iPhone-Sicherheit: Albtraum für Unternehmen und IT-Abteilungen?

Apples iPhone wird ein Albtraum in Sachen Sicherheit für Unternehmen werden, wenn es auf den Markt kommt. Oder es wird zu einem Anstieg von Malware für mobile Geräte führen. Es könnte auch zu gar keinen Sicherheitsproblemen führen – Sicherheitsspezialisten und Analysten sind sich uneins, was Sie vom iPhone halten sollen.

“Es ist ein Alptraum für Sicherheitsteams”, behauptet Andrew Storms, Director of Security Operations bei nCircle Network Security. “Wovor ich Angst habe ist, dass Unternehmen unter Druck geraten, beispielsweise durch Sales, diese Geräte einzubinden. Und selbst wenn es nicht gestattet wird, werden Leute versuchen, es mit den Firmennetzwerken zu verbinden. Es hat keinen Platz in Unternehmen.“

Storms ablehnende Haltung gegenüber dem iPhone resultiert daraus, dass ein Sicherheits-Verwaltungs-Tool fehlt, mit dem Unternehmens-Richtlinien umgesetzt werden können. „Es gibt kein zentrales Verwaltungs-Tool. Wenn es so ein Produkt gäbe, das sich mit OS X Server verbindet, dann wäre es eine andere Sache“, sagt Storm. „Apple ist aber sehr still geblieben, was die Unternehmens-Sicherheit angeht, von daher müssen wir vom Schlimmsten ausgehen und dafür planen.“

Neel Mehta, der zur Advanced Research Group bei Internet Security Systems gehört, ist stellenweise der selben Meinung. „Der ganze Rummel rund um das iPhone macht es zu einem verführerischen Ziel für Hacker“, so Mehta, der orakelt, dass auf das neue Geräte abziehlende Malware in nicht allzu ferner Zukunft entwickelt wird. „Dass es MAC OS X nutzt, bedeutet, dass die Chancen gut stehen, dass Lücken, die im OS gefunden wurden, auch das iPhone treffen.“ Cracker könnten Hacks, die sie auf dem Betriebssystem finden auf das iPhone zu übertragen versuchen, sagt er.

Mehta sieht aber auch eine positive Entwicklung in Sachen Sicherheit beim iPhone: Es ist kein Software Developer Kit für das mobile Gerät vorhanden. Die Entscheidung kein SDK zu liefern und stattdessen Entwickler dazu zu zwingen, Software und Dienste via embedded Safari Browser zu liefern, mag Entwickler enttäuscht haben, kommt aber bei Mehta gut an. “Das Fehlen eines SDK wird die Entwicklung von Viren und Würmern einschränken.“ Und weiter: „Ohne einen Kit wird es eine echte Herausforderung, Software auf dem iPhone laufen zu lassen.“

Und wenn Malware-Autoren die Hindernisse doch überwinden sollten, erwartet Mehta nicht, dass die iPhone-Welt im Chaos versinkt. „Ich glaube, wir werden Versuche Lücken auszunutzen - wenn sie denn überhaupt kommen - sehr schnell nach dem Launch des iPhone sehen.“ Seiner Einschätzung nach wird das iPhone aber wahrscheinlich interessanter als eine Art Forschungsobjekt statt als ein Ziel für Exploits sein, da der Marktanteil für einige Zeit schlicht nicht vergleichbar sein wird mit dem anderer Plattformen.

David Goldsmith von den Sicherheitsspezialisten von Matasano Security spielt die potenziellen Sicherheitsprobleme herunter. Es gibt weit wichtigere Dinge über die man sich Gedanken machen muss, meint er. „Wenn Sie dafür verantwortlich sind, dass Daten innerhalb einer Organisation bleiben, dann - bei allem was heilig ist - verbringen Sie bitte nicht zu viel Zeit mit dem iPhone.“ Er weist die Verantwortlichen auf all die „normalen“ Datenverletzungen hin, etwa dank unsicherer Access Points, verschwundener Bandlaufwerke mit Backups oder gestohlener Laptops.

Andrew Jaquith, Analyst bei der Yankee Group Research, kann Storms Alptraum überhaupt nicht teilen. Er bezeichnet das Szenario von Storm als “Panikmache“. Jaquith zufolge sieht Storm nicht, dass „Consumer Technologie in Unternehmen eindringt“. Jaquiths Vorschlag: „Statt IT-Gruppen wegen Problemen in Panik zu versetzen, die offengestanden noch bei keinem Gerät gelöst wurden, gleichgültig wie Unternehmens-tauglich es war, wäre er besser damit beraten, sich Gedanken darüber zu machen, wie das iPhone eingebunden werden kann.“