verlauf1 verlauf2 verlauf3 verlauf4 verlauf5 verlauf6 verlauf7
iMOTION

Netzwerksicherheit in iOS

In der letzten Ausgabe haben wir die Gerätesicherheit von iOS-Geräten beleuchtet. Da aber praktisch alle Anwender ihre Daten nicht nur auf dem Gerät speichern, sondern auch über das Internet austauschen, ist auch die Verbindung wichtig, über die mit den Servern kommuniziert wird.

17.11.2015, Ein Beitrag von Andreas Schenk

Sicherheit im WLAN

Dies betrifft sowohl Standarddienste wie E-Mail oder Websurfen als auch die Verbindungen von Apps zu den Servern, die Daten bereitstellen. Die Sicherheit der übermittelten Daten beruht dabei auf unterschiedlichen Elementen der Datenübertragung und setzt sich aus diesen einzelnen Faktoren zusammen. So sind sowohl das Übertragungsmedium wichtig wie auch der Datentransport selbst und der Inhalt der Datenpakete.

Wi-Fi als Übertragungsmedium

Wi-Fi als Übertragungsmedium ist äußerst beliebt. Zum einen verfügen nicht alle iOS-Geräte über einen SIM-Karten-Slot, um mit UMTS oder LTE ins Internet zu gehen, und selbst wenn, so wird vom User in der Regel Wi-Fi vor der Mobilfunkanbindung bevorzugt, da oft das Datenvolumen beschränkt oder teuer ist bzw. Wi-Fi eine höhere Geschwindigkeit bietet. Nahezu jedes Unternehmen hat ein eigenes Wi-Fi, in dem die unternehmenseigenen iOS-Geräte aufgenommen werden. Seit Wi-Fi um den Jahrtausendwechsel herum seinen Siegeszug begann, haben sich die Standards und mit ihnen die verfügbaren Sicherheitsfunktionen kontinuierlich weiterentwickelt. Das war auch notwendig, denn die Funkverbindung zwischen dem Endgerät und dem Zugangspunkt kann grundsätzlich von jedem anderen mitgehört werden. Aus diesem Grund sollten alle Wi-Fi-Verbindungen stets verschlüsselt erfolgen. iOS unterstützt alle gängigen Wi-Fi-Verschlüsselungsmethoden, von denen allerdings nicht mehr alle als sicher gelten.

Unverschlüsseltes Wi-Fi

Offene Wi-Fi-Netzwerke, die auch kein Kennwort benötigen, um ins Netzwerk zu gelangen, sind unverschlüsselt. Sie erkennen dies auf dem iPhone in den Einstellungen, wenn bei dem WLAN-Name kein Schlosssymbol angezeigt wird. In diesen Netzwerken erfolgen alle Datenübertragungen unverschlüsselt und können von jedem anderen Teilnehmer mitgelesen werden.

WEP

Die Abkürzung steht für „Wired Equivalent Privacy“. Diese Verschlüsselung ist zwar besser als keine Verschlüsselung, stellt aber heutzutage keine Hürde für Hacker mehr dar, da sie innerhalb von Minuten geknackt werden kann.

WPA

Wi-Fi Protected Access ist deutlich stärker verschlüsselt als WEP. Es ist nicht so einfach zu knacken, ein Profi ist damit allerdings auch nicht mehr aufzuhalten.

WPA2

WPA2 ist der Nachfolger von WPA und gilt als die sicherste Variante. WPA2 wurde 2004 eingeführt und 2006 für alle Wi-Fi-Geräte verpflichtend. Daher sollten alle modernen Geräte diesen Standard unterstützen. iOS hat WPA2 von Anfang an unterstützt, daher sind alle iPhones und iPads in der Lage, diese Verschlüsselung zu nutzen; sie müssen nur vom Access Point angeboten werden.

Für WPA2 gibt es eine Erweiterung, die eine sicherere Anmeldung ermöglicht. Diese Erweiterung heißt WPA2 Enterprise und wird von Apple als „Firmenweiter WPA2“ bezeichnet. Ohne die Erweiterung nennt Apple WPA „Persönlicher WPA2“. Das mag ein wenig verwirrend sein, denn beim persönlichen WPA2 verwenden alle Geräte das gleiche Passwort. Mit persönlich ist hier eher die persönliche bzw. private Anwendung gemeint, die wir alle sicherlich vom Wi-Fi-Router zu Hause kennen. Es gibt ein Kennwort für alle. Darin liegt aber auch ein Problem der WPA-Anmeldung, vor allem in Firmen oder größeren Organisationen. Da alle das gleiche Kennwort verwenden, spricht sich dieses sehr schnell herum und auch Unbefugte bekommen so Zugriff auf das Netzwerk. Außerdem ist es schwierig, das Kennwort zu ändern, da dann wieder viele Geräte in die Hand genommen werden müssen, um das Kennwort zu aktualisieren. Daher bleibt das Kennwort oft sehr lange Zeit identisch und so kommen immer mehr Geräte ins Netz, was letztendlich einen kleinen Teufelskreis bildet. Genau dieses Problem löst die WPA2 Enterprise-Erweiterung dadurch, dass hier kein allgemeines Kennwort verwendet wird, sondern jedes Gerät oder Benutzer eine individuelle Anmeldung erfordert. Diese kann je nach Konfiguration mit einer Kombination von Name und Passwort oder mittels eines elektronischen Zertifikats an einem sogenannten Radius-Server erfolgen. Damit wird zwar nicht die Verschlüsselung stärker, aber durch eine individualisierte Anmeldung sinkt das Risiko eines unerlaubten Zugriffs und Richtlinien zur Passwortänderung können besser umgesetzt werden. Die eleganteste Version ist eine Anmeldung mittels eines Zertifikats, das individuell ausgestellt und durch einen Mobile Device Management Server auf das iOS-Gerät installiert wird. Das Schöne dabei ist, dass der User davon nichts mitbekommt, wenn die IT-Abteilung es korrekt implementiert hat.