Anfang letzten Monats veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Pressemitteilung, in der sie die Sicherheitseigenschaften von iPhone und iPad bestätigen.
Das mag auf den ersten Blick gut klingen, am Ende des Tages bleibt davon aber nicht viel übrig, abgesehen von Werbung für Apple auf Kosten der Steuerzahler.
In der Pressemitteilung heißt es u.a.:
Das nun vorliegende Prüfungsergebnis bestätigt die Wirksamkeit der in iOS und iPadOS eingebetteten Sicherheitsmechanismen. Dies schließt auch die vom Hersteller vorinstallierten Anwendungen (sogenannte First-Party-Apps) für die Funktionen E-Mail, Kalender und Kontakte ein. Das BSI konnte aus diesem Prüfungsergebnis eine Freigabe der handelsüblichen iPhones und iPads für den staatlichen Einsatz durch die Behörden des Bundes ableiten. Dies betrifft auch die Verarbeitung von Verschlusssachen der Kategorie „Nur für den Dienstgebrauch“ (VS-NfD).
Leider geht die Pressemitteilung mit keiner Silbe darauf ein, was und wie da eigentlich genau geprüft wurde. Ich habe beim BSI dazu nachgefragt und folgende Antwort erhalten:
Eine Veröffentlichung oder Herausgabe der Informationen zu IT-Sicherheitsprodukten, die dem Schutz von Verschlusssachen dienen und sich im aktiven Betrieb befinden, kann Vorhaben Dritter zur Kompromittierung des Produktes erleichtern und kann deshalb nicht erfolgen.
Ich habe nochmal nachgefragt, u.a. ob das BSI den Quellcode von iOS und iPadOS einsehen konnte. Die Antwort:
Die Details des Prüfverfahrens unterliegen einem NDA mit Apple. Bitte haben Sie Verständnis, dass wir aufgrund dessen Ihre Anfrage nicht konkret beantworten können.
Auf meinen Hinweis, dass das absolut intransparent und damit für Außenstehende wertlos ist, war das BSI aber wenigstens einsichtig:
Dass die Prüfung für Außenstehende schlecht nachvollziehbar ist, werden wir als Feedback mit aufnehmen. Für die Rückmeldung bedanken wir uns.
Die Prüfung für Außenstehende ist aber natürlich nicht nur schlecht, sondern absolut gar nicht nachvollziehbar und damit wertlos.
Eine IFG Anfrage zu dem Thema wurde ebenfalls abgeleht.
Es bleibt also dabei, Geräten von Apple kann nicht weiter getraut werden, als sie geworfen werden können.