Resi­lience Act der EU und die Umset­zung der NIS-2-Richt­linie würden den konstruk­tiven Umgang mit Schwach­stellen der eigenen Produkte in den Fokus rücken. Das Fraun­hofer SIT habe den Rechts­rahmen hierzu analy­siert und will Unter­nehmen und Behörden dabei unter­stützen, ihr Schwach­stel­len­manage­ment zu über­prüfen, ihre Prozesse zu verbes­sern, Sicher­heits­lücken zu schließen und damit ihre Unter­neh­mens­werte durch Coor­dinated Vulnera­bility Disc­losure zu schützen.

