Mobilen Zugriff absichern

Ratgeber: Sichere Cloud-Nutzung mit Smartphones

11.01.2012 | von Oliver Schonschek  (Autor) 
Oliver Schonschek
Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Email:
Foto: RSA
Foto: RSA
Smartphones sind für die Cloud-Nutzung wie geschaffen. Doch der mobile Zugriff muss kontrolliert erfolgen, sonst geraten Daten in Gefahr. Wir haben einige Lösungsansätze für einen sicheren mobilen Zugriff zusammengestellt.
Mehr als 30 Prozent der Smartphone-Nutzer speichern vertrauliche Daten wie E-Mail-Passwörter auf ihrem intelligenten Handy, so eine aktuelle Studie von Motorola. 45 Prozent der Befragten verwenden keine Sicherheitssoftware für ihr Smartphone. Ginge das schlaue Mobiltelefon verloren, wären die darauf gespeicherten Daten in Gefahr. Aber nicht nur diese.

Mögliche Hintertür in die Cloud

Smartphones bieten sich geradezu an, Cloud-Dienste zu nutzen. Ein Webbrowser ist ebenso vorhanden wie die Möglichkeit, schnelle Internetverbindungen aufzubauen. Werden allerdings die Passwörter für den Cloud-Zugang auf dem Smartphone ungeschützt gespeichert, sind neben den lokalen Smartphone-Daten auch sämtliche Daten in der Cloud gefährdet, die nur über das gespeicherte Passwort geschützt sind.
Die "Sicherheitsempfehlungen für Cloud-Computing-Anbieter" des Bundesamtes für Sicherheit in der Informationstechnik (BSI) fordern für den Schutz vertraulicher Cloud-Daten unter anderem eine starke Authentifizierung. Neben einem Passwort sollen weitere Faktoren abgeprüft werden, um die Berechtigung für den Cloud-Zugang besser kontrollieren zu können. Diese Anforderung gilt auch für mobiles Cloud Computing.
Es gibt bereits verschiedene Möglichkeiten einer starken mobilen Authentifizierung auf dem Markt. Grundsätzlich eignen sich diese Lösungen allerdings nur dann für die Absicherung des mobilen Cloud-Zugriffs, wenn die Cloud den jeweiligen Authentifizierungsmechanismus auch unterstützt. Zudem sind noch nicht alle mobilen Verfahren ausgereift.

Einmal-Passwörter für die mobile Cloud

Passwortspender: Mit dem RSA-SecurID-Software-Token wird unter anderem der BackBerry zum Security-Token und erzeugt nach der PIN-Eingabe Einmal-Passwörter.
Passwortspender: Mit dem RSA-SecurID-Software-Token wird unter anderem der BackBerry zum Security-Token und erzeugt nach der PIN-Eingabe Einmal-Passwörter.
Passwortspender: Mit dem RSA-SecurID-Software-Token wird unter anderem der BackBerry zum Security-Token und erzeugt nach der PIN-Eingabe Einmal-Passwörter.
Foto: RSA
Ob Google Authenticator, Securepoint HandyID oder RSA SecurID Software Token, es gibt zahlreiche Apps, mit denen ein Smartphone zum Generator eines Einmal-Passwortes wird.
Ist die mobile Applikation einmal installiert, erzeugt sie nach Eingabe des Passwortes ein Einmal-Passwort, das für den Cloud-Zugang zusätzlich eingegeben werden muss. Alternativ kommt das Einmal-Passwort per SMS oder Anruf.
Eine zusätzliche Sicherheit besteht allerdings nur, wenn die für die Erzeugung des Einmal-Passwortes erforderliche PIN durch den Nutzer nicht auf dem Smartphone gespeichert wird. Andernfalls könnten auch Unbefugte das Einmal-Passwort anfordern und für den Cloud-Zugang missbrauchen.
Zugriffschutz: Der mobile Zugang zu Google Apps kann durch eine Zwei-Faktor-Authentifizierung geschützt werden. Das Einmal-Passwort erzeugt unter anderem der Google Authenticator.
Zugriffschutz: Der mobile Zugang zu Google Apps kann durch eine Zwei-Faktor-Authentifizierung geschützt werden. Das Einmal-Passwort erzeugt unter anderem der Google Authenticator.
Zugriffschutz: Der mobile Zugang zu Google Apps kann durch eine Zwei-Faktor-Authentifizierung geschützt werden. Das Einmal-Passwort erzeugt unter anderem der Google Authenticator.
Foto: Google
Der Anwender sollte sich auch bewusst sein, dass das Smartphone in diesem Fall selbst zum Security-Token wird. Für die Absicherung des mobilen Cloud-Zugangs ist ein Einmal-Passwort nur dann sinnvoll, wenn es nicht auf dem mobilen Endgerät empfangen wird, mit dem der mobile Zugang erfolgen soll. Nicht umsonst fordert zum Beispiel der Zentrale Kreditausschuss des deutschen Kreditgewerbes, dass der Empfang mobiler TANs nicht auf dem Smartphone erfolgen soll, das für das Mobile Banking genutzt wird.
Soll der mobile Cloud-Zugriff über zusätzliche Einmal-Passwörter abgesichert werden, sollten die Einmal-Passwörter nicht auf dem Smartphone selbst, sondern auf einem zusätzlichen Hardware-Token oder einem zweiten Handy empfangen werden. In diesem Fall kann ein einzelnes Smartphone somit den Token nicht ersetzen.
Empfehlung: Für den Fall, dass nur das Cloud-Passwort gestohlen wird, nicht aber das Smartphone, ist die Forderung nach zusätzlichen Einmal-Passwörtern für den mobilen Cloud-Zugang eine wichtige Sicherheitsmaßnahme, ob sie nun per SMS, über Anruf oder via App bereitgestellt werden.
'Mobile-Newsletter' bestellen!

Kostenlose AppsGratis-Apps für Smartphones und Tablet-PCs
Holen Sie sich die kostenlosen TecChannel-Apps für iPhone, iPad, Android, bada und Windows 7 Slate. Oder nutzen Sie mobil.tecchannel.de für alle Geräte.



Links zum Artikel




Ihre Meinung zum Artikel
Benutzername:
Passwort: