Zertifizierungen, Validierungen und Empfehlungen zur Produktsicherheit für iOS

Dieser Artikel enthält Referenzen für wichtige Produktzertifizierungen, kryptografische Validierungen und Sicherheitsempfehlungen für iOS-Plattformen. Wenn du Fragen hast, kontaktiere uns unter security-certifications@apple.com.

Validierungen kryptografischer Module

Alle Validierungszertifikate zur Konformität mit Apple FIPS 140-2 findest du auf der CMVP-Anbieterseite. Apple beteiligt sich aktiv an der Validierung der CoreCrypto- und CoreCrypto Kernel-Module für jedes größere iOS-Update. Die Validierung findet grundsätzlich an der abschließenden Modulversion, die zur Veröffentlichung bestimmt ist, statt und wird offiziell eingereicht, bevor eine neue Version des Betriebssystems veröffentlicht wird. CMVP führt den Validierungsstatus kryptografischer Module jetzt in zwei getrennten Listen auf, je nach dem aktuellen Status der Module. Die Module erscheinen zunächst in der Implementation Under Test List und werden dann in die Modules in Process List gestellt.

iOS 12

Leitfäden zur Konfiguration von Sicherheitsfunktionen

Sicherheitsorientierte Organisationen stellen klar definierte und geprüfte Richtlinien zur ordnungsgemäßen Konfiguration verschiedener Plattformen bereit. Die Sicherheitskonfigurationsleitfäden geben einen Überblick über die Funktionen in macOS und iOS, mit denen du den Schutz verbessern kannst; dies wird als "Abhärten deines Geräts" bezeichnet. Apple hat gemeinsam mit den staatlichen Behörden verschiedener Länder Leitfäden entwickelt, in denen Vorgehensweisen und Empfehlungen für die Gewährleistung einer sicheren Umgebung festgehalten sind. 

Diese Leitfäden richten sich an erfahrene Benutzer oder Systemadministratoren, die mit der Benutzeroberfläche vertraut sind und über ausreichend Erfahrung in der Verwendung der Verwaltungstools der Zielplattform verfügen. Darüber hinaus ist es von Vorteil, mit grundlegenden Netzwerkkonzepten vertraut zu sein. Die Anweisungen in diesen Leitfäden sind zum Teil komplex, und eine Abweichung könnte unerwünschte Folgen haben oder die Sicherheit der Umgebung herabsetzen. Wenn du Änderungen an den Geräteeinstellungen vorgenommen hast, solltest du die Geräte vor ihrer Bereitstellung umfassend testen.

Weitere Informationen findest du im iOS-Sicherheitsleitfaden (PDF).

Sicherheitszertifizierungen

Eine Liste von durch Apple öffentlich ausgewiesenen, aktiven und abgeschlossenen Zertifizierungen.

Zertifizierung nach ISO-Norm 27001 und 27018

Das Information Security Management System (ISMs) von Apple zur Umsetzung der Sicherheit von Infrastruktur, Entwicklung und Betrieb ist für die folgenden Produkte und Dienstleistungen nach ISO-Norm 27001 und 27018 zertifiziert: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, verwaltete Apple-IDs, Siri und Schoolwork entsprechend der Anwendbarkeitserklärung Version 2.2 vom 05.11.2018. Die bestehende Konformität mit der ISO-Norm wurde Apple durch die British Standards Institution (BSI) zertifiziert. Die Konformitätszertifikate für ISO 27001 und ISO 27018 sind auf der Website der BSI verfügbar.

Zertifizierung nach Common Criteria

Ziel der Common Criteria-Community ist es, anhand international anerkannter Sicherheitsstandards eine klare und zuverlässige Bewertung der Sicherheitsfunktionen von IT-Produkten zu bieten. Verfügt ein Produkt über eine Common Criteria-Zertifizierung, zeigt dies, dass von einer unabhängigen Institution festgestellt wurde, dass dieses Produkt die erforderlichen Sicherheitsstandards erfüllt. So steigert die Zertifizierung das Vertrauen der Kunden in die Sicherheit dieses IT-Produkts und liefert die Basis für fundierte Entscheidungen.

Im Common Criteria Recognition Arrangement (CCRA) haben Mitgliedsländer und -regionen vereinbart, die Zertifizierung von IT-Produkten gleichermaßen anzuerkennen. Mit wachsendem Umfang und zunehmender Zahl von Schutzprofilen schließen sich auch von Jahr zu Jahr mehr Mitglieder der Community an, deren Aufgabe darin besteht, sich mit den neuen technologischen Entwicklungen zu befassen. Der CCRA-Vereinbarung zufolge darf ein Produktentwickler ein beliebiges Autorisierungsprogramm für die Zertifizierung seines Produkts wählen.

Ältere Schutzprofile (Protection Profiles, PP) wurden archiviert und werden nach und nach durch neu entwickelte, zielgerichtete Schutzprofile ersetzt, die auf konkrete Lösungen und Umgebungen zugeschnitten sind. In dem gemeinsamen Bestreben, die kontinuierliche gegenseitige Anerkennung aller CCRA-Mitglieder zu sichern, treibt die International Technical Community (iTC) alle künftigen Entwicklungen und Updates von Schutzprofilen hin zu Collaborative Protection Profiles (cPP) voran, die von Anfang an unter Einbeziehung verschiedener Programme entwickelt werden.

Seit Anfang 2015 erlangt Apple seine Zertifizierungen gemäß diesen neu strukturierten Common Criteria mit ausgewählten Schutzprofilen. Die von Apple öffentlich ausgewiesenen, aktiven und abgeschlossenen Zertifizierungen sind im Folgenden aufgeführt. 

iOS 12

 

Schutzprofil

VID

Abschluss

Mobilgerät

PP_MD_v3.1

10937

03.2019

MDM-Agent

EP_MDM_Agent_v3.0

10937

03.2019

WLAN-Agent

PP_WLAN_CLI_EP_v1.0

10937

03.2019

VPN-Client

MOD_VPN_CLI_V2.1

10937

03.2019

Anwendungssoftware (Kontakte)

PP_APP_v1.2

10961

02.2019

Browser (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10960

ETA: 06.2019

In Eval Link

iOS 11

 

Schutzprofil

VID

Abschluss

Mobilgerät

PP_MD_v3.1

10851

30.03.2018

MDM-Agent

EP_MDM_Agent_v3.0

10851

30.03.2018

WLAN-Agent

PP_WLAN_CLI_EP_v1.0

10851

30.03.2018

VPN-Client

PP_VPN_IPSEC_CLIENT_V1.4

10876

10.05.2018

Anwendungssoftware (Kontakte)

PP_APP_v1.2

10915

13.09.2018

Browser (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

09.11.2018

Frühere Versionen

Für frühere iOS-Versionen liegen Zertifizierungen vor, die nun archiviert sind:

  • iOS 10
  • iOS 9

Größere durch die Common Criteria-Community veröffentlichte Versionsupdates für Schutzprofile werden im Allgemeinen alle 12 bis 18 Monate gleichzeitig mit zusätzlichen oder aktualisierten Security Functional Requirements (SFRs) veröffentlicht.

Im Common Criteria-Portal findest du eine vollständige Liste der Schutzprofile (PPs) und der Collaborative Protection Profiles (cPPs) sowie deren jeweiliges Gültigkeitsdatum. Du findest diese auch in einem Programm deiner Wahl, z. B. der National Information Assurance Partnership (NIAP), dem Programm für die USA.

Qualitätsgeprüft für die Verwendung durch die Regierung

Informationen aus ausgewählten Ländern und Regionen, die Geräte für den Einsatz in Behörden zugelassen haben.

Australische Regierung

Zusammengefasst nach der Liste evaluierter Produkte (Evaluated Products List, EPL):

Das Australian Signals Directorate (ASD) unterhält die Liste evaluierter Produkte (EPL) von durch das ASD bewerteten ICT-Sicherheitsprodukten für die Verwendung in Regierungsbehörden in Australien und Neuseeland.

  • In der EPL aufgeführte Produkte sind für bestimmte Zwecke zertifiziert.
  • Produkte, die auf dieser Liste stehen, können verwendet werden, um, wie im Informationssicherheitshandbuch (ISM) der australischen Regierung beschrieben, sichere Systeme und Netzwerke aufzubauen.
  • Produkte werden entsprechend der international anerkannten Common Criteria (CC) gemäß ISO-Norm 15408 zertifiziert. Das CC-Portal listet weitere Produkte mit wechselseitig anerkannter Zertifizierung auf, die ebenfalls verwendet werden können.
  • Die Zertifizierungsstelle des ASD, die australisch-asiatische Zertifizierungsbehörde, überwacht das australisch-asiatische Programm zur Bewertung der Informationssicherheit (AISEP), über das Produkttests durch lizenzierte kommerzielle Bewertungsstellen verwaltet werden.
  • Außerdem werden in der EPL durch das ASD vorgenommene kryptografische Bewertungen aufgelistet.

Produkt: iOS 9
Produkttyp: Mobile Produkte
Produktstatus: Abgeschlossen
Sicherheitsstufe: Bewertet vom ASD
Version: 9.3.5 oder neuer
Handbuch: PDF

Britische Regierung

Zusammengefasst nach der Seite Commercial Product Assurance – Produkte mit Foundation Grade des NCSC:

CPA bewertet anhand veröffentlichter Sicherheits- und Entwicklungsstandards kommerzielle Standardprodukte und deren Entwickler. Ein Sicherheitsprodukt, das erfolgreich bewertet wurde, erhält die Zertifizierung "Foundation Grade". Dies bedeutet, dass das Produkt nachweislich gute kommerzielle Sicherheit aufweist und für Umgebungen mit geringeren Bedrohungen geeignet ist.

  • Die CPA-Zertifizierung ist für 2 Jahre gültig und ermöglicht, wo dies bei vorhandenen Schwachstellen notwendig ist, die Aktualisierung von Produkten während der Gültigkeit der Zertifizierung. 
  • Die CPA-Zertifizierung wird durch den NATO-Katalog anerkannt und ist als eine der für den EU-Katalog erforderlichen Bewertungen anerkannt.
  • Näher erklärt wird Foundation Grade durch das NCSC.

Deutsche Regierung

Wie auf der Seite Mobile Kommunikation angegeben:

Überblick

Smartphones und Tablets bieten sowohl im beruflichen als auch im privaten Bereich eine Reihe von Vorzügen und sind zum ständigen Begleiter in allen Lebenslagen geworden. Im Umgang mit sensiblen Informationen geschieht der Einsatz mobiler IT- und Kommunikationstechnologie allerdings häufig auf Kosten der Sicherheit.

Sichere mobile Kommunikationslösungen für den Einsatz in der Bundesverwaltung müssen immer das Ziel verfolgen, sowohl die Anforderungen modernen mobilen Arbeitens als auch die hohen Sicherheitsanforderungen zu erfüllen, die sich aus der Verarbeitung sensibler Daten ergeben.

Um die Versorgungssicherheit für die Bundesverwaltung zu gewährleisten, wird zudem Wert darauf gelegt, mehrere Anbieter zu finden. Ausführliche Informationen sind in der Broschüre "Sichere mobiles Arbeiten: Problemstellung, Technische Voraussetzungen und Lösungswege anhand der Anforderungen für mobile Endgeräte in der Bundesverwaltung" zusammengestellt.

SecurePIM Government SDS

Betriebssystem: iOS

Zulassung bis VS-NfD

Hersteller: virtual solution AG

Neueste iOS-Geräte (iPhone, iPad ab iOS-Version 12)

US-Regierung

Auszug aus der Seite Kommerzielle Lösungen für Kleinanzeigen:

Um ihre Einsatzziele erreichen zu können, sind US-Regierungsbehörden zunehmend auf einen unmittelbaren Zugriff auf die modernsten kommerziellen Hardware- und Softwaretechnologien als Teil ihrer nationalen Sicherheitssysteme (National Security Systems, NSS) angewiesen. Infolgedessen entwickelt das zur National Security Agency/Central Security Service (NSA/CSS) gehörende Information Assurance Directorate (IAD) neue Möglichkeiten zur Integration neuer Technologien. Ziel ist es, schneller IA-Lösungen zu entwickeln, die auf die sich rasch ändernden Anforderungen ihrer Benutzer abgestimmt sind.

Das Commercial Solutions for Classified (CSfC)-Programm der NSA/CSS wurde eingeführt, um kommerzielle Produkte in mehrstufigen Lösungen zum Schutz vertraulicher NSS-Daten einsetzen zu können. Dadurch erhält die NSA/CSS die Möglichkeit, über eine Lösung auf Basis kommerzieller Normen, die innerhalb von Monaten statt Jahren bereitgestellt werden kann, sicher zu kommunizieren.

Für eine stetig wachsende Zahl an Umgebungen, für die eine hohe Sicherheitsstufe erforderlich ist, sollen Apple-Lösungskonzepte eingesetzt werden, was sich aber durch Produktzertifizierungen verzögert. Seit Apple die Common Criteria-Zertifizierungen für die oben genannten Schutzprofile erlangt hat, sind Apple-Produkte in der Liste der CSfC-Komponenten aufgeführt und verfügbar.

Sobald zusätzliche Common Criteria-Zertifizierungen von Apple-Produkten für die zugehörigen Schutzprofile beginnen, werden die entsprechenden Apple-Komponenten zur Anerkennung auf der CSfC-Komponentenliste vorgeschlagen und im Folgenden ergänzt.

CSfC-Komponentenliste

Die folgenden Apple-Produkte können in einer CSfC-Lösung verwendet werden:

Apple-Produkte zur Produktliste hinzufügen

In immer mehr Regierungsumgebungen wird gefordert, dass Apple-Produkte in Programme ähnlich dem CPA, EPL und CSfC aufgenommen werden. Wenn du Bevollmächtigter für das Programm deiner Regierung und interessiert daran bist, Apple-Produkte auf deine entsprechende Produktliste zu setzen, kontaktiere uns unter security-certifications@apple.com.

Andere Betriebssysteme

Hier findest du nähere Informationen über Produktsicherheit, Validierungen und Empfehlungen für:

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: