Viele Smartphones sind ein Sicherheitsrisiko

11 11 2009
Themen:

Mobile Geräte in all ihren Varianten sind mittlerweile wahre Kommunikationswunder. Aber die Daten, die auf Smartphones lagern oder über die sie versendet werden, sind oftmals ungeschützt. Das ist ein nicht tragbares Sicherheitsrisiko.

Ein Mobiltelefon bietet dem Business-Anwender jede Menge Möglichkeiten. Er kann natürlich damit telefonieren, aber auch E-Mails senden und empfangen, auf Web-Seiten zugreifen und nicht zuletzt Anwendungen nutzen, die auf Rechnern im Unternehmensnetz angesiedelt sind.

Dafür stellen die meisten Smartphones gleich mehrere Kommunikationstechniken bereit, vom klassischen 2G- und 3G-Mobilfunknetz über Wireless-LAN-Verbindungen bis hin zu Bluetooth und schnellen HSPA-Connections (High-Speed Packet Access) mit bis zu 7,2 MBit/s.

Häufig sind alle diese Techniken in einem einzigen Gerät integriert. Smartphones beherrschen Web-Browsing, synchronisieren sich mit Messaging-Systemen und erlauben den Fernzugriff auf eine stetig wachsende Zahl von Geschäftsapplikationen. Kein Wunder, dass immer mehr Geschäftsanwender die mobilen Alleskönner nutzen.

Smartphone statt Notebook

Eine von unserer Schwesterzeitschrift Information Week durchgeführte Befragung von rund 1140 Business-Technology-Profis ergab, dass 30 Prozent der Smartphone-Benutzer die Geräte für den Zugriff Daten und Anwendungen im Unternehmen nutzen. An die 37 Prozent lassen gelegentlich oder häufig ihre Notebook-Rechner zu Hause und verwenden stattdessen Smartphones.

Und dieser Trend verstärkt sich, denn fast jeder Unternehmensmitarbeiter will oder muss von überall auf Daten zugreifen, unterwegs auf E-Mails antworten oder Text- und Twitter-Nachrichten in Echtzeit senden können.

Das ist im Prinzip nützlich und vereinfacht die Kommunikation. Es ist jedoch nicht ohne Risiko, wenn kritische Unternehmensinformationen ausgetauscht werden. Denn häufig sind die Kommunikationszwerge noch nicht in die Security-Policy des Unternehmens eingebunden – ein immenses Sicherheitsrisiko.

Network Computing untersuchte deshalb, wie sich Smartphones managen und schützen lassen. Denn wenn diese Geräte PC-ähnliche Funktionen bieten, müssen sie logischer Weise denselben Sicherheitsrichtlinien entsprechen, die auch für Desktop-Rechnern oder Laptops gelten.

Totes Perimeter-Modell

Smartphones besitzen alle Elemente eines PCs: ein Betriebssystem, Applikationen, Datenspeicher und Netzwerk-Verbindungen. Hinzu kommt die Fähigkeit, sich »remote« via VPN (Virtuelles Privates Netz) in die Unternehmens-IT-Infrastruktur einzuklinken. Aus diesem Grund ist es sinnvoll, die Mobiltelefone vor Risiken wie Viren, Malware, Diebstahl, Verlust, dem unautorisierten Zugriff und Einbruchsversuchen zu schützen.

Im Vergleich zu PCs oder Macintoshs gibt es derzeit nur eine geringe Zahl von Malware für Smartphones, vorzugsweise Viren. Aber das ändert sich derzeit nach Einschätzung aller IT-Sicherheitsfirmen. Je mehr Anwender mobile Geräte verwenden, desto interessanter wird dieser »Markt« auch für die Programmierer von Schadsoftware.

Zusätzliche Bedrohungen der Smartphone-Sicherheit kommen durch E-Mail, SMS, Multimedia-Messaging-Services, Bluetooth und Datei-Downloads via WLANs oder Mobile-Data-Networks. Da die Geräte so ziemlich jedes öffentliche Datennetzwerk nutzen, beispielsweise das eines Mobilfunk-Providers oder fast jedes öffentlich zugängliche Wireless LAN, kann das traditionelle Perimeter-Modell für tot erklärt werden.

Obwohl Smartphones vertrauliche und unternehmenskritische Daten beherbergen, sind Sicherheitsvorkehrungen oft nicht vorhanden. So fehlen Techniken, die mittlerweile in Unternehmensnetzen und auf Client-Rechnern Standard sind, etwa Firewalls oder Intrusion-Detection- und Intrusion-Prevention-Systeme.

User installieren auch ungeprüfte Applikationen

Auch der Versuch, nicht geprüfte und freigegebene Applikationen von Firmen-Smartphones auszusperren, funktioniert in der Praxis nicht. Eine Firma oder Behörde mag zwar Richtlinien haben, die eine Installation von Applikationen verbieten, aber die User tun es trotzdem.

Smartphone-Anwender installieren häufig auf eigene Faust Software auf ihren Geräten. Nur mithilfe von Security-Policies lässt sich dieses Problem in den Griff bekommen.

Hinzu kommt, dass das Angebot an Apps für Mobiltelefone gar zu verlockend ist. Alleine der App Store von Apple enthielt Anfang November mehr als 100.000 Anwendungen für das iPhone. Für das Blackberry standen im Juni an die 2000 Apps zur Verfügung. Mittlerweile dürften es etwa 3000 sein. Android kommt auf 10.000 Applikationen. Microsoft dagegen hält mit den Zahlen bezüglich Windows Mobile hinter dem Berg. Schätzungen gehen von 30.000 Apps aus.

Mobiltelefon ist kein Datentresor

Und was ist mit den Daten, die auf der Micro-SD-Karte des Telefons gespeichert sind? Bleibt das Telefon, beispielsweise bei einem Gespräch an der Bar, einen kurzen Augenblick unbeaufsichtigt auf dem Tresen liegen, können die darauf gespeicherte Daten ruckzuck den Besitzer wechseln.

Der E-Mail-Eingangsordner enthält sicherlich interessante Nachrichten, das Kontakte-Verzeichnis Adressen von aktuellen und potenziellen Kunden, und die Kalendereinträge geben Hinweise auf Geschäftsbesprechungen. Da die meisten Smartphones nicht die Eingabe eines Passworts verlangen, wenn sie erst einmal eingeschaltet sind, könnte ein Fremder via VPN sogar Zugang zum Unternehmensnetzwerk erlangen.

Für Netzwerkverwalter und IT-Sicherheitsexperten im Unternehmen bedeutet das: Für Smartphones muss eine Sicherheitsrichtlinie erstellt und angewendet werden, und zwar umgehend.


Richtlinien sind ein Muss

Um Smartphones zu schützen, sind Datenschutz-Prinzipien anzuwenden. Sicher, es macht dem Systemverwalter mehr Spaß, sich sofort auf passende Sicherheitswerkzeuge zu stürzen. Aber das sind lediglich die Hilfsmittel, die eine Sicherheits-Policy durchsetzen sollen.

Geräte wie etwa das HTC Touch Pro werden zunehmend anstelle von Notebooks eingesetzt.

Richtlinien bilden das Rückgrat einer umfassenden Sicherheit. Konsistenz ist bei solchen Regeln ein zentraler Faktor. Denn falsch konfigurierte Geräte führen nicht nur zu teuren und zeitraubenden Helpdesk-Anrufen, sondern eröffnen auf den Systemen zudem Sicherheitslöcher.

Firmen, in denen nur wenige Smartphones im Einsatz sind, können Sicherheitsrichtlinien für mobile Rechner wie Notebooks auf die Mobiltelefone anwenden. Längerfristig sollten die Smartphones allerdings als eigenständige Kategorie in ein Sicherheits-Framework integriert werden.

Erforderliche Security-Regeln

Das lässt sich bewerkstelligen, indem man einige der Hauptsicherheitsrichtlinien erweitert. Diese Erweiterungen sollten auf die spezifischen Nuancen der mobilen Geräte zielen. Erforderlich sind folgende Dokumente:

• Sicherheitsrichtlinien definieren die Sicherheitsaufstellung der Organisation und sind typischerweise mit unterstützenden Dokumenten verknüpft. Anforderungen mobiler Geräte sind hier klar zu benennen.

• Datenklassifizierungsrichtlinien stufen Informationen in Kategorien ein. Jede Kategorie und die dazu gehörigen Daten sind auf separate Weise zu behandeln. Da Smartphones nicht immer alle Sicherheitskontrollverfahren unterstützen, sind einige Geräte nicht in der Lage, kritische Informationen ausreichend zu schützen. Das gilt besonders für lokale auf dem Gerät gespeicherte Daten sowie Dokumente, die via E-Mail in Dateianhängen übermittelt werden. Sie werden meist nicht verschlüsselt und sind somit jedem zugänglich, der ein Smartphone an sich nimmt.

• Mobile-Device-Richtlinien beschreiben die Details, wie mobile Geräte unterstützt, geschützt und genutzt werden sollen. Sie können die erforderliche Software aufführen, Leitfäden für Remote-Access enthalten und regeln, ob ausschließlich unternehmenseigene Smartphones eingesetzt werden dürfen.

• Eine WLAN-Richtlinie ist besonders wichtig, weil die meisten Smartphones WLAN-Zugriff unterstützen. Selbst mit 802.1X/EAP-Controls wie PEAP könnten mobile Geräte ungehinderten Zugriff auf ein Unternehmens-WLAN haben. Eine WLAN-Richtlinie regelt, ob und auf welche Weise ein Zugriff erlaubt ist. Sie definiert, ob ein spezielles Netzwerk für Smartphones existiert.

• Hinzu kommen Regeln für die Verwaltung und Wartung der mobilen Geräte. So muss sichergestellt sein, dass Sicherheitslöcher bei Anwendungen oder dem Betriebssystem umgehend geschlossen und die aktuellen Versionen von Applikationen auf das Mobilgerät überspielt werden.

Quelle: www.crn.de

Geräte wie das HTC Touch Pro werden zunehmend anstelle von Notebooks eingesetzt.
Ein Wachhund für Smartphones ist in vielen Unternehnen nicht vorhanden.
Smartphone-Anwender installieren häufig auf eigene Faust Software.

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht öffentlich zugänglich angezeigt.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <img> <p> <h3>
  • Zeilen und Absätze werden automatisch erzeugt.

Weitere Informationen über Formatierungsoptionen