Gegenmittel und Strategie
Unternehmen setzen meist eine Mobile-Device-Management-Lösung (MDM) ein, um mit allen betriebenen Geräten das gewünschte Sicherheitsniveau zu erreichen. Diese MDM-Lösungen dienen der Verwaltung von mobilen Endgeräten und ermöglichen eine plattformübergreifende Verteilung von Einstellungen und Restriktionen. Alle mobilen Betriebssystemplattformen bieten spezielle MDM-Schnittstellen zur Anpassung der Sicherheitsparameter an. Das kann die Mindestlänge des PIN-Codes sein, die Zulassung oder der Ausschluss bestimmter Apps oder das Auslösen eines "Remote Wipe" beim Verlust eines Gerätes.
Per MDM ebenfalls möglich ist die Verwaltung von Privatgeräten am Arbeitsplatz (ByoD). In Deutschland bringt der rechtliche Rahmen (Datenschutz, Mitbestimmung etc.) derartige Projekte jedoch meist zum Scheitern. Die verantwortlichen Unternehmensentscheider sollten deshalb über fundiertes Rechtswissen verfügen oder externe Beratung in Anspruch nehmen, bevor sie entsprechende Pläne in die Tat umsetzen.
Ohne MDM-Lösung muss die Sicherung von Unternehmensdaten anders erreicht werden. Mehrere Hersteller bieten beispielsweise plattformübergreifende Container-Lösungen an. Diese Container-Apps verlassen sich nicht alleine auf die Sicherheitsmechanismen der Geräte, sondern bringen eigene Features und Policies mit. Sie kapseln die sensiblen Unternehmensdaten in eigenen verschlüsselten Bereichen und sorgen dafür, dass die Daten das Gerät nur auf vorher festgelegten Transportwegen verlassen. Die Gefahren liegen hier im technischen Detail.
Aufgrund der bereits erwähnten Sandbox-Mechanismen der verschiedenen Plattformen steht auch den Container-Apps nur eine begrenzte Anzahl an Mechanismen zur Verfügung, um das Sicherheitsniveau des jeweiligen Endgerätes festzustellen. In der Regel verweigern die Apps ihre Funktion, wenn sie feststellen, dass sie auf einem nicht vertrauenswürdigen Gerät, welches gejailbreaked oder gerooted wurde, ausgeführt werden. Durch die begrenzten Mechanismen zur Überprüfung des Gerätezustandes gibt es jedoch prinzipiell immer die Möglichkeit, die Containter-Apps zu täuschen.
Ohne die Sicherheitsmechanismen der Betriebssystem-Sandbox lässt sich die App gezielt analysieren und dort vorhandene Security-Features aushebeln.
- Die 8 schlimmsten Hackerangriffe
Security-Experten Faronics erklärt die größten Hackerskandale der vergangenen zehn Jahre. Die unmitttelbaren Schäden gingen dabei in Millionenhöhe. - 134 Millionen Kundendaten ...
... stahlen Cyberkriminelle 2009 mithilfe einer Spionagesoftware. Sie lasen die Kreditkartendaten von 134 Millionen Kunden des amerikanischen Unternehmens Heartland Payment Systems. - 860.000 Benutzernamen und E-Mail Adressen ...
... haben Hacker während eines Angriffs auf die US-Sicherheitsberater von Stratfor gestohlen und die Kundendaten anschließend im Netz veröffentlicht. Ein Link enthielt 75.000 Namen, E-Mail-Adressen, Kreditkartennummern sowie Passwörter von Stratfor-Kunden. Zusätzliche 860.000 Daten waren Benutzernamen und E-Mail-Adressen von registrierten Nutzern auf der Stratfor-Website.
Backup - der Anwender liebstes Kind
Die Auswahl eines mobilen Betriebssystems hat nicht nur Auswirkungen auf die Sicherheit der Daten auf dem Gerät selbst. Jedes Betriebssystem bringt auch unterschiedliche Backup-Mechanismen mit und kopiert damit potenziell vertrauliche Unternehmensdaten auf weitere IT-Systeme.
Wird zum Beispiel ein iOS-Gerät mit Apple iTunes gekoppelt, macht iTunes in der Standardkonfiguration zunächst ein lokales Backup, welches fast sämtliche Inhalte des mobilen Gerätes beinhaltet. Wenn auf dem mobilen Endgerät kein spezielles Sicherheitsprofil vorhanden ist, wird das lokale Backup möglicherweise sogar unverschlüsselt auf der Festplatte eines Privat-PCs abgelegt.
Die Sicherheit von Unternehmensdaten hängt dann von der Sicherheit der Privat-PCs der Mitarbeiter ab… Nicht weniger bedenklich ist eine Sicherung der Daten in der Cloud der jeweiligen Hersteller. Dass die amerikanischen Nachrichtendienste hierauf Zugriff nehmen, ist inzwischen hinlänglich bekannt. Aber auch unabhängig von Geheimdiensten werden immer wieder neue Sicherheitsdefizite und Datenverluste bei Cloud-Diensten bekannt.
Bei den Android-Geräten gibt es zum jetzigen Stand keine einheitliche Backup-Lösung. Viele der angebotenen herstellerübergreifenden Produkte erfordern Root-Privilegien, weil es schlichtweg noch keine Schnittstelle gibt, welche Google für diesen Zweck anbieten könnte. Aus diesem Grund haben einzelne Hersteller eigene Backup-Mechanismen für ihre Geräte in das Andoid-Betriebssystem eingebunden, welche jedoch ähnliche Gefahren wie Apples iOS aufweisen.
Was bringt iOS 7?
In den kommenden Tagen wird Apple mit iOS 7 vielversprechende Neuerungen für alle iOS-Geräte ab dem iPhone 4 bzw. iPad2 einführen. Gerade im Sicherheitsumfeld kann durch die neuen Funktionen ein höheres Schutzniveau erreicht werden. So ist es dann zum Beispiel möglich, für Apps, welche sensible Firmendaten verarbeiten und austauschen, den Transport der Daten über einen eigenständigen VPN-Tunnel abzusichern. Des Weiteren wird die Dateisystemverschlüsselung global für alle Apps aktiviert. Bisher mussten Entwickler selber dafür Sorge tragen, dass sensible Daten innerhalb der App mit der Dateisystemverschlüsselung (Apple Data Protection) abgesichert sind. (sh)
Mobile Betriebssysteme im Sicherheits-Vergleich
iOS |
Android |
Windows Phone 8 |
BlackBerry 10 | |
Jailbreak/Rooting |
ja, bei iOS <6.1.3 |
ja |
nein |
nein |
Dateisystemverschlüsselung |
ja (in iOS 4.3 mit Passcode, in iOS 6.x mit Apple Data Protection innerhalb der Apps) |
ja (ab 3.0 mit Unlock-Code, Verschlüsselung auf Dateisystemebene) |
ja (per ActiveSync lässt sich BitLocker aktivieren, sofern ein MDM-System zum Einsatz kommt) |
ja |
Sicherheit der Plattform |
+ |
-- |
++ |
+ |
App-Verfügbarkeit |
++ |
++ |
- |
-- |
App-Sicherheit |
++ |
-- |
++ |
+ |
Sideloading von Apps |
nein |
ja |
ja |
ja |
Quelle: Cirosec