Jamf Blog
March 2, 2020 Von Kat Garbis

5 Irrtümer rund um die Apple Gerätesicherheit und ihre Erklärungen

Sicherheit ist für jeden IT-Administrator die oberste Priorität, ganz gleich für welche Plattform(en) der Administrator Support leistet. Dieser Blog Post dient als Leitfaden zur Apple Gerätesicherheit.

Wer nicht mit Apple Produkten vertraut ist bzw. wer sich besser mit der Absicherung von Windows Geräten auskennt, hat oft eine ähnliche Sicherheitscheckliste vor sich liegen. Doch die eigentliche Absicherung der betroffenen Geräte unterscheidet sich von Fall zu Fall. Oft bestehen Irrtümer bei der Frage, wie Workflows von einer auf eine andere Plattform übertragen werden können. Viele Marktteilnehmer kennen die speziellen Sicherheitsfunktionen des Apple Ökosystems. Dennoch kursieren noch einige Irrtümer, die es auszuräumen gilt.

Irrtum Nr. 1: Die Bereitstellung und Absicherung von Geräten ist sehr schwierig und kann bei Apple Geräten zu Sicherheitslücken führen.

Die Bereitstellung von Geräten erfolgt je nach Plattform unterschiedlich. Das Problem ist Folgendes: Werden Apple Geräte nicht ordnungsgemäß bereitgestellt, nimmt das nicht nur viel Zeit in Anspruch, sondern verursacht zudem große Sicherheitslücken. Durch eine ordnungsgemäße Bereitstellung kann die Apple Gerätesicherheit erheblich verbessert werden. Die meisten IT-Profis, die an dieses Irrtum glauben, stellen Geräte bereit, indem Sie jedes Apple Gerät wie ein Privatkundengerät einzeln und manuell einrichten. Oder ihre MDM-Lösung (Mobile Device Management) ist nicht optimal für Apple geeignet und bietet nicht die Möglichkeit der automatischen Registrierung von Apple Geräten.

Die sicherste und empfohlene Methode für die Registrierung und Bereitstellung von Geräten ist die automatisierte Geräteregistrierung per Apple Business Manager mit Jamf. Manuelles Imaging und die manuelle Geräteeinrichtung gehören damit der Vergangenheit an.

Die nahtlose Einrichtung sorgt nicht nur für maximalen Benutzerkomfort und spart den IT-Mitarbeitern Zeit. Sie erschließt zudem zusätzliche Administratorrechte, die Zugriff auf wichtige Sicherheitsfunktionen von iOS bieten. Dazu zählen:

  • Nicht entfernbare MDM-Profile
  • Funktionen, die verhindern, dass Benutzer den Befehl „Alle Inhalte und Einstellungen löschen“, Aktivierungssperren sowie iCloud Funktionen, Bluetooth, AirPrint bzw. die Weitergabe und Synchronisierung von Passwörtern per USB nutzen können
  • Bestimmte Apps sperren
  • Verbindungen zu nicht verwalteten WLAN-Netzen sperren

Eine weitere sichere und beliebte Methode für die Bereitstellung von Geräten ist die weitgehend automatisierte Selbstregistrierung der Mitarbeiter über einen entsprechenden Link. Nach erfolgter Registrierung bezieht das Gerät über den Apple Push Notification Service (APNs) automatisiert und drahtlos Konfigurationen. Dadurch verfügt die IT-Abteilung über Administratorrechte und kann Updates, Patches und Apps in der gesamten Organisation über eine sichere Verbindung auf effiziente Weise bereitstellen.

Jamf bietet insgesamt acht verschiedene Optionen für die Registrierung von Geräten. Diese ermöglichen eine zuverlässige Absicherung und Registrierung neuer oder bereits vorhandener Apple Geräte. Wenn Apple Geräte ordnungsgemäß über Jamf und die Bereitstellungslösungen von Apple bereitgestellt werden, kann die IT-Abteilung Zeit und Arbeit einsparen und gleichzeitig die Apple Gerätesicherheit steigern.

Irrtum Nr. 2: Es geht nicht ohne Apple IDs, die umständlich, unsicher und nicht benutzerfreundlich sind.

Es ist verständlich, dass es in Organisationen Schwierigkeiten verursacht, wenn ein System verwendet wird, das nicht für Unternehmensumgebungen konzipiert wurde. Apple IDs sind eigentlich für private Zwecke und nicht für die Nutzung in Unternehmen gedacht. Worüber man sich in Organisationen möglicherweise nicht im Klaren ist: Workflows, bei denen die Mitarbeiter eine Apple ID nutzen, können unbemerkt große Sicherheitslücken verursachen. Wenn die Mitarbeiter ihre eigene Apple ID nutzen sollen, heißt das, dass sie nicht nur die betreffende App besitzen und steuern, sondern auch die darin enthaltenen Unternehmens- und Kundendaten, unabhängig davon, ob die App kostenlos war oder ob das Unternehmen dem Mitarbeiter die Kosten erstattet hat. Fluktuation und die geschäftliche Nutzung eines Workflows, der eigentlich für Privatkunden konzipiert wurde, können enorme Sicherheitsprobleme verursachen.

Auf die Nutzung von Apple IDs kann mithilfe von Jamf jedoch vollständig verzichtet werden, indem Inhalte mit Apple School Manager bzw. Apple Business Manager beschafft werden.

Auf diese Weise können Sie Apps auf sichere Weise mit der zentralen Apple ID des Unternehmens bereitstellen. Jamf lässt sich direkt mit Apple School Manager bzw. Apple Business Manager integrieren: Apps und Bücher im Eigentum des Unternehmens können von einem zentralen Standort aus auf sichere Weise an einzelne Benutzer bzw. Geräte verteilt werden.

Um Inhalte in großen Stückzahlen erwerben zu können, setzt Jamf auf eine Funktion, die den Datenfluss zwischen verschiedenen Apps kontrolliert, E-Mail-Empfänger verwaltet und darüber hinaus gewährleistet, dass Unternehmensdaten nur in vom Unternehmen kontrollierten Apps genutzt werden können.

Neben der Kontrolle von Unternehmensdaten und Unternehmenseigentum ermöglichen VPN-Standardprotokolle von Apple die Segmentierung der Apps der Benutzer. Beispielsweise kann ein VPN aktiviert werden, wenn Salesforce genutzt wird, jedoch nicht, wenn Facebook für private Zwecke eingesetzt wird.

Nach der Ankündigung verwalteter Apple IDs auf der WWDC wird Jamf nach der offiziellen Freigabe von macOS Catalina im weiteren Jahresverlauf zusätzliche Aktualisierungen und Workflows bereitstellen.

Irrtum Nr. 3: Die Apple Gerätesicherheit erfordert zusätzliche Verschlüsselungstools.

Es ist verständlich, wenn Nutzer der Windows Plattform irrtümlich annehmen, für die Apple Gerätesicherheit seien zusätzliche Verschlüsselungstools anderer Hersteller erforderlich, um die Daten absichern zu können. Bei Apple ist die Verschlüsselung jedoch bereits integriert.

Häufig assoziiert man mit dem Begriff „integriert“ so dass es sich dabei um eine „weniger leistungsfähige, abgespeckte“ Lösung handelt, die unseren Anforderungen möglicherweise nicht gerecht wird. Bei Apple ist dies nicht der Fall.

  • Die iOS Sicherheit verfügt über eine integrierte Verschlüsselung mit hardwarebasierter Passwortverschlüsselung mit 256 Bit. Auch VPN ist eine integrierte iOS Sicherheitsfunktion. In Verbindung mit Jamf profitieren die Benutzer von einer App-basierten VPN-Funktion.
  • Neuere Macs sind mit dem speziellen Apple T2 Security Chip ausgestattet, der über eine Secure Enclave verfügt, mit der Touch ID-Informationen, die verschlüsselte Datenspeicherung und Boot-Optionen abgesichert werden. Diese automatischen Sicherheitsfunktionen sorgen für die sicherste Datenspeicherung auf dem Markt.
  • FileVault 2: Die integrierte, vollständige Datenträgerverschlüsselung für macOS Verschlüsselungscodes kann zentral in Jamf Pro gespeichert werden. Mit dieser Lösung können die Schlüssel sicher gespeichert und ferngesteuert ausgegeben werden, was für optimale macOS Sicherheit sorgt.

Bei Jamf greifen wir auf diese Verschlüsselungsfunktionen zurück. Unter Berücksichtigung der Jamf Richtlinien verfügen IT-Administratoren drahtlos über Zugangsschlüssel und können Änderungen vornehmen oder auch Geräte verschlüsseln. Durch Nutzung der Verschlüsselungsfunktionen von Apple kann sich die IT-Abteilung darauf verlassen, dass den Mitarbeitern bei Anwendung der Jamf Workflows alle erforderlichen Ressourcen zur Verfügung stehen.

Irrtum Nr. 4: Die Gerätesicherheit, die die nativen Funktionen von Apple bietet, reicht nicht aus.

Plump gesagt benötigen die meisten Organisationen wirklich nicht mehr als die nativen, integrierten Apple Gerätesicherheitsfunktionen. In Verbindung mit dem Framework von Jamf, das fein abgestufte Kontroll- und Integrationsmöglichkeiten bietet, stellt man bei den meisten Organisationen fest, dass für die Apple Gerätesicherheitsanforderungen die Lösungen von Apple und Jamf völlig ausreichen. Damit lassen sich somit nicht nur die Geräte absichern, sondern auch die Kosten für Produkte anderer Anbieter und für die Steigerung der Hardwareleistung einsparen.

Apple bietet die Netzwerk-Firewall, Gatekeeper und Xprotect. Diese Funktionen sind in das Betriebssystem integriert und schützen gegen Malware-Angriffe. Mit Jamf können Sie diese Funktionen erzwingen, melden und in vollem Umfang nutzen, um die Sicherheit zu erweitern.

Der Systemintegritätsschutz verhindert beispielsweise, dass potenziell schadhafte Software geschützte Dateien und Ordner modifizieren kann. Native Malware-Schutzfunktionen ersparen Ihnen Ausgaben für zusätzliche Software, die Sie nicht benötigen. Organisationen möchten diese Sicherheitsfunktionen gerne nutzen, sind sich aber möglicherweise gar nicht darüber bewusst, dass diese Funktionen ohne jegliche Zusatzkosten bereits in ihrer Hardware integriert sind und dass sie diese mit Jamf für ihren gesamten Bestand an Apple Geräten nutzen können.

Irrtum Nr. 5: Die Bindung von Macs an ein Netzwerk ist eine Voraussetzung für die Sicherheit von macOS Geräten.

Es ist ein großer Irrglaube, dass der Mac an ein Netzwerk gebunden werden MUSS, um maximale macOS Sicherheit erzielen zu können. Bei Windows Computern ist dies ein sehr gängiger, nativer Workflow. Bei der Apple Plattform ist dies jedoch nicht der Fall. Wenn wir versuchen, die Begrifflichkeiten von Windows auf Apple Geräte zu übertragen, kann dies unvorhergesehene Probleme verursachen und die Benutzerfreundlichkeit (und die Wartbarkeit für die IT-Abteilung) beeinträchtigen. Vielleicht haben Sie sogar selbst schon festgestellt, dass es zu zusätzlichen Problemen führen kann, wenn Macs an ein Netzwerk gebunden werden, z. B. in Form von Übertragungsproblemen, weil Passwörter nicht synchronisiert werden und Fehler bei der Anmeldung auftreten.

Jamf Connect sorgt für nahtlose, sichere Benutzerfreundlichkeit, damit die Endnutzer ihre Macs auf sichere Weise nutzen können und die IT-Abteilung die Integration mit einer SSO-Lösung (Single-Sign-On) zur Steigerung der Sicherheit realisieren kann.

Jamf Connect bietet folgende Möglichkeiten:

  • Synchronisierung der Benutzerpasswörter
  • Benachrichtigung der Benutzer über ablaufende Passwörter
  • Gewährung des Zugangs zu Jamf Self Service
  • Bereitstellung eines Links zum Einreichen von Helpdesk-Supportanfragen
  • Bereitstellung von Browser-Erweiterungen für Single-Sign-On

Wie Sie sehen, sind viele sicherheitsrelevante Fragen, mit denen sich IT-Profis beschäftigen müssen, dank der Apple Gerätesicherheit überhaupt kein Problem, insbesondere in Verbindung mit Jamf. Unser Ziel ist es, Organisationen bei der erfolgreichen Nutzung ihrer Apple Hardware zu unterstützen. Wir unterstützen die Verwaltung von Geräten von mehr als 35,000 Kunden in aller Welt. Viele unserer Kunden nutzen diese Workflows, um die Sicherheits- und Compliance-Vorgaben ihres Unternehmens einzuhalten bzw. zu übertreffen.

Photo of Kat Garbis
Kat Garbis
Jamf
Kat Garbis is channel program manager at Jamf, supporting sales initiatives in enterprise markets.
Jamf Blog abbonieren

Industrietrends, Apple Neuigkeiten und das Neueste von Jamf, direkt in Ihrer Inbox.

Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.