Dank dem Digital Markets Act muss Apple einen großen Vorteil aufgeben, den iOS bisher gegenüber Android hatte: Bis dato konnten Anwendungen auf iPhones (fast) ausschließlich aus dem Apple App Store heruntergeladen werden. Um es dort hineinzuschaffen, musste eine Software zudem hohe Anforderungen erfüllen und wurde gründlich geprüft. Das Risiko, dass Malware oder andere schädliche Inhalte über eine heruntergeladene App auf ein Gerät gelangen, war dadurch deutlich reduziert. Dies hat eines von vielen Einfallstoren für Cyberattacken weitgehend geschlossen - nun wird es geöffnet.

Risikominimierung durch neue Sicherheits-Features

Um dieses Risiko möglichst gering zu halten, führt Apple mit iOS 17.4 auch einige Sicherheits-Features ein:

• Notarisierung für iOS-Apps: Sämtliche Anwendungen - unabhängig davon, über welchen Marktplatz sie angeboten werden - müssen vor Veröffentlichung eine grundlegende Überprüfung durchlaufen. Es findet laut Apple sowohl ein automatisierter Check als auch ein manuelles Review statt.

• Datenblätter: Informationen aus dem Notarization-Prozess sowie Angaben zu Funktionen, Entwickler:innen etc. sind in einem Dokument zusammengefasst und vor dem Download einsehbar.

• Autorisierung von Marketplaces: App-Store-Anbieter sind verpflichtet, sich an die Anforderungen von Apple zu halten.

• Zusätzliche Malware Protection: Eine zusätzliche Malware Protection soll verhindern, dass Apps gestartet werden, wenn diese Schadsoftware enthalten.

Diese Maßnahmen verringern zwar die Wahrscheinlichkeit, dass Schadsoftware auf ein Gerät gelangt, können das Risiko aber nicht gänzlich ausschließen. Denn es ist zu befürchten, dass die Prüfung, die Apple bei Apps für alternative Marktplätze durchführt, nicht äquivalent zu derjenigen für den eigenen App Store sein wird. Daher sollten Unternehmen Vorsicht walten lassen und sich passende Strategien zurechtlegen.

Sechs Maßnahmen gegen Third-Party-App-Stores

1. Unterbinden alternativer App Stores

Auch wenn zu vermuten ist, dass es erstmal nicht allzu viele alternative App Stores und Apps geben wird, ist Unternehmen dringend zu empfehlen, solche App-Download-Portale erst einmal zu unterbinden. Hierfür stellt Apple mit iOS 17.4 eine Restriktion bereit, die die Hersteller von Unified-Endpoint-Management-Systemen (UEM-Systemen) zwar zeitnah in ihre Lösungen integrieren dürften - IT-Verantwortliche sollten sie aber unbedingt schon vorher an die Geräte im Unternehmen ausspielen, um kein Einfallstor für Cyberangriffe zu bieten. Verteilen lässt sich die Restriktion über eine .mobileconfig-Datei und eine passende plist (property list). So können Unternehmen auch künftig potenziell unsichere Apps auf betriebseigenen iPhones verhindern.

2. Umfassende Geräteverwaltung im "Supervised Mode"

Eine andere Möglichkeit ist es, die Geräte vollständig durch die IT verwalten zu lassen. Im sogenannten "Supervised Mode" hat die IT die volle Kontrolle über das mobile Endgerät. So kann sie etwa nötige Apps freigeben, die Installation bestimmter Apps unterbinden, Apps entfernen sowie iCloud-Funktionen deaktivieren, was zu einer erhöhten Sicherheit beiträgt. Die Herausforderung: Dies funktioniert nur, wenn das Einrichten der Hardware über das Automated Device Enrollment Program erfolgt - was allerdings bei BYOD-Geräten oder bereits existenter Hardware, die nicht als "supervised" eingerichtet wurde, schlicht unmöglich ist.

3. Richtlinien für nicht vollständig verwaltete Geräte

Für Endgeräte, die keine vollständige Handhabung durch die IT und somit auch kein Blockieren des Stores erlauben, kann das Unternehmen mit Richtlinien (Policies) Abhilfe schaffen. In diesen lässt sich definieren, wie auf potenzielle Bedrohungen zu reagieren ist. Beispielsweise können bei Installation einer nicht genehmigten App automatische Maßnahmen wie Quarantäne oder Benachrichtigungen ausgelöst werden.

4. Nutzung von Enterprise App Stores

Besonders effektiv ist die Einrichtung eines Unternehmens-App-Stores. Dieser lässt sich über UEM-Systeme verwalten und bietet eine sichere Plattform dafür, Anwendungen bereitzustellen. Zusätzlich ist es möglich, über Restriktionen die Nutzung des Apple App Stores und nun auch von anderen App Stores zu unterbinden (siehe Strategie 1). Dies stellt sicher, dass nur geprüfte und genehmigte Anwendungen installiert werden.

5. Lizenzerwerb via Apple Business Manager

Eine Verteilung von Apps ist auch ohne Apple-ID auf den Geräten möglich. Die notwendigen Lizenzen kann das Unternehmen über die Funktion "Apps und Bücher" im Apple Business Manager beziehen. Dadurch lassen sich unternehmenseigene wie öffentliche Apps automatisch auf verwalteten Geräten zur Verfügung stellen. Für die Nutzer bedeutet dies ebenfalls einen erheblich reduzierten Aufwand: Sie erhalten lediglich die Aufforderung zur Installation und können sie mit nur einem Klick selbst auslösen.

6. Mobile Application Management (MAM)

MAM-Lösungen erlauben es Unternehmen, die Nutzung und Verteilung von Apps auf mobilen Geräten zu kontrollieren, ohne das gesamte Gerät verwalten zu müssen. Auf diesem Wege lassen sich Anwendungen sowohl bereitstellen als auch installieren, aktuell halten, monitoren und deinstallieren. Ebenso gestatten MAM die Implementierung von Enterprise App Stores und das Führen von Positiv- und Negativlisten für Apps. Da mittels MAM zudem die Trennung von beruflichen und privaten Daten möglich ist, sind diese Lösungen in BYOD-Umgebungen besonders nützlich.

Ohne UEM schwer umsetzbar

Ein leistungsfähiges UEM-System (Unified Endpoint Management) ist dabei das Rückgrat für die Bewältigung der durch den Digital Markets Act entstehenden Herausforderungen bei iOS. Dabei orchestriert es eine Vielzahl kritischer Komponenten - vom Automated Device Enrollment für eine nahtlose Integration und Verwaltung von Endgeräten über das Management von Apps bis hin zu spezifischen Policies und der Verwaltung von Zertifikaten. Diese Vielfalt an Funktionen macht ein UEM-System zu einem komplexen, aber kritischen Werkzeug in der IT-Strategie eines Unternehmens. (mb)