Künftig müssen Unternehmen auf die sogenannte Declarative Device Management (DDM)-Technologie umsteigen – und das ist nicht die einzige Herausforderung.
Home-Office-Falle: Diese Datenschutz-Fehler können Ihr Unternehmen teuer zu stehen kommen. Experten zeigen, wie Sie mobile Mitarbeiter rechtssicher schützen. Kostenlose Vorlagen und Checklisten für sofortige Umsetzung
Parallel zu diesem Umbruch erschüttert ein schwerer Sicherheitsvorfall die Apple-Welt. Sicherheitsforscher von Paradigm Shift veröffentlichten am 19. Juni einen Exploit namens „usbliter8″, der Millionen älterer Apple-Geräte betrifft. Der Fehler sitzt tief in der Hardware und lässt sich nicht per Update beheben.
Das Ende der alten MDM-Ära
Apple macht ernst: Mit der Einführung von macOS 27 und iOS 27 wird DDM zum Pflichtstandard. Statt ständiger Befehle vom Server erledigen die Geräte Konfigurationen und Software-Updates künftig eigenständig. Alte MDM-Befehle für Updates und bestimmte Einstellungen werden schrittweise abgeschafft.
IT-Administratoren können bestehende Konfigurationen mit dem ProfileAssetReference-Tool migrieren. Eine zentrale Voraussetzung: Alle MDM-Dienste müssen mindestens TLS 1.2 unterstützen. Wer diese Sicherheitsanforderung nicht erfüllt, muss mit fehlgeschlagenen Registrierungen und blockierten Updates rechnen. Zudem warnt Apple: MDM-Daten lassen sich nicht mehr aus Backups wiederherstellen – der Konzern setzt auf saubere, verwaltete Systemzustände.
Die großen MDM-Anbieter wie Jamf, Omnissa und SimpleMDM haben bereits Unterstützung für die neuen Protokolle integriert. Neu sind auch feinere Kontrollmöglichkeiten: IT-Manager können etwa Mac-zu-Mac-Datenmigrationen steuern oder Sprach- und Regionseinstellungen direkt in den Automated Device Enrollment (ADE)-Profilen konfigurieren.
Apple Intelligence unter Kontrolle
Die Integration generativer KI-Funktionen – Apple nennt das Paket Apple Intelligence – steht im Fokus der neuen Betriebssysteme. Administratoren können über DDM einzelne Tools wie Genmoji, Image Playground oder Writing Tools gezielt deaktivieren oder verwalten.
Die Sicherheitsarchitektur von macOS 27 wurde ebenfalls verschärft. Neue Regeln im Endpoint Security Framework erlauben es Administratoren, spezifische Ausführungsrichtlinien für Binärdateien festzulegen. Zudem gibt es einen konsolidierten Datenschutz-Hinweis, den Administratoren mit eigenen Begründungen vorbelegen können.
Auch beim Identitätsmanagement tut sich etwas: Platform Single Sign-On (SSO) unterstützt jetzt webbasierte Authentifizierung und Multi-Faktor-Authentifizierung (MFA) direkt am Anmeldebildschirm – inklusive QR-Code-Login. Für die Hardware-Überwachung steht ein neuer Status Channel bereit, der proaktiv den Zustand von Komponenten wie Face ID und Kamera meldet. Der Befehl TriggerEnhancedLogCollection ermöglicht zudem das ferngesteuerte Abrufen von Protokollen zur Fehlersuche.
IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Das Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Gratis-E-Book jetzt herunterladen
Die tickende Zeitbombe: usbliter8
Der Exploit usbliter8 zielt auf den SecureROM der Apple-Chips A12 und A13 sowie der S4- und S5-Chips in älteren Apple-Watch-Modellen. Der Fehler steckt im Synopsys DesignWare USB 2.0-Controller und ermöglicht speicherbasierte Manipulationen (DMA). Da der Fehler fest im Silizium verdrahtet ist, bleibt ein Software-Update wirkungslos.
Betroffen sind unter anderem:
– iPhone XR, XS und 11er-Serie
– iPhone SE (2. Generation)
– iPad (8. und 9. Generation)
– iPad Air (3. Generation)
– Apple Watch Series 4, 5 und SE (1. Generation)
Der Angriff erfordert zwar physischen USB-Zugriff und das Gerät muss sich im DFU-Modus befinden. Gelingt er jedoch, können Angreifer persistenten Schadcode ausführen, der selbst eine komplette Neuinstallation des Betriebssystems übersteht.
Sicherheitsexperten raten Unternehmen dringend, ihren Gerätebestand zu inventarisieren. Chips ab der A14-Generation sind von diesem spezifischen Fehler nicht betroffen. Die NIST-Richtlinie SP 800-124 empfiehlt, Geräte mit nicht behebbaren Sicherheitslücken in Hochsicherheitsumgebungen als unzuverlässig einzustufen.
Neue Bedrohungen und verlängerte Nutzungszyklen
Der usbliter8-Exploit offenbart eine wachsende Kluft zwischen Software-Support und Hardware-Sicherheit. Laut Gartner werden bis 2027 voraussichtlich 75 Prozent aller Unternehmen Sicherheitsrisiken durch veraltete Mobilgeräte ausgesetzt sein. Verschärft wird das Problem durch die Daten von IDC: Der durchschnittliche Smartphone-Austauschzyklus liegt inzwischen bei rund 40 Monaten.
Doch nicht nur Hardware-Exploits bereiten Sorgen. Die Bedrohungslandschaft für Apple-Geräte entwickelt sich durch ausgeklügelte Social-Engineering-Angriffe weiter. Die Sicherheitsforscher von Jamf Threat Labs identifizierten kürzlich eine neue Angriffsmethode namens „ClickFix“. Sie nutzt den Script Editor statt des Terminals, um Sicherheitsprüfungen zu umgehen, die mit macOS 26.4 eingeführt wurden. Über eine gefälschte Apple-Support-Seite werden Nutzer dazu gebracht, ein Skript auszuführen, das eine URL entschlüsselt, TLS-Zertifikatsprüfungen deaktiviert und Schadsoftware direkt in den Arbeitsspeicher lädt.
Um diesen Bedrohungen zu begegnen, empfehlen Sicherheitsexperten: Unternehmen sollten verhaltensbasierte Endpoint Detection and Response (EDR) einsetzen, die Nutzung des macOS Script Editors per MDM einschränken und ihre Mitarbeiter gezielt schulen, um betrügerische Support-Seiten zu erkennen.
