Smartphones und PDAs in das Sicherheitskonzept einbeziehen Mobilität erfordert Umdenken bei IT-Sicherheit im Unternehmen

Autor / Redakteur: Dinu-Mathias Fulea, (ISC)²-zertifizierter CSSLP / Stephan Augsten

Mobile Endgeräte wie Smartphones und PDAs stehen hinsichtlich ihrer Funktionsvielfalt den Desktop-PCs und Notebooks kaum noch nach. Damit steigt aber zwangsläufig auch der Sicherheitsbedarf. In diesem Beitrag erläutern wir wichtige Schritte, um die zunehmende Mobilität in das Sicherheitskonzept des Unternehmens einzubinden.

Firma zum Thema

Mobilität kontra IT-Sicherheit: Vor allem aktuelle Smartphone-Generationen stellen ein hohes Sicherheitsrisiko dar.
Mobilität kontra IT-Sicherheit: Vor allem aktuelle Smartphone-Generationen stellen ein hohes Sicherheitsrisiko dar.
( Archiv: Vogel Business Media )

Innerhalb der vergangenen zwölf Monate zielten die Angriffe durch Viren und Trojaner zunehmend auch auf Handsets ab. Das liegt an der stets zunehmenden Rechenkraft, Funktions- und Schnittstellenvielfalt der Mobiltelefone. Denn dadurch werden sie in vielen Unternehmen verstärkt als allgemeine Informationsträger eingesetzt und wecken das Interesse der Angreifer.

Das Thema „Mobile Sicherheit“ wird bei Nutzern und IT-Verantwortlichen jedoch immer noch unterschätzt. Man wiegt sich im trügerischen Schutz der Browservielfalt, die für Hacker zwar eine Hürde darstellt – jedoch keine besonders hohe. Hinzu kommt, dass durch eine zunehmende Marktkonsolidierung die Vielfalt der Betriebssysteme für Smartphones und Handhelds immer weiter abnimmt. Das verschärft die Bedrohungslage und macht es umso wichtiger präventiv zu handeln.

Durch die Integration ursprünglich rein Rechner-basierter Dienste und Informationen auf mobile Endgeräte hat sich auch das Bedrohungsszenario für Unternehmen verändert. Mobile Endgeräte gelten unter IT-Kriminellen zu den attraktivsten Zielen, da sie trotz der bereits implementierten Sicherheitsvorkehrungen durch den nachlässigen Umgang der Anwender zur Schwachstelle werden. Mangelndes Bewusstsein und nicht vorhandene Sicherheitskonzepte für mobile Geräte spielen IT-Kriminellen in die Karten.

Ziel eines jeden Unternehmens sollte daher sein, mit Hilfe eines geeigneten Konzepts die mobile Sicherheit unter Wahrung der Produktivität mittel- und langfristig zu erhöhen, um einem Daten-GAU präventiv entgegenzuwirken.

Vier der derzeit im Zusammenhang mit mobilen Geräten am häufigsten auftretenden Angriffsformen sind:

  • Ausspähen von Daten: Der Angreifer verschafft sich Zugang zu relevanten Daten, die auf dem jeweiligen Gerät gespeichert sind. Dazu gehören Kontaktlisten, E-Mails, SMS und andere vertrauliche Dokumente und Dateien.
  • Nutzung eigener Dienste und Zugänge: Wird eine Authentifizierung lediglich beim Einschalten des Geräts verlangt, kann das Gerät im Verlustfall ganz leicht von Kriminellen wie ein Schlüssel für Dienste und Zugänge genutzt werden. Dadurch können Sicherheitsmechanismen, die Firmen-, Service- oder Datenstrukturen vor unbefugtem Zugang schützen, ausgehebelt werden.
  • Manipulation der Software-Komponenten: Dabei können Angriffe auf Netzwerke in Verbindung mit der Synchronisation zwischen mobilem Gerät und dem Firmennetz erfolgen, um Informationen oder Daten direkt zu erhalten. Darüber hinaus bietet die Konfiguration von Proxies, die bei der Internetkommunikation genutzt werden, die Möglichkeit des Abhörens und Aufzeichnens, aber auch der Manipulation (Tracing, Capturing, Logging) der an das Gerät zurückgesendeten Informationen.
  • Überwachung: Moderne Smartphones bieten neben Kommunikationsschnittstellen wie GPRS, 3G, WLAN und Bluetooth unlängst auch GPS-Module. Damit lassen sich raumbezogene Referenzinformationen ablegen, die das Erstellen eines genauen Bewegungsprofils ermöglichen. Dazu ist eine Manipulation des Geräts notwendig, die aber keines Diebstahls bedarf.

Seite 2: Mobile Geräte in das Sicherheitskonzept einbinden

Mobile Geräte in das Sicherheitskonzept einbinden

Leider ist es meist ein eingetretener Schadensfall, der den Anstoß dazu gibt, sich Gedanken über die Sicherheit zu machen. Im schlimmsten Fall entsteht daraus blinder Aktionismus. Stattdessen sollte man präventiv Schritt für Schritt ein Sicherheitskonzept entwickeln, das die Mitarbeiter einbezieht und es in die Sicherheitsstrategie des Unternehmens einbinden.

Beim Erstellen eines Sicherheitskonzepts für mobile Geräte kommt es auf die Kombination der folgenden Sicherheitsmaßnahmen an:

1. Bedarfsfeststellung

Zunächst einmal gilt es festzustellen, welche Dienste, Leistungen und Fähigkeiten des Mobiltelefons überhaupt gebraucht werden. Dabei gilt: je weniger, desto besser; wobei dem Unternehmensbedarf Rechnung getragen werden muss. Folgende Punkte sollten berücksichtigt werden:

  • Welche Applikationen werden benötigt?
  • Welche Synchronisationen und Zugänge zur Firmeninterna werden benötigt?
  • Wo wird das Smartphone eingesetzt?
  • Welchen Risiken ist das Gerät ausgesetzt?

Die Bedarfserstellung und die Risikoanalyse bedingen die Auswahl des Betriebssystems und somit die des Mobiltelefons. Dabei sollte beachtet werden, dass aufgrund des flächendeckenden Angriffspotentials vor allem die meist verbreiteten Betriebsysteme im Fokus von Kriminellen stehen.

Ausschlaggebend ist auch die Patchpolitik für die jeweiligen Betriebssysteme. Für Linux-basierte Betriebsysteme für Mobiltelefone (z.B. ALP, Android) wird eine sehr schnelle Patchpolitik im Falle einer Schwachstelle verfolgt. Das wird durch die offenen Standards erleichtert, die eine weltweite Zusammenarbeit ermöglichen. Diese Betriebssysteme sind daher oft erste Wahl in sicherheitskritischen Umgebungen.

Seite 3: Präventionspolitik und Sensibilisierung der Mitarbeiter

2. Prävention

Je nach Sicherheitsbedarf ist es sinnvoll, in regelmäßigen Abständen Penetrationstests durchführen. Allgemein sind folgende Punkte für eine erfolgreiche Präventionspolitik zu beachten:

Einbindung in die Security Policy des Unternehmens: Beispielsweise lassen sich White- und Blacklisting von Programmen auch auf mobile Geräte anwenden.

Kryptografie für Daten und Kommunikation: Handelsübliche Smartphones können nachträglich in hochsichere Krypto-Telefone umgewandelt werden. Die Verschlüsselung der Daten erfolgt in einer zertifizierten Krypto-Hardware (SmartCard), die wiederum in eine MicroSD-Karte integriert ist und in den entsprechenden Kartenschlitz des Telefons gesteckt wird. Die Lösung genügt höchsten Sicherheitsanforderungen und ist vom BSI für den Einsatz in deutschen Behörden zugelassen. Spezielle Krypto-Phones, die im Leistungsumfang stark eingeschränkt sind, werden dadurch uninteressant. Die E-Mail-Synchronisation sollte auch nur verschlüsselt erlaubt werden.

Einsatz von Antivirus-Programmen: AV-Programme erhöhen durch aktive Überwachung und Heuristik den Schutz vor Würmern, Viren und Trojanern.

Darüber hinaus sind Einzelmaßnahmen notwendig, wie z.B.:

  • Deaktivieren ungenutzter Kommunikationsschnittstellen
  • Zeitliche Einschränkung der Synchronisation: Die E-Mail-Synchronisation wird auf spezifische Betriebszeiten eingeschränkt.
  • Konfigurationsmanagement: Browser-Security-Settings werden festgelegt und durch das IT-Management voreingestellt.
  • Festgelegte Patch- und Software-Update-Policies
  • Regelmäßige Analyse von Log-Files durch die IT-Crew
  • Überprüfung der Geräte nach längerem Außeneinsatz
  • Meldungsrichtlinien bei verdächtigem Verhalten der Mobiltelefonsoftware

3. Schulung

Ein nicht zu unterschätzender Aspekt bei der Erstellung eines Sicherheitskonzepts ist die vom Anwender ausgehende Gefahr durch Unwissenheit oder leichtsinniges Handeln. Bevor ein umfangreiches Sicherheitskonzept eingeführt wird, muss der Nutzer hinzugezogen und vom Sinn der eingeführten Änderungen überzeugt werden. Dabei sorgen Schulungen in Zusammenarbeit mit der Kommunikationsabteilung dafür, dass die Mitarbeiter die neuen Maßnahmen auch verstehen und akzeptieren.

Im Rahmen der Schulung soll die Firmen-Policy vorgestellt und erklärt werden. Dies beinhaltet die Auseinandersetzung mit Kriterien bei der Definition von Passwörtern, den richtigen Umgang mit vertraulichen Daten bis hin zu Details wie das regelmäßige Abwischen von Touchscreen-Oberflächen, auf denen leicht nachvollziehbar wird, welche vier Nummern zur PIN Eingabe eingetippt wurden.

Dinu-Mathias Fulea

Dinu-Mathias Fulea ist (ISC)²-zertifizierter CSSLP und Field Applications Engineer bei Access Systems Germany.

(ID:2042859)