Android, iOS, BlackBerry, Windows Phone

Mobile Plattformen im Security-Check

Stefan Strobel ist Geschäftsführer der cirosec GmbH in Heilbronn.
Christopher Dreher ist freier Autor, Speaker und Experte für digitale Sicherheit.

Gegenmittel und Strategie

Unternehmen setzen meist eine Mobile-Device-Management-Lösung (MDM) ein, um mit allen betriebenen Geräten das gewünschte Sicherheitsniveau zu erreichen. Diese MDM-Lösungen dienen der Verwaltung von mobilen Endgeräten und ermöglichen eine plattformübergreifende Verteilung von Einstellungen und Restriktionen. Alle mobilen Betriebssystemplattformen bieten spezielle MDM-Schnittstellen zur Anpassung der Sicherheitsparameter an. Das kann die Mindestlänge des PIN-Codes sein, die Zulassung oder der Ausschluss bestimmter Apps oder das Auslösen eines "Remote Wipe" beim Verlust eines Gerätes.

Per MDM ebenfalls möglich ist die Verwaltung von Privatgeräten am Arbeitsplatz (ByoD). In Deutschland bringt der rechtliche Rahmen (Datenschutz, Mitbestimmung etc.) derartige Projekte jedoch meist zum Scheitern. Die verantwortlichen Unternehmensentscheider sollten deshalb über fundiertes Rechtswissen verfügen oder externe Beratung in Anspruch nehmen, bevor sie entsprechende Pläne in die Tat umsetzen.

Bei iOS-Geräten werden alle Ausgaben, welche über die NSLog-Funktion in der Applikation protokolliert werden, auf der Konsolenausgabe im iPhone-Konfigurationsprogramm für jedermann lesbar ausgegeben.
Bei iOS-Geräten werden alle Ausgaben, welche über die NSLog-Funktion in der Applikation protokolliert werden, auf der Konsolenausgabe im iPhone-Konfigurationsprogramm für jedermann lesbar ausgegeben.
Foto: Cirosec

Ohne MDM-Lösung muss die Sicherung von Unternehmensdaten anders erreicht werden. Mehrere Hersteller bieten beispielsweise plattformübergreifende Container-Lösungen an. Diese Container-Apps verlassen sich nicht alleine auf die Sicherheitsmechanismen der Geräte, sondern bringen eigene Features und Policies mit. Sie kapseln die sensiblen Unternehmensdaten in eigenen verschlüsselten Bereichen und sorgen dafür, dass die Daten das Gerät nur auf vorher festgelegten Transportwegen verlassen. Die Gefahren liegen hier im technischen Detail.

Aufgrund der bereits erwähnten Sandbox-Mechanismen der verschiedenen Plattformen steht auch den Container-Apps nur eine begrenzte Anzahl an Mechanismen zur Verfügung, um das Sicherheitsniveau des jeweiligen Endgerätes festzustellen. In der Regel verweigern die Apps ihre Funktion, wenn sie feststellen, dass sie auf einem nicht vertrauenswürdigen Gerät, welches gejailbreaked oder gerooted wurde, ausgeführt werden. Durch die begrenzten Mechanismen zur Überprüfung des Gerätezustandes gibt es jedoch prinzipiell immer die Möglichkeit, die Containter-Apps zu täuschen.

Ohne die Sicherheitsmechanismen der Betriebssystem-Sandbox lässt sich die App gezielt analysieren und dort vorhandene Security-Features aushebeln.

Backup - der Anwender liebstes Kind

Die Auswahl eines mobilen Betriebssystems hat nicht nur Auswirkungen auf die Sicherheit der Daten auf dem Gerät selbst. Jedes Betriebssystem bringt auch unterschiedliche Backup-Mechanismen mit und kopiert damit potenziell vertrauliche Unternehmensdaten auf weitere IT-Systeme.

Wird zum Beispiel ein iOS-Gerät mit Apple iTunes gekoppelt, macht iTunes in der Standardkonfiguration zunächst ein lokales Backup, welches fast sämtliche Inhalte des mobilen Gerätes beinhaltet. Wenn auf dem mobilen Endgerät kein spezielles Sicherheitsprofil vorhanden ist, wird das lokale Backup möglicherweise sogar unverschlüsselt auf der Festplatte eines Privat-PCs abgelegt.

Die Sicherheit von Unternehmensdaten hängt dann von der Sicherheit der Privat-PCs der Mitarbeiter ab… Nicht weniger bedenklich ist eine Sicherung der Daten in der Cloud der jeweiligen Hersteller. Dass die amerikanischen Nachrichtendienste hierauf Zugriff nehmen, ist inzwischen hinlänglich bekannt. Aber auch unabhängig von Geheimdiensten werden immer wieder neue Sicherheitsdefizite und Datenverluste bei Cloud-Diensten bekannt.

Bei den Android-Geräten gibt es zum jetzigen Stand keine einheitliche Backup-Lösung. Viele der angebotenen herstellerübergreifenden Produkte erfordern Root-Privilegien, weil es schlichtweg noch keine Schnittstelle gibt, welche Google für diesen Zweck anbieten könnte. Aus diesem Grund haben einzelne Hersteller eigene Backup-Mechanismen für ihre Geräte in das Andoid-Betriebssystem eingebunden, welche jedoch ähnliche Gefahren wie Apples iOS aufweisen.

Was bringt iOS 7?

In den kommenden Tagen wird Apple mit iOS 7 vielversprechende Neuerungen für alle iOS-Geräte ab dem iPhone 4 bzw. iPad2 einführen. Gerade im Sicherheitsumfeld kann durch die neuen Funktionen ein höheres Schutzniveau erreicht werden. So ist es dann zum Beispiel möglich, für Apps, welche sensible Firmendaten verarbeiten und austauschen, den Transport der Daten über einen eigenständigen VPN-Tunnel abzusichern. Des Weiteren wird die Dateisystemverschlüsselung global für alle Apps aktiviert. Bisher mussten Entwickler selber dafür Sorge tragen, dass sensible Daten innerhalb der App mit der Dateisystemverschlüsselung (Apple Data Protection) abgesichert sind. (sh)

Mobile Betriebssysteme im Sicherheits-Vergleich

iOS

Android

Windows Phone 8

BlackBerry 10

Jailbreak/Rooting

ja, bei iOS <6.1.3

ja

nein

nein

Dateisystemverschlüsselung

ja (in iOS 4.3 mit Passcode, in iOS 6.x mit Apple Data Protection innerhalb der Apps)

ja (ab 3.0 mit Unlock-Code, Verschlüsselung auf Dateisystemebene)

ja (per ActiveSync lässt sich BitLocker aktivieren, sofern ein MDM-System zum Einsatz kommt)

ja

Sicherheit der Plattform

+

--

++

+

App-Verfügbarkeit

++

++

-

--

App-Sicherheit

++

--

++

+

Sideloading von Apps

nein

ja

ja

ja


Quelle: Cirosec

Inhalt dieses Artikels