Nach Aussagen von Sicherheitsexperten geraten immer öfter Smartphones und Tablets in den Focus von Hackern. Dies belegen in den letzten Monaten die zahlreichen gemeldeten Fälle, bei denen Handys gehackt und mit Malware infiziert wurden. Besonders das Apple-iPhone/iPad- und das Android-Betriebssystem sind gefährdet. Allerdings ist im Vergleich mit der Situation im Computerbereich die Bedrohungslage bei Handys zurzeit noch relativ entspannt. Dennoch sollten die IT-Verantwortlichen jetzt entsprechende Sicherheitsmaßnahmen definieren und im Unternehmen durchsetzen.
Gerade Unternehmen wo Smartphones und Tablets als mobiles Produktivmittel eingesetzt werden, stehen vor neuen sicherheitstechnischen Herausforderungen. Neben den direkten Bedrohungen durch Viren, Trojaner und andrer Malware müssen die IT-Verantwortlichen zusätzlich das hohe Risiko von Verlust oder Diebstahl dieser Geräte ins Kalkül aufnehmen. Durch die wachsende Beliebtheit der leistungsfähigen Smartphones und Tablets für den Unternehmenseinsatz rücken diese Aspekte immer mehr in den Vordergrund.
Für Security-Anbieter tun sich neue Märkte auf
Während der Anstieg der Bedrohung zahlenmäßig belegbar ist, betonen Kritiker allerdings, dass die Sicherheitsanbieter bei neuen Handy-Viren weitgehend im Dunkeln tappten und daher kaum echten Schutz anbieten könnten. Ihr primäres Ziel liege vielmehr darin, frühzeitig einen Fuß in den absehbaren Wachstumsmarkt Mobile Security zu bekommen.
Unabhängig davon können Business-Nutzer ohnehin nicht allein darauf bauen, dass die installierte Antivirenlösung die aktuellsten Virensignaturen kennt. Womöglich wurde die Malware speziell zum Ausspionieren eines bestimmten Unternehmens entwickelt - und die Smartphones und Tablets der Manager als schwächstes Glied in der Verteidigungskette identifiziert.
Grundsätzlich kann man jedoch feststellen, dass die zur Absicherung von Desktop-PCs gedachten Maßnahmen nicht zum Schutz von mobilen Endgeräten ausreichen. Es gilt daher, einen wirkungsvollen Basisschutz aufzubauen, um zu verhindern, dass geschäftskritische Informationen an Unbefugte gelangen.
Mobile Sicherheit braucht eine geeignete Plattform
Die wohl wichtigste Voraussetzung für eine gute Grundabsicherung ist die Auswahl eines geeigneten Mobile-Betriebssystems. Nicht ohne Grund dominierten mit RIMs Blackberry OS und Windows Mobile lange Zeit zwei gut abgesicherte und einfach verwaltbare Plattformen den Markt für Business-Smartphones. Und auch dem iPhone gelang der breite Einzug ins Unternehmen erst, als Apple mit dem Betriebssystem-Update iOS 4.0 wichtige Device-Management- und Sicherheits-Features nachlieferte.
Allerdings scheint das System noch Kinderkrankheiten aufzuweisen, so zumindest eine Meldung des Fraunhofer-Instituts für Sichere Informations-Technologie (SIT), die kürzlich die Runde machte. Mitarbeitern des Instituts gelang es, die Geräteverschlüsselung des iPhone auszuhebeln und in nur sechs Minuten viele der auf dem Gerät in der Keychain gespeicherten Passwörter zu entschlüsseln. Dabei mussten die Tester nicht einmal die 256-Bit-Verschlüsselung knacken, sondern machten sich nur eine Schwäche im Sicherheitsdesign zunutze: Der Schlüssel, auf dem die Verschlüsselung basiert, wird nicht auf Basis des geheimen Nutzer-Passworts generiert. Das grundlegende Geheimnis wird vielmehr direkt vom aktuellen Betriebssystem (iOS 4.2.1) gebildet und ist auf dem Gerät gespeichert.
Immerhin besteht seit iOS 4.0 die Möglichkeit, Daten auf dem iPhone zusätzlich zu sichern. Anderen Newcomer-Systemen wie Windows Phone 7 und Android fehlt eine native Geräteverschlüsselung dagegen noch komplett. Microsoft habe beim Aufbau seiner neuen Mobile-Plattform aktuell noch andere Prioritäten, erklärt Markus Müller, Gründer des Münchner Mobile-Device-Management-Experten Ubitexx. Windows Phone 7 sei deswegen derzeit noch nicht für den Enterprise-Einsatz geeignet. Googles Mobile-Betriebssystem, das viele bereits als weitere Alternative für den Business-Einsatz sehen, bekomme wiederum erst mit dem Honeycomb-Update eine native On-Board-Verschlüsselung.
Aus den Augen - nicht aus dem Sinn
Unabhängig davon, wie sicher die Daten auf den Firmen-Smartphones abgelegt sind - als Zugangstor zu Kundendatenbanken, Preislisten und anderen geschäftskritischen Informationen benötigen die Geräte ständigen Schutz. Dazu zählt insbesondere die Möglichkeit für Administratoren, jederzeit remote auf die Geräte zugreifen zu können. Nur so sind sie in der Lage, Smartphones bei Verlust oder Diebstahl zu sperren, die gespeicherten Daten zu löschen, wichtige Updates aufzuspielen oder die Einhaltung von Policies zu überwachen und durchzusetzen.
Sehr filigrane Kontrolle bei Blackberry und Windows Mobile
Die wahrscheinlich bekannteste Mobile-Device-Management-Lösung ist der Blackberry Enterprise Server (BES). Das System erlaubt neben der verschlüsselten Übertragung von Mails und PIM-Daten eine filigrane Kontrolle der angebundenen Blackberry-Smartphones. In Verbindung mit einer Zwei-Faktor-Authentisierung eignen sich bestimmte Gerätemodelle sogar für den Einsatz in Hochsicherheitsumgebungen, etwa Militär und Regierungskreisen. Lediglich der Transport des Mail-Verkehrs über ein zentrales Rechenzentrum (NOC = Network Operating Center) bereitet manchen Sicherheitsbeauftragten Kopfschmerzen. Hierzulande setzt die Bundesregierung daher auf Windows-Mobile-Geräte, die neben dem Exchange-ActiveSync-Protokoll auch über eine Smartcard-basierende Lösung von Certgate/T-Systems (SimKo 2) abgesichert und verwaltet werden. Was danach kommt, ist fraglich: Nach der Entscheidung von Microsoft, künftig auf das noch nicht Business-taugliche Windows Phone 7 als mobile Plattform zu setzen, fehlt hier - abgesehen von Blackberry - kurz- bis mittelfristig noch eine geeignete Alternative.
Auch Android und iPhone/iOS nutzen das von Microsoft lizenzierte ActiveSync-Protokoll für ihre Mobile-Lösungen. Google bescheidet sich allerdings mit den darin enthaltenen rudimentären Management-Funktionen wie Passwortschutz und Remote Lock and Wipe. Diese bilden die Grundlage für die meisten Verwaltungslösungen für Android. Eine Ausnahme ist "Good for Enterprise - Android" vom US-Anbieter Good Technology - hier werden Mails und andere geschäftskritische Daten in einer verschlüsselten Anwendung aufbewahrt und über einen externen Server gemanagt.
Im Gegensatz dazu hat Apple einer Reihe von Drittanbietern wie MobileIron, Sybase oder hierzulande Ubitexx zusätzliche Schnittstellen für das Mobile-Device-Management bereitgestellt. Mit den daraus hervorgegangenen Lösungen können Unternehmen ihre iPhones und iPads weitaus besser verwalten. Unter anderem lassen sich über die Luftschnittstelle spezifische Einstellungen, Sicherheitsparameter und Policy-Profile ohne Benutzerinteraktion installieren und verwalten. Das remote Aufspielen von Anwendungen wird jedoch nicht unterstützt, auch filigranere Vorgaben wie die Sperrung bestimmter Web-Seiten (außer YouTube) oder Apps für den Benutzer sind nicht möglich.
Nutzungsregeln schließen technische Lücken
Überall dort, wo sich Vorgaben nicht allein technisch durchsetzen lassen, muss der Nutzer über eine spezielle Mobile User Policy ins Boot geholt werden. Darin sollte unter anderem klar definiert werden, welche Daten (geschäftlich und privat) auf den mobilen Endgeräten genutzt werden dürfen. Experten empfehlen, besonderes Augenmerk auf die allerseits beliebten Apps zu legen. So rät etwa Boris Sharov, CEO des russischen Sicherheitsanbieters Dr. Web, generell die Installation eigener Apps zu untersagen - über Tools oder, falls nicht möglich, via Policy. Man könne nie wissen, wie intensiv AppStore-Betreiber wie Apple oder Google die Anwendungen vor dem Einstellen geprüft hätten, so Sharovs Erklärung.
Um Malware komplett ausschließen zu können, müssten sie theoretisch den gesamten Code durchsuchen - die Arbeit von mehreren Tagen oder Wochen. Tatsächlich ist solche Gründlichkeit wohl eher selten, iPhone-Entwickler müssen Apple nicht einmal den Quellcode vorlegen. Erst kürzlich wurden außerdem im Android Market über 50 Anwendungen entdeckt, die mit dem Trojaner DroidDream infiziert waren - dieser leitete sensible Telefondaten an einen Server in Kanada weiter. (hal)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.