Suchen

Smartphones und PDAs in das Sicherheitskonzept einbeziehen Mobilität erfordert Umdenken bei IT-Sicherheit im Unternehmen

| Autor / Redakteur: Dinu-Mathias Fulea, (ISC)²-zertifizierter CSSLP / Stephan Augsten

Mobile Endgeräte wie Smartphones und PDAs stehen hinsichtlich ihrer Funktionsvielfalt den Desktop-PCs und Notebooks kaum noch nach. Damit steigt aber zwangsläufig auch der Sicherheitsbedarf. In diesem Beitrag erläutern wir wichtige Schritte, um die zunehmende Mobilität in das Sicherheitskonzept des Unternehmens einzubinden.

Firma zum Thema

Mobilität kontra IT-Sicherheit: Vor allem aktuelle Smartphone-Generationen stellen ein hohes Sicherheitsrisiko dar.
Mobilität kontra IT-Sicherheit: Vor allem aktuelle Smartphone-Generationen stellen ein hohes Sicherheitsrisiko dar.
( Archiv: Vogel Business Media )

Innerhalb der vergangenen zwölf Monate zielten die Angriffe durch Viren und Trojaner zunehmend auch auf Handsets ab. Das liegt an der stets zunehmenden Rechenkraft, Funktions- und Schnittstellenvielfalt der Mobiltelefone. Denn dadurch werden sie in vielen Unternehmen verstärkt als allgemeine Informationsträger eingesetzt und wecken das Interesse der Angreifer.

Das Thema „Mobile Sicherheit“ wird bei Nutzern und IT-Verantwortlichen jedoch immer noch unterschätzt. Man wiegt sich im trügerischen Schutz der Browservielfalt, die für Hacker zwar eine Hürde darstellt – jedoch keine besonders hohe. Hinzu kommt, dass durch eine zunehmende Marktkonsolidierung die Vielfalt der Betriebssysteme für Smartphones und Handhelds immer weiter abnimmt. Das verschärft die Bedrohungslage und macht es umso wichtiger präventiv zu handeln.

Durch die Integration ursprünglich rein Rechner-basierter Dienste und Informationen auf mobile Endgeräte hat sich auch das Bedrohungsszenario für Unternehmen verändert. Mobile Endgeräte gelten unter IT-Kriminellen zu den attraktivsten Zielen, da sie trotz der bereits implementierten Sicherheitsvorkehrungen durch den nachlässigen Umgang der Anwender zur Schwachstelle werden. Mangelndes Bewusstsein und nicht vorhandene Sicherheitskonzepte für mobile Geräte spielen IT-Kriminellen in die Karten.

Ziel eines jeden Unternehmens sollte daher sein, mit Hilfe eines geeigneten Konzepts die mobile Sicherheit unter Wahrung der Produktivität mittel- und langfristig zu erhöhen, um einem Daten-GAU präventiv entgegenzuwirken.

Vier der derzeit im Zusammenhang mit mobilen Geräten am häufigsten auftretenden Angriffsformen sind:

  • Ausspähen von Daten: Der Angreifer verschafft sich Zugang zu relevanten Daten, die auf dem jeweiligen Gerät gespeichert sind. Dazu gehören Kontaktlisten, E-Mails, SMS und andere vertrauliche Dokumente und Dateien.
  • Nutzung eigener Dienste und Zugänge: Wird eine Authentifizierung lediglich beim Einschalten des Geräts verlangt, kann das Gerät im Verlustfall ganz leicht von Kriminellen wie ein Schlüssel für Dienste und Zugänge genutzt werden. Dadurch können Sicherheitsmechanismen, die Firmen-, Service- oder Datenstrukturen vor unbefugtem Zugang schützen, ausgehebelt werden.
  • Manipulation der Software-Komponenten: Dabei können Angriffe auf Netzwerke in Verbindung mit der Synchronisation zwischen mobilem Gerät und dem Firmennetz erfolgen, um Informationen oder Daten direkt zu erhalten. Darüber hinaus bietet die Konfiguration von Proxies, die bei der Internetkommunikation genutzt werden, die Möglichkeit des Abhörens und Aufzeichnens, aber auch der Manipulation (Tracing, Capturing, Logging) der an das Gerät zurückgesendeten Informationen.
  • Überwachung: Moderne Smartphones bieten neben Kommunikationsschnittstellen wie GPRS, 3G, WLAN und Bluetooth unlängst auch GPS-Module. Damit lassen sich raumbezogene Referenzinformationen ablegen, die das Erstellen eines genauen Bewegungsprofils ermöglichen. Dazu ist eine Manipulation des Geräts notwendig, die aber keines Diebstahls bedarf.

Seite 2: Mobile Geräte in das Sicherheitskonzept einbinden

(ID:2042859)