Zertifizierungen, Validierungen und Empfehlungen zur Produktsicherheit für iOS

Dieser Artikel enthält Referenzen für wichtige Produktzertifizierungen, kryptografische Validierungen und Sicherheitsempfehlungen für iOS-Plattformen. Wenn Sie Fragen haben, kontaktieren Sie uns unter security-certifications@apple.com.

Validierungen kryptografischer Module

Alle Validierungszertifikate zur Konformität mit Apple FIPS 140-2 finden Sie auf der CMVP-Anbieterseite. Apple beteiligt sich aktiv an der Validierung der CoreCrypto- und CoreCrypto Kernel-Module für jedes größere iOS-Update. Die Validierung findet grundsätzlich an der abschließenden Modulversion, die zur Veröffentlichung bestimmt ist, statt und wird offiziell eingereicht, bevor eine neue Version des Betriebssystems veröffentlicht wird. CMVP führt den Validierungsstatus kryptografischer Module jetzt in zwei getrennten Listen auf, je nach dem aktuellen Status der Module. Die Module erscheinen zunächst in der Implementation Under Test List und werden dann in die Modules in Process List gestellt.

iOS 12

Apple beteiligt sich aktiv an der Validierung der CoreCrypto 9.0-Module für iOS 12, das im Verlauf dieses Jahres eingeführt wird.

Frühere Versionen

Für diese früheren Versionen von iOS liegen Validierungen kryptografischer Module vor, die nun archiviert sind:

  • iOS 8
  • iOS 7

Leitfäden zur Konfiguration von Sicherheitsfunktionen

Sicherheitsorientierte Organisationen stellen klar definierte und geprüfte Richtlinien zur ordnungsgemäßen Konfiguration verschiedener Plattformen bereit. Die Leitfäden zur Konfiguration von Sicherheitsfunktionen bieten einen Überblick über alle Funktionen in macOS und iOS, die Sie zur Erhöhung der Sicherheit bzw. zur "Härtung des Geräts" nutzen können. Apple hat gemeinsam mit den staatlichen Behörden verschiedener Länder Leitfäden entwickelt, in denen Vorgehensweisen und Empfehlungen für die Gewährleistung einer sicheren Umgebung festgehalten sind. 

Diese Leitfäden richten sich an erfahrene Benutzer oder Systemadministratoren, die mit der Benutzeroberfläche vertraut sind und über ausreichend Erfahrung in der Verwendung der Verwaltungstools der Zielplattform verfügen. Darüber hinaus ist es von Vorteil, mit grundlegenden Netzwerkkonzepten vertraut zu sein. Die Anweisungen in diesen Leitfäden sind zum Teil komplex. Werden sie anders als beschrieben umgesetzt, kann das unerwünschte Folgen haben oder die Sicherheit der Umgebung herabsetzen. Wenn Sie Änderungen an den Geräteeinstellungen vorgenommen haben, sollten Sie die Geräte vor ihrer Bereitstellung umfassend testen.

Weitere Informationen finden Sie im iOS-Sicherheitsleitfaden (PDF).

Sicherheitszertifizierungen

Eine Liste von durch Apple öffentlich ausgewiesenen, aktiven und abgeschlossenen Zertifizierungen.

Zertifizierung nach ISO-Norm 27001 und 27018

Das Information Security Management System von Apple zur Gewährleistung der Sicherheit von Infrastruktur, Entwicklung und Betrieb ist für die folgenden Produkte und Dienstleistungen nach ISO-Norm 27001 und 27018 zertifiziert: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, verwaltete Apple-IDs, Siri und Schoolwork entsprechend der Anwendbarkeitserklärung Version 2.1 vom 11.07.2017. Die bestehende Konformität mit der ISO-Norm wurde Apple durch die British Standards Institution (BSI) zertifiziert. Die Konformitätszertifikate für ISO 27001 und ISO 27018 sind auf der Website der BSI verfügbar.

Zertifizierung nach Common Criteria

Ziel der Common Criteria-Community ist es, anhand international anerkannter Sicherheitsstandards eine klare und zuverlässige Bewertung der Sicherheitsfunktionen von IT-Produkten zu bieten. Verfügt ein Produkt über eine Common Criteria-Zertifizierung, zeigt dies, dass von einer unabhängigen Institution festgestellt wurde, dass dieses Produkt die erforderlichen Sicherheitsstandards erfüllt. So steigert die Zertifizierung das Vertrauen der Kunden in die Sicherheit dieses IT-Produkts und liefert die Basis für fundierte Entscheidungen.

Im Common Criteria Recognition Arrangement (CCRA) haben Mitgliedsländer und -regionen vereinbart, die Zertifizierung von IT-Produkten gleichermaßen anzuerkennen. Mit wachsendem Umfang und zunehmender Zahl von Schutzprofilen schließen sich auch von Jahr zu Jahr mehr Mitglieder der Community an, deren Aufgabe darin besteht, sich mit den neuen technologischen Entwicklungen zu befassen. Der CCRA-Vereinbarung zufolge darf ein Produktentwickler ein beliebiges Autorisierungsprogramm für die Zertifizierung seines Produkts wählen.

Ältere Schutzprofile (Protection Profiles, PP) wurden archiviert und werden nach und nach durch neu entwickelte, zielgerichtete Schutzprofile ersetzt, die auf konkrete Lösungen und Umgebungen zugeschnitten sind. In dem gemeinsamen Bestreben, die kontinuierliche gegenseitige Anerkennung aller CCRA-Mitglieder zu sichern, treibt die International Technical Community (iTC) alle künftigen Entwicklungen und Updates von Schutzprofilen hin zu Collaborative Protection Profiles (cPP) voran, die von Anfang an unter Einbeziehung verschiedener Programme entwickelt werden.

Seit Anfang 2015 erlangt Apple seine Zertifizierungen gemäß diesen neu strukturierten Common Criteria mit ausgewählten Schutzprofilen. Die von Apple öffentlich ausgewiesenen, aktiven und abgeschlossenen Zertifizierungen sind im Folgenden aufgeführt. 

iOS 11

 

Schutzprofil

VID

Abschluss

Mobilgerät

PP_MD_v3.1

10851

2018.03.30

MDM-Agent

EP_MDM_Agent_v3.0

10851

2018.03.30

WLAN-Agent

PP_WLAN_CLI_EP_v1.0

10851

2018.03.30

VPN-Client

PP_VPN_IPSEC_CLIENT_V1.4

10876

2018.05.10

Anwendungssoftware (Kontakte)

PP_APP_v1.2

10915

ETA: 08.2018

Browser (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

ETA: 08.2018

Frühere Versionen

Für frühere iOS-Versionen liegen Zertifizierungen vor, die nun archiviert sind:

  • iOS 10
  • iOS 9

Größere durch die Common Criteria-Community veröffentlichte Versionsupdates für Schutzprofile werden im Allgemeinen alle 12 bis 18 Monate gleichzeitig mit zusätzlichen oder aktualisierten Security Functional Requirements (SFRs) veröffentlicht.

Im Common Criteria-Portal finden Sie eine vollständige Liste der Schutzprofile (PPs) und der Collaborative Protection Profiles (cPPs) sowie deren jeweiliges Gültigkeitsdatum. Sie finden diese auch in einem Programm Ihrer Wahl, z. B. der National Information Assurance Partnership (NIAP), dem Programm für die USA.

Qualitätsgeprüft für die Verwendung durch die Regierung

Informationen zu ausgewählten Ländern und Regionen, deren Regierungen qualitätsgeprüfte Geräte verwenden.

Australische Regierung


Zusammengefasst nach der Liste evaluierter Produkte (Evaluated Products List, EPL):

Das Australian Signals Directorate (ASD) unterhält die Liste evaluierter Produkte (EPL) von durch das ASD bewerteten ICT-Sicherheitsprodukten für die Verwendung in Regierungsbehörden in Australien und Neuseeland.

  • In der EPL aufgeführte Produkte sind für bestimmte Zwecke zertifiziert.
  • Produkte, die auf dieser Liste stehen, können verwendet werden, um, wie im Informationssicherheitshandbuch (ISM) der australischen Regierung beschrieben, sichere Systeme und Netzwerke aufzubauen.
  • Produkte werden entsprechend der international anerkannten Common Criteria (CC) gemäß ISO-Norm 15408 zertifiziert. Das CC-Portal listet weitere Produkte mit wechselseitig anerkannter Zertifizierung auf, die ebenfalls verwendet werden können.
  • Die Zertifizierungsstelle des ASD, die australisch-asiatische Zertifizierungsbehörde, überwacht das australisch-asiatische Programm zur Bewertung der Informationssicherheit (AISEP), über das Produkttests durch lizenzierte kommerzielle Bewertungsstellen verwaltet werden.
  • Außerdem werden in der EPL durch das ASD vorgenommene kryptografische Bewertungen aufgelistet.

Produkt: iOS 9
Produkttyp: Mobile Produkte
Produktstatus: Abgeschlossen
Sicherheitsstufe: Bewertet vom ASD
Version: 9.3.5 oder neuer
Handbuch: PDF

Britische Regierung


Zusammengefasst nach der Seite Commercial Product Assurance – Produkte mit Foundation Grade des NCSC:

Durch das CPA werden kommerzielle Standardprodukte und deren Entwickler hinsichtlich ihrer Konformität mit veröffentlichten Sicherheits- und Entwicklungsnormen bewertet. Ein Sicherheitsprodukt, das erfolgreich bewertet wurde, erhält die Zertifizierung "Foundation Grade". Dies bedeutet, dass das Produkt nachweislich gute kommerzielle Sicherheit aufweist und für Umgebungen mit geringeren Bedrohungen geeignet ist.

  • Die CPA-Zertifizierung ist für 2 Jahre gültig und ermöglicht, wo dies bei vorhandenen Schwachstellen notwendig ist, die Aktualisierung von Produkten während der Gültigkeit der Zertifizierung. 
  • Die CPA-Zertifizierung wird durch den NATO-Katalog anerkannt und ist als eine der für den EU-Katalog erforderlichen Bewertungen anerkannt.
  • Näher erklärt wird Foundation Grade durch das NCSC.

US-Regierung


Auszug aus der Seite Commercial Solutions for Classified:

Um ihre Einsatzziele erreichen zu können, sind US-amerikanische Regierungsbehörden zunehmend auf unmittelbaren Zugriff auf die modernsten kommerziellen Hardware- und Softwaretechnologien als Teil ihrer nationalen Sicherheitssysteme (National Security Systems, NSS) angewiesen. Infolgedessen entwickelt das zur National Security Agency/Central Security Service (NSA/CSS) gehörende Information Assurance Directorate (IAD) neue Möglichkeiten zur Integration neuer Technologien. Ziel ist es, schneller IA-Lösungen zu entwickeln, die auf die sich rasch ändernden Anforderungen ihrer Benutzer abgestimmt sind.

Das Commercial Solutions for Classified (CSfC)-Programm der NSA/CSS wurde eingeführt, um kommerzielle Produkte in mehrstufigen Lösungen zum Schutz vertraulicher NSS-Daten einsetzen zu können. Dadurch erhält die NSA/CSS die Möglichkeit, über eine Lösung auf Basis kommerzieller Normen, die innerhalb von Monaten statt Jahren bereitgestellt werden kann, sicher zu kommunizieren.

Für eine stetig wachsende Zahl an Umgebungen, für die eine hohe Sicherheitsstufe erforderlich ist, sollen Apple-Lösungskonzepte eingesetzt werden, was sich aber durch Produktzertifizierungen verzögert. Seit Apple die Common Criteria-Zertifizierungen für die oben genannten Schutzprofile erlangt hat, sind Apple-Produkte in der Liste der CSfC-Komponenten aufgeführt und verfügbar.

Sobald zusätzliche Common Criteria-Zertifizierungen von Apple-Produkten für die zugehörigen Schutzprofile beginnen, werden die entsprechenden Apple-Komponenten zur Anerkennung auf der CSfC-Komponentenliste vorgeschlagen und im Folgenden ergänzt.

CSfC-Komponentenliste

Die folgenden Apple-Produkte können in einer CSfC-Lösung verwendet werden:

Apple-Produkte zur Produktliste hinzufügen

In immer mehr Regierungsumgebungen wird gefordert, dass Apple-Produkte in Programme ähnlich dem CPA, EPL und CSfC aufgenommen werden. Wenn Sie Bevollmächtigter für das Programm Ihrer Regierung und interessiert daran sind, Apple-Produkte auf Ihre entsprechende Produktliste zu setzen, kontaktieren Sie uns unter security-certifications@apple.com.

Andere Betriebssysteme

Hier finden Sie nähere Informationen über Produktsicherheit, Validierungen und Empfehlungen für:

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: