Smartphones und PDAs verraten alles

22.11.2007
Von Hans-Jürgen Rinser 
Die spezifischen Sicherheitslücken der Mobilgeräte werden bei der Integration in die IT-Infrastruktur in vielen Unternehmen einfach ignoriert.

Eine neudeutsche Business-Weisheit lautet: Unternehmen ohne eine IT-Infrastruktur, die Mitarbeitern mobiles Arbeiten und damit höhere Produktivität ermöglicht, verlieren an Wettbewerbsfähigkeit. Daher drängen immer mehr Geschäftsführer auf den Einsatz von Smartphones und PDAs in ihren Unternehmen und erwarten von ihren IT-Verantwortlichen technische Maßnahmen und die Umsetzung entsprechender Company-Policies. Im Großen und Ganzen gibt es dabei zwei sicherheitsrelevante Schwachstellen: das Gerät selbst und den Benutzer.

Hier lesen Sie ...

welche Gefahren mit mobilen Kommunikationsgeräten verbunden sind; wo Sicherheits-Policies an ihre Grenzen stoßen; wie sich Unternehmen schützen können.

Sicherheitsvorfälle auf mobilen Endgeräten verdoppelt

Das Drängen auf mehr Mobilität im eigenen Unternehmen ohne eine durchgängige Mobilitätsstrategie und Sicherheitsrichtlinien hat weitreichende Konsequenzen. So sind die Sicherheitsvorfälle durch mobile Endgeräte in kleinen und mittelgroßen Firmen in den letzten vier Jahren sprunghaft angestiegen. In Unternehmen mit mehr als 500 Mitarbeitern hat sich die Anzahl an Sicherheitsvorfällen beim Einsatz von Handhelds gemäß einer aktuellen Studie im Vergleich zum Vorjahr sogar verdoppelt. Besonders häufig kämpfen die IT-Abteilungen demzufolge mit Geräteverlusten, Datendiebstählen, Stabilitätsproblemen der mobilen Endgeräte und unerklärlichen Geräteabstürzen.

Eines der Hauptprobleme besteht darin, dass Smartphones und PDAs über eingebettete (embedded) Betriebssysteme verfügen, die im Vergleich zu ihren "großen Brüdern" auf Notebooks und PC einfacher strukturiert sind, das heißt, man kann nicht zwischen Administrator- und Benutzerrolle unterscheiden.

Erschwerend kommt hinzu, dass es bisher keine standardisierten mobilen Betriebssysteme gibt. Windows Mobile, Palm OS, Symbian OS sowie Blackberry liegen unterschiedliche Architekturen zugrunde, so dass sie jeweils individuelle Sicherungsmechanismen erfordern. Unternehmen sollten daher für eine homogene Gerätelandschaft sorgen, die Devices in ihre Sicherheitspolitik einbeziehen und diese Richtlinien mit entsprechender Sicherheitssoftware auch wirksam umsetzen. Eine durchgängige Mobilitätsstrategie, die alle diese Sicherheitskriterien berücksichtigt, fehlt aber in vielen Unternehmen jeder Größe und Branche. So gehen Firmen häufig sorglos mit Anwendungen und Sicherheitseinstellungen auf mobilen Geräten um, obwohl dadurch sensible Unternehmensdaten gefährdet sind. Die Unternehmensvorgaben für die PDA- und Smartphone-Nutzung werden Mitarbeitern einfach mündlich oder per Dokument mitgeteilt. Geradezu fahrlässig ist außerdem, dass vertrauliche E-Mails und Dokumente, Passwörter sowie Kontaktdaten auf den meisten Firmen-PDAs und -Smartphones ungesichert gespeichert werden. Die IT-Abteilungen übertragen somit die Verantwortung für die Datensicherheit auf den Mitarbeiter. Dieser soll gemäß der Security-Policy des Unternehmens selbst für den Schutz der Daten Sorge tragen. Dies scheitert in vielen Fällen an der Arglosigkeit, der Uneinsichtigkeit oder am fehlenden technischen Verständnis des Einzelnen.

Ein versierter Benutzer kann alle Einstellungen ändern

Der Mensch bleibt selbst dann das größte Sicherheitsrisiko, wenn der PDA oder das Smartphone von der IT gemäß Security Policy konfiguriert wurde. Denn: Mit Administratorrechten ausgestattet, kann der Benutzer die Gerätekonfiguration nach Belieben ändern und die Sicherheitssoftware deaktivieren. Die Konfigurationsdatenbank des Betriebssystems, die Registry, ist bei PDAs und Smartphones für den Benutzer frei zugänglich. Mit dem Remote Registry Editor oder dem Editor anderer Hersteller kann ein versierter User zum Beispiel Verschlüsselungssoftware und Firewall deaktivieren.

Mobile Mitarbeiter haben ihren PDA beziehungsweise Smartphone immer griffbereit kein Wunder, dass die handlichen Geräte öfter einmal im Restaurant, in der U-Bahn, am Flughafen oder im Taxi liegen bleiben. Der kundige Finder hat dann ein leichtes Spiel, um an alle auf dem Handheld befindlichen Daten heranzukommen. Das eingebaute Power-on-Passwort ist dabei kein ernst zu nehmendes Hindernis. Wird das Gerät zum Beispiel im Boot-Rom-Modus von seiner Netzwerkkarte gestartet, kann man die Eingabe des Power-on-Passworts komplett umgehen. Alle Speicherinhalte lassen sich dann einfach auf dem angeschlossenen Computer auslesen der gesamte E-Mail-Verkehr, Adressen und Kundendaten, alle gespeicherten Dokumente und die Verbindungsdaten ins Unternehmensnetz.

Daher sollten Unternehmen Mobile-Device-Management-Lösungen einsetzen, die dem Administrator nach Rücksprache mit dem Mitarbeiter das komplette Löschen der Daten im internen und externen Gerätespeicher komfortabel over the air (OTA) erlauben. Zur Vorsicht sollte das auch dann geschehen, wenn das Smartphone oder PDA zu Reparaturzwecken an den Hersteller geschickt wird.

Mobile Endgeräte sind ja immer online, das heißt, sie sind ständig in Verbindung mit mobilen Funknetzen. Lässt ein Mitarbeiter sein Gerät einmal außer Acht, kann jeder Unbefugte damit telefonieren oder auf das Unternehmensnetz zugreifen. Daher sollte auf Firmengeräten immer die Sperrung per Pin-Code aktiviert sein. Er verhindert, dass Unbefugte das Gerät sofort einsetzen können. Zusätzlich sollte eine Anmeldung am Unternehmensnetz nur mit einer sicheren Authentifizierung (zumindest Benutzername und Passwort) möglich sein, die vor Änderungen geschützt abgelegt ist.

Verschlüsselung schützt sensible Daten

Um Datenspionage vorzubeugen, sollte sowohl die drahtlose Übertragung von E-Mails, Kontakten und Unternehmensdaten als auch deren Speicherung auf Smartphones und PDAs immer verschlüsselt erfolgen. Damit wird verhindert, dass die E-Mail-Nachrichten mobiler Mitarbeiter abgehört oder aber bei Verlust des Geräts aus dem internen oder externen Speicher ausgelesen werden. Es gibt diverse Anbieter von Datenverschlüsselungssoftware für mobile Endgeräte, wie zum Beispiel Utimaco. Wichtig ist, den Zugriff auf das Programm zu unterbinden, damit die Sicherheitssoftware nicht unbefugt deinstalliert werden kann.

Der Verlust ungeschützter, sensibler Daten kann neben immensen Kosten für Entwicklung und Produktion eines Unternehmens auch die persönliche Haftung der Verantwortlichen und der Geschäftsführung nach sich ziehen.

Gesicherte Datenverbindungen

Eine Gefahrenquelle für Smartphones und PDAs ist ihre Fähigkeit, über verschiedene Funknetze per GSM, GPRS und UMTS oder über Nahbereichs-Funktechniken wie Bluetooth oder Wireless LAN (WLAN) Verbindungen zum Unternehmensnetz und zu anderen Endgeräten aufzubauen. Beispielsweise kann ein kundiger Vertriebsmitarbeiter über eine ungesicherte Verbindung etwa von einem Hotspot am Flughafen in das Unternehmensnetz gehen, um sich ein wichtiges Chart in seine Präsentation zu laden. Unabsichtlich ermöglicht er damit unter Umständen Dritten Zugriff auf das Firmennetz. Hier zeigt sich, wie wichtig eine Sicherheitsunterweisung der Mitarbeiter ist.

Diese Gefahrenquelle können Administratoren beseitigen, indem sie eine Firewall oder eine dauerhafte VPN-geschützte Verbindung zum Unternehmensnetz installieren. Allerdings muss der Verbindungsaufbau fest eingestellt werden, denn auch hierzu besitzt der kundige Benutzer im Regelfall die Administrationsrechte. Er kann also die Voreinstellungen des Unternehmens für den geschützten Verbindungsaufbau ändern.

Um sicherzugehen, dass beim Datenabgleich der Smartphones oder PDAs kein Schadcode ins Unternehmensnetz gelangt, müssen sie durch Firewall-Mechanismen gesichert werden. Da ein lokal installierter Virenscanner aber die Kapazitäten und Akkulaufzeit von Smartphones und PDAs belastet, ist es besser, eine Firewall oder eine feste VPN-geschützte Verbindung zum Unternehmensnetz zu installieren und das direkte Surfen im Internet zu verhindern. So baut das Gerät nur noch über das Unternehmensnetz und die dort installierten Sicherheitslösungen wie Firewall, Virenscanner und Intrusion-Detection-Systeme eine Internet-Verbindung auf. Wichtig ist, dass diese Verbindungseinstellungen auf dem Handheld "fest" eingerichtet sind ohne Zugriff für den Benutzer.

Erst mit einer Benutzerrechtesoftware können Unternehmen ihre gesamte Handheld-Flotte wirksam und komfortabel in die Company-Policy einbinden. Die Risiken der fehlenden Datensicherheit auf Smartphones und PDAs sowie die daraus resultierenden Angriffsmöglichkeiten auf das Unternehmensnetz werden somit ausgeschaltet. Dazu muss die Benutzerrechtesoftware die Schnittstellen zwischen Applikations- und Systemebene kontrollieren und als performantes Policy-Enforcement-Modul auf dem mobilen Gerät arbeiten. Hier können Zugriffsrechte kontrolliert und das Aufrufen von als kritisch einzustufenden Funktionen und Anwendungen ge-zielt unterbunden werden. Wichtig ist dabei, dass dieser Prozess immer an erster Stelle steht und nicht außer Kraft gesetzt werden kann. (mb)