Falsche Fragen - falsche Antworten
Ein Grund dafür, dass sich clevere Leute wie Schreiber Zugang zu Firmensystemen verschaffen können, liegt möglicherweise darin, dass IT-Verantwortliche sich falsche Fragen stellen und deshalb auch falsche Antworten bekommen. So wollte etwa IDC in der "Mobile Benchmark Study" wissen, was Unternehmen tun, um das Risiko beim Einsatz von Smartphones oder Tablets zu verringern. Über 70 Prozent der Befragten gaben an, zunächst einmal katalogisiere man, wer solche Geräte überhaupt nutzt. Mehr als 60 Prozent sagten, sie würden festlegen, welche Business Applications auf diesen Geräten zum Einsatz kommen dürfen. Nicht einmal 40 Prozent der Teilnehmer meinten, die Daten auf Tablets, Smartphones und Speicherkarten müssten verschlüsselt sein.
All das liest sich nicht gerade, als ob die Antwortenden wirklich verstanden hätten, wo die Probleme lauern.
Fortschrittliche Verschlüsselung
Schreibers Erfahrungen mit dem Dax-30-Konzern zeigten ihm, dass "iPhones und iPads, verglichen mit traditionellen Notebooks etwa unter Windows 7, in Bezug auf Verschlüsselung sehr fortschrittlich sind". Der Windows-7-Nutzer müsse mit einem "standardmäßig unverschlüsselten System vorliebnehmen". Der iPad-Nutzer hingegen bediene ein System mit verschlüsseltem Flash-Speicher: "Die Verschlüsselung lässt sich nicht einmal deaktivieren." Apple-User können sich also gelassen zurücklehnen? Von wegen, sagt Schreiber: "Trotz verschlüsselten Speichers gibt es noch zahlreiche weitere Angriffsmöglichkeiten." "Remote-Wipe" scheine auf den ersten Blick eine "geniale" Lösung: "Wird mir mein Device gestohlen, dann kann ich quasi auf Knopfdruck den AES-Schlüssel löschen lassen, so dass sämtliche Daten sozusagen vernichtet sind." So weit, so gut. Werde einem aber das iPad gestohlen, könne es der Täter einfach ausschalten und den Remote-Wipe unmöglich machen.
Leichter gesagt als getan
Schreiber hatte sich über ein Firmen-iPad mittels Jailbreak in die Konzern-IT-Struktur des Dax-30-Unternehmens gehackt. So gelangte er auch ins Herz der IT-Infrastruktur. Da könnte man auf die Idee kommen, Unternehmen müssten lediglich die Jailbreak-Option unterbinden, um auf der sicheren Seite zu sein: "Leichter gesagt als getan. Apple arbeitet schon seit Jahren daran, Jailbreaks zu erschweren, und hat damit nur wenig Erfolg. Googles Androiden sind noch leichter zu knacken," so Schreiber.
Es liegt nahe, zu fragen, ob MDM-Systeme (Mobile-Device-Management) Jailbreaks nicht verhindern können. Nein, lautet die Antwort des Miethackers. Verhindern können MDMs solche Jailbreaks nicht. Aber immerhin versuchen sie, Jailbreaks zu erkennen, um dann den Zugriff auf vertrauliche Daten zu unterbinden. Problem aber: "In unserem Labor haben wir gezeigt, dass sich die Mechanismen der Jailbreak-Detection mühelos umgehen lassen."
Unendliche Geschichte: Passwörter
Passwörter können heutzutage mit frei auf dem Markt verfügbarer Software in Sekundenschnelle geknackt werden. Trotz aller warnenden Berichte in den vergangenen Jahren scheint dieses Thema immer noch virulent zu sein. Schreiber bestätigt das: "Seitdem ich die Syss GmbH im Jahr 1998 gegründet habe, begleiten mich schwache Passwörter Woche für Woche." Schreiber empfiehlt komplexe Zugangscodes, "solche mit mehr als zehn Zeichen, Sonderzeichen und Ziffern".
- Security-Checkliste: Smartphone im Business
Der Smartphone-Einsatz in Unternehmen birgt hohe Sicherheitsrisiken. Lesen Sie hier, was Sie beachten sollten. - Punkt 1:
Sicherheit zum zentralen Kriterium bei der Produktauswahl machen - Punkt 2:
Richtlinien für Installation, Anbindung, Betrieb und Entsorgung von Endgeräten entwickeln. - Punkt 3:
Sichere Konfiguration der Endgeräte berücksichtigen. - Punkt 4:
Sichere Integration in Unternehmens-IT umsetzen. - Punkt 5:
Endgeräte in relevante Prozesse wie zum Beispiel das Patch-Management einbinden - Punkt 6:
Benutzerrichtlinien für den Umgang mit Endgeräten definieren.
Wichtiger sei der Ratschlag, den er für Betreiber und die Sicherheitsverantwortlichen in Unternehmen habe: "Stellen Sie sicher, dass ausschließlich starke Passwörter gesetzt werden können, und setzen Sie zusätzliche Sicherheitsvorkehrungen wie Tokens, Zertifikate oder Chipkarten ein."
Schreiber hat klare Vorstellungen, was er Unternehmen in Sachen effektives MDM an die Hand geben würde. Zunächst einmal sollten sicherheitsbewusste Unternehmen nur eine Plattform unterstützen. Zudem rät der Sicherheitsspezialist zur Datensparsamkeit: "Reduzieren Sie die Daten, die auf den mobilen Geräten abgespeichert sind." Nicht unerwartet ist sein dritter Ratschlag: Firmen sollten Penetrationstests absolvieren.