Das Internet verspricht den einfachen mobilen Zugang zu jeglichen Informationen. Eingelöst wird dieses Versprechen durch Geräte wie Blackberry, Apples iPhone und iPad, Android-Geräte und auch Devices auf Windows-Basis. Für bestehende Security-Strukturen nicht nur in Unternehmen entstehen damit große Herausforderungen. Gerade mobile Geräte geraten immer wieder aufgrund von akuten Sicherheitsproblemen in die Schlagzeilen. Welche der derzeit auf dem Markt verfügbaren Gerätefamilien hat jedoch langfristig die beste Security-Architektur? Welches Design verspricht auf Dauer den besten Schutz für die Daten?

Dieser Beitrag überprüft die Sicherheitsfunktionen der Architekturen gängiger Mobilgeräte hinsichtlich der Wirksamkeit gegenüber den typischen Bedrohungen. Nach einer kurzen Diskussion werden die Ergebnisse jedes Punkts in einer Grafik gegenübergestellt: Grün steht dabei für eine sehr sichere Architektur, gelb für etliche Kompromisse zu Lasten der Sicherheit, rot visualisiert deutlichen Verbesserungsbedarf im Sicherheitsdesign.

Bedrohungslage

In der Corporate Trust-Studie „Gefahrenbarometer 2010“ wurden 5.154 Firmen unter anderem gefragt, wo sie die größten Bedrohungen für die Sicherheit ihrer IT und Telekommunikation sehen (Mehrfachnennungen waren möglich). Das Ergebnis zeigt, dass die größte Gefährdung von menschlichem Fehlverhalten eigener Mitarbeiter ausgeht, sei es durch leichtfertigen Umgang mit Sicherheitsstandards (3010 Nennungen) oder durch direkten Datenmissbrauch (2381 Nennungen). Diese Erkenntnis muss auch der Kernpunkt der Diskussion der Sicherheit von Mobilgeräten sein: Die größte Gefahr für einen Informationsabfluss liegt nicht im technischen Bereich und muss daher auf menschlicher Ebene gelöst werden. Die Unterschiede in der Sicherheitsarchitektur spielen dabei eine untergeordnete Rolle, auch wenn die Konfigurationsmöglichkeiten der Betriebssysteme helfen können.

Dennoch stellen die technischen Gefahren einen nicht unerheblichen Faktor in der Sicherheitsbetrachtung dar. Im Folgenden wird das Systemdesign gängiger mobiler Betriebssysteme darauf untersucht, inwieweit eine Resistenz gegen Hackerangriffe inklusive Spyware, Trojanischer Pferde, Würmer etc. (2438 Nennungen) sowie Diebstahl und Verlust der Hardware (1917 Nennungen) bereits in der Architektur berücksichtigt wurde. Hinzu kommt das Thema Updatefähigkeit (Bedrohung „Einsatz veralteter Technologien“, 366 Nennungen). Die Bedrohung Sabotage (320 Nennungen, z.B. Zerstörung der Mobilfunkgeräts, Störung der Funkverbindung) wird nicht betrachtet, da hier keine Unterschiede zwischen der Mobilgeräten auszumachen sind, und auch das Abhören (500 Nennungen) wird - als Thema der Mobilfunkinfrastruktur - aus gleichem Grund nicht in den Vergleich aufgenommen.

Ein mobiler Informationszugang wird derzeit hauptsächlich durch vier Geräteklassen ermöglicht: Laptops, Netbooks, Tablets und Smartphones. Die verbreitetsten Betriebssysteme auf diesen Geräteklassen sind Microsoft Windows (XP, Vista und 7), Apples iOS und Googles Android. In die Betrachtung wird an einigen Stellen zusätzlich das Betriebssystem der Blackberry-Geräte einbezogen, da dieses sehr spezielle Sicherheitsfunktionen bietet und in diesem Bereich immer wieder als Referenz herangezogen wird. Blackberry stellt jedoch aktuell seine Softwareplattform vom eigenen, proprietären Blackberry OS auf ein QNX-basiertes Betriebssystem um. Dazu sind offensichtlich auch größere Anpassungen am zentralen Blackberry Enterprise Server notwendig. Dementsprechend kann über die Architektureigenschaften künftiger Blackberry-Geräte keine Aussage getroffen werden.

Hackerangriffe auf iPhone, Android und Windows

Bei dem hier geschilderten reinen „Hackerangriff“ soll davon ausgegangen werden, dass der Angreifer keinen direkten physischen Zugang zum Gerät hat, sondern remote über ein Netzwerk zugreifen muss. Generell muss dabei zwischen zwei Möglichkeiten unterschieden werden: ein direktes Eindringen in das System (ohne Benutzerinteraktion) oder das Ausführen von Schadsoftware mit mehr oder weniger aktivem Zutun des Benutzers.

Drive-by-Download

Die derzeit häufigste Methode, einen Windows PC mit Malware zu infizieren, ist der sogenannte Drive-by-Download. Darunter versteht man einen Angriff, bei dem durch den Besuch einer Webseite unbemerkt Schadsoftware auf den Rechner geladen wird. Dies geschieht durch Ausnutzen eines Programmierfehlers in der Anzeigesoftware - meist im Webbrowser, Flash-Player oder PDF-Reader. Es vergeht kaum eine Woche, in der nicht mindestens EIN solcher Fehler auf der gängigen Windows-Umgebung ausnutzbar, das heißt bekannt und ungepatcht ist. Als Gegenmaßnahme bleibt derzeit nur das ständige, möglichst zeitnahe Einspielen von Patches – einen wirksamen Schutz auf Architekturebene gibt es bisher im Windows-Bereich nicht.

Als derzeit sicherster Browser gilt Googles Chrome, nicht verwunderlich, denn Google zahlt seit mehreren Jahren gutes Geld für die Meldung einer Sicherheitslücke. Da Chrome in großen Teilen auf dem von Apple initiierten Open-Source-Projekt Webkit basiert, welches ebenso die Basis für Apples Safari darstellt, kommt diese Strategie auch iOS-Nutzern zugute. Zusätzlich reduziert der Verzicht auf Flash das iPhone um ein sicherheitstechnisch gefährliches Programm. Andererseits wurden seit Verkaufsstart des iPhone im Juni 2007 bereits zweimal Fehler gefunden, die darauf schließen lassen, dass der Webbrowser Safari nicht so eng gekapselt in einer Sandbox läuft, wie Apple dies gerne verlautbaren lässt.

Direkter Angriff auf Netzwerkebene

Ein direkter Angriff auf Netzwerkebene scheint bei iOS und Android zunächst aussichtslos. Beide Geräte haben keine offenen Ports und nehmen keinerlei Kommunikation von außen an. Bei Windows stellt sich dies in der Standardinstallation nicht so einfach dar: Hier muss die Firewall erst entsprechend konfiguriert oder das Netzwerk vom Benutzer als „öffentliches Netzwerk“ klassifiziert werden. Zusätzliche Software kann unter Windows jederzeit Ausnahmen im Firewall-Regelwerk eintragen und so einzelne Ports öffnen. Hier offenbaren sich aber auch Unterschiede bei den beiden mobilen Betriebssystemen. Bei Android darf eine App durchaus einen Netzwerkservice zur Verfügung stellen (d.h. einen Port im Listen-Mode öffnen und auf diesen im Hintergrund reagieren). Auf den iOS-Geräten ist dies nur möglich, solange die App im Vordergrund läuft, da Apple die Multitasking-Möglichkeiten auf den iOS-Geräten strikt begrenzt hat.

“Einschmuggeln” von Schadsoftware

Alle drei Betriebssysteme bieten die Möglichkeit, zusätzliche Software zu installieren; allerdings ist die Kontrolle darüber, welche Software installiert werden kann, auf höchst unterschiedlichem Niveau. Auf einem Windows-Rechner kann grundsätzlich jede Software aus jeder Quelle installiert werden. Selbst wenn nicht jeder Benutzer Administrationsrechte besitzt und eine restriktive Konfiguration eingestellt wurde, können Installationen in den „eigenen Dateien“ ausgeführt werden. Auch Android schlägt diesen Weg ein: Software muss zwar signiert sein (d.h. der Entwickler muss eine Kennung anfügen), Google macht aber keine Vorgaben zum Inhalt dieser Signaturen, was dazu führt, dass sich der Entwickler oft nur auf mehr oder weniger kryptische Art selbst identifiziert – gerne auch mit nichtssagenden Code- oder Firmennamen. Android Programme müssen bei der Installation zwar angeben, welche Funktionen sie nutzen, diese technische Beschreibung ist aber für viele Nutzer nur schwer einschätzbar. Spyware und Programme, die mehr tun als sie vorgeben, sind unter Windows häufig und finden zunehmend auch unter Android Verbreitung.

Apple verfolgt hier einen gänzlich anderen Ansatz. Sämtliche Software muss signiert sein; entweder von Apple oder – im Firmenbereich – vom Unternehmen, in deren Account die Geräte laufen. Diese Signatur wird beim Start jedes Programms auf Betriebssystemebene geprüft und während der Laufzeit immer wieder verifiziert. Von Apple signierte Software kann nur über einen einzigen Weg bezogen werden, nämlich über Apples App Store. Um Software in diesem App Store anbieten zu können, muss ein Entwickler nicht nur die exakte Funktionsweise seines Programms beschreiben, auch die Korrektheit der Beschreibung wird von Apple geprüft. Zusätzlich kontrolliert Apple maschinell, ob die aufgestellten Programmierregeln eingehalten wurden und nur die freigegebenen Programmierschnittstellen benutzt werden. Der direkte Zugriff auf Hardwarefunktionen ist damit im iOS nicht möglich – sowohl Windows als auch Googles Ausführungsumgebung (die Dalvik VM mit dem Native Development Kit) erlauben dies jedoch.

Ein weiterer Sicherheitsaspekt ist die Abschottung von Programmen gegeneinander. Ein Windows Programm hat beispielsweise auf die Verzeichnisse anderer Programme grundsätzlich ebenso Zugriff wie auf viele Bereiche des Betriebssystems (Registry, Desktop, etc.). Für bestimmte Funktionen muss das Programm (ab Windows Vista) eine besondere Erlaubnis des Benutzers holen. Im Unterschied dazu erteilt der Benutzer unter Android einem Programm diese Erlaubnis einmalig während der Installation. Auch die Abschottung verschiedener Apps ist bei Android weiter fortgeschritten. Die Trennung erfolgt hier über die Rechte im zugrundeliegenden Linux-Dateisystem – jede App erhält eine eigene User-ID und damit exklusive Rechte an den eigenen Dateien. Am weitesten ist der applikationsbezogene Schutz jedoch unter iOS gediehen. Jede Applikation erhält eine eigenes sogenanntes „Jail“ (dieses BSD-Unix-Konzept entspricht in etwa einer Linux chroot-Umgebung). Dieses Jail verhindert, dass ein Programm außerhalb des zugewiesenen Verzeichnisbaums lesen oder schreiben kann.

Diese Strategie hat für Apple aber auch einen entscheidenden Nachteil. Etwa 10 Prozent der Besitzer von iOS-Geräten wollen sich nicht mit den Beschränkungen abfinden, die Apple ihnen auferlegt, und suchen entsprechend nach Möglichkeiten, das Gerät von diesen Beschränkungen zu befreien. In dieser Gruppe sind auch etliche IT- und Sicherheitsexperten, sodass heute für viele iOS-Geräte ein sogenannter Jailbreak existiert, mit dem die Sicherheitsmaßnahmen der Apple-Geräte aufgehoben werden können. Die Durchführung eines solchen Jailbreaks ist allerdings bislang nicht über das Netzwerk möglich, es wird also ein direkter Zugriff auf das Gerät benötigt.

Diebstahl und Verlust mobiler Geräte

Eine vergleichsweise neue Klasse von Bedrohungen ist der Diebstahl oder Verlust mobiler Geräte. Standen bei diesem Vergehen bislang immer die materiellen Werte der erbeuteten Geräte im Vordergrund, werden nun zunehmend gezielte Angriffe auf das Know-how von Unternehmen auf diese Art durchgeführt. Auch bei „normalem“ Diebstahl wird inzwischen durchaus versucht, erbeutete Daten zu Geld zu machen.

Gegen diese Bedrohung gibt es präventive Maßnahmen, die einen Zugriff auf die Daten erschweren. Die Referenz im mobilen Bereich setzen hier die Blackberry-Geräte. Bei diesen Geräten ist die Datenpartition mit dem Codewort des Benutzers verschlüsselt. Um eine Dateiübertragung im Hintergrund zu ermöglichen, werden die vom Server verschlüsselten Daten temporär auf einer separaten Partition hinterlegt, und erst bei der nächsten „Entsperrung“ des Gerätes durch den Benutzer auf die eigentliche Datenpartition überführt.

Eine Windows Standardinstallation bietet keine Verschlüsselung, diese kann aber auf vielerlei Art nachgerüstet werden, beispielsweise durch Datei- und Containerbasierte Verschlüsselung (Software-basiert) oder eine Vollverschlüsselung der gesamten Festplatte („FDE“, Soft- oder Hardwarebasiert). Entsprechend hochwertige Passwörter vorausgesetzt, bieten diese Lösungen guten Schutz. Eine Datei- beziehungsweise Containerbasierte Verschlüsselung (wie z.B. mit Hilfe von TrueCrypt realisierbar) hat dabei den Nachteil, dass Windows hier unter Umständen temporäre Daten in unverschlüsselter Form auf der Festplatte speichert. Zusätzlich beeinträchtigt eine Software-basierte Verschlüsselungslösung oft die Systemleistung. Da über moderne Festplatten mit „FDE“-Funktionen inzwischen eine gute Hardwareverschlüsselung verfügbar ist, kann das Problem unter Windows auf diesem Weg recht einfach gelöst werden.

Im Gegensatz zu Windows ist die Festplattenverschlüsselung von iPhone und iPad nicht an das Benutzerpasswort gebunden und somit als Schutz für die genannte Bedrohung faktisch unbrauchbar. Wie bereits beschrieben, existieren für die meisten iOS-Geräte Jailbreaks, mit denen der Passwortschutz umgangen werden kann. Zusätzlich zur Vollverschlüsselung auf Hardwareebene bietet aber das iOS auch die Möglichkeit einer zusätzlichen, Datei-basierten Verschlüsselung. Diese muss von jeder App einzeln je Datei „eingeschaltet“ werden. Sperrt der Benutzer das Gerät, geht für die Applikation der Zugriff auf diese Dateien verloren. Ein Zugriff ist erst wieder nach Eingabe des Entsperrcodes durch den Benutzer möglich. Welche Apps diese Möglichkeit nutzen ist für den Benutzer nicht transparent, mit der kommenden iOS-Version 5 werden aber zumindest die von Apple mitgelieferten Apps (E-Mail, Einstellungen, etc.) diese Schutzfunktion grundsätzlich einsetzen. Diese Dateiverschlüsselung ist natürlich nur wirksam, wenn auch entsprechend hochwertige Passwörter benutzt werden – ein vierstelliger PIN-Code für ein iPhone oder ein iPad stellt kein echtes Hindernis für einen Angreifer dar. Obwohl viele Benutzer die Geräte ohne Code (Auslieferungszustand) betreiben, oder nur mit einer 4-stelligen PIN (analog zur SIM-Karten PIN) schützen, kann in den Konfigurationseinstellungen ein alphanumerisches Passwort eingestellt werden. Gegen das physische Kopieren der verschlüsselten Daten schützt die Dateiverschlüsselung natürlich nicht – ein komplexes 10-stelliges Passwort hält aber in diesem Fall einen engagierten Angreifer für ein paar Wochen oder Monate vom Zugriff auf die geschützten Daten ab.

Die Situation bei den Android-Geräten ist prekärer. Der PIN-Schutz zum Zugriff auf die Flashdisk lässt sich bei den meisten Modellen ähnlich leicht umgehen wie beim iPhone. Ein sinnvoller Schutz durch Verschlüsselung vertraulicher Daten muss von jeder Applikation selbst realisiert werden. Es gibt allerdings auch einige proprietäre Erweiterungen, die sich die Offenheit der Android-Plattform zunutze machen und solche Funktionen nachrüsten.

Neben dem präventiven Diebstahlschutz bieten iOS-Geräte aber auch eingebaute reaktive Sicherheitsmaßnahmen. Das Telefon kann aus der Ferne in Sekunden gelöscht werden und ein verlorenes oder gestohlenes Gerät kann geortet werden. Android bietet solche Optionen zwar nicht eingebaut im Betriebssystem an, es existiert jedoch Third Party Software, die die entsprechenden Funktionen nachrüstet. Für Windows-Rechner müsste ein sinnvoller Schutz im BIOS verankert sein. Auch dafür gibt es Möglichkeiten, eine umfassende Verbindung mit WLAN, GPS und 3G-Modulen ist auf BIOS-Ebene derzeit aber noch selten realisiert, auch wenn moderne UEFI-Firmware grundsätzlich die Möglichkeiten dazu bieten würde. Natürlich dürfen die reaktiven Optionen nicht überschätzt werden: Im Rahmen eines gezielten Angriffs ist es ein Leichtes, diese Schutzmaßnahmen außer Kraft zu setzen.

Unterstützung von Sicherheitspolicies in Mobilgeräten

Um das eingangs erwähnte menschliche Problem beim Umgang mit der neuen Mobilität von Informationen anzugehen, sind Awareness-Maßnahmen, Schulungen und Informationsveranstaltungen für die Anwender die wichtigsten Schritte. Dennoch sollten die dort vermittelten Regeln soweit möglich auch technisch erzwungen werden können. Durch jahrelange Entwicklungsarbeit haben hier Blackberry und Microsoft einen deutlichen Vorsprung. Beide Betriebssysteme können mit Hunderten von Einstellungen sehr genau an die jeweiligen Sicherheitsvorgaben angepasst werden. Android und iOS hingegen sind als Betriebssysteme für den Endkunden entworfen worden. Unter Android lassen sich fehlende Funktionen meist durch Zusatzsoftware nachrüsten. Bei Apple hingegen lautet die Devise: „Apple is not an Enterprise company“. Apple behält immer den Benutzer im Auge, nicht den Administrator. Nichts desto trotz haben seit iOS 4 ausreichend „Enterprise“ Funktionen ihren Weg in das Betriebssystem gefunden, um einen Firmeneinsatz möglich zu machen. Allerdings müssen sich hier Administration und Sicherheitspolicy an die Geräte anpassen und nicht umgekehrt.

In der Zwischenzeit gibt es eine große Anzahl von sogenannten „Mobile Device Management“-Programmen, die auch in gemischten Welten aus verschiedenen Mobilgeräten die Einstellungen mobiler Clients zentral verwalten können.

Aktualisierung der Sicherheit von iPhone, iPad und Android

Mindestens ebenso wichtig wie die Umsetzung der Sicherheitspolicies ist es, die mobilen Geräte auf einem aktuellen Stand zu halten. Hier bietet Microsoft mit einer gut getesteten Infrastruktur eine hervorragende Möglichkeit, um Rechner – egal ob im Heimatnetzwerk oder unterwegs – mit Updates zu versorgen. Auch der Investitionsschutz ist gegeben: Windows wird über Jahre supportet und gewartet. Dies ist auch der Standard, an dem sich Blackberry misst.

Apple bietet hier mit seinen iOS Geräten derzeit einen deutlich schlechteren Service an. Bisher muss ein Gerät für Backups und Updates physisch mit einem PC mit iTunes verbunden werden, ein Update von unterwegs („over the air“) ist bisher nicht möglich. Obwohl iTunes per Policy recht restriktiv konfiguriert werden kann, ist es dennoch von der Architektur und dem Design her eher eine Endkunden- und nicht unbedingt eine Enterprise-Applikation. Der iTunes-Zwang soll jedoch mit iOS 5 entfallen, ab dieser Version werden auch „kabellose“ Updates möglich sein. Da sich das Betriebssystem bei den Apple-Geräten in einer eigenen Partition befindet, die bei einem Update immer komplett überschrieben wurde, stellen partielle Updates eine technische Herausforderung für Apple dar. Hinzu kommt, dass diese Partition sicherheitstechnisch besonders privilegiert ist, sodass ein Fernzugriff (wie er nun für das Update von unterwegs benötigt wird) auch sicherheitstechnisch schwierig wird. Die nächsten Monate werden zeigen, wie gut Apple hier gearbeitet hat. Grundsätzlich verdient Apple an neuen Geräteverkäufen Geld. Wirtschaftlich macht es für die Firma daher keinen Sinn, alte Geräte mit viel Programmieraufwand auf dem neuesten Stand zu halten. Garantien oder Supportpläne für die Versorgung alter Geräte mit Updates gibt es bei Apple grundsätzlich nicht. Bisher wurden auch Geräte, die nicht mehr produziert werden, noch für elf (iPhone 3G) bis vierundzwanzig (iPhone classic) Monate mit Updates versorgt.

Bei Android ist die Update-Situation noch desolater. Nicht nur, dass es (wie derzeit bei Apple) keine „over the air“ Updates gibt, durch die getrennte Entwicklung von Hardware und Software ist auch die Kompatibilität neuer Versionen mit alter Hardware systembedingt schwierig. Mehr als 75 Prozent der Android-Geräte im Feld weisen laut Google Statistik eine veraltete Version auf. Google unternimmt Anstrengungen, dieses Problem durch engere Partnerschaften mit den Hardwareherstellern zu lösen.

Fazit

Sind Sie bereit, sich auf die Philosophie von Apple einzulassen? Können Sie Ihre bisherigen Vorstellungen zum Thema Administration und Security-Vorgaben an das nutzerzentrierte Design der iOS-Geräte anzupassen? Wenn ja, dann bietet Ihnen die Technik des iPad-Erfinders für die meisten Einsatzzwecke genug Möglichkeiten, die Sicherheit Ihrer Daten zu gewährleisten.

Windows 7 muss demgegenüber entsprechend gut konfiguriert werden. Der sicherheitstechnische Idealfall wäre die Nutzung des „Specialized Security Limited Functionality“-Profils, zur Not ist auch das „Enterprise Client“ Profil" akzeptabel. Ein striktes Verbot eingehender Verbindungen aus allen Netzen, Chrome als einziger Internetbrowser, die Deaktivierung von Flash und die Nutzung kleiner, sicherer PDF Viewer helfen zusätzlich. Wichtigster Punkt ist aber die Aktivierung einer Festplattenverschlüsselung in den Mobilgeräten. Unter diesen Voraussetzungen ist auch Windows 7 als mobiles Betriebssystem für viele Einsatzgebiete ausreichend sicher.

Ohne umfangreiche Anpassungen und Zusatzpakete ist Android aus Security-Sicht im aktuellen Stand keine Option. Am Ende hängt es aber nicht nur von den Herstellern ab, sondern auch von den Anwendern. Es erfordert viel Fingerspitzengefühl, einen überall verfügbaren Informationszugriff für Unternehmen sicher zu gestalten. Die Frage, welche Daten mobil verarbeitet werden dürfen und welche unter eigener Kontrolle lokal im Unternehmen verbleiben müssen, kann erst nach genauer Analyse der Kritikalität der Informationen und des individuellen Schutzbedarfs geklärt werden. (wh)