Vergessen Sie Apple nicht
Die Vorteile der Least-Privilege-Sicherheit für den Mac
TweetNachdem sie jahrelang als exzentrische Spielzeuge wohlhabender Technik-Rebellen abgetan wurden, sind Apple Macs und iPhones plötzlich überall in Großunternehmen zu finden. Jeder hat angefangen, sie zu benutzen, von jungen Mitarbeitern in der Telefonzentrale und Programmierern im Entwicklungsteam bis hin zum Vorstandsvorsitzenden.
Es ist ein Marketing-Phänomen, das wohl das Auslösen der Bring-Your-Own-Device-Bewegung zu verantworten hat, die zur Akzeptanz von Privatgeräten als Hauptrechner in vielen Unternehmen geführt hat, eine Form von IT, die vor nicht allzu langer Zeit als undenkbar und bizarr gegolten hätte.
Im Jahr 2015 hat VMWare geschätzt, dass mittlerweile mehr als zwei von drei Unternehmen in den USA Apple-Geräte unterstützen. Das bestätigt eine frühere Analyse der Firma Forrester, derzufolge mittlerweile ein Fünftel der Berufstätigen weltweit Apple-Produkte am Arbeitsplatz einsetzt.
Trotz dieser neuen Beliebtheit liegt der Hauptfokus der Sicherheit in vielen Unternehmen nach wie vor auf dem Schutz von Windows. Dies erklärt sich zum Teil dadurch, dass der Mac als weniger stark gefährdet wahrgenommen wird und es obendrein einen chronischen Mangel an ausgefeilten Management-Tools gibt.
Dies stellt eine Herausforderung für IT-Abteilungen dar. Apple-Geräte haben unter einer zunehmenden Zahl von Sicherheitslücken gelitten, die verschiedenste OS-Versionen betreffen, und die ständige Überwachung benötigen. Und das in einer Zeit, in der alles auf einen plötzlichen Anstieg der Gefährdung durch Cyberkriminelle hindeutet.
Dazu gehörten breit angelegte, aber immer noch ernsthafte Angriffe wie der ausgefeilte Flashback Trojaner im Jahr 2012. Bevor er überhaupt erkannt wurde, infizierte der Trojaner, der auf eine Schwachstelle in Java abzielte, weltweit mehr als eine Million Apple-Rechner. Die Administratoren der Apple-Systeme waren zu Recht alarmiert, denn um die Manipulation zu verbergen, hatten die Angreifer das Fehlen von Sicherheitssoftware in den infizierten Systemen ausgenutzt.
Andernorts wurde hin und wieder über sehr gezielte Angriffe auf die Plattform berichtet, in einigen Fällen durch politisch motivierte staatliche Angreifer. 2013 wurde die Butterfly Group beschuldigt, für einen Drive-by-Angriff auf Mac-benutzende Firmenmitarbeiter verantwortlich zu sein, der mit der Absicht erfolgte, sensible Firmendaten zu entwenden.
Die Implikationen sind klar: Der Mac hat sich vom Computer des rebellerischen „Corporate Creative“ zu einer unbeabsichtigten Hintertür ins Herz des Netzwerks entwickelt. Cyberkriminelle sind auf der Jagd, und eine Überprüfung der Annahme, dass Apple irgendwie anders sei als Windows, ist dringend notwendig. Anstatt einfach nur Anti-Malware-Software auf Endgeräten zu installieren, haben sich neue Ansätze entwickelt, um insbesondere die Apple-Plattform und Macs zu verwalten. Diese Ansätze können in zwei Arten unterteilt werden.
Infrastrukturbasiertes Management
Die ersten sind Add-ons für firmeneigene, zentralisierte Systeme wie die Threat Security Platform von FireEye, die entwickelt wurde, um den Verkehr in der Netzwerkinfrastruktur auf bestimmte Bedrohungsarten hin zu untersuchen. Für Unternehmen, die bereits in diese Plattformen investiert haben, ist dieser Ansatz deswegen sinnvoll, weil er den Endpunkt-Schutz für den Mac mit der gleichen Sicherheit integriert, die für den Schutz anderer Plattformen eingesetzt wird.
Least-Privilege
Ein weiterer Ansatz, der genauso wie bei der Windows-Sicherheit eingesetzt wird, ist das Konzept des Least-Privilege. Dahinter verbirgt sich einfach der Gedanke, dass ein Benutzerkonto so eingerichtet werden sollte, dass der Benutzer das Mindestmaß an Berechtigungen erhält, die er braucht, um seine Aufgaben zu erledigen.
Apple OS X hat viele der gleichen Probleme mit der Begrenzung von Berechtigungen wie Windows, angefangen damit, wie die Benutzer ihre Berechtigungen auf Administrator- (bzw. Root-)Ebene bis Version 11.10 (die zentrale Funktionen in einer Sandbox ausführt) erhöhen können. Bei Windows erfolgt dies durch die Benutzerkontensteuerung (User Account Control, UAC) während auf OS X ein Passwort benötigt wird. Die Wirkung ist aber die gleiche: Die Benutzer mit Administratorrechten stellen ein Sicherheitsrisiko dar, weil sie zu viel dürfen, während die ohne Administratorrechte zum Flaschenhals werden können, weil sie immer erst Berechtigungen anfragen müssen.
Die OS X-Benutzer einfach auf den Standard-Modus zu beschränken und sie in diesem Zustand zu lassen, bringt erhebliche Nachteile mit sich. Die Benutzer können weder Drucker hinzufügen noch die Zeitzone ändern noch ihre Plugins aktualisieren, und eventuell in einigen Fällen auch keine nützlichen Zusatzanwendungen aus dem App-Store herunterladen. Entsprechend groß ist das Potential für Frust, der die Produktivität schwächt.
Genau wie bei Windows ist es eine bessere Lösung, eine dedizierte Plattform einzusetzen, die speziell der Vermittlung von Least-Privilige für OS X dient, wie PowerBroker Mac von BeyondTrust, die auf einem Sicherheitskonzept mit Software-Agenten- basiert.
Der Kerngedanke besteht darin, dass alle Benutzer im Standardmodus sind, und ihnen zu erlauben, ihre Berechtigungen zu erhöhen, ohne ihnen jedoch volle Administratorrechte zu geben. Ein entscheidender Aspekt liegt darin, dass dies nahtlos und automatisch abläuft, so dass es den Benutzern nicht einmal bewusst ist, dass bei bestimmten Aufgaben einige Berechtigungen im Hintergrund lautlos erhöht werden.
Regelbibliotheken
Um Unternehmen den Einstieg zu ermöglichen, bieten Plattformen so viele vorgefertigte Regeln für die gebräuchlichsten Anwendungen (z.B. Apple, Adobe und Microsoft), wie die Benutzer wahrscheinlich benötigen werden, um die Berechtigungen bedarfsgerecht zu erhöhen. Benutzerdefinierte Regeln können für Zusatzanwendungen entwickelt werden, die flexibel genug sind, um mit Software-Installern umzugehen - eine häufige Benutzeranfrage.
Zentrales Management
Aus der Sicht des Administrators sollte dies idealerweise auf eine Weise erfolgen, die die Mac-Regeln in größere Richtlinien integriert, die dafür konzipiert sind, die gleichen Aktionen für Windows- und Linux-Benutzer auszuführen. Das Least-Privilege-Management für Apple ist eine ganz eigene Aufgabe, aber es sollte nicht zu einer Insel der Management-Komplexität werden, die von anderen Plattformen abgeschnitten ist.
Die Benutzer können den Zugang zu einer ungewöhnlichen Anwendung anfragen, indem sie über ein Dialogfenster dem Administrator eine Begründung vorlegen. Dies bleibt während einer Session bestehen, muss aber normalerweise bei jeder Ausführung einer Anwendung erneuert werden, es sei denn, es wird von einer neuen Regel abgedeckt. Dies könnte in Zukunft eine gegenseitige Kommunikation zwischen dem Benutzer und dem Administrator ermöglichen.
Reporting und Analytik
Regeln und Richtlinien dürfen nicht statisch sein und müssen mit der Zeit angepasst werden. Für Administratoren bedeutet das, dass sie verschiedene Kennzahlen im Laufe der Zeit im Auge behalten müssen, aus denen sich Trends ablesen lassen, z.B. welche Benutzergruppen und Anwendungen Berechtigungserhöhungen anfragen, und was sie mit dem Zugang zu tun versuchen. Gleichermaßen können die Administratoren die fehlgeschlagenen Erhöhungsereignisse im Auge behalten, was sehr wichtig ist, wenn der Agent eine möglicherweise bösartige Anwendung gesperrt hat.
Falten?
BYOD stellt eine Herausforderung für den Least-Privilege-Ansatz dar, weil das Agent-basierte Konzept davon ausgeht, dass der Betrieb des Systems von der IT-Abteilung beaufsichtigt wird. Mit BYOD wird das in der Regel nicht der Fall sein. Zurzeit basiert das Modell des Privilege-Managements noch auf der Annahme einer vollständigen Kontrolle. Und das erfordert immer noch, dass der Mac Teil der IT-Landschaft des Unternehmens bleibt.
