Smartphones und Tablets sicher im Unternehmen einsetzen

Nach Aussagen von Sicherheitsexperten geraten immer öfter Smartphones und Tablets in den Focus von Hackern. Dies belegen in den letzten Monaten die zahlreichen gemeldeten Fälle, bei denen Handys gehackt und mit Malware infiziert wurden. Besonders das Apple-iPhone/iPad- und das Android-Betriebssystem sind gefährdet. Allerdings ist im Vergleich mit der Situation im Computerbereich die Bedrohungslage bei Handys zurzeit noch relativ entspannt. Dennoch sollten die IT-Verantwortlichen jetzt entsprechende Sicherheitsmaßnahmen definieren und im Unternehmen durchsetzen.

Gerade Unternehmen wo Smartphones und Tablets als mobiles Produktivmittel eingesetzt werden, stehen vor neuen sicherheitstechnischen Herausforderungen. Neben den direkten Bedrohungen durch Viren, Trojaner und andrer Malware müssen die IT-Verantwortlichen zusätzlich das hohe Risiko von Verlust oder Diebstahl dieser Geräte ins Kalkül aufnehmen. Durch die wachsende Beliebtheit der leistungsfähigen Smartphones und Tablets für den Unternehmenseinsatz rücken diese Aspekte immer mehr in den Vordergrund.

Für Security-Anbieter tun sich neue Märkte auf

Während der Anstieg der Bedrohung zahlenmäßig belegbar ist, betonen Kritiker allerdings, dass die Sicherheitsanbieter bei neuen Handy-Viren weitgehend im Dunkeln tappten und daher kaum echten Schutz anbieten könnten. Ihr primäres Ziel liege vielmehr darin, frühzeitig einen Fuß in den absehbaren Wachstumsmarkt Mobile Security zu bekommen.

Unabhängig davon können Business-Nutzer ohnehin nicht allein darauf bauen, dass die installierte Antivirenlösung die aktuellsten Virensignaturen kennt. Womöglich wurde die Malware speziell zum Ausspionieren eines bestimmten Unternehmens entwickelt - und die Smartphones und Tablets der Manager als schwächstes Glied in der Verteidigungskette identifiziert.

Grundsätzlich kann man jedoch feststellen, dass die zur Absicherung von Desktop-PCs gedachten Maßnahmen nicht zum Schutz von mobilen Endgeräten ausreichen. Es gilt daher, einen wirkungsvollen Basisschutz aufzubauen, um zu verhindern, dass geschäftskritische Informationen an Unbefugte gelangen.

Mobile Sicherheit braucht eine geeignete Plattform

Die wohl wichtigste Voraussetzung für eine gute Grundabsicherung ist die Auswahl eines geeigneten Mobile-Betriebssystems. Nicht ohne Grund dominierten mit RIMs Blackberry OS und Windows Mobile lange Zeit zwei gut abgesicherte und einfach verwaltbare Plattformen den Markt für Business-Smartphones. Und auch dem iPhone gelang der breite Einzug ins Unternehmen erst, als Apple mit dem Betriebssystem-Update iOS 4.0 wichtige Device-Management- und Sicherheits-Features nachlieferte.

Samsung Galaxy Ace S5830
Das Galaxy Ace S5830 gehört zu den eleganteren Geräten aus dem Samsung Android-Lineup. Das Gerät bietet ein 3,5-Zoll-Display mit einer nativen Auflösung von 480 x 320 Bildpunkten und einer 5-Megapixel-Kamera. Beim Gewicht liegt das Galaxy Ace bei guten 118 Gramm, trotz 1350 mAh-Akku.

Huawei U8860 Honour
Huawei vermarktet das Honour international auch unter dem Namen Honor. Das Huawei U8860 Honour zielt preislich auf die Smartphone-Mittelklasse. Das Android-Gerät besitzt einen kapazitiven 4-Zoll-Touchscreen, der eine Auflösung von 854x480 Pixel bietet. Im Test bewährte sich das Honour als solides Smartphone, das Aufgaben wie E-Mail, Facebook oder den Internet-Zugriff von unterwegs problemlos erledigte.

Samsung Galaxy S Plus I9001
Das Plus-Modell unterscheidet sich von außen kaum vom Vorgänger, das Meiste hat sich im Inneren getan. So arbeitet der Prozessor nun mit 1,4 GHz - ein Zuwachs von 400 MHz. Um eine Dual-Core-CPU wie bei aktuellen High-End-Smartphones handelt es sich aber nicht. Weiterhin hat das Galaxy S Plus bei der Datenübertragung zugelegt. Der neue Empfänger unterstützt HSDPA bis zu 14,4 MBit/s.

Apple iPhone 4
Das Apple iPhone 4 ist der direkte Nachfolger des iPhone 3GS. Die offensichtlichste Änderung hat das Gehäuse erfahren, das sich im Aussehen und der Verarbeitung deutlich vom Vorgänger unterscheidet. Das Display arbeitet nun auf Basis der IPS-Technologie, die bereits auf dem iPad durch Blickwinkelstabilität sowie hohen Kontrast Aufsehen erregte.

Apple iPhone 4S
Am 4. Oktober 2011 hat Apple das iPhone 4S vorgestellt. Dies hat stellenweise für Enttäuschung gesorgt, wäre das iPhone 5 doch die spektakulärere Ankündigung gewesen. Auch wenn das Update nicht so revolutionär ausgefallen ist wie erhofft, hat Apple doch an den richtigen Stellen Verbesserungen vorgenommen. So steckt nun der bereits aus dem iPad 2 bekannte A5-Dualcore Prozessor im iPhone 4S.

Samsung Galaxy Gio S5660
Samsungs Galaxy Gio ist klein, leicht und besitzt ein ansprechendes Erscheinungsbild. Die Front nimmt fast vollständig das 3,2 Zoll große Display ein, das es auf eine Auflösung von 320 x 480 Pixel bringt. Wie von Samsung gewohnt ist das Android-Betriebssystem mit der alternativen Bedienoberfläche TouchWiz in Version 3.0 überzogen.

Samsung Galaxy S2 i9100
Das Samsung Galaxy S2 tritt in die Fußstapfen des durchaus erfolgreichen Vorgängers. Neu ist das auf 4,3 Zoll angewachsene Display mit Super-AMOLED-Technik, welches in Sachen Kontraststärke und Farbbrillanz neue Höchstleistungen erbringen soll. Die Auflösung verbleibt dabei auf dem Wert von 800 x 480 Pixel.

HTC Sensation XE
Das HTC Sensation XE ist keine komplette Neuentwicklung, sondern eine Weiterentwicklung des bekannten HTC Sensation. Die Taktrate der verwendeten Dual-Core-CPU ist um 300 MHz von 1,2 GHz auf 1,5 GHz gestiegen. Der Bildschirm ist weiterhin 4,3 Zoll groß und löst mit 540x960 Pixeln auf.

Apple iPhone 3G S
Oldie but Goldie! Das iPhone 3G S ist die günstigste Möglichkeit, bei Apple ein iOS-Smartphone zu kaufen. Im Vergleich zum nicht mehr erhältlichen Vorgänger iPhone 3G ist die höhere Geschwindigkeit (CPU: ARM Cortex A8 mit 600 MHz) der größte Pluspunkt. Außerdem erhielt das S-Modell weitere Extras wie eine Videokamera und einen Kompass. Mit einem iPhone 4 oder 4 S kann das 3 G S natürlich nicht mehr ganz mithalten.

Samsung Galaxy Ace Duos
Das Samsung Galaxy Ace Duos ist der Nachfolger des beliebten Galaxy Ace. Das günstige Android-Smartphones glänzt vorrangig durch den vergleichsweise geringen Preis. Dabei eignet sich das Gerät für den Business-Einsatz, denn durch den zweiten SIM-Karten-Slot können zwei Mobilfunknummern gleichzeitig bedient werden.

Allerdings scheint das System noch Kinderkrankheiten aufzuweisen, so zumindest eine Meldung des Fraunhofer-Instituts für Sichere Informations-Technologie (SIT), die kürzlich die Runde machte. Mitarbeitern des Instituts gelang es, die Geräteverschlüsselung des iPhone auszuhebeln und in nur sechs Minuten viele der auf dem Gerät in der Keychain gespeicherten Passwörter zu entschlüsseln. Dabei mussten die Tester nicht einmal die 256-Bit-Verschlüsselung knacken, sondern machten sich nur eine Schwäche im Sicherheitsdesign zunutze: Der Schlüssel, auf dem die Verschlüsselung basiert, wird nicht auf Basis des geheimen Nutzer-Passworts generiert. Das grundlegende Geheimnis wird vielmehr direkt vom aktuellen Betriebssystem (iOS 4.2.1) gebildet und ist auf dem Gerät gespeichert.

Immerhin besteht seit iOS 4.0 die Möglichkeit, Daten auf dem iPhone zusätzlich zu sichern. Anderen Newcomer-Systemen wie Windows Phone 7 und Android fehlt eine native Geräteverschlüsselung dagegen noch komplett. Microsoft habe beim Aufbau seiner neuen Mobile-Plattform aktuell noch andere Prioritäten, erklärt Markus Müller, Gründer des Münchner Mobile-Device-Management-Experten Ubitexx. Windows Phone 7 sei deswegen derzeit noch nicht für den Enterprise-Einsatz geeignet. Googles Mobile-Betriebssystem, das viele bereits als weitere Alternative für den Business-Einsatz sehen, bekomme wiederum erst mit dem Honeycomb-Update eine native On-Board-Verschlüsselung.

Aus den Augen - nicht aus dem Sinn

Unabhängig davon, wie sicher die Daten auf den Firmen-Smartphones abgelegt sind - als Zugangstor zu Kundendatenbanken, Preislisten und anderen geschäftskritischen Informationen benötigen die Geräte ständigen Schutz. Dazu zählt insbesondere die Möglichkeit für Administratoren, jederzeit remote auf die Geräte zugreifen zu können. Nur so sind sie in der Lage, Smartphones bei Verlust oder Diebstahl zu sperren, die gespeicherten Daten zu löschen, wichtige Updates aufzuspielen oder die Einhaltung von Policies zu überwachen und durchzusetzen.

Sehr filigrane Kontrolle bei Blackberry und Windows Mobile

Die wahrscheinlich bekannteste Mobile-Device-Management-Lösung ist der Blackberry Enterprise Server (BES). Das System erlaubt neben der verschlüsselten Übertragung von Mails und PIM-Daten eine filigrane Kontrolle der angebundenen Blackberry-Smartphones. In Verbindung mit einer Zwei-Faktor-Authentisierung eignen sich bestimmte Gerätemodelle sogar für den Einsatz in Hochsicherheitsumgebungen, etwa Militär und Regierungskreisen. Lediglich der Transport des Mail-Verkehrs über ein zentrales Rechenzentrum (NOC = Network Operating Center) bereitet manchen Sicherheitsbeauftragten Kopfschmerzen. Hierzulande setzt die Bundesregierung daher auf Windows-Mobile-Geräte, die neben dem Exchange-ActiveSync-Protokoll auch über eine Smartcard-basierende Lösung von Certgate/T-Systems (SimKo 2) abgesichert und verwaltet werden. Was danach kommt, ist fraglich: Nach der Entscheidung von Microsoft, künftig auf das noch nicht Business-taugliche Windows Phone 7 als mobile Plattform zu setzen, fehlt hier - abgesehen von Blackberry - kurz- bis mittelfristig noch eine geeignete Alternative.

Auch Android und iPhone/iOS nutzen das von Microsoft lizenzierte ActiveSync-Protokoll für ihre Mobile-Lösungen. Google bescheidet sich allerdings mit den darin enthaltenen rudimentären Management-Funktionen wie Passwortschutz und Remote Lock and Wipe. Diese bilden die Grundlage für die meisten Verwaltungslösungen für Android. Eine Ausnahme ist "Good for Enterprise - Android" vom US-Anbieter Good Technology - hier werden Mails und andere geschäftskritische Daten in einer verschlüsselten Anwendung aufbewahrt und über einen externen Server gemanagt.

Im Gegensatz dazu hat Apple einer Reihe von Drittanbietern wie MobileIron, Sybase oder hierzulande Ubitexx zusätzliche Schnittstellen für das Mobile-Device-Management bereitgestellt. Mit den daraus hervorgegangenen Lösungen können Unternehmen ihre iPhones und iPads weitaus besser verwalten. Unter anderem lassen sich über die Luftschnittstelle spezifische Einstellungen, Sicherheitsparameter und Policy-Profile ohne Benutzerinteraktion installieren und verwalten. Das remote Aufspielen von Anwendungen wird jedoch nicht unterstützt, auch filigranere Vorgaben wie die Sperrung bestimmter Web-Seiten (außer YouTube) oder Apps für den Benutzer sind nicht möglich.

Nutzungsregeln schließen technische Lücken

Überall dort, wo sich Vorgaben nicht allein technisch durchsetzen lassen, muss der Nutzer über eine spezielle Mobile User Policy ins Boot geholt werden. Darin sollte unter anderem klar definiert werden, welche Daten (geschäftlich und privat) auf den mobilen Endgeräten genutzt werden dürfen. Experten empfehlen, besonderes Augenmerk auf die allerseits beliebten Apps zu legen. So rät etwa Boris Sharov, CEO des russischen Sicherheitsanbieters Dr. Web, generell die Installation eigener Apps zu untersagen - über Tools oder, falls nicht möglich, via Policy. Man könne nie wissen, wie intensiv AppStore-Betreiber wie Apple oder Google die Anwendungen vor dem Einstellen geprüft hätten, so Sharovs Erklärung.

Um Malware komplett ausschließen zu können, müssten sie theoretisch den gesamten Code durchsuchen - die Arbeit von mehreren Tagen oder Wochen. Tatsächlich ist solche Gründlichkeit wohl eher selten, iPhone-Entwickler müssen Apple nicht einmal den Quellcode vorlegen. Erst kürzlich wurden außerdem im Android Market über 50 Anwendungen entdeckt, die mit dem Trojaner DroidDream infiziert waren - dieser leitete sensible Telefondaten an einen Server in Kanada weiter. (hal)

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.