Die Einführung von Smartphones und Tablets bietet Unternehmen Chancen im Wettbewerb, stellt sie jedoch gleichzeitig vor neue Herausforderungen. Dank der rapide steigenden Rechenleistung und Funktionsvielfalt der mobilen Geräte lässt sich die Produktivität der Mitarbeiter unterwegs deutlich steigern. Andererseits setzen sich Firmen zahlreichen neuen Gefahren aus. Dazu zählen zum einen Schwächen, die im direkten Zusammenhang mit den Geräten und dem mobilen Arbeiten an sich stehen, etwa das gegenüber (Desktop-)PCs ungleich höhere Verlust- oder Diebstahlsrisiko. Weil sie praktisch ständig mit dem Internet und dem Firmennetz verbunden sind, sind mobile Geräte ein verlockendes Ziel für Angreifer, die an geschäftskritische Informationen gelangen wollen. Unabhängig davon schlagen bereits seit einiger Zeit Security-Anbieter Alarm, weil das Interesse von Virenschreiben und anderen Angreifern mit der wachsenden Popularität der intelligenten Mobiltelefone von den weitverbreiteten Windows-PCs hin zu Smartphones wandere.
Für Security-Anbieter tun sich neue Märkte auf
Während der Anstieg der Bedrohung zahlenmäßig belegbar ist, betonen Kritiker allerdings, dass die Sicherheitsanbieter bei neuen Handy-Viren weitgehend im Dunkeln tappten und daher kaum echten Schutz anbieten könnten. Ihr primäres Ziel liege vielmehr darin, frühzeitig einen Fuß in den absehbaren Wachstumsmarkt Mobile Security zu bekommen.
Unabhängig davon können Business-Nutzer ohnehin nicht allein darauf bauen, dass die installierte Antivirenlösung die aktuellsten Virensignaturen kennt. Womöglich wurde die Malware speziell zum Ausspionieren eines bestimmten Unternehmens entwickelt - und die Smartphones und Tablets der Manager als schwächstes Glied in der Verteidigungskette identifiziert.
Grundsätzlich kann man jedoch feststellen, dass die zur Absicherung von Desktop-PCs gedachten Maßnahmen nicht zum Schutz von mobilen Endgeräten ausreichen. Es gilt daher, einen wirkungsvollen Basisschutz aufzubauen, um zu verhindern, dass geschäftskritische Informationen an Unbefugte gelangen.
Mobile Sicherheit braucht eine geeignete Plattform
Die wohl wichtigste Voraussetzung für eine gute Grundabsicherung ist die Auswahl eines geeigneten Mobile-Betriebssystems. Nicht ohne Grund dominierten mit RIMs Blackberry OS und Windows Mobile lange Zeit zwei gut abgesicherte und einfach verwaltbare Plattformen den Markt für Business-Smartphones. Und auch dem iPhone gelang der breite Einzug ins Unternehmen erst, als Apple mit dem Betriebssystem-Update iOS 4.0 wichtige Device-Management- und Sicherheits-Features nachlieferte.
Allerdings scheint das System noch Kinderkrankheiten aufzuweisen, so zumindest eine Meldung des Fraunhofer-Instituts für Sichere Informations-Technologie (SIT), die kürzlich die Runde machte. Mitarbeitern des Instituts gelang es, die Geräteverschlüsselung des iPhone auszuhebeln und in nur sechs Minuten viele der auf dem Gerät in der Keychain gespeicherten Passwörter zu entschlüsseln. Dabei mussten die Tester nicht einmal die 256-Bit-Verschlüsselung knacken, sondern machten sich nur eine Schwäche im Sicherheitsdesign zunutze: Der Schlüssel, auf dem die Verschlüsselung basiert, wird nicht auf Basis des geheimen Nutzer-Passworts generiert. Das grundlegende Geheimnis wird vielmehr direkt vom aktuellen Betriebssystem (iOS 4.2.1) gebildet und ist auf dem Gerät gespeichert.
Immerhin besteht seit iOS 4.0 die Möglichkeit, Daten auf dem iPhone zusätzlich zu sichern. Anderen Newcomer-Systemen wie Windows Phone 7 und Android fehlt eine native Geräteverschlüsselung dagegen noch komplett. Microsoft habe beim Aufbau seiner neuen Mobile-Plattform aktuell noch andere Prioritäten, erklärt Markus Müller, Gründer des Münchner Mobile-Device-Management-Experten Ubitexx. Windows Phone 7 sei deswegen derzeit noch nicht für den Enterprise-Einsatz geeignet. Googles Mobile-Betriebssystem, das viele bereits als weitere Alternative für den Business-Einsatz sehen, bekomme wiederum erst mit dem Honeycomb-Update eine native On-Board-Verschlüsselung.
Aus den Augen - nicht aus dem Sinn
Unabhängig davon, wie sicher die Daten auf den Firmen-Smartphones abgelegt sind - als Zugangstor zu Kundendatenbanken, Preislisten und anderen geschäftskritischen Informationen benötigen die Geräte ständigen Schutz. Dazu zählt insbesondere die Möglichkeit für Administratoren, jederzeit remote auf die Geräte zugreifen zu können. Nur so sind sie in der Lage, Smartphones bei Verlust oder Diebstahl zu sperren, die gespeicherten Daten zu löschen, wichtige Updates aufzuspielen oder die Einhaltung von Policies zu überwachen und durchzusetzen.
Sehr filigrane Kontrolle bei Blackberry und Windows Mobile
Die wahrscheinlich bekannteste Mobile-Device-Management-Lösung ist der Blackberry Enterprise Server (BES). Das System erlaubt neben der verschlüsselten Übertragung von Mails und PIM-Daten eine filigrane Kontrolle der angebundenen Blackberry-Smartphones. In Verbindung mit einer Zwei-Faktor-Authentisierung eignen sich bestimmte Gerätemodelle sogar für den Einsatz in Hochsicherheitsumgebungen, etwa Militär und Regierungskreisen. Lediglich der Transport des Mail-Verkehrs über ein zentrales Rechenzentrum (NOC = Network Operating Center) bereitet manchen Sicherheitsbeauftragten Kopfschmerzen. Hierzulande setzt die Bundesregierung daher auf Windows-Mobile-Geräte, die neben dem Exchange-ActiveSync-Protokoll auch über eine Smartcard-basierende Lösung von Certgate/T-Systems (SimKo 2) abgesichert und verwaltet werden. Was danach kommt, ist fraglich: Nach der Entscheidung von Microsoft, künftig auf das noch nicht Business-taugliche Windows Phone 7 als mobile Plattform zu setzen, fehlt hier - abgesehen von Blackberry - kurz- bis mittelfristig noch eine geeignete Alternative.
Auch Android und iPhone/iOS nutzen das von Microsoft lizenzierte ActiveSync-Protokoll für ihre Mobile-Lösungen. Google bescheidet sich allerdings mit den darin enthaltenen rudimentären Management-Funktionen wie Passwortschutz und Remote Lock and Wipe. Diese bilden die Grundlage für die meisten Verwaltungslösungen für Android. Eine Ausnahme ist "Good for Enterprise - Android" vom US-Anbieter Good Technology - hier werden Mails und andere geschäftskritische Daten in einer verschlüsselten Anwendung aufbewahrt und über einen externen Server gemanagt.
Im Gegensatz dazu hat Apple einer Reihe von Drittanbietern wie MobileIron, Sybase oder hierzulande Ubitexx zusätzliche Schnittstellen für das Mobile-Device-Management bereitgestellt. Mit den daraus hervorgegangenen Lösungen können Unternehmen ihre iPhones und iPads weitaus besser verwalten. Unter anderem lassen sich über die Luftschnittstelle spezifische Einstellungen, Sicherheitsparameter und Policy-Profile ohne Benutzerinteraktion installieren und verwalten. Das remote Aufspielen von Anwendungen wird jedoch nicht unterstützt, auch filigranere Vorgaben wie die Sperrung bestimmter Web-Seiten (außer YouTube) oder Apps für den Benutzer sind nicht möglich.
Nutzungsregeln schließen technische Lücken
Überall dort, wo sich Vorgaben nicht allein technisch durchsetzen lassen, muss der Nutzer über eine spezielle Mobile User Policy ins Boot geholt werden. Darin sollte unter anderem klar definiert werden, welche Daten (geschäftlich und privat) auf den mobilen Endgeräten genutzt werden dürfen. Experten empfehlen, besonderes Augenmerk auf die allerseits beliebten Apps zu legen. So rät etwa Boris Sharov, CEO des russischen Sicherheitsanbieters Dr. Web, generell die Installation eigener Apps zu untersagen - über Tools oder, falls nicht möglich, via Policy. Man könne nie wissen, wie intensiv AppStore-Betreiber wie Apple oder Google die Anwendungen vor dem Einstellen geprüft hätten, so Sharovs Erklärung. Um Malware komplett ausschließen zu können, müssten sie theoretisch den gesamten Code durchsuchen - die Arbeit von mehreren Tagen oder Wochen. Tatsächlich ist solche Gründlichkeit wohl eher selten, iPhone-Entwickler müssen Apple nicht einmal den Quellcode vorlegen. Erst kürzlich wurden außerdem im Android Market über 50 Anwendungen entdeckt, die mit dem Trojaner DroidDream infiziert waren - dieser leitete sensible Telefondaten an einen Server in Kanada weiter.