Apple-Gerätesicherheit: 10 Best Practices jenseits von MDM

MDM verwaltet die Gerätekonfiguration — es sendet Profile, erzwingt Passcodes und verteilt Apps. Was es nicht tut: Malware erkennen, verdächtiges Verhalten überwachen, Phishing-Versuche blockieren oder auf aktive Bedrohungen reagieren. Viele IT-Verantwortliche gehen davon aus, dass ihr MDM die Sicherheit abdeckt. Es deckt Compliance und Konfigurationsmanagement ab. Sicherheit erfordert zusätzliche Tools und Praktiken. Dies ist besonders kritisch, da Apple-Geräte zunehmend Ziel von Angriffen werden: macOS-Malware-Erkennungen steigen Jahr für Jahr signifikant, und ausgefeilte Angriffe zielen zunehmend auf Apple-Unternehmensumgebungen.

Festplattenverschlüsselung ist Ihre erste Verteidigungslinie gegen Datenverlust durch gestohlene Geräte. FileVault 2 auf macOS verschlüsselt das gesamte Startvolume mit XTS-AES-128-Verschlüsselung. Aktivieren Sie es über ein MDM-Profil, hinterlegen Sie den Wiederherstellungsschlüssel zentral in Ihrem MDM und überprüfen Sie die Compliance regelmässig. Auf iOS ist die Datenschutzverschlüsselung standardmässig aktiviert, wenn ein Passcode gesetzt ist — erzwingen Sie aber einen Mindest-6-stelligen Passcode via MDM, damit die Verschlüsselung aussagekräftig ist.

Apples integriertes XProtect und Gatekeeper bieten grundlegenden Malware-Schutz, aber Unternehmensumgebungen brauchen mehr. Jamf Protect ist die herausragende Lösung für reine Apple-Flotten — speziell für macOS und iOS entwickelt mit tiefer Integration des Endpoint Security Frameworks. Multiplattform-Tools wie Sophos, CrowdStrike Falcon und SentinelOne decken Windows, Linux und Mac ab, was für gemischte Flotten wertvoll ist, aber bedeutet, dass ihre Apple-spezifische Erkennung naturgemäss weniger spezialisiert ist. Wählen Sie basierend auf Ihrer Flotte: Apple-dominierte Organisationen profitieren von Apple-nativem Tooling, während gemischte Umgebungen möglicherweise einen einzigen Multiplattform-Anbieter wie Sophos oder CrowdStrike bevorzugen, der alle Betriebssysteme von einer Konsole aus abdeckt.

Credential-Diebstahl ist der Einstiegspunkt für die meisten Sicherheitsverletzungen. Integrieren Sie Ihre Apple-Flotte mit Ihrem Identitätsanbieter — Entra ID, Okta oder Google Workspace — über Apples Platform SSO oder Jamf Connect. Erzwingen Sie hardwaregestützte MFA (FIDO2-Sicherheitsschlüssel oder gerätegebundene Passkeys) für alle Unternehmensressourcen.

Verwaltete Geräte sollten für Unternehmensressourcen nur über vertrauenswürdige Netzwerke verbunden sein. Setzen Sie Per-App-VPN oder Always-On-VPN-Profile via MDM ein. Nutzen Sie DNS-Filterung zum Blockieren bekannter bösartiger Domains. Konfigurieren Sie 802.1X-Zertifikate für WLAN-Authentifizierung statt gemeinsamer Passwörter.

Ungepatchte Software ist die am meisten ausnutzbare Schwachstelle in jeder Flotte. Nutzen Sie Ihr MDM, um OS-Update-Fristen durchzusetzen, Rapid Security Responses automatisch zu verteilen und Drittanbieter-App-Updates zu verwalten. Das Ziel ist eine Zero-Day-to-Patch-Zeit unter 72 Stunden für kritische Schwachstellen.

Geräte sollten sicher ankommen, nicht erst nachträglich sicher werden. Zero-Touch-Deployment über Apple Business Manager und Ihr MDM stellt sicher, dass jedes Gerät registriert, verschlüsselt und konfiguriert ist, bevor ein Mitarbeitender es berührt.

Auf überwachten iOS-Geräten beschränken Sie die App-Installation auf zugelassene Anwendungen. Auf macOS nutzen Sie Gatekeeper-Richtlinien, Notarisierungsanforderungen und MDM-verwaltete App-Bereitstellung. Für Hochsicherheitsumgebungen erwägen Sie Application-Allowlisting-Tools, die unautorisierte Ausführungen vollständig verhindern.

Sicherheit ist keine einmalige Konfiguration — sie erfordert kontinuierliche Überwachung. Setzen Sie Log-Weiterleitung von macOS Unified Logs zu Ihrem SIEM ein. Überwachen Sie den MDM-Compliance-Status und alarmieren Sie bei Abweichungen. Führen Sie regelmässige Sicherheitsbewertungen gegen CIS-Benchmarks für macOS und iOS durch.

Wenn ein Gerät kompromittiert wird — und irgendwann wird es passieren — bestimmt Ihre Reaktionsgeschwindigkeit den Schaden. Dokumentieren Sie Verfahren für Remote Lock, selektives Löschen und vollständiges Löschen via MDM. Definieren Sie, wann was angewendet wird. Üben Sie den Ablauf vierteljährlich.

Technische Kontrollen versagen, wenn Benutzer sie umgehen. Regelmässiges Sicherheitsbewusstseins-Training — mit Fokus auf Phishing, Social Engineering und sichere Gerätepraktiken — reduziert die menschliche Angriffsfläche. Gezielte Workshops sind effektiver als generische jährliche Compliance-Videos.