macOS im Unternehmen

9. Mai 2021

Cupertino's Silberlinge sind schon lange keine Seltenheit mehr im Unternehmensumfeld. Einst noch als Statussymbol durch die Tischreihen getragen, gehören sie mittlerweile zum Standardinventar.

Hard- und Software perfekt aufeinander abgestimmt und mit dem eigenen Prozessor-Design haben die Kalifornier nochmals einen draufgesetzt und einen neuen Meilenstein erreicht.

Da die Anschaffung der Hardware nur die halbe Miete ist, beleuchten wir in diesem Artikel neben ein paar technischen auch ein paar organisatorische Maßnahmen, die den Einsatz im Unternehmen ermöglichen und erleichtern.

Zero touch statt Hands on!

Apple bietet seinen Business-Kunden das Device Enrollment Programm (DEP) an, bei dem die Geräte automatisch an das gewünschte Mobile Device Management (MDM) angebunden werden können.

Dies vereinfacht nicht nur den Rollout der Hardware, sondern bringt auch Funktionen mit sich, welche bei "normal" erworbenen Geräten nicht aktiviert werden können.

Welchen Nutzen bietet mir der Einsatz eines MDM?

Neben der zentralen Verwaltung der Hardware lassen sich so auch standardisierte Sicherheitsrichtlinien, Systemeinstellungen und Software geräteübergreifend installieren und aktualisieren. Dabei spielt es keine Rolle wieviele Geräte das Unternehmen im Einsatz hat - ob 1 oder 500 - der Zeitaufwand bleibt derselbe. Einzige Voraussetzung ist eine Netzwerkverbindung - egal ob über den Router im Homeoffice oder einen Mobile Hotspot - und das Gerät aktualisiert sich automatisch.

Dieser Aspekt wird oftmals vernachlässigt und ist bei vielen Unternehmen und Behörden spätestens seit dem Ausbruch der Corona-Pandemie in den Fokus gerückt.

Die Folge: Steigende Kosten - sowohl für Personal, Beratungsleistungen, als auch Hard- und Software. Wer konnte in diesem Land auch vorhersehen, dass Büroarbeit außerhalb des Firmengebäudes eines Tages die Normalität darstellt? Zum Glück kann man ein Fax mittlerweile auch per Mail empfangen.

Sicherheit schafft Vertrauen.

Ein fundamentales Element für ein unternehmensweites Sicherheitskonzept ist der IT-Grundschutz des Bundesamt für Sicherheit und Informationstechnik (BSI). Dieser ist an die ISO27001 angelehnt und geht an einigen Stellen sogar darüber hinaus. Wir raten jedem Unternehmen dazu sich mit dem Werk vertraut zu machen.

Der Fokus ist dabei auf die darin genannte Gefährdungslage, die Bedrohungen und Schwachstellen eines Clients unter macOS aufzeigt, zu richten. Danach sollten im Unternehmen geeignete Schutz- und Sensibilisierungsmaßnahmen eingeführt werden.

Vor der Einführung jeglicher Technologie und Software empfehlen wir grundsätzlich diese auf Herz und Nieren zu prüfen: Business Anforderungen, Kompatibilität zur bestehenden Systemlandschaft, Betriebskosten, Risiken, Nutzbarkeit, Sicherheitsaspekte, etc. Wir nutzen dafür u.a Threat Modeling.

Doch was gilt es nun für macOS im Unternehmen zu beachten?

Viele der heiß geliebten macOS Funktionen basieren auf Apple's zentralen Diensten (iMessage, iCloud) und synchronisieren dabei die Daten der eingesetzten Apple Geräte über die Cloud. Aus dem Privatleben sind diese Funktionen kaum mehr wegzudenken, doch für den Einsatz von macOS im Unternehmen eher ungeeignet. Die Herausforderung besteht darin, die Geräte so zu konfigurieren, dass diese den datenschutzrechtlichen und sicherheitstechnischen Anforderungen entsprechen. Dabei gibt es einiges zu beachten, z.B. Data Locality (wo liegen meine Daten?) und Gerätesicherheit (Schutz vor externen Bedrohungen). Wir wollen Ihnen nachfolgend einen kurzen Leitfaden zur Hand geben:

BeschreibungMaßnahme / Einstellung
ZuständigkeitVerantwortliche identifizieren und dokumentieren
Organisatorisch2 Faktor Authentifizierung bei der Apple ID
iCloud und Synchronisierung von schützenswerten Daten sollte deaktiviert werden.
Keine Benutzeraccounts mit Administrator Rechten. Deaktivieren des "Gast" Accounts.
Time Machine Backups verschlüsselt erstellen.
TechnischBoot Sicherheit - Firmware Kennwort setzen
System Integrity Protection (SIP), XProtect und Gatekeeper aktivieren
Festplattenverschlüsselung aktivieren
Ortungsdienste deaktivieren
Firewall aktivieren
Mail: Remote Content laden deaktivieren
Spotlight: Suche und Vorschläge deaktivieren
Bluetooth: deaktivieren wenn nicht benötigt.
Einsatz einer geeigneten Endpoint-Protection Lösung

Darüber hinaus gibt es noch weitere Möglichkeiten und Maßnahmen um die Geräte abzusichern. Dabei sollte man jedoch berücksichtigen, dass die Anwender mit ihrem Gerät noch arbeitsfähig sein müssen. Ihre Mitarbeiter sollen schließlich nicht während ihres Arbeitsalltags zu unfreiwilligen Penetrationstestern Ihres Unternehmens werden.

Weitere Schritte

Informationen sind wie überall ein - wenn nicht sogar das - Schlüsselelement wenn es um den Schutz Ihrer Unternehmensdaten geht. Oft entscheidet ein Software- oder Firmware-Update über die Sicherheit Ihres Endgerätes und somit auch über die Behandlung der darauf befindlichen Daten. Wir raten dazu, sich bei den eingesetzten Herstellern auf die Security Mailinglisten setzen zu lassen und somit die Common Vulnerabilities and Exposures  kurz CVE´s (zu Deutsch: Schwachstellen und Risiken) im Auge zu behalten. Dadurch können Sie frühzeitig auf Sicherheitslücken reagieren und diese schließen.

Apple Security Mitteilungen

CVE - Common Vulnerabilities and Exposures

crossmenu