Mobile Computing/Mobile Sicherheit kommt nur langsam voran

Der Weg für WAP bleibt steil und steinig

27.06.2003
Datenfähige Mobilfunkgeräte werden sich nur dann durchsetzen können, wenn die mobile Kommunikation an das Sicherheitsniveau der Festnetze heranreicht. Diesen Anspruch stellen die Unternehmen mit ihren mobilen Mitarbeitern ebenso wie die Verbraucher, die ihre persönlichen Informationen wie Kreditkartendaten vertraulich behandelt wissen wollen. Von Bernd Redecker*

Die Sicherheit ist sowohl mit WAP 1.1 als auch WAP 1.2 nicht gerade groß. Innerhalb der WAP-Architektur fungiert ein Proxy-Server als WAP-Gateway zwischen Mobilfunknetz und dem festnetzbasierenden Internet. Dort wird der per WTLS eingehende Datenverkehr entschlüsselt, um ihn für die Festnetzkommunikation per SSL (Secure Socket Layer) wieder zu verschlüsseln. Die Daten sind also innerhalb des WAP-Gateway unverschlüsselt und damit angreifbar. Viele Unternehmen versuchen deshalb den Datenverkehr von diesem externen auf ihr eigenes WAP-Gateway umzuleiten. Geschlossen wird diese Sicherheitslücke erst mit der Umsetzung von WAP 2.0 und einer durchgehenden Ende-zu-Ende-Verschlüsselung vom Client bis zum Applikations-Server. Doch bis dahin ist es noch ein weiter Weg.

WAP 1.2 erschließt immerhin ein hinreichendes Sicherheitsmaß. Als abwärtskompatibler Standard zu WAP 1.1 bietet diese Version sowohl eine sichere Verschlüsselung der Übertragungsdaten als auch den Einsatz von Smard Cards. Die Funktion "SignText" erlaubt, innerhalb des SIM (Subscriber Identity Module) auf dem mobilen Gerät digitale Signaturen zu erzeugen. Als Ergänzung dazu kann gemäß WAP 1.2.1 ein WIM (Wireless Identification Module) eingesetzt werden. In diesem Fall liegt der Schlüssel auf der Chipkarte, geschützt durch eine persönliche PIN.

Das Problem ist jedoch, dass der Großteil der Mobilfunkgeräte im Markt lediglich den WAP-1.1-Standard unterstützt, der auf CSD (Circuit Switched Data) basiert. Das Gleiche gilt für die WAP-Gateways der Mobilfunkbetreiber, die heute mehrheitlich nur WAP 1.1 beherrschen. Es wird also noch einige Zeit dauern, bis mobile Geschäfte von dem definierten Sicherheitsniveau des WAP-1.2-Standards profitieren können. WAP 1.1 erschließt zwar eine WTLS-Verschlüsselung der WML- (Wireless-Markup-Language-)Inhalte (40, 56 oder 128 Bit), allerdings nicht immer in hinreichender Stärke.

Die aktuelle Preisgestaltung und wirtschaftliche Situation lässt befürchten, dass WAP-1.2-fähige Geräte mit dem höheren Sicherheitsniveau nur zögerlich im Markt angenommen werden. Nicht nur, weil die neue Gerätegeneration, in die zwangsläufig investiert werden muss, ihren Preis hat. So haben die Hersteller für bestehende Mobilfunkgeräte keine Update-Möglichkeit nach oben vorgesehen. Auch die PKI-Funktionalität will bezahlt sein. Ein PKI-Zertifikat kostet je nach Bezugsmenge heute bis zu 20 Euro. Die Smard Card für den mobilen Einsatz schlägt mit 15 bis 20 Euro zu Buche, der dazugehörige Kartenleser mit nochmals bis zu rund 100 Euro. Dazu kommt die Software zur Verteilung der Zertifikate.

Auch die Alternative, statt auf die Smard Card auf Tokens, beispielsweise SecurID, zu setzen, hat ihren Preis. In diesem Fall wird für jeden Einwahlvorgang ein Zugangscode generiert, den der mobile Teilnehmer zusätzlich zu seinem Passwort eingeben muss. Die notwendige Hardware in der Größe eines Schlüsselrings kostet zwischen 30 und 50 Euro. Lädt der Geschäftsteilnehmer sich alternativ die SecurID-Software auf sein Mobilfunkgerät, ist er mit rund 25 Euro dabei. Das geht aber nur, wenn das Unternehmen einen Server zur Login-Validierung vorhält - Kostenpunkt für 100 Teilnehmer: ab 9000 Euro.

Dabei ist WAP 1.2 nicht das letzte Wort in puncto Mobilfunkkommunikation und Mobile Security. Für eine professionellere Datenkommunikation müssen Farbe und Multimediaformate für Audio- und Video-Streaming integriert werden. Zudem sollte das Internet-Protokoll TCP (Transfer Control Protocol), dazu HTTP (Hypertext Transfer Protocol) unterstützt werden. Größere Displays, mehr Prozessorleistung und mehr Speicher werden die Informationsaufbereitung und -darstellung über die Vereinheitlichung von WML und XHTML (Extensible Hypertext Markup Language) verbessern. Auch eine erweiterte Anwendungsumgebung, WAE (Wireless Application Environment), basierend auf XHTML, ist notwendig, ebenso wie die Unterstützung von Push Proxies, drahtloser Telefonieapplikationen und von Plug-ins sowie J2ME-Applets für die schnelle Erweiterung der Anwendungslandschaft. Das alles wird unter anderem mit WAP 2.0 durch das WAP-Forum definiert.

Erst WAP 2.0 bietet mehr Sicherheit

Mit dieser Version soll zudem eine verbesserte Sicherheit in die Mobilfunkkommunikation einkehren. Nicht nur, weil damit endlich eine Ende-zu-Ende-Verschlüsselung der Übertragungsdaten zwischen mobilem Client und dem Ziel-Server auf Basis des Protokolls HTTP per TSL (Transport Layer Security) umgesetzt werden kann. Es fallen auch innerhalb des WAP-Gateway keine entschlüsselten Daten mehr an. Innerhalb der WAP-2.0-Architektur kommt dem WAP-Gateway lediglich die Aufgabe zu, den TLS-Tunnel zwischen der drahtlosen Seite (Wirless Profiled-TCP) und der leitungsgebundenen TCP-Internet-Seite zu vermitteln. Dafür kann die WAP-2.0-Gateway künftig Zusatzaufgaben wie Datenbelieferung per Push oder Location Based Services übernehmen. Die Mobilfunkteilnehmer werden zudem erst mit WAP 2.0 auf eine vollwertige Wireless PKI (WPKI) bauen können.

Auf dieses Plus an Sicherheit und Kommunikationskomfort werden die Mobilfunkteilnehmer aber noch einige Zeit warten müssen. Bis WAP 2.0 im Markt greifen wird, müssen die Mobilfunkbetreiber erst einmal komplett von WAP 1.1 auf WAP 1.2 umsteigen. Den nächsten Schritt werden sie erst dann gehen, wenn WAP-2.0-Geräte im Markt hinreichend Fuß gefasst haben.

Aber es könnte auch anders kommen. Mit Mobilfunkgeräten, die sich in der Leistungsstärke und Darstellung Notebooks annähern, könnten statt TSL und WPKI in weiterer Zukunft IPsec-VPN und PKI das Rennen machen, dazu XML als Informationsaufbereitungs- und Darstellungsformat. Stark und komfortabel genug wären dann die Mobilfunkgeräte, um den notwendigen IPsec-Client aufzunehmen, die Ver- und Entschlüsselung im Rahmen einer normalen PKI zu absolvieren und die Inhalte gemäß XML darzustellen. (ba)

*Bernd Redecker ist Leiter des Compentence Teams E/M-Technologies bei Siemens Business Services in Paderborn.

Angeklickt

Trotz großer Sicherheitslücken schicken viele Firmen unternehmenskritische Daten durch die Mobilfunknetze. Mit wachsender Bandbreite und neuen Geräten wird dieser Trend eher noch zunehmen. Allerdings können die Security-Standards mit dieser Entwicklung nicht Schritt halten. Erst WAP in der Version 2.0 verspricht eine Ende-zu Ende-Verschlüsselung. Mit den aktuellen Vorgängerversionen 1.1 und 1.2 stehen Hackern viele Türen offen.

Abb: Techniken für End-zu-End-Security

Zwar gibt es mit Authentifizierung, Verschlüsselung, Zertifikaten sowie Antiviren- und Firewall-Programmen zahlreiche Sicherheitstechniken. Diese müssen jedoch gerade im mobilen Bereich an verschieden gefährdeten Schnittstellen implementiert werden. Quelle: Siemens Business Services