Mobilen Zugriff absichern
Ratgeber: Sichere Cloud-Nutzung mit Smartphones
Mehr als 30 Prozent der Smartphone-Nutzer speichern vertrauliche Daten wie E-Mail-Passwörter auf ihrem intelligenten Handy, so eine aktuelle Studie von Motorola. 45 Prozent der Befragten verwenden keine Sicherheitssoftware für ihr Smartphone. Ginge das schlaue Mobiltelefon verloren, wären die darauf gespeicherten Daten in Gefahr. Aber nicht nur diese.
Mögliche Hintertür in die Cloud
Smartphones bieten sich geradezu an, Cloud-Dienste zu nutzen. Ein Webbrowser ist ebenso vorhanden wie die Möglichkeit, schnelle Internetverbindungen aufzubauen. Werden allerdings die Passwörter für den Cloud-Zugang auf dem Smartphone ungeschützt gespeichert, sind neben den lokalen Smartphone-Daten auch sämtliche Daten in der Cloud gefährdet, die nur über das gespeicherte Passwort geschützt sind.
Die "Sicherheitsempfehlungen für Cloud-Computing-Anbieter" des Bundesamtes für Sicherheit in der Informationstechnik (BSI) fordern für den Schutz vertraulicher Cloud-Daten unter anderem eine starke Authentifizierung. Neben einem Passwort sollen weitere Faktoren abgeprüft werden, um die Berechtigung für den Cloud-Zugang besser kontrollieren zu können. Diese Anforderung gilt auch für mobiles Cloud Computing.
Es gibt bereits verschiedene Möglichkeiten einer starken mobilen Authentifizierung auf dem Markt. Grundsätzlich eignen sich diese Lösungen allerdings nur dann für die Absicherung des mobilen Cloud-Zugriffs, wenn die Cloud den jeweiligen Authentifizierungsmechanismus auch unterstützt. Zudem sind noch nicht alle mobilen Verfahren ausgereift.
Einmal-Passwörter für die mobile Cloud
Foto: RSA
Ob Google Authenticator, Securepoint HandyID oder RSA SecurID Software Token, es gibt zahlreiche Apps, mit denen ein Smartphone zum Generator eines Einmal-Passwortes wird.
Ist die mobile Applikation einmal installiert, erzeugt sie nach Eingabe des Passwortes ein Einmal-Passwort, das für den Cloud-Zugang zusätzlich eingegeben werden muss. Alternativ kommt das Einmal-Passwort per SMS oder Anruf.
Eine zusätzliche Sicherheit besteht allerdings nur, wenn die für die Erzeugung des Einmal-Passwortes erforderliche PIN durch den Nutzer nicht auf dem Smartphone gespeichert wird. Andernfalls könnten auch Unbefugte das Einmal-Passwort anfordern und für den Cloud-Zugang missbrauchen.
Foto: Google
Der Anwender sollte sich auch bewusst sein, dass das Smartphone in diesem Fall selbst zum Security-Token wird. Für die Absicherung des mobilen Cloud-Zugangs ist ein Einmal-Passwort nur dann sinnvoll, wenn es nicht auf dem mobilen Endgerät empfangen wird, mit dem der mobile Zugang erfolgen soll. Nicht umsonst fordert zum Beispiel der Zentrale Kreditausschuss des deutschen Kreditgewerbes, dass der Empfang mobiler TANs nicht auf dem Smartphone erfolgen soll, das für das Mobile Banking genutzt wird.
Soll der mobile Cloud-Zugriff über zusätzliche Einmal-Passwörter abgesichert werden, sollten die Einmal-Passwörter nicht auf dem Smartphone selbst, sondern auf einem zusätzlichen Hardware-Token oder einem zweiten Handy empfangen werden. In diesem Fall kann ein einzelnes Smartphone somit den Token nicht ersetzen.
Empfehlung: Für den Fall, dass nur das Cloud-Passwort gestohlen wird, nicht aber das Smartphone, ist die Forderung nach zusätzlichen Einmal-Passwörtern für den mobilen Cloud-Zugang eine wichtige Sicherheitsmaßnahme, ob sie nun per SMS, über Anruf oder via App bereitgestellt werden.