Mehr als 30 Prozent der Smartphone-Nutzer speichern vertrauliche Daten wie E-Mail-Passwörter auf ihrem intelligenten Handy, so eine aktuelle Studie von Motorola. 45 Prozent der Befragten verwenden keine Sicherheitssoftware für ihr Smartphone. Ginge das schlaue Mobiltelefon verloren, wären die darauf gespeicherten Daten in Gefahr. Aber nicht nur diese.
Mögliche Hintertür in die Cloud
Smartphones bieten sich geradezu an, Cloud-Dienste zu nutzen. Ein Webbrowser ist ebenso vorhanden wie die Möglichkeit, schnelle Internetverbindungen aufzubauen. Werden allerdings die Passwörter für den Cloud-Zugang auf dem Smartphone ungeschützt gespeichert, sind neben den lokalen Smartphone-Daten auch sämtliche Daten in der Cloud gefährdet, die nur über das gespeicherte Passwort geschützt sind.
Die "Sicherheitsempfehlungen für Cloud-Computing-Anbieter" des Bundesamtes für Sicherheit in der Informationstechnik (BSI) fordern für den Schutz vertraulicher Cloud-Daten unter anderem eine starke Authentifizierung. Neben einem Passwort sollen weitere Faktoren abgeprüft werden, um die Berechtigung für den Cloud-Zugang besser kontrollieren zu können. Diese Anforderung gilt auch für mobiles Cloud Computing.
Es gibt bereits verschiedene Möglichkeiten einer starken mobilen Authentifizierung auf dem Markt. Grundsätzlich eignen sich diese Lösungen allerdings nur dann für die Absicherung des mobilen Cloud-Zugriffs, wenn die Cloud den jeweiligen Authentifizierungsmechanismus auch unterstützt. Zudem sind noch nicht alle mobilen Verfahren ausgereift.
Einmal-Passwörter für die mobile Cloud
Foto: RSA
Ob Google Authenticator, Securepoint HandyID oder RSA SecurID Software Token, es gibt zahlreiche Apps, mit denen ein Smartphone zum Generator eines Einmal-Passwortes wird.
Ist die mobile Applikation einmal installiert, erzeugt sie nach Eingabe des Passwortes ein Einmal-Passwort, das für den Cloud-Zugang zusätzlich eingegeben werden muss. Alternativ kommt das Einmal-Passwort per SMS oder Anruf.
Eine zusätzliche Sicherheit besteht allerdings nur, wenn die für die Erzeugung des Einmal-Passwortes erforderliche PIN durch den Nutzer nicht auf dem Smartphone gespeichert wird. Andernfalls könnten auch Unbefugte das Einmal-Passwort anfordern und für den Cloud-Zugang missbrauchen.
Foto: Google
Der Anwender sollte sich auch bewusst sein, dass das Smartphone in diesem Fall selbst zum Security-Token wird. Für die Absicherung des mobilen Cloud-Zugangs ist ein Einmal-Passwort nur dann sinnvoll, wenn es nicht auf dem mobilen Endgerät empfangen wird, mit dem der mobile Zugang erfolgen soll. Nicht umsonst fordert zum Beispiel der Zentrale Kreditausschuss des deutschen Kreditgewerbes, dass der Empfang mobiler TANs nicht auf dem Smartphone erfolgen soll, das für das Mobile Banking genutzt wird.
Soll der mobile Cloud-Zugriff über zusätzliche Einmal-Passwörter abgesichert werden, sollten die Einmal-Passwörter nicht auf dem Smartphone selbst, sondern auf einem zusätzlichen Hardware-Token oder einem zweiten Handy empfangen werden. In diesem Fall kann ein einzelnes Smartphone somit den Token nicht ersetzen.
Empfehlung: Für den Fall, dass nur das Cloud-Passwort gestohlen wird, nicht aber das Smartphone, ist die Forderung nach zusätzlichen Einmal-Passwörtern für den mobilen Cloud-Zugang eine wichtige Sicherheitsmaßnahme, ob sie nun per SMS, über Anruf oder via App bereitgestellt werden.
Fingerabdruck-Scanner am Smartphone
Was bei Notebooks fast die Regel ist, ist bei Smartphones eher die Ausnahme: Die Prüfung des Fingerabdrucks kann ebenfalls die Passwortabfrage ergänzen und so den mobilen Cloud-Zugriff sicherer machen.
Foto: Motorola
Smartphones wie Motorola ATRIX verfügen über einen Fingerabdruck-Scanner. Wird dieser aktiviert und ein Fingerabdruck auf dem Gerät hinterlegt, kann das Smartphone mittels Fingerabdruckprüfung entsperrt werden anstatt mit Passwort oder PIN. Dazu wird der Fingerabdruck über das Smartphone-Display eingelesen. Aber: Falls die Anmeldung am Smartphone über den Fingerabdruck misslingt, kann man auch das Passwort oder die PIN verwenden.
Empfehlung: Gängige Fingerabdruck-Scanner für Smartphones bieten einen alternativen Schutz für den Gerätezugang. Eine Ergänzung des Passwortes bei der Cloud-Anmeldung bieten sie in der Regel allerdings nicht. Wird also das Smartphone bei Inaktivität nicht automatisch gesperrt und geht es während des Betriebs verloren, besteht durch die Fingerabdruckprüfung keine zusätzliche Sicherheit für den Cloud-Zugang.
Gesichtserkennung mit Smartphone-Kamera
Da die meisten Smartphones mit einer hochauflösenden Kamera ausgestattet sind, bietet sich neben dem Fingerabdruck ein weiterer biometrischer Faktor für die starke mobile Authentifizierung an, um den mobilen Cloud-Zugriff sicherer zu machen.
Foto: Android.com
Mit Face Unlock wird beispielsweise bei Smartphones mit Android 4.0 der Versuch unternommen, über die Smartphone-Kamera eine Gesichtserkennung zu ermöglichen. Erste Versuche zeigen allerdings, dass sich Face Unlock unter Umständen austricksen lässt, indem der Kamera ein passendes Foto des legitimen Nutzers präsentiert wird.
Empfehlung: Die Absicherung des Smartphone- und mobilen Cloud-Zugangs mit biometrischen Faktoren wie der Gesichtserkennung könnte bei entsprechend ausgereifter Technik ein wichtiger Ansatz werden. Noch ist allerdings Vorsicht angebracht.
Standortabhängige Zugriffskontrolle
Die Positionsdaten zum aktuellen Standort eines Smartphones können nicht nur dabei helfen, ein verlorenes Gerät wieder aufzuspüren. Die Überprüfung der Position des Gerätes kann auch Teil der Zugangskontrolle zur Cloud werden. So könnte der Zugriff auf die Cloud auf bestimmte Orte eingeschränkt werden, indem die Position des Smartphones über GPS- oder WLAN-Ortung bestimmt und mit der Liste der erlaubten Orte verglichen wird.
Lösungen wie ZoneDefense von AirPatrol können Smartphones in einem bestimmten Umkreis orten und die Zugangsberechtigungen abhängig vom aktuellen Ort vergeben sowie unbefugte Nutzungen sperren. Solche Lösungen eignen sich lediglich für eine räumlich begrenzte Kontrolle der Smartphone-Aktivitäten; eine übergreifende Kontrolle des mobilen Cloud-Zugangs ist damit nicht vorgesehen.
Empfehlung: Gegenwärtig arbeiten Forscher des Mobile-Business-Teams am Institut für angewandte Informatik und formale Beschreibungsverfahren (AIFB) des Karlsruher Instituts für Technologie an Lösungen für eine ortsabhängige Zugriffskontrolle zum Absichern mobiler Geschäftsprozesse und Cloud Computing.
Geräteerkennung als Zugriffsschutz
Der mobile Zugriff auf Cloud-Lösungen wie Microsoft Office 365 lässt sich zum Beispiel durch eine Prüfung der Geräteidentität (Geräte-ID, Geräte-IMEI, International Mobile Equipment Identity) zusätzlich absichern.
Foto: Microsoft
Der Administrator kann über eine Regel für den Gerätezugriff die Smartphones und mobilen Endgeräte festlegen, mit denen der mobile Zugang erlaubt sein soll. Ein gestohlenes Passwort reicht dann nicht, wenn der Dieb das legitimierte Smartphone nicht im Zugriff hat.
Gehen allerdings ein legitimiertes Smartphone und das Passwort des Nutzers verloren, müssen Benutzerzugang und Berechtigung für das Smartphone umgehend durch den Administrator deaktiviert werden.
Dienste wie Junos Pulse Mobile Security Suite oder Sophos Mobile Control können zum Beispiel für die Zugriffskontrolle auf eine Private Cloud eingesetzt werden. Dabei können die mobilen Geräte, die für den Zugang zur Cloud genutzt werden sollen, unter anderem auf Geräteidentität, aktuelle Position und Sicherheitsstatus überprüft werden.
Foto: Sophos
Bei Abweichung von den Vorgaben wird der Zugriff auf die Cloud verweigert. Verlorene Smartphones können aus der Ferne gesperrt und gelöscht werden.
Empfehlung: Gerade die Prüfung der Geräteidentität ist eine sinnvolle Ergänzung des Passwortes, um den Passwortmissbrauch zu verhindern. Der mobile Cloud-Zugriff über ein verlorenes oder gestohlenes Smartphone, auf dem das Passwort gespeichert wurde, kann jedoch nicht verhindert werden, wenn der Betroffene den Verlust nicht sofort meldet und der Administrator das Gerät für den Cloud-Zugang blockiert.
Fazit: große Vielfalt bei mobiler Zugangskontrolle
Wichtig ist in jedem Fall, dass mobile Cloud-Nutzer ihre Daten auch auf dem Smartphone verschlüsseln, ihr Cloud-Passwort nicht speichern und den Verlust ihres Smartphones sofort bei der zuständigen Stelle melden.
Lösungen wie die StoneGate SSL VPN Appliance mit rund 20 verschiedenen Authentifizierungsalternativen zeigen zudem, wie umfangreich die Möglichkeiten der mobilen Zugriffskontrolle sind. So lassen sich zum Beispiel die Passwortabfrage und das Einmal-Passwort noch um eine Sicherheitsfrage ergänzen, die der mobile Cloud-Nutzer bei der Anmeldung beantworten muss.
Foto: StoneGate
Die Möglichkeiten der mobilen Zugriffskontrolle werden in Zukunft noch weiter zunehmen, wie das Projekt MimoSecco (Middleware for Mobile and Secure Cloud Computing) zeigt. Dort werden unter anderem Smartcards als Ergänzung des Passwortes im Mobile Cloud Computing untersucht, die zum Beispiel in Form einer SD-Karte in Smartphones eingesetzt werden können.
Beim sicheren mobilen Cloud Computing könnte auch der neue Personalausweis eine Rolle spielen, zum Beispiel mit einer zertifizierten AusweisApp für Smartphones. Unternehmen sollten diese Entwicklungen im Blick behalten, denn so riskant der mobile Cloud-Zugriff auch sein kann, Mobile Cloud Computing ist ein klarer Zukunftstrend. (mje)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.