Mobile Sicherheit braucht eine geeignete Plattform

Die wohl wichtigste Voraussetzung für eine gute Grundabsicherung ist die Auswahl eines geeigneten Mobile-Betriebssystems. Nicht ohne Grund dominierten mit RIMs Blackberry OS und Windows Mobile lange Zeit zwei gut abgesicherte und einfach verwaltbare Plattformen den Markt für Business-Smartphones. Und auch dem iPhone gelang der breite Einzug ins Unternehmen erst, als Apple mit dem Betriebssystem-Update iOS 4.0 wichtige Device-Management- und Sicherheits-Features nachlieferte.

Allerdings scheint das System noch Kinderkrankheiten aufzuweisen, so zumindest eine Meldung des Fraunhofer-Instituts für Sichere Informations-Technologie (SIT), die kürzlich die Runde machte. Mitarbeitern des Instituts gelang es, die Geräteverschlüsselung des iPhone auszuhebeln und in nur sechs Minuten viele der auf dem Gerät in der Keychain gespeicherten Passwörter zu entschlüsseln. Dabei mussten die Tester nicht einmal die 256-Bit-Verschlüsselung knacken, sondern machten sich nur eine Schwäche im Sicherheitsdesign zunutze: Der Schlüssel, auf dem die Verschlüsselung basiert, wird nicht auf Basis des geheimen Nutzer-Passworts generiert. Das grundlegende Geheimnis wird vielmehr direkt vom aktuellen Betriebssystem (iOS 4.2.1) gebildet und ist auf dem Gerät gespeichert.

Immerhin besteht seit iOS 4.0 die Möglichkeit, Daten auf dem iPhone zusätzlich zu sichern. Anderen Newcomer-Systemen wie Windows Phone 7 und Android fehlt eine native Geräteverschlüsselung dagegen noch komplett. Microsoft habe beim Aufbau seiner neuen Mobile-Plattform aktuell noch andere Prioritäten, erklärt Markus Müller, Gründer des Münchner Mobile-Device-Management-Experten Ubitexx. Windows Phone 7 sei deswegen derzeit noch nicht für den Enterprise-Einsatz geeignet. Googles Mobile-Betriebssystem, das viele bereits als weitere Alternative für den Business-Einsatz sehen, bekomme wiederum erst mit dem Honeycomb-Update eine native On-Board-Verschlüsselung.