Mobile Business

(Un-)Sicherheitsfaktor

Immer häufiger statten Unternehmen ihre Mitarbeiter mit aktuellen Smartphones aus. Damit haben sie nicht nur Zugriff auf ihre geschäftlichen Mails, Kalenderdaten und Kontakte, sondern zunehmend auch auf andere kritische Firmendaten etwa aus dem CRM- oder ERP-System. Was für mobile Mitarbeiter sehr nützlich sein kann, bereitet den IT-Verantwortlichen häufig schlaflose Nächte. von Udo Adlmanninger

smartphone,sicherheit,malware,datenverlust,hacker,viren,phishing,antivirus,virenschutz,mann,entsetzung

© pcgo

smartphone,sicherheit,malware,datenverlust,hacker,viren,phishing,antivirus,virenschutz,mann,entsetzung

Wenn all die vertraulichen Firmendaten per Smartphone abgerufen werden können, wie einfach ist es dann für einen potenziellen Angreifer, ebenfalls Zugriff darauf zu bekommen? Wie kann der Schutz der Daten zuverlässig umgesetzt werden und welche Lücken bestehen derzeit eigentlich? In der aktuellen Situation gibt es aus Security-Sicht bei Smartphones zwei gravierende technische Themenbereiche, die gelöst werden müssen.

Datenschutz versus Bedienkomfort

Zum einen gilt es, die Daten auf dem Gerät vor dem Zugriff Fremder zu schützen. Ein mobiles Telefon geht verloren oder wird gestohlen - wie gut sind die darauf vorhandenen Informationen dann geschützt? Bei den aktuellen Betriebssystemen können Daten zumindest teilweise auf den Geräten verschlüsselt werden.

Der Schlüssel für den Zugriff ist aber die PIN, die zum Freischalten des Gerätes verwendet wird. Je nachdem, wie lange und wie komplex diese ist, ergibt sich das Schutzniveau der Daten. Zumindest dann, wenn man das Thema Jailbreak außen vor lässt, bei dem dieser Schutz ausgehebelt werden kann.

Eine Vorgabe für die Qualität und die Länge der PIN lässt sich mit Bordmitteln oder mit Mobile-Device-Management- Lösungen erreichen. Zusätzlich gibt es im Verlustfall in der Regel die Möglichkeit, ein sogenanntes Remote Wiping durchzuführen, also die Daten per Fernzugriff zu löschen.

Das Problem dabei: Bei einem Diebstahl des Gerätes und dem Entfernen der SIM-Karte ist kein Remote Wiping mehr möglich. Das stellt also nicht die ideale Lösung für den Schutz der Daten dar, besonders wenn es sich um kritische und sehr vertrauliche Daten handelt.

Eine Alternative dazu ist die Installation eines verschlüsselten Containers, in dem die vertraulichen Daten abgelegt werden. Dies bedingt aber, dass die Apps, die mit den Daten interagieren, sich ebenfalls in dem Container befinden, da sonst ein Zugriff nicht möglich ist. Das heißt, dass beispielsweise der Mail-Client, der im Hersteller-Betriebssystem enthalten ist, nicht verwendet werden kann.

Zusätzlich erkauft man sich den höheren Schutz der Daten mit einem Verlust an Usability, da sich der Benutzer zuerst gegenüber dem Container authentisieren muss, bevor er auf die dort enthaltenen Apps und Daten zugreifen kann. Mittlerweile gehen die Hersteller dazu über, entsprechende Lösungen in die Betriebssysteme einzubauen - etwa das Sandboxing des Exchange-Accounts unter Apples iOS ab Version 5 oder die Möglichkeit der kompletten Verschlüsselung des Speichers unter Android 4.0.

Alternativ dazu lassen sich natürlich kritische Daten, besonders Mail-Anhänge, auch durch Verschlüsselung schützen, beispielsweise per PGP oder durch Information-Rights-Management-Lösungen (IRM). IRM gibt es aktuell noch nicht für alle Dateitypen, allerdings werden die Lösungen dazu vielfältiger:

  • Adobe Reader für PDF-Dokumente für iOS, Android und BlackBerry,
  • IRM auf Windows Phone 7 für Office-Dokumente,
  • GigaTrust für Office-Dokumente, PDF-, Text- und Bilddateien für iOS, Android und BlackBerry.

Werden andere Dateitypen verwendet, kann der Mail-Anhang auf dem Gerät nicht geöffnet werden. Auch hier haben wir uns also einen höheren Schutz mit einem Verlust an Usability erkauft, allerdings geht hier die Entwicklung in die richtige Richtung, wie wir meinen.

Gefahr aus dem App Store

Der zweite große Showstopper ist der jeweilige App Store. Lädt sich der Anwender eine neue App herunter, die einen Trojaner enthält, muss das Smartphone erst gar nicht gestohlen werden - es kann dann kritische Daten automatisch an Dritte versenden. Der Schutz hängt hier ausnahmslos am Betreiber des App Stores.

Der einzige Schutz, den Mobile-Device-Management-Lösungen bieten, ist es, dem Anwender die Installation von Apps zu verbieten - und ihm damit die Nutzung des Smartphones zu vermiesen. Wer möchte schon ein neues Smartphone ohne die Möglichkeit, die netten kleinen Apps zu installieren, die die mobile Internetnutzung gleich viel schöner und interessanter machen?

Neben den technischen Aspekten gibt es hier, wie fast immer, auch eine rechtliche Komponente, die alles noch etwas komplizierter macht. Speziell mit dem Thema Bring Your Own Device (BYOD) haben wir uns eine neue Hürde gebaut.

Benutzt der Mitarbeiter sein privates Smartphone für dienstliche Zwecke, stellt sich zunächst die Frage, wer für den Verlust des Gerätes haftet und für einen Ersatz sorgen muss. Zudem ergeben sich Probleme, sobald der Mitarbeiter das Unternehmen verlässt. Ein Remote Wiping des gesamten Gerätes verbietet sich, da dann natürlich auch die privaten Daten des Gerätebesitzers verloren gehen.

Vieles von dem, was die Nutzung eines Smartphones interessant macht, wird vonseiten der IT-Sicherheit erschwert oder komplett unmöglich gemacht. Derzeit gibt es keine Lösung, die Daten zu schützen, ohne die Benutzbarkeit des Gerätes einzuschränken.

Wie könnte eine Lösung in Zukunft aussehen? Security-Einschänkungen werden in der Regel nur dann akzeptiert, wenn sie erstens wirtschaftlich sinnvoll und zweitens für den Benutzer vollkommen transparent sind. Mit den aktuellen Lösungen ist dies entweder nicht möglich oder das Sicherheitsniveau entspricht nicht dem Schutzbedürfnis besonders kritischer Daten.

Intelligente Lösungen sind gefragt

Wie beschrieben, gibt es die Möglichkeit, einen Teil der Daten auf dem Smartphone verschlüsselt abzulegen - je nach Lösung ist dies auf allen Plattformen zumindest für einen Großteil der Daten möglich, siehe IRM. Die Sicherheit hängt dabei allerdings an der PIN, die für die Freischaltung des Gerätes verwendet wird. Diese ist in der Regel vier Zeichen lang. Sie kann zwar verlängert werden, aber wer tippt gerne jedes Mal zehn Zeichen ein, wenn sich das Gerät sperrt? Wenn also der gesamte Schutz der Daten an der Authentisierung hängt, dann muss diese eben verbessert werden.

In der IT-Sicherheit haben wir hier das Mittel der 2-Faktor-Authentisierung - also zwei Faktoren aus den Möglichkeiten "Wissen", "Besitz" und "Sein". Es gibt zwar bereits Smartphones mit Fingerprintsensor, allerdings bleibt es dann bei einem (biometrischen) Faktor. Allein damit gibt es also kein Mehr an Sicherheit. Hinzu kommt, dass der Fingerprintsensor separat zu betätigen ist, also wiederum die Usability reduziert.

Eine aus meiner Sicht optimale Lösung wäre es, wenn zum Freischalten des Gerätes die Eingabe einer PIN erforderlich wäre und bei dieser Eingabe direkt am Touchscreen der Fingerabdruck ausgelesen würde. Für den Benutzer bedeutete das keinerlei Änderung zur aktuellen Situation, aber für die Sicherheit wäre es ein großer Schritt nach vorn, da es auf diese Weise eine echte 2-Faktor-Authentisierung gäbe. Im Ergebnis lägen die Daten verschlüsselt auf dem Gerät und der Zugriff hinge vom Wissen (PIN) und dem Sein (Fingerprint) ab.

Um das Gerät auch vor Jailbreaks zu schützen, könnte zusätzlich eine Pre-Boot Authentication analog zu Notebooks mit verschlüsselten Festplatten erfolgen. Diese Authentisierung wird bei jedem Neustart verlangt und verhindert somit die Möglichkeit, einen Jailbreak zu installieren.

Bleibt noch das Problem mit den Trojanern, die über die Apps auf das Gerät gelangen. Einerseits werden wir uns daran gewöhnen müssen, dass zukünftig auch Virenscanner auf dem Smartphone Anwendung finden, andererseits helfen hier speziell für die Speicherung von Firmendaten Information-Rights-Management-Lösungen, sobald diese verfügbar sind.

Da ein Smartphone in der Regel immer online ist, stellt die Anfrage des IRM-Clients am zentralen Service im Unternehmen kein Problem dar. Eine Überprüfung, welche Rechte der Anwender hat, und was er mit bestimmten Dateien machen darf, ist also jederzeit möglich. Auch wenn die Datei von einem Trojaner versendet wird, bleibt sie so trotzdem geschützt.

Auch die rechtliche Problematik mit privaten Geräten im Firmenumfeld lässt sich dadurch einfach lösen. Scheidet der Mitarbeiter aus dem Unternehmen aus, so werden ihm die Rechte an Firmendaten und -anwendungen per IRM entzogen. Er hat die Daten zwar nach wie vor auf seinem privaten Gerät, kann sie aber nicht mehr lesen oder bearbeiten.

Fazit

Ein adäquater Schutz von kritischen Informationen auf dem Smartphone ist durchaus möglich und sollte sich auch wirtschaftlich abbilden lassen. Wann die Hersteller (von Smartphones und von Softwarelösungen) so weit sind, ist natürlich eine andere Frage. Dies wird stark davon abhängen, ob sich die Anwender in verstärktem Maße für Datenschutz- und Datensicherungsthemen interessieren beziehungsweise die Unternehmen Druck auf die Hersteller ausüben.

Autor: Udo Adlmanninger - Secaron AG

© Hersteller / Archiv

Der Autor: Udo Adlmanninger - verantwortlich für den Bereich Vertrieb bei der Secaron AG

Er verfügt über umfangreiche Projekterfahrungen in der Informationssicherheit, speziell in den Bereichen Sicherheitsmanagement, Risikomanagement, Business Continuity Management und Netzwerksicherheit.

Derzeit lässt sich durchaus ein gesteigertes Interesse feststellen, nicht zuletzt durch Veröffentlichungen zu Datenverlusten, die einen Großteil der Bevölkerung betreffen oder die auf allgemeines Interesse stoßen. Zusätzlich werden zukünftig Smartphones beim Verlust von vertraulichen Informationen weiter in den medialen Mittelpunkt rücken und die Awareness der Benutzer weiter steigen lassen.

Mehr zum Thema

Datensicherheit für den Betriebsrat
Unternehmensrecht

Arbeitgeber sind nicht befugt, Daten des Betriebsrats einzusehen. So entschied nun das Landesarbeitsgericht Düsseldorf.
IT-Sicherheitsgesetz für Unternehmen
IT-Sicherheit

Mit dem neuen IT-Sicherheitsgesetz hat die Politik auf zunehmende Vernetzung kritischer Infrastrukturen reagiert.
Apps und TIpps für Antivirus, Antidiebstahl: Wir verraten, wie Sie Ihr Smartphone oder Tablet sichern können.
IT-Sicherheit

Nur mehrschichtige Verteidigungsstrategie bewahren Unternehmen vor riskanten und teuren Distributed-Denial-of-Service-Angriffen.
ERP aus der Cloud
Prozesse in die Wolke

Die Mehrheit der deutschen Unternehmen ist davon überzeugt, dass Business-Software aus der Cloud in Zukunft ein fester Bestandteil der…
IPv6: Wir verraten Ihnen alles zum neuen Internetprotokoll.
Neues Internetprotokoll

PC Magazin Professional erklärt, was sich durch das neue Internetprotokoll IPv6 verändert, und was gleich bleibt. So sehen die Änderungen unter…