Die Ausstattung mobiler Mitarbeiter mit Smartphones ist für viele Unternehmen ein zweischneidiges Schwert. So wird zum einen zwar die Produktivität von Außendienstlern dadurch deutlich erhöht. Andererseits müssen die Firmen fürchten, dass die auf den Geräten gespeicherten Daten bei Verlust oder Diebstahl in falsche Hände gelangen. Im Hinblick auf die mitunter hohen Sicherheitsanforderungen in Unternehmen hat das Nürnberger Startup Certgate eine Lösung entwickelt, die unter anderem auch in dem von T-Systems entwickelten SiMKo 2, besser bekannt als "Schäuble-Handheld" oder "Merkel-Phone", zum Einsatz kommt. Während bei SiMKo 2 einzelne Sicherheitsfunktionen nicht separat an- beziehungsweise abschaltbar sind, hat Certgate mit dem Certgate Protector zusätzlich eine konfigurierbare Lösung im Programm.
Verlorene Smartphones gesichert
Zentrales Element ist eine MicroSD-Card mit integriertem Kryptoprozessor mit der Zertifizierung EAL 4+ (Evaluation Assurance Level), der digitale Schlüsselpaare (RSA 2048 Bit) generieren und speichern kann. Die auf der Smartcard abgelegten Zertifikate und Schlüssel werden zur Verschlüsselung der gesamten Benutzerdaten verwendet, die damit selbst bei Verlust des Gerätes zuverlässig gegen unautorisiertes Auslesen geschützt sind. Darüber hinaus werden sie zur Verschlüsselung und Signatur von E-Mails und für den Zugriff auf ein gesichertes Netz (VPN) oder geschützte Internet-Seiten (SSL) eingesetzt.
Um ein Windows-Mobile-Gerät entsprechend zu präparieren, benötigt man neben der Smartcard die Anwendung Certgate Protector Setup-Tool. Die Applikation ist sehr übersichtlich in acht Folder unterteilt, in denen der Administrator verschiedene Einstellungen vornehmen kann. Nachdem die Karte über ein Lesegerät mit dem PC verbunden ist, empfiehlt es sich, als ersten Schritt im Folder SD Card den Speicher in einen Sektor für verschlüsselte Dateien sowie einen für unverschlüsselte Installationsdateien zu unterteilen – zum Schutz vor Manipulationen wird auch diese Partition mit Hilfe des CertProcessor und eines Zertifikats später verschlüsselt.
Der Zugriff ist nur mit der individuellen User-PIN möglich, die man an dieser Stelle auch gleich anlegt. Für die Erstinbetriebnahme ist ein Zertifikat erforderlich. Hat man keines parat, kann man unter dem Menüpunkt "Tools" auch ein selbst unterzeichnetes Zertifikat generieren, mit dem die zu installierenden Programme signiert werden müssen. Die Schlüssel, mit denen das Gerät und der Flash-Speicher der SD-Card später verschlüsselt werden, erzeugt das System während der Erstinbetriebnahme direkt auf der Smartcard (Erst-Authentifizierung). Die übrigen Reiter bieten eine Reihe an Einstellungsmöglichkeiten und sind nahezu selbsterklärend.
Sperren von Funktionen
Ein wichtiger Punkt sind die Device-Features – hier geht es um das Ein- und Ausschalten von Funktionen. Um den Anwender (auch vor sich selbst) zu schützen, lassen sich unter anderem Bluetooth, WLAN oder ActiveSync abschalten, die Kamera oder bestimmte Anwendungen wie der Media-Player deaktivieren oder generell Ports blockieren. Außerdem besteht die Möglichkeit, Hersteller- oder Provider-Zertifikate abzuschalten – dies verhindert die Gefahr durch Trojaner, die sich solcher Hersteller-Zertifikate bedienen.
Zur besseren Übersichtlichkeit hat Certgate die meisten Funktionen im Menüpunkt Advanced versteckt. Nach dessen Anklicken überfällt den Nutzer eine fast endlose, aber immerhin vollständig erscheinende Liste an Unterpunkten. Diese gilt es abzuarbeiten, wenn es erforderlich ist, eine Unternehmens-Policy abzubilden. Als Alternative bietet Certgate den Button "All items" an – hier werden alle relevanten Gerätefunktionen deaktiviert, und der Administrator kann im Nachgang auf der Liste durch Entfernen von Häkchen benötigte Features wieder hinzuschalten.
Der Befehl "Create SD-Card" schließt den Prozess ab: Auf Knopfdruck formatiert das Programm die Certgate-MicroSD-Karte, überschreibt – falls vorhanden – die vorherige PIN, erstellt eine Partition, schreibt Zertifikate in das File-System der Smartcard und legt die Installationsdateien an. Nach diesem Prozess ist die Certgate-Karte einsatzbereit.