Mobiles Arbeiten und Homeoffice sind aus der heutigen Geschäftswelt nicht mehr wegzudenken. Doch mit der zunehmenden Flexibilität wächst auch das Risiko für Unternehmen: Jedes ungesicherte Endgerät kann potenziell sensible Daten gefährden oder als Einfallstor für Cyberangriffe dienen. Da mobile Geräte oft direkten Zugriff auf interne Systeme und Unternehmensressourcen haben, ist ein effektives Mobile Device Management (MDM) unerlässlich. Unternehmen müssen sicherstellen, dass alle Geräte zentral verwaltet, geschützt und Compliance-konform genutzt werden – nur so lassen sich Sicherheitsrisiken minimieren und ein reibungsloser Geschäftsbetrieb gewährleisten.
Wir haben mit unserem Kollegen Benedikt Müller aus dem usd HeroLab gesprochen, um herauszufinden, ob MDM-Lösungen in Unternehmen durch ein Audit und/oder einen Pentest sicherer gestaltet werden können.
Benedikt, was genau versteht man denn unter Mobile Device Management (MDM)?
Unter MDM versteht man die zentrale Verwaltung der im Unternehmen verwendeten mobilen Endgeräte. Über Sicherheitsrichtlinien und Profile lässt sich sicherstellen, dass bestimmte Konfigurationen aktiv sind, wodurch ein unternehmensweites Mindestmaß an sicheren Grundeinstellungen gewährleistet werden kann. Abweichungen können erfasst, Endgeräte gesperrt oder die Nutzer zur Anpassung von Einstellungen aufgefordert werden.
Etliche Hersteller bieten solche MDM-Lösungen an. Beliebt ist unter anderem die Integration in eine bereits bestehende Cloud-Infrastruktur, beispielweise mittels Microsoft Intune. Üblicherweise enthält die eingesetzte Software eine Komponente, die client-seitig, also zum Beispiel als iOS-App, auf den verwalteten Endgeräten installiert ist. Diese MDM-Lösungen bieten in der Regel eine breite Auswahl an Konfigurationsmöglichkeiten. Allerdings entsteht dadurch Spielraum für Fehler oder Defizite im Hinblick auf die Sicherheit der Geräte. Gleichzeitig können auch Mängel in einer über MDM umgesetzten Richtlinie möglicherweise die Sicherheit aller Endgeräte gefährden.
Wie können diese Sicherheitslücken in MDM-Lösungen geschlossen werden?
Die MDM-Profile sollten in einem Konfigurationsaudit überprüft werden. Dabei gleichen wir die im Profil vorgesehenen Einstellungen mit gängigen Standards ab und beurteilen den Schweregrad der identifizierten Abweichungen individuell. Die festgestellten Probleme und Sicherheitslücken ergänzen wir um Empfehlungen, welche Einstellungen stattdessen umgesetzt werden sollten.
Wie genau laufen denn MDM-Audits ab?
Als Vorbereitung brauchen wir einen Zugriff auf die Exporte der bereits bestehenden MDM-Richtlinien des Unternehmens. Alternativ benötigen wir einen lesenden Zugriff auf die Software, in der das MDM konfiguriert wird. Alle Vorbereitungen auf das Audit treffen wir mit unseren Kunden natürlich vor Beginn des Projektes in einem Kickoff-Meeting.
Im Rahmen des MDM-Audits werden die MDM-Richtlinien gezielt mit anerkannten Standards und Best Practices abgeglichen. Am Beispiel von Microsoft Intune kann dieser Abgleich auf Benchmarks des Center for Internet Security (CIS) basieren. Eine beispielhafte Abweichung von den Empfehlungen der CIS-Benchmarks stellt die Zulassung von iOS-Geräten mit sogenanntem Jailbreak dar. Ein Jailbreak erlaubt, alle durch Apple für das Gerät vorgesehenen Beschränkungen zu umgehen und beispielsweise beliebige iOS-Anwendungen zu installieren. Viele der vom Hersteller implementierten Sicherheitsvorkehrungen werden damit außer Kraft gesetzt, wodurch das Gerät besonders anfällig für Schadsoftware ist. Aus diesem Grund sollte Geräten mit Jailbreak keinen Zugriff auf Unternehmensressourcen gewährt werden. Gleiches gilt auch für Android-Geräte, welche “gerootet” wurden.
Kannst du noch ein weiteres Beispiel nennen?
Ein weiteres Beispiel einer mangelhaften MDM-Konfiguration besteht darin, auf den verwalteten mobilen Endgeräten beliebige sogenannte TLS-Root-Zertifikate zu erlauben. Solche Zertifikate werden auf dem Gerät zur Verifizierung der Authentizität des Datenverkehrs eingesetzt. Standardmäßig vertrauen Android und iOS hierbei einer Liste an anerkannten Zertifizierungsstellen. Diese Liste kann von Nutzern standardmäßig beliebig erweitert werden. Dies kann innerhalb eines Unternehmensnetzes notwendig sein, um auf interne Ressourcen zuzugreifen. Eigenständig sollten die Nutzer jedoch nicht in der Lage sein, TLS-Root-Zertifikate hinzuzufügen. Im schlimmsten Fall kann dies dazu führen, dass Angreifer in einer Machine-in-the-Middle-Position (beispielsweise innerhalb eines unsicheren WLAN) beliebigen Datenverkehr auslesen und manipulieren können.
Aber dies sind nur einige der möglichen Prüfungen während eines Audits durch uns. Weitere Beispiele für Best Practices in Bezug auf mobile Endgeräte umfassen eine hinreichend starke Passwortrichtlinie, das Erzwingen der Verschlüsselung von Backups oder die Festlegung von Apps, welche auf Unternehmensdokumente zugreifen dürfen. Als Ergebnis des Audits erstellen wir einen Abschlussbericht, der alle identifizierten Abweichungen zusammen mit konkreten Änderungsempfehlungen enthält. Auf dieser Grundlage können die Unternehmen die MDM-Richtlinien anpassen und somit das Sicherheitsniveau aller verwalteten Geräte verbessert werden.
Wenn das Unternehmen nun die Ergebnisse aus dem Audit hat, braucht es dann überhaupt noch einen Pentest der MDM-Lösung?
Während ein MDM-Audit vorrangig die Analyse von Profilen und Richtlinien fokussiert, geht ein Penetrationstest von Mobile Device Management einen Schritt weiter: Er überprüft praktisch, ob diese Vorgaben von der MDM-Software korrekt umgesetzt werden.
Ein Pentest kann beispielsweise dazu genutzt werden, eine im MDM-Profil vorgesehene Jailbreak-Erkennung zu umgehen. Ein möglicher Ansatz ist hier, den Jailbreak erst nach erfolgreicher Registrierung des Geräts durchzuführen. Ein weiteres Beispiel ist die Prüfung, ob die im MDM-Profil zugelassenen Anwendungen die Erweiterung der eigenen Rechte oder den Zugriff auf schützenswerte Informationen erlauben. Zusätzlich wenden wir auch bekannte Techniken aus Penetrationstests an, etwa bei der Untersuchung client-seitiger MDM-Komponenten wie Fat Clients oder Apps. Allerdings ist im Vergleich zu einem MDM-Audit ein Penetrationstest von MDM-Produkten mit einem höheren Vorbereitungsaufwand verbunden. Beispielsweise kann es erforderlich sein, spezielle Kundenhardware bereitzustellen, um die Lösung ordnungsgemäß zu installieren und umfassend zu testen.
Wenn ich es kurz zusammenfasse, dann geht es bei einem Penetrationstest sozusagen darum, die Sicherheit einer MDM-Lösung zu prüfen. Bei einem Audit hingegen werden eher die technische Einrichtung und die Einstellungen angeschaut, um sie zu bewerten und zu verbessern.
Und zum Schluss: Wie lautet deine Empfehlung?
Auch wenn eine MDM-Software häufig als ein Standardprodukt angesehen wird und bei zahlreichen Kunden im Einsatz ist, bedeutet dies nicht, dass sie frei von Schwachstellen ist. Regelmäßige Penetrationstests als Ergänzung zu einem MDM-Audit sind eine sinnvolle Maßnahme, um Sicherheitslücken in diesen Produkten systematisch aufzudecken. Durch unsere MDM-Pentests und MDM-Audits können wir Schwachstellen identifizieren und so für mehr Transparenz in Bezug auf die IT-Sicherheit im Unternehmen sorgen.
Vielen Dank Benedikt für deine Zeit.
Gerne stehen Ihnen unsere Expert*innen des usd HeroLabs bei der Planung und Durchführung einer Sicherheitsüberprüfung Ihrer MDM-Lösung zur Seite. Kontaktieren Sie uns.
