Zertifizierungen, Validierungen und Empfehlungen zur Produktsicherheit für macOS

Dieser Artikel enthält Referenzen für wichtige Produktzertifizierungen, kryptografische Validierungen und Sicherheitsempfehlungen für macOS-Plattformen. Wenn Sie Fragen haben, kontaktieren Sie uns unter security-certifications@apple.com.

Validierungen kryptografischer Module

Alle Validierungszertifikate zur Konformität mit Apple FIPS 140-2 finden Sie auf der CMVP-Anbieterseite. Apple beteiligt sich aktiv an der Validierung der CoreCrypto- und CoreCrypto Kernel-Module für jedes größere macOS-Update. Die Validierung findet grundsätzlich an der abschließenden Modulversion, die zur Veröffentlichung bestimmt ist, statt und wird offiziell eingereicht, bevor eine neue Version des Betriebssystems veröffentlicht wird. CMVP führt den Validierungsstatus kryptografischer Module jetzt in zwei getrennten Listen auf, je nach dem aktuellen Status der Module. Die Module erscheinen zunächst in der Implementation Under Test List und werden dann in die Modules in Process List gestellt.

macOS Mojave

Apple beteiligt sich aktiv an der Validierung der CoreCrypto 9.0-Module für macOS Mojave, das im Verlauf dieses Jahres eingeführt wird.

macOS High Sierra

Frühere Versionen

Für diese früheren Versionen von OS X liegen Validierungen kryptografischer Module vor, die nun archiviert sind:

  • OS X Yosemite 10.10
  • OS X Mavericks 10.9
  • OS X Mountain Lion 10.8
  • OS X Lion 10.7
  • OS X Snow Leopard 10.6

Leitfäden zur Konfiguration von Sicherheitsfunktionen

Sicherheitsorientierte Organisationen stellen klar definierte und geprüfte Richtlinien zur ordnungsgemäßen Konfiguration verschiedener Plattformen bereit. Die Leitfäden zur Konfiguration von Sicherheitsfunktionen bieten einen Überblick über alle Funktionen in OS X und iOS, die Sie zur Erhöhung der Sicherheit bzw. zur "Abhärtung des Geräts" nutzen können. Apple hat gemeinsam mit den staatlichen Behörden verschiedener Länder Leitfäden entwickelt, in denen Vorgehensweisen und Empfehlungen für die Gewährleistung einer sicheren Umgebung festgehalten sind. 

Diese Leitfäden richten sich an erfahrene Benutzer oder Systemadministratoren. Sie sollten mit der Benutzeroberfläche vertraut und mit den Verwaltungstools der Zielplattform ausreichend erfahren sein. Darüber hinaus ist es von Vorteil, mit grundlegenden Netzwerkkonzepten vertraut zu sein. Die Anweisungen in diesen Leitfäden sind zum Teil komplex. Werden sie anders als beschrieben umgesetzt, kann das unerwünschte Folgen haben oder die Sicherheit der Umgebung herabsetzen. Wenn Sie Änderungen an den Geräteeinstellungen vorgenommen haben, sollten Sie die Geräte vor ihrer Bereitstellung umfassend testen.

Weitere Informationen finden Sie in macOS Sicherheit (PDF).

  macOS High Sierra 10.13                  macOS Sierra 10.12 OS X El Capitan 10.11

Apple
SCAP-on-Apple SCAP-on-Apple SCAP-on-Apple

Großbritannien
(NCSC)
Leitfaden zur Sicherheit von Endbenutzergeräten: macOS 10.13 High Sierra Leitfaden zur Sicherheit von Endbenutzergeräten Leitfaden zur Sicherheit von Endbenutzergeräten

Leitfaden zur Sicherheit von Endbenutzergeräten
 (PDF)

Bereitstellungsskript für OS X 10.11

USA
(DISA, NIST, NSA)
macOS STIGs

macOS 10.12 Workstation STIG

NIST-Checkliste

Apple OS X 10.11 Workstation STIG

Sicherheitszertifizierungen

Eine Liste von durch Apple öffentlich ausgewiesenen, aktiven und abgeschlossenen Zertifizierungen.

Zertifizierung nach ISO-Norm 27001 und 27018

Das Information Security Management System von Apple zur Gewährleistung der Sicherheit von Infrastruktur, Entwicklung und Betrieb ist für die folgenden Produkte und Dienstleistungen nach ISO-Norm 27001 und 27018 zertifiziert: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, verwaltete Apple-IDs, Siri und Schoolwork entsprechend der Anwendbarkeitserklärung Version 2.1 vom 11.07.2017. Die bestehende Konformität mit der ISO-Norm wurde Apple durch die British Standards Institution (BSI) zertifiziert. Die Konformitätszertifikate für ISO 27001 und ISO 27018 sind auf der Website der BSI verfügbar.

Zertifizierung nach Common Criteria

Ziel der Common Criteria-Community ist es, anhand international anerkannter Sicherheitsstandards eine klare und zuverlässige Bewertung der Sicherheitsfunktionen von IT-Produkten zu bieten. Verfügt ein Produkt über eine Common Criteria-Zertifizierung, zeigt dies, dass von einer unabhängigen Institution festgestellt wurde, dass dieses Produkt die erforderlichen Sicherheitsstandards erfüllt. So steigert die Zertifizierung das Vertrauen der Kunden in die Sicherheit dieses IT-Produkts und liefert die Basis für fundierte Entscheidungen.

Im Common Criteria Recognition Arrangement (CCRA) haben Mitgliedsländer und -regionen vereinbart, die Zertifizierung von IT-Produkten gleichermaßen anzuerkennen. Mit wachsendem Umfang und zunehmender Zahl von Schutzprofilen schließen sich auch von Jahr zu Jahr mehr Mitglieder der Community an, deren Aufgabe darin besteht, sich mit den neuen technologischen Entwicklungen zu befassen. Der CCRA-Vereinbarung zufolge darf ein Produktentwickler ein beliebiges Autorisierungsprogramm für die Zertifizierung seines Produkts wählen.

Der Zertifizierungsprozess erfolgt gemäß überarbeiteter Common Criteria. Dabei ist zu beachten, dass im Unterschied zum früheren Ablauf nicht mehr auf evaluierte Sicherheitsstufen (Evaluated Assurance Levels, EAL) Bezug genommen wird. Ältere Schutzprofile (Protection Profiles, PP) wurden archiviert und werden nach und nach durch neu entwickelte, zielgerichtete Schutzprofile ersetzt, die auf konkrete Lösungen und Umgebungen zugeschnitten sind. In dem gemeinsamen Bestreben, die kontinuierliche gegenseitige Anerkennung aller CCRA-Mitglieder zu sichern, treibt die International Technical Community (iTC) alle künftigen Entwicklungen und Updates von Schutzprofilen hin zu Collaborative Protection Profiles (cPP) voran, die von Anfang an unter Einbeziehung verschiedener Programme entwickelt werden.

Seit Anfang 2015 erlangt Apple seine Zertifizierungen gemäß diesen neu strukturierten Common Criteria mit ausgewählten Schutzprofilen. Die von Apple öffentlich ausgewiesenen, aktiven und abgeschlossenen Zertifizierungen sind im Folgenden aufgeführt.

macOS

Apple beteiligt sich aktiv an der Validierung von macOS gemäß dem General Purpose Operating System Protection Profile. 

Volatility Statements

Regierungsorganisationen und ihre jeweiligen Dienstleister, die ein Volatility Statement vom Produkthersteller zur Verfügung stellen müssen, erhalten dieses, indem sie eine E-Mail-Anfrage an AppleFederal@apple.com senden. Dabei sind die Regierungsbehörde, der Apple-Produktname, die Produktseriennummer und der technische Ansprechpartner bei der Behörde in der Anfrage anzugeben.

Andere Betriebssysteme

Hier finden Sie nähere Informationen über Produktsicherheit, Validierungen und Empfehlungen für:

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: