Laut einer Studie der Marktforscher von Capgemini wollen 56 Prozent aller IT-Verantwortlichen 2005 in Mobilcomputer verschiedener Art investieren. Glaubt man der Umfrage, so ist nur die IT-Sicherheit den Entscheidern noch wichtiger. Betrachtet man beide Trends zusammen, ergibt sich die Sicherheit mobiler Systeme als zentrales strategisches Thema für die nächsten Jahre.
In ihren Sicherheitspolitiken berücksichtigen Unternehme PDAs, Handys und Co. meist nicht oder nicht ausreichend. Insbesondere die Kombination aus privater und geschäftlicher Nutzung ist riskant. Um Schäden zu vermeiden, gilt es, nicht nur die Schwachstellen der Geräte, sondern auch das Verhalten der Mitarbeiter und die angebotenen Mobilfunkdienste mit ihren jeweiligen Gefahren zu berücksichtigen.
Daten auf PDAs müssen gut geschützt sein, schließlich können die Geräte relativ leicht verloren gehen. Die Forschungsgruppe "Sichere mobile Systeme" des Fraunhofer-Instituts für Sicherer Informationstechnologie (SIT) entwickelte auf Java-Basis das plattformunabhängige Verschlüsselungssystem "J-Sec". Dieses Verfahren umfasst einen Zugangsschutz für die Kleinstcomputer je nach Rollen und Gruppenzugehörigkeit der Benutzer. Damit der Anwender nicht jede Datei mühsam einzeln zu verschlüsseln muss, sorgt J-Sec für eine automatische Sicherung von Verzeichnissen und Metadaten. Es wird festgelegt, welche Ordner sicher gemacht werden sollen - fertig. Gleichzeitig erlaubt das System die Nutzung eines Gerätes durch verschiedene Anwender, wobei vertrauliche Daten nur den jeweils autorisierten Personen zugänglich sind. Vor anderen bleibt selbst die Existenz dieser Informationen verborgen - und dies unabhängig vom PDA-Betriebssystem. Dieses und weitere Exponate der Fraunhofer-Institute sind auf der CeBIT in Halle 9 am Stand B36 zu finden.
Risiko Mobilfunkportale
Das Fraunhofer-Institut SIT analysierte die vier deutschen Mobilfunkportale T-Zones, Vodafone-live, O2-active und E-Plus. Es zeigten sich mehrere Sicherheitslöcher, die offenbar auf eine mangelhafte Implementierung zurückzuführen sind. Der Benutzer hat leider nur wenige Möglichkeiten, sich vor diesen Risiken zu schützen, weil eine Authentifizierung der mobilen Dienste bei allen Portalanbietern fehlt.
Allerdings kann der Anwender das Risiko durch die Befolgung einiger Ratschläge verringern. So verschmelzen in den Portalen Dienste aus vertrauenswürdigen und nicht vertrauenswürdigen Quellen. Dienste, die unaufgefordert per SMS und WAP-Push beworben werden, sollten daher - ähnlich wie E-Mails unbekannter Herkunft - kritisch geprüft werden. Vor dem Aufruf sollte sich der User möglichst die Adresse des Dienstes anzeigen lassen, auch wenn das von Fall zu Fall umständlich sein mag. Befindet sich die Adresse bei einem anderen Anbieter als dem Netzbetreiber, ist Vorsicht geboten.
Verfügt der Netzanbieter ferner über keine getrennten Zugänge für seine internen WAP- und die im Internet angebotenen Seiten, ist besondere Vorsicht bei der Nutzung von fremden externen Seiten geboten. Diese können nämlich dann - unbemerkt für den Nutzer - auch Zugriffe auf das Betreiberportal ausführen. Akut ist dieses Problem vor allem durch die weite Verbreitung von WML-Script auf den Endgeräten. Dies kann mit Hilfe von WML-Seiten aus dem Internet großen Schaden innerhalb eines Portals anrichten
Zur Vorbeugung von Social-Engineering-Attacken sollten die Benutzer in Sachen Sicherheit auch durch die Mobilfunkanbieter sensibilisiert werden. Hierbei ist es vor allem wichtig, den Benutzer über die Handhabung der verschiedenen Sicherheitstechniken aufzuklären. Dazu gehören auch klare Angaben, welche Passwörter und persönlichen Identifikationsnummern (PINs) wie und wo verwendet werden dürfen. Im Bereich des Datenschutzes selbst bedarf es einer besseren Sicherung der im Portal abrufbaren sensiblen Informationen. Diese sollten nicht ohne weiteren Schutz im Klartext sichtbar oder gar editierbar sein. Diese Informationen werden sonst zu einfachen und lohnenden Zielen für potenzielle Angreifer.
Die Kombination aus privater und dienstlicher Nutzung begünstigt den Missbrauch durch mobile Schadsoftware, denn was man sich gerade noch privat ohne Risiko auf dem PDA installiert hat, gefährdet unter Umständen die IT-Infrastruktur des eigenen Unternehmens. Zu diesem Zweck hat Fraunhofer SIT gemeinsam mit dem Teletrust-Verein einen Leitfaden für den Einsatz mobiler Endgeräte im Unternehmen entwickelt. Dieser unterscheidet drei prinzipielle Einsatzszenarien: erstens private Endgeräte, die auch dienstlich verwendet werden; dienstlich erworbene Endgeräte, deren private Nutzung erlaubt ist; und drittens dienstlich erworbene Endgeräte zur ausschließlich dienstlichen Nutzung. Der vierte Fall des privaten Endgerätes im privaten Einsatz wurde dabei nicht betrachtet (siehe "Einsatzszenarien"). Der Leitfaden ist auf der CeBIT erhältlich.
Der erste Fall ist zugleich der bedrohlichste. Private Endgeräte entziehen sich naturgemäß der expliziten Kontrolle durch IT-Administratoren. So kann Schadsoftware am Arbeitsplatz unbemerkt von Unternehmens-Firewalls in das Intranet eingeschleust werden, wodurch vertrauliche Daten kompromittiert werden können und Schaden an der Unternehmens-IT entstehen kann. Hinzu kommt ein hoher Integrations- und Verwaltungsaufwand durch die Vielzahl unterschiedlicher Endgeräte, bedingt durch die verschiedenen Vorlieben der Mitarbeiterinnen und Mitarbeiter. Nicht zuletzt gefährden solche Lücken in der IT-Organisation Zertifizierungen nach der Bundessicherheitsamts-Richtlinie BS7799 und Basel II.
Etwas besser schneidet das zweite Szenario ab. Dienstlich erworbene Endgeräte lassen sich, wenn sie zusätzlich privat genutzt werden, zentral durch das Unternehmen administrieren. Des Weiteren erleichtert ein homogener Endgerätepark die Integration. Lediglich der Einzug mobiler Schadsoftware in die Unternehmens-IT, bedingt durch eine unachtsame private Nutzung, birgt ein nicht zu unterschätzendes Restrisiko. Diesem kann jedoch durch entsprechende Betriebsvereinbarungen, die die private Nutzung ausschließen und zudem regelmäßige Sicherheitsüberprüfungen vorschreiben, begegnet werden.
Künftige Gefahren
Prinzipiell gilt es zu bedenken, dass die noch stark ressourcenbeschränkten mobilen Endgeräte üblicherweise über wenig bis gar keinen eigenen Schutz gegen Viren und Würmer verfügen. Spyware in Form von Trojanern hat leichtes Spiel, da die am Arbeitsplatz inzwischen verinnerlichten Vorsichtsmaßnahmen im mobilen Umfeld noch kaum verbreitet sind. Zudem lassen Sicherheitspolitiken in Unternehmen die Integration mobiler Endgeräte oft noch außer Acht. Schlichte Kosten-Nutzen-Analysen belohnen deshalb im Augenblick noch eine Haltung, die Sicherheit vernachlässigt - schließlich existieren mobile Schädlinge derzeit mutmaßlich nur im Labor. Beispiele aus der Vergangenheit belegen aber, welcher Schaden möglich ist. So brachte im vergangenen Jahr Nokias CeBIT-Einladung zahlreiche Geräte des Herstellers zum Absturz oder machte sie komplett unbrauchbar. Im betrieblichen Umfeld könnten durch vergleichbare Vorgänge etwa alle mobilen Mitarbeiter eines Unternehmens vom Netz abgeschnitten werden. (hi)