Zertifizierungen, Validierungen und Empfehlungen zur Produktsicherheit für iOS

Dieser Artikel enthält Referenzen für wichtige Produktzertifizierungen, kryptografische Validierungen und Sicherheitsempfehlungen für iOS-Plattformen. Wenn Sie Fragen haben, kontaktieren Sie uns unter security-certifications@apple.com.

Validierungen kryptografischer Module

Alle Validierungszertifikate zur Konformität mit Apple FIPS 140-2 finden Sie auf der CMVP-Anbieterseite. Apple beteiligt sich aktiv an der Validierung der CoreCrypto- und CoreCrypto Kernel-Module für jedes größere iOS-Update. Die Validierung findet grundsätzlich an der abschließenden Modulversion, die zur Veröffentlichung bestimmt ist, statt und wird offiziell eingereicht, bevor eine neue Version des Betriebssystems veröffentlicht wird. CMVP führt den Validierungsstatus kryptografischer Module jetzt in zwei getrennten Listen auf, je nach dem aktuellen Status der Module. Die Module erscheinen zunächst in der Implementation Under Test List und werden dann in die Modules in Process List gestellt.

iOS 12

Leitfäden zur Konfiguration von Sicherheitsfunktionen

Sicherheitsorientierte Organisationen stellen klar definierte und geprüfte Richtlinien zur ordnungsgemäßen Konfiguration verschiedener Plattformen bereit. Die Sicherheitskonfigurationsleitfäden geben einen Überblick über die Funktionen in macOS und iOS, mit denen Sie den Schutz verbessern können; dies wird als "Abhärten Ihres Geräts" bezeichnet. Weltweit haben Regierungen mit Apple zusammengearbeitet und Leitfäden entwickelt, die Anweisungen und Empfehlungen für die Aufrechterhaltung einer sichereren Umgebung geben. 

Diese Leitfäden richten sich an erfahrene Benutzer oder Systemadministratoren, die mit der Benutzeroberfläche vertraut sind und über ausreichend Erfahrung in der Verwendung der Verwaltungstools der Zielplattform verfügen. Darüber hinaus ist es von Vorteil, mit grundlegenden Netzwerkkonzepten vertraut zu sein. Die Anweisungen in diesen Leitfäden sind zum Teil komplex. Werden sie anders als beschrieben umgesetzt, kann das unerwünschte Folgen haben oder die Sicherheit der Umgebung herabsetzen. Wenn Sie Änderungen an den Geräteeinstellungen vorgenommen haben, sollten Sie die Geräte vor ihrer Bereitstellung umfassend testen.

Weitere Informationen finden Sie im iOS-Sicherheitsleitfaden (PDF).

Sicherheitszertifizierungen

Eine Liste von durch Apple öffentlich ausgewiesenen, aktiven und abgeschlossenen Zertifizierungen.

Zertifizierung nach ISO-Norm 27001 und 27018

Das Information Security Management System von Apple zur Gewährleistung der Sicherheit von Infrastruktur, Entwicklung und Betrieb ist für die folgenden Produkte und Dienstleistungen nach ISO-Norm 27001 und 27018 zertifiziert: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, verwaltete Apple-IDs, Siri und Schoolwork entsprechend der Anwendbarkeitserklärung Version 2.1 vom 11.07.2017. Die bestehende Konformität mit der ISO-Norm wurde Apple durch die British Standards Institution (BSI) zertifiziert. Die Konformitätszertifikate für ISO 27001 und ISO 27018 sind auf der Website der BSI verfügbar.

Zertifizierung nach Common Criteria

Ziel der Common Criteria-Community ist es, anhand international anerkannter Sicherheitsstandards eine klare und zuverlässige Bewertung der Sicherheitsfunktionen von IT-Produkten zu bieten. Verfügt ein Produkt über eine Common Criteria-Zertifizierung, zeigt dies, dass von einer unabhängigen Institution festgestellt wurde, dass dieses Produkt die erforderlichen Sicherheitsstandards erfüllt. So steigert die Zertifizierung das Vertrauen der Kunden in die Sicherheit dieses IT-Produkts und liefert die Basis für fundierte Entscheidungen.

Im Common Criteria Recognition Arrangement (CCRA) haben Mitgliedsländer und -regionen vereinbart, die Zertifizierung von IT-Produkten gleichermaßen anzuerkennen. Die Mitgliederzahl sowie die Tiefe und Breite der Schutzprofile nehmen jährlich zu, um sich mit neuen Technologien zu befassen. Der CCRA-Vereinbarung zufolge darf ein Produktentwickler ein beliebiges Autorisierungsprogramm für die Zertifizierung seines Produkts wählen.

Ältere Schutzprofile (Protection Profiles, PP) wurden archiviert und werden nach und nach durch neu entwickelte, zielgerichtete Schutzprofile ersetzt, die auf konkrete Lösungen und Umgebungen zugeschnitten sind. In dem gemeinsamen Bestreben, die kontinuierliche gegenseitige Anerkennung aller CCRA-Mitglieder zu sichern, treibt die International Technical Community (iTC) alle künftigen Entwicklungen und Updates von Schutzprofilen hin zu Collaborative Protection Profiles (cPP) voran, die von Anfang an unter Einbeziehung verschiedener Programme entwickelt werden.

Seit Anfang 2015 erlangt Apple seine Zertifizierungen gemäß diesen neu strukturierten Common Criteria mit ausgewählten Schutzprofilen. Die von Apple öffentlich ausgewiesenen, aktiven und abgeschlossenen Zertifizierungen sind im Folgenden aufgeführt. 

iOS 12

 

Schutzprofil

VID

Abschluss

Mobilgerät

PP_MD_v3.1

10937

2019.03

MDM-Agent

EP_MDM_Agent_v3.0

10937

2019.03

WLAN-Agent

PP_WLAN_CLI_EP_v1.0

10937

2019.03

VPN-Client

MOD_VPN_CLI_V2.1

10937

2019.03

Anwendungssoftware (Kontakte)

PP_APP_v1.2

10961

2019.02

Browser (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10960

ETA: 2019.03

In Eval Linhttps://www.niap-ccevs.org/Product/PINE.cfm?par303=Apple%20Inc k

iOS 11

 

Schutzprofil

VID

Abschluss

Mobilgerät

PP_MD_v3.1

10851

2018.03.30

MDM-Agent

EP_MDM_Agent_v3.0

10851

2018.03.30

WLAN-Agent

PP_WLAN_CLI_EP_v1.0

10851

2018.03.30

VPN-Client

PP_VPN_IPSEC_CLIENT_V1.4

10876

2018.05.10

Anwendungssoftware (Kontakte)

PP_APP_v1.2

10915

2018.09.13

Browser (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

2018.11.09

Frühere Versionen

Für frühere iOS-Versionen liegen Zertifizierungen vor, die nun archiviert sind:

  • iOS 10
  • iOS 9

Es wird erwartet, dass veröffentlichte größere Versionsaktualisierungen der Schutzprofile durch die Common Criteria-Community im Allgemeinen einer 12-18-monatigen Kadenz mit zusätzlichen oder aktualisierten Security Functional Requirements (SFRs) folgen.

Im Common Criteria-Portal finden Sie eine vollständige Liste der Schutzprofile (PPs) und der Collaborative Protection Profiles (cPPs) sowie deren jeweiliges Gültigkeitsdatum. Sie finden diese auch in einem Programm Ihrer Wahl, z. B. der National Information Assurance Partnership (NIAP), dem Programm für die USA.

Zugelassen für den Einsatz in Regierungsbehörden

Informationen aus ausgewählten Ländern und Regionen, die Geräte für den Einsatz in Behörden zugelassen haben.

Australische Regierung

Zusammengefasst nach der Liste evaluierter Produkte (Evaluated Products List, EPL):

Das Australian Signals Directorate (ASD) unterhält die Liste evaluierter Produkte (EPL) von durch das ASD bewerteten ICT-Sicherheitsprodukten für die Verwendung in Regierungsbehörden in Australien und Neuseeland.

  • In der EPL aufgeführte Produkte sind für bestimmte Zwecke zertifiziert.
  • Produkte, die auf dieser Liste stehen, können verwendet werden, um, wie im Informationssicherheitshandbuch (ISM) der australischen Regierung beschrieben, sichere Systeme und Netzwerke aufzubauen.
  • Produkte werden entsprechend der international anerkannten Common Criteria (CC) gemäß ISO-Norm 15408 zertifiziert. Das CC-Portal listet weitere Produkte mit wechselseitig anerkannter Zertifizierung auf, die ebenfalls verwendet werden können.
  • Die Zertifizierungsstelle des ASD, die Südwestpazifische Zertifizierungsbehörde, überwacht das südwestpazifische Programm zur Bewertung der Informationssicherheit (AISEP), das Produkttests durch lizenzierte kommerzielle Prüfeinrichtungen verwaltet.
  • Außerdem werden in der EPL durch das ASD vorgenommene kryptografische Bewertungen aufgelistet.

Produkt: iOS 9
Produkttyp: Mobile Produkte
Produktstatus: Abgeschlossen
Sicherheitsstufe: Bewertet vom ASD
Version: 9.3.5 oder neuer
Handbuch: PDF

Britische Regierung

Zusammengefasst nach der Seite Commercial Product Assurance – Produkte mit Foundation Grade des NCSC:

Durch das CPA werden kommerzielle Standardprodukte und deren Entwickler hinsichtlich ihrer Konformität mit veröffentlichten Sicherheits- und Entwicklungsnormen bewertet. Ein Sicherheitsprodukt, das erfolgreich bewertet wurde, erhält die Zertifizierung "Foundation Grade". Dies bedeutet, dass das Produkt nachweislich gute kommerzielle Sicherheit aufweist und für Umgebungen mit geringeren Bedrohungen geeignet ist.

  • Die CPA-Zertifizierung ist für 2 Jahre gültig und ermöglicht, wo dies bei vorhandenen Schwachstellen notwendig ist, die Aktualisierung von Produkten während der Gültigkeit der Zertifizierung. 
  • Die CPA-Zertifizierung wird durch den NATO-Katalog anerkannt und ist als eine der für den EU-Katalog erforderlichen Bewertungen anerkannt.
  • Näher erklärt wird Foundation Grade durch das NCSC.

Deutsche Regierung

Wie auf der https://www.bsi.bund.de/DE/Themen/Sicherheitsberatung/ZugelasseneProdukte/mobile_Kommunikation/mobileKommunikation_node.html Mobile Communication angegeben:

Überblick

Smartphones und Tablets bieten sowohl im beruflichen als auch im privaten Bereich eine Reihe von Vorzügen und sind zum ständigen Begleiter in allen Lebenslagen geworden. Im Umgang mit sensiblen Informationen geschieht der Einsatz mobiler IT- und Kommunikationstechnologie allerdings häufig auf Kosten der Sicherheit.

Sichere mobile Kommunikationslösungen für den Einsatz in der Bundesverwaltung müssen immer das Ziel verfolgen, sowohl die Anforderungen modernen mobilen Arbeitens zu erfüllen, als auch die hohen Sicherheitsanforderungen, die sich aus der Verarbeitung sensibler Daten ergeben.

Um die Versorgungssicherheit für die Bundesverwaltung zu gewährleisten, wird zudem Wert darauf gelegt, mehrere Anbieter zu finden. Ausführliche Informationen sind in der Broschüre "Sichere mobiles Arbeiten: Problemstellung, Technische Voraussetzungen und Lösungswege anhand der Anforderungen für mobile Endgeräte in der Bundesverwaltung" zusammen gestellt.

SecurePIM Regierung SDS

Betriebssystem: iOS

Zulassung bis VS-NfD

Hersteller: Virtuelle Lösung AG

Aktuelle iOS-Geräte (iPhone, iPad ab iOS-Version-12)

US-Regierung

Auszug aus der Seite Kommerzielle Lösungen für Kleinanzeigen:

Die Kunden der US-Regierung benötigen zunehmend den sofortigen Einsatz der modernsten kommerziellen Hard- und Softwaretechnologien des Marktes innerhalb der nationalen Sicherheitssysteme (NSS), um die Missionsziele zu erreichen. Infolgedessen entwickelt das zur National Security Agency/Central Security Service (NSA/CSS) gehörende Information Assurance Directorate (IAD) neue Möglichkeiten zur Integration neuer Technologien. Ziel ist es, schneller IA-Lösungen zu entwickeln, die auf die sich rasch ändernden Anforderungen ihrer Benutzer abgestimmt sind.

Das Commercial Solutions for Classified (CSfC)-Programm der NSA/CSS wurde eingeführt, um kommerzielle Produkte in mehrstufigen Lösungen zum Schutz vertraulicher NSS-Daten einsetzen zu können. Dies wird die Möglichkeit bieten, sicher auf der Grundlage kommerzieller Standards in einer Lösung zu kommunizieren, die innerhalb von Monaten und nicht Jahren eingesetzt werden kann.

Immer mehr klassifizierte Umgebungen wollen Apple-Lösungen einsetzen, wurden aber aus Gründen der Produktzertifizierung zurückgehalten. Seit Apple die Common Criteria-Zertifizierungen für die oben genannten Schutzprofile erlangt hat, sind Apple-Produkte in der Liste der CSfC-Komponenten aufgeführt und verfügbar.

Sobald zusätzliche Common Criteria-Zertifizierungen von Apple-Produkten für die zugehörigen Schutzprofile beginnen, werden die entsprechenden Apple-Komponenten zur Anerkennung auf der CSfC-Komponentenliste vorgeschlagen und im Folgenden ergänzt.

CSfC-Komponentenliste

Die folgenden Apple-Produkte können in einer CSfC-Lösung verwendet werden:

Hinzufügen von Apple Produkten zu Ihrer Produktliste

In immer mehr Regierungsumgebungen wird gefordert, dass Apple-Produkte in Programme ähnlich dem CPA, EPL und CSfC aufgenommen werden. Wenn Sie Bevollmächtigter für das Programm Ihrer Regierung und interessiert daran sind, Apple-Produkte auf Ihre entsprechende Produktliste zu setzen, kontaktieren Sie uns unter security-certifications@apple.com.

Andere Betriebssysteme

Hier finden Sie nähere Informationen über Produktsicherheit, Validierungen und Empfehlungen für:

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: