iPad vs Laptop aus der Sicherheits Perspektive?

Prinzessin Lea · 28.10.2012

Egal88 schrieb:
Gab's lange Zeit für Linux auch nicht.

So?

Soso...

Wer zu faul zum Klicken ist:
http://www.heise.de/security/meldun...-Luecken-darunter-eine-besondere-1711936.html

Das ist besonders für Unternehmen ein Problem. Soweit ich weiss kann man iOS updates nicht zurück halten bzw. zentral steuern.

Macht der "Business User" eines iPads ein solches updated und downloaded dabei Viren die den verschlüsselten Datenverkehr des iOS-Geräts aufbrechen und den zum Apple-Account ermöglichen, kann das eine Firma sehr viel Geld kosten.

Das geht mit einem Firmen laptop nicht so einfach, denn ich kann nicht alles downloaden was ich möchte.

Prinzessin Lea · 28.10.2012

sebhoff schrieb:
Geiler Beitrag. Das Tool würd ich gern mal live erleben

Ich möchte hier aber fairerweise auch sagen das man auch in weniger als 3 Minuten einen PC übernehmen kann wenn man physikalischen Zugriff hat.
Zudem kann ich mittels Wireshark auch Passwörter über https(!) mitsniffen in einer man-in-the-middle attacke.

Daher ist es unbedingt notwendig seine gesamte netzwerkstruktur sicher zu halten

Das ist eben auch meine Frage, was ist der Unterschied hier zwischen ipad und laptop?

Prinzessin Lea · 28.10.2012

Egal88 schrieb:
@Lea: du spielst wahrscheinlich auf den Trend an, dass die User ihre eigenen Geräte für dienstliche Zwecke benutzen dürfen, Stichwort: "bring your own device".

Nein, das ist bei uns sogar verboten

Wir teilen iPad an bestimmte Mitarbeiter aus....

Egal88 · 29.10.2012

Prinzessin Lea schrieb:
Nein, das ist bei uns sogar verboten

Sehr gut.

Prinzessin Lea schrieb:
Wir teilen iPad an bestimmte Mitarbeiter aus....

...die meist in den Führungsetwagen angesiedelt sind. Kenne ich zur Genüge.

Aus meiner (Security-)Sicht ein mögliches Sicherheitsproblem, wenn die User dienstliche Dinge damit tun, die als vertraulich (oder höher) eingestuft sind.

sebhoff · 29.10.2012

Prinzessin Lea schrieb:
Das ist besonders für Unternehmen ein Problem. Soweit ich weiss kann man iOS updates nicht zurück halten bzw. zentral steuern.

Macht der "Business User" eines iPads ein solches updated und downloaded dabei Viren die den verschlüsselten Datenverkehr des iOS-Geräts aufbrechen und den zum Apple-Account ermöglichen, kann das eine Firma sehr viel Geld kosten.

Die ios updates werden mit Itunes bzw. mit icloud gemacht.
Natürlich wäre es möglich hier eine andere Firmware zu nehmen, aber diese müsste dann selber herruntergeladen, und entsprechend eingefügt/ausgewählt werden. Und dann msus das ganze noch funktionieren.
- per default wird das update aber direkt von apple geladen.

und es wäre auch mal interessant inwieweit man die updates nicht doch verbieten kann. Da gibts bestimmt Möglichkeiten ggf. über das Iphone/ipad Konfigurationsprogramm.

Einfach bei einer etwaigen Bestellung bei Apple (für Firmenkunden) diese ganzen Sachen nochmal explizit nachfragen.

[/QUOTE]
Das geht mit einem Firmen laptop nicht so einfach, denn ich kann nicht alles downloaden was ich möchte.

Prinzessin Lea schrieb:
Wenn ich will (und weiß wies geht) geht alles sehr sehr einfach.
Administratoruzugang? 2 Minuten ohne weiteres Hitergrundwissen - einfach ne CD gebrannt, gebootet und schon bin ich drin und kann alles verändern.

Prinzessin Lea schrieb:

Das ist eben auch meine Frage, was ist der Unterschied hier zwischen ipad und laptop?

Zum Vergrößern anklicken....

Es ist derzeit noch etwas komplizierter wenn man nicht über das nötige Wissen verfügt ein Ipad offenzulegen. Also ein 0815 Heimanwender wird da sicherlich nicht so schnell dran kommen.

Allerdings heißt es immer: wo ein Wille ist ist auch ein Weg - ein Stück Restvertrauen musst du deinen Mitarbeitern schon entgegenbringen.

Prinzessin Lea · 30.10.2012

sebhoff schrieb:
Die ios updates werden mit Itunes bzw. mit icloud gemacht.
Natürlich wäre es möglich hier eine andere Firmware zu nehmen, aber diese müsste dann selber herruntergeladen, und entsprechend eingefügt/ausgewählt werden. Und dann msus das ganze noch funktionieren.
- per default wird das update aber direkt von apple geladen.

und es wäre auch mal interessant inwieweit man die updates nicht doch verbieten kann. Da gibts bestimmt Möglichkeiten ggf. über das Iphone/ipad Konfigurationsprogramm.

Was meinst du damit? Meinst du der Enduser muss das selbst runterladen oder der Admin? Da wären wir beim nächsten Thema, Enduser ist gleichzeitig Admin. Bei uns ist es zb sehr wichtig, dass es verschiedene Rollen mit verschiedenen Rechten gibt.

Ich bin nicht in den Apple-Einkaufsprozess eingebunden, aber mir wurde gesagt, dass es solche Möglichkeiten nicht gibt bzw. das von Apple nicht unterstützt wird. Apple ist nun mal ein Massenprodukt und eigentl nicht speziell auf Businesskunden ausgerichtet.

sebhoff schrieb:
Wenn ich will (und weiß wies geht) geht alles sehr sehr einfach.
Administratoruzugang? 2 Minuten ohne weiteres Hitergrundwissen - einfach ne CD gebrannt, gebootet und schon bin ich drin und kann alles verändern.
.

Das glaube ich Dir

[/QUOTE]

sebhoff schrieb:
Es ist derzeit noch etwas komplizierter wenn man nicht über das nötige Wissen verfügt ein Ipad offenzulegen. Also ein 0815 Heimanwender wird da sicherlich nicht so schnell dran kommen.

Allerdings heißt es immer: wo ein Wille ist ist auch ein Weg - ein Stück Restvertrauen musst du deinen Mitarbeitern schon entgegenbringen.

Das was im WDR Breicht nachgespielt wird, ist das so auch mit einem Laptop möglich?

Sorry, wenn sich die Frage etwas DAU-like anhört...

Ich kenne mich hier leider noch viel zu wenig aus und bin über die Unterhaltung mit Euch sehr dankbar.

Egal88 · 31.10.2012

Prinzessin Lea schrieb:
Das was im WDR Breicht nachgespielt wird, ist das so auch mit einem Laptop möglich?

Nein, so ohne Weiteres nicht. Bei einem PC gibt es verschiedene Stufen von User-Berechtigungen: normale User dürfen Programme benutzen, aber nichts installieren. Power-User dürfen Programme installieren, aber keine Systemeinstellungen ändern. Administratoren haben alle Rechte. Gerade in Business-Umgebungen sollte auf dieses Berechtigungskonzept Wert gelegt werden. Dieses Berechtigungskonzept gibt es bei Apples iOS (und auch bei Android) nicht. Nichtsdestotrotz sind schlecht gesicherte PCs natürlich auch angreifbar.

Egal88 · 31.10.2012

Am 12. und 13. Dezember findet in München ein (gebührenpflichtiger) Workshop zum Thema "iPhone und iPad - Security" statt. Der ist allerdings eher technisch orientiert, und auch nicht billig. http://de.amiando.com/PDMZEZJ.html?page=817001

Choco · 31.10.2012

Also ich sehe das so:

Wenn du einem User ein iPad oder einen Laptop gibst, der überhaupt keine Ahnung von der Materie hat, dann ist das iPad auf alle Fälle idioten sicher. Der kann nichts ausversehen machen, was das iPad gefährden würde.

Beim Laptop sieht das ganz anders aus. Hier müssen immer Upates installiert werden und die Virenscanner und Firewall auf Stand gehalten werden.

Egal88 · 31.10.2012

Choco schrieb:
Wenn du einem User ein iPad oder einen Laptop gibst, der überhaupt keine Ahnung von der Materie hat, dann ist das iPad auf alle Fälle idioten sicher. Der kann nichts ausversehen machen, was das iPad gefährden würde.

Lass' mich mal raten - du hast dir weder den WDR-Bericht noch die Links angesehen, die ich gepostet habe, gell?

Und auch der o.a. Kurs wäre dann nur heiße Luft....

Choco schrieb:
.Beim Laptop sieht das ganz anders aus. Hier müssen immer Upates installiert werden und die Virenscanner und Firewall auf Stand gehalten werden.

Im Idealfall passiert das automatisch. Zudem kannst du beim Laptop neben den o.a. User-Berechtigungen weitere Unternehmens-Policies durchsetzen.

sebhoff · 31.10.2012

Prinzessin Lea schrieb:
Was meinst du damit? Meinst du der Enduser muss das selbst runterladen oder der Admin? Da wären wir beim nächsten Thema, Enduser ist gleichzeitig Admin. Bei uns ist es zb sehr wichtig, dass es verschiedene Rollen mit verschiedenen Rechten gibt.

Wenn du auf der einen Seite fragst ob und wie man Ipads regulieren kann um zb von einer zentralen Stelle aus Apps zu installieren oder Beschränkungen einzurichten, kann (bzw darf)der Enduser nicht gleichzeitig Admin sein. Entweder ich beschränke ihn, oder ich lass es gleich bleiben. Beides gleichzeitig geht nicht.

Ich bin nicht in den Apple-Einkaufsprozess eingebunden, aber mir wurde gesagt, dass es solche Möglichkeiten nicht gibt bzw. das von Apple nicht unterstützt wird. Apple ist nun mal ein Massenprodukt und eigentl nicht speziell auf Businesskunden ausgerichtet.

Ich habe da leider auch bisher weniger Informationen zu Business Möglichkeiten, auch habe ich heir leider kein Ipad rumliegen zum testen.
Aber es gibt schon seit sehr langer Zeit das Iphone Konfigurationsprogramm - welches auch extra beworben wird damit Systemadmins in Unternehmen die Ipads/Iphones besser in die Firmenstruktur einbinden können.

http://www.tecchannel.de/kommunikat...nsprogramm_iphone_und_ipad_einfach_verwalten/

Das was im WDR Breicht nachgespielt wird, ist das so auch mit einem Laptop möglich?

Sorry, wenn sich die Frage etwas DAU-like anhört...

Ich kenne mich hier leider noch viel zu wenig aus und bin über die Unterhaltung mit Euch sehr dankbar.

Egal88 schrieb:
Nein, so ohne Weiteres nicht. Bei einem PC gibt es verschiedene Stufen von User-Berechtigungen: normale User dürfen Programme benutzen, aber nichts installieren. Power-User dürfen Programme installieren, aber keine Systemeinstellungen ändern. Administratoren haben alle Rechte. Gerade in Business-Umgebungen sollte auf dieses Berechtigungskonzept Wert gelegt werden. Dieses Berechtigungskonzept gibt es bei Apples iOS (und auch bei Android) nicht. Nichtsdestotrotz sind schlecht gesicherte PCs natürlich auch angreifbar.

Jein - Wie Egal zwar schon sagte gibt es unterschiedliche Stufen in der Windows Benutzerhirachie - Hier kommt es aber vorallem drauf an wie alles eingestellt ist und welche Sicherheitslücken noch nicht behoben wurden.

Bei Windows musste man immer selber dahinter sein das sein System sicher ist, bei Apple hat man von Haus schonmal eine "Grundsicherheit"

Ich könnte mich auch, wie in dem Beitrag gezeigt, mit einem Wlan Hotspot hinsetzen und den gesamten Netzwerkverkehr mitsniffen und so zb an Passwörter fürs Onlinebanking zu kommen oder Passwörter um ins FirmenVPN zu kommen.

Solche Man-in-the-middle Attacken sind immer mies - für allerlei Geräte

Egal88 · 31.10.2012

sebhoff schrieb:
Bei Windows musste man immer selber dahinter sein das sein System sicher ist, bei Apple hat man von Haus schonmal eine "Grundsicherheit"

Das schon, aber eben nur eine GRUNDsicherheit, die von böswilligen Hackern durchaus umgangen werden kann.

Diese Grundsicherheit ist für sensible Firmendaten m.E. nicht hoch genug, insbesondere, weil man als User kaum eine Möglichkeit hat, diese Grundsicherheit technisch zu erhöhen. Als Alternative bleibt nur die Awareness der User, keine sensiblen Daten mit dem Gerät zu verarbeiten und keine zweifelhaften Apps zu installieren. Eine WhatsApp zum Beispiel schickt alle auf dem Smartphone gespeicherten Kontaktdaten zu einem Server in den USA.
http://www.test.de/presse/pressemit...aten-unverschluesselt-uebermittelt-4380605-0/

sebhoff · 31.10.2012

Besser eine Grundsicherheit als ein System so löchrig wie ein Schweizer Käse

Wenn ich das Ipad entsprechend einschränke und meine Mitarbeiter schule, bzw. denen gar keinen großen Freiraum lasse, hat es ein Hacker definitiv schwieriger,
als wenn ich ihm ein Windows Laptop hinstelle der alle paar Stunden neue Sicherheitsupdates haben will,
ständig neue Virendefinitionen braucht und ich zusätzlich noch den Benutzer beschränken und einschulen muss.

Da wähle ich doch eher das Ipad, weils sichelrich um einiges einfacher geht und die Mitarbeiter schneller damit umgehen können.

Prinzessin Lea · 31.10.2012

@ Egal, Dank für den Link zum Workshop. Hört sich interessant an. Ich fliege aber am 12.12 nach Indien.

sebhoff schrieb:
Besser eine Grundsicherheit als ein System so löchrig wie ein Schweizer Käse

Wenn ich das Ipad entsprechend einschränke und meine Mitarbeiter schule, bzw. denen gar keinen großen Freiraum lasse, hat es ein Hacker definitiv schwieriger,
als wenn ich ihm ein Windows Laptop hinstelle der alle paar Stunden neue Sicherheitsupdates haben will,
ständig neue Virendefinitionen braucht und ich zusätzlich noch den Benutzer beschränken und einschulen muss.

Da wähle ich doch eher das Ipad, weils sichelrich um einiges einfacher geht und die Mitarbeiter schneller damit umgehen können.

Was kann ein Enduser auf dem Laptop schon machen, wenn er/sie
A) keine Ahnung und
B) die Rechte nicht hat ?

Aus Endusersicht ist ein Laptop nicht unbedingt schwieriger. Es kommt immer darauf an, wie du arbeitest bzw. was du damit machst. Im Aussendienst ist ein iPad eine schöne Sache. Wenn du aber immer im Büro sitzt und nur ab - und an Zuhause arbeitest, dann ist ein iPad nicht mehr so praktisch...ausserdem ist der Mensch ein Gewohnheitstier...

sebhoff · 01.11.2012

Prinzessin Lea schrieb:
@ Egal, Dank für den Link zum Workshop. Hört sich interessant an. Ich fliege aber am 12.12 nach Indien.

Was kann ein Enduser auf dem Laptop schon machen, wenn er/sie
A) keine Ahnung und
B) die Rechte nicht hat ?

Aus Endusersicht ist ein Laptop nicht unbedingt schwieriger. Es kommt immer darauf an, wie du arbeitest bzw. was du damit machst. Im Aussendienst ist ein iPad eine schöne Sache. Wenn du aber immer im Büro sitzt und nur ab - und an Zuhause arbeitest, dann ist ein iPad nicht mehr so praktisch...ausserdem ist der Mensch ein Gewohnheitstier...

Du wolltest wissen wies aus der Sicherheitsperspektive aussieht.
Von usability war bisher nicht die Rede.

Gegenfrage: Was kann ein Enduser auf dem Ipad machen wenn er
a) keine Ahnung hat
b) ebenfalls eingeschränkte Benutzungsrechte hat

Für gewisse Tätigkeiten kann ich mir ein Ipad gut vorstellen. zB der Vertreter der den Warenkatalog durchgehen kann, mittlerweile wird eh meist schon online bestellt.
Oder bei einer Inventur, zum vorführen von Simulationen etc...
Es ist halt nur die Frage lässt es sich in deine Unternehmensstruktur einbinden.

Prinzessin Lea · 05.11.2012

Egal88 schrieb:
Nein, so ohne Weiteres nicht. Bei einem PC gibt es verschiedene Stufen von User-Berechtigungen: normale User dürfen Programme benutzen, aber nichts installieren. Power-User dürfen Programme installieren, aber keine Systemeinstellungen ändern. Administratoren haben alle Rechte. Gerade in Business-Umgebungen sollte auf dieses Berechtigungskonzept Wert gelegt werden. Dieses Berechtigungskonzept gibt es bei Apples iOS (und auch bei Android) nicht. Nichtsdestotrotz sind schlecht gesicherte PCs natürlich auch angreifbar.

Sorry, wenn ich dieses Thema noch mal aufgreife. Warum ist das mit dem PC nicht möglich? Du könntest Dich mit einem PC auch in eine unsicheres HotSpot einloggen. Oder habe ich irgendein Schritt im WDR Film übersehen?

sebhoff schrieb:
Du wolltest wissen wies aus der Sicherheitsperspektive aussieht.
Von usability war bisher nicht die Rede.

Gegenfrage: Was kann ein Enduser auf dem Ipad machen wenn er
a) keine Ahnung hat
b) ebenfalls eingeschränkte Benutzungsrechte hat

Für gewisse Tätigkeiten kann ich mir ein Ipad gut vorstellen. zB der Vertreter der den Warenkatalog durchgehen kann, mittlerweile wird eh meist schon online bestellt.
Oder bei einer Inventur, zum vorführen von Simulationen etc...
Es ist halt nur die Frage lässt es sich in deine Unternehmensstruktur einbinden.

Mein Frage bezieht sich nicht darauf was ein User beruflich damit machen kann, wenn er keine Ahnung hat. Sondern was kann ein User der keine Ahnung hat alles "falsch" machen und daher die Sicherheit des Unternehmen in Gefahr bringen.

Wenn man das weiss, dann kann man entsprechende technische und nicht technische (zB. Richtlinien für den iPad User schreiben) Massnahmen treffen.

Im zweiten Schritt würde ich mich fragen, (und das ist auf jeden Fall sehr schwer zu beantworten, wenn man das Netzwerk nicht kennt): Was ist technisch möglich?

Egal88 · 05.11.2012

Prinzessin Lea schrieb:
Sorry, wenn ich dieses Thema noch mal aufgreife. Warum ist das mit dem PC nicht möglich? Du könntest Dich mit einem PC auch in eine unsicheres HotSpot einloggen.

Sorry, missverständlich ausgedrückt.
Natürlich kann man sich auch mit einem PC in unsichere Netzwerke einloggen, und ein Angreifer kann auch dort eine Menge anrichten, insbesondere, wenn der gerade eingeloggte User Admin-Rechte hat und die Schutzmaßnahmen auf dem PC gering sind.

In Business-Umgebungen kann man aber am PC mit User-Berechtigungen und Policies eine Menge steuern, sprich: zum Beispiel das Einloggen in nicht vertrauenswürdige Netzwerke unterbinden, das Ausführen bestimmter Programme verhindern oder auf den Online-Modus (=innerhalb des Firmennetzwerkes) beschränken, oder nur verschlüsselten Internet-Zugriff zulassen.

Ich will damit sagen, dass die administrativen Steuerungsmöglichkeiten bei einem PC wesentlich größer sind als bei einem Smartphone. Aber darüber wollten wir uns ja noch telefonisch unterhalten.

Prinzessin Lea · 05.11.2012

Egal88 schrieb:
Sorry, missverständlich ausgedrückt.
Natürlich kann man sich auch mit einem PC in unsichere Netzwerke einloggen, und ein Angreifer kann auch dort eine Menge anrichten, insbesondere, wenn der gerade eingeloggte User Admin-Rechte hat und die Schutzmaßnahmen auf dem PC gering sind.

In Business-Umgebungen kann man aber am PC mit User-Berechtigungen und Policies eine Menge steuern, sprich: zum Beispiel das Einloggen in nicht vertrauenswürdige Netzwerke unterbinden, das Ausführen bestimmter Programme verhindern oder auf den Online-Modus (=innerhalb des Firmennetzwerkes) beschränken, oder nur verschlüsselten Internet-Zugriff zulassen.

Ich will damit sagen, dass die administrativen Steuerungsmöglichkeiten bei einem PC wesentlich größer sind als bei einem Smartphone. Aber darüber wollten wir uns ja noch telefonisch unterhalten.

Hast Du Infomaterial dazu oder weiss du wie ich an Infomaterial dazu komme? Ich bin zur Zeit zB auf der Suche nach Infos bzw. Richtlinien im Bezug auf iPads oder Laptops, die Mitarbeiter teilen...

Ich ruf dich an ganz bestimmt an..., muss nur eine gute Zeit finden

Egal88 · 06.11.2012

Das Security-Seminar wäre ein guter Startpunkt gewesen, aber da bist du ja in Indien...
Übrigens halte ich es für eine - ähm - nicht ganz zieführende Strategie, erst die Geräte auszurollen und sich hinterher Gedanken über eine Security-Policy zu machen.

Zurück zum Thema:
Es gibt ja mehrere Kategorien von Sicherheitsrisiken, denen mobile Devices ausgesetzt sind: Diebstahl bzw. Verlust der Hardware mit der Folge von Verlust der dort gespeicherten Daten, Viren/Trojaner, Passwortklau oder sogar Wirtschaftsspionage, ...

"Vorgefertigte" Richtlinien gibt es in dieser Form nicht, weil die Nutzung mobiler Geräte und die Anforderungen daran bei jedem Betrieb unterschiedlich sind. Ihr müsst euch Gedanken machen, was die Mitarbeiter mit den mobilen Devices machen sollen / dürfen, und was nicht.

Als Beispiel: sollen / dürfen sie

dienstliche Mails empfangen/senden?
Vertrauliche Infos per (unverschlüsselter) Mail senden?
Zugriff auf Firmenkalender haben?
Zugriff auf andere Unternehmens-Ressourcen (Filesystem, Intranet) haben?
private Mails empfangen/senden?
eigene, nicht-dienstliche Programme/Apps nutzen?
Daten mit Kollegen austauschen?
Daten mit Kunden/Partnerfirmen austauschen?
das Gerät unverschlüsselt betreiben?
schwache Passwörter (á la Handy-PIN) nutzen?

Prinzessin Lea · 06.11.2012

Egal88 schrieb:
Das Security-Seminar wäre ein guter Startpunkt gewesen, aber da bist du ja in Indien...
Übrigens halte ich es für eine - ähm - nicht ganz zieführende Strategie, erst die Geräte auszurollen und sich hinterher Gedanken über eine Security-Policy zu machen.

Da hast du recht. Es ist auch nicht ganz so schlimm, wir haben Richtlinien etc pp. Ich möchte aber herausfinden was ist das minimum was wir an Sicherheit brauchen und was ist das Maximum was wir an Sicherheit geben können.

Wir könnten uns an der Stelle auch fragen, warum setzten Unternehmen überhaupt iPad ein? Gibt es wirklich keine Alternativen?

dienstliche Mails empfangen/senden? => ja
Vertrauliche Infos per (unverschlüsselter) Mail senden? => nein
Zugriff auf Firmenkalender haben? => ja
Zugriff auf andere Unternehmens-Ressourcen (Filesystem, Intranet) haben? => ja
private Mails empfangen/senden? => ja
eigene, nicht-dienstliche Programme/Apps nutzen? => nicht alle, es gibt eine Blackliste
Daten mit Kollegen austauschen? => Bin mir nicht sicher, müsste ich nachschauen. Ich glaube nicht.
Daten mit Kunden/Partnerfirmen austauschen? => nein
das Gerät unverschlüsselt betreiben? => nein
schwache Passwörter (á la Handy-PIN) nutzen? => nein. Passwörter müssen alle paar Wochen geändert werden zb

iPad vs Laptop aus der Sicherheits Perspektive?

Prinzessin Lea

Prinzessin Lea

Prinzessin Lea

Egal88

sebhoff

Prinzessin Lea

Egal88

Egal88

Choco

Egal88

sebhoff

Egal88

sebhoff

Prinzessin Lea

sebhoff

Prinzessin Lea

Egal88

Prinzessin Lea

Egal88

Prinzessin Lea

iPad vs Laptop aus der Sicherheits Perspektive?

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums