Scope Online - Industriemagazin für Produktion und Technik
Sie befinden sich hier:
Home> Märkte + Unternehmen> Office> Das ideale Smart Phone

DatensicherheitDas ideale Smart Phone

Unternehmen statten ihre Mitarbeiter mit den aktuellen Varianten von Smart Phones aus. Diese haben damit nicht nur Zugriff auf ihre Firmen-E-Mails, Kalenderdaten und Kontakte, sondern zunehmend auch auf andere kritische Informationen, wie CRM-Daten oder Informationen aus ERP-Systemen. Was der einzelnen Person jedoch ein hohes Maß an Flexibilität, Usability und nicht zuletzt auch Spaß bietet, bereitet den IT-Verantwortlichen häufig schlaflose Nächte.

sep
sep
sep
sep
Datensicherheit: Das ideale Smart Phone

Wenn all diese vertraulichen Firmendaten auf den Smart Phones abgespeichert sind, wie einfach ist es dann für einen Angreifer ebenfalls Zugriff darauf zu bekommen? Wie kann der Schutz der Daten zuverlässig umgesetzt werden und welche Lücken bestehen denn derzeit eigentlich? In der aktuellen Situation gibt es aus Security-Sicht bei den Smart Phones zwei gravierende technische Themenbereiche, die gelöst werden müssen.

Anzeige

PIN bietet keinen ausreichenden Schutz

Zum einen gilt es, die Daten auf dem Gerät vor dem Zugriff Fremder zu schützen. Ein mobiles Telefon geht verloren oder wird gestohlen - wie gut sind die darauf vorhandenen Informationen dann geschützt?

Bei den aktuellen Betriebssystemen können Daten zumindest teilweise auf den Geräten verschlüsselt werden. Der Schlüssel für den Zugriff ist aber die PIN, die zum Freischalten des Gerätes verwendet wird. Je nachdem wie lange und wie komplex diese ist, ergibt sich das Schutzniveau der Daten. Zumindest dann, wenn man das Thema Jailbreak außen vor lässt, bei dem dieser Schutz ausgehebelt werden kann. Eine Vorgabe für die Qualität und die Länge der PIN läßt sich mit Bordmitteln oder mit Mobile Device Management Lösungen erreichen. Zusätzlich gibt es hier in der Regel die Möglichkeit im Falle des Verlustes ein sogenanntes Remote Wiping, also ein Löschen der Daten, durchzuführen. Das Problem dabei ist aber, dass bei einem Diebstahl des Gerätes und dem Entfernen der SIM Karte ein Remote Wiping nicht mehr möglich ist. Also stellt dies nicht die ideale Lösung für den Schutz der Daten da, besonders wenn es sich dabei um kritische und sehr vertrauliche Daten handelt.

Alternative dazu ist die Installation eines verschlüsselten Containers, in dem die vertraulichen Daten abgelegt werden. Dies bedingt aber, dass die Apps, die mit den Daten interagieren ebenfalls in dem Container sind, da sonst ein Zugriff nicht möglich ist. Das heißt, dass beispielsweise der Mail Client, der im Hersteller Betriebssystem enthalten ist, nicht verwendet werden kann. Zusätzlich erkauft man sich den höheren Schutz der Daten mit einem Verlust der Usability, da sich der Benutzer zuerst gegenüber dem Container authentisieren muss, bevor er auf die dort enthaltenen Apps und Daten zugreifen kann.

Lösungen werden vielfältiger

Mittlerweile gehen die Hersteller dazu über, Lösungen in die Betriebssysteme einzubauen, wie das Sandboxing des Exchange Accounts unter Apple's iOS5und höher oder die Möglichkeit der kompletten Verschlüsselung des Speichers unter Android 4.0. Alternativ dazu lassen sich natürlich kritische Daten, besonders Mailanhänge auch durch Verschlüsselung schützen, beispielsweise per PGP oder durch Information Rights Management (IRM) Lösungen. IRM gibt es aktuell noch nicht für alle Dateiarten, allerdings werden die Lösungen dazu vielfältiger:

  • Adobe Reader für pdf Dokumente für iOS, Android und Blackberry
  • IRM auf Windows Phone 7 für Office Dokumente
  • GigaTrust für Office Dokumente, pdf Dokumente, Text- und Bilddateien für iOS, Android und Blackberry

Werden andere Dateiarten verwendet, kann der Mailanhang auf dem Gerät nicht geöffnet werden. Wieder haben wir uns also den höheren Schutz mit einem Verlust der Usability erkauft, allerdings geht hier die Entwicklung in eine gute Richtung, wie wir meinen.

Apps verbieten?

Der zweite große Showstopper ist der App Store. Lädt sich der Anwender eine neue App herunter, die einen Trojaner enthält, muss das Smart Phone erst gar nicht gestohlen werden, es versendet beispielsweise kritische Daten automatisch an Dritte. Der Schutz hängt hier ausnahmslos am Betreiber des App Stores. Der einzige Schutz, wiederum beispielsweise über eine Mobile Device Management Softwarelösung ist es, dem Anwender die Installation von Apps zu verbieten - und ihm gleichzeitig die Nutzung des Smart Phones zu vermiesen. Wer will schon ein neues Smart Phone ohne die Möglichkeit, die netten kleinen Apps zu installieren, die das Smart Phone-Leben schöner und interessanter machen.

Rechtliche Seite beachten

Neben den technischen Themen gibt es leider, wie fast immer, eine rechtliche Komponente, die alles noch etwas komplizierter macht. Speziell mit dem Thema ByoD (Bring your own Device) haben wir eine neue Hürde gebaut. Benutzt der Mitarbeiter sein privates Smart Phone für dienstliche Zwecke, so stellt sich zunächst die Frage, wer haftet für den Verlust des Gerätes und sorgt für einen Ersatz? Zudem ergeben sich Probleme, sobald der Mitarbeiter das Unternehmen verlässt. Ein Remote Wiping des gesamten Gerätes verbietet sich, da dann natürlich auch die privaten Daten verloren gehen.

Security zerstört Spaßfaktor

Alles, was ein Smart Phone interessant macht, wird also durch die Security gnadenlos zerstört. Derzeit gibt es keine Lösung, die Daten zu schützen, ohne die Usability des Gerätes zu reduzieren. Wie könnte also eine Lösung in Zukunft aussehen? Security wird in der Regel nur dann akzeptiert, wenn sie erstens wirtschaftlich sinnvoll ist und zweitens für den Benutzer vollkommen transparent ist. Mit den aktuellen Lösungen ist dies leider nicht möglich, oder das Sicherheitsniveau ist besonders kritischen Daten nicht angemessen.

Wie bereits beschrieben, gibt es die Möglichkeit einen Teil der Daten auf dem Smart Phone verschlüsselt abzulegen (je nach Lösung ist dies auf allen Plattformen zumindest für einen Großteil der Daten möglich, siehe IRM). Die Sicherheit hängt dabei allerdings an der PIN, die für die Freischaltung des Gerätes verwendet wird. Diese ist in der Regel 4 Zeichen lang, kann zwar verlängert werden, aber wer tippt gerne 10 Zeichen jedes Mal ein, wenn sich das Gerät sperrt? Wenn also der gesamte Schutz der Daten an der Authentisierung hängt, dann muss eben diese verbessert werden.

PIN und Fingerprint kombinieren

In der IT-Sicherheit haben wir hier das Mittel der 2-Faktor Authentisierung, also 2 Faktoren aus den Möglichkeiten Wissen, Besitz und Sein. Es gibt zwar bereits Smart Phones mit Fingerprintsensor, allerdings bleibt es dann bei einem Faktor, nämlich der Biometrie (Fingerprint). Wir haben also keinen Mehrgewinn an Sicherheit. Das andere Problem ist, dass der Fingerprintsensor separat zu betätigen ist, also wiederum die Usability reduziert. Eine aus meiner Sicht optimale Lösung wäre es, wenn zum Freischalten des Gerätes die Eingabe einer PIN erforderlich ist, und der Fingerprint bei dieser Eingabe direkt am Touch Screen ausgelesen wird. Dies bedeutet für den Benutzer keinerlei Änderung zur aktuellen Situation, aber für die Sicherheit einen riesigen Schritt vorwärts, da dies eine echte 2 Faktor-Authentisierung darstellt. Die Daten liegen also verschlüsselt auf dem Gerät und der Zugriff hängt vom Wissen (PIN) und dem Sein(Fingerprint) ab.

Interesse an Datenschutzthemen steigt

Um das Gerät auch vor Jailbreaks zu schützen, könnte zusätzlich eine pre boot authentication analog zu Notebooks mit verschlüsselten Festplatten erfolgen. Diese Authentisierung wird bei jedem Neustart verlangt und verhindert somit die Möglichkeit einen Jailbreak zu installieren.

Bleibt noch das Problem mit den Trojanern, die über die Apps kommen. Zum einen werden wir uns daran gewöhnen müssen, dass zukünftig auch Virenscanner oder ähnliches auf einem Smart Phone Anwendung finden, andererseits hilft hier speziell für die Speicherung von Firmendaten die Verwendung von Information Rights Management Lösungen, sobald diese verfügbar sind. Da ein Smart Phone immer online ist, stellt die Anfrage des IRM Clients am zentralen Service im Unternehmen kein Problem dar. Eine Überprüfung, welche Rechte der Anwender hat, und was er mit der Datei machen darf ist also jederzeit möglich. Wird die Datei von einem Trojaner versendet, so ist diese trotzdem geschützt. Auch die rechtliche Problematik mit privaten Geräten im Firmenumfeld lässt sich dadurch einfach lösen. Scheidet der Mitarbeiter aus dem Unternehmen aus, so werden ihm die Rechte per IRM entzogen. Er hat zwar nach wie vor die Daten auf seinem privaten Gerät, kann sie aber nicht mehr lesen oder sonst irgendetwas damit anfangen. Ein adäquater Schutz von kritischen Informationen auf dem Smart Phone ist also durchaus möglich und sollte sich auch wirtschaftlich abbilden lassen.

Wann die Hersteller (der Smart Phones und von Softwarelösungen) soweit sind, ist natürlich eine andere Frage. Dies wird stark davon abhängen, ob sich Anwender weiter und in verstärktem Maße für Datenschutz- und Datensicherungsthemen interessieren bzw. Unternehmen Druck auf die Hersteller ausüben. Derzeit lässt sich hier durchaus ein gesteigertes Interesse feststellen, nicht zuletzt durch Veröffentlichungen zu Datenverlusten, die einen Großteil der Bevölkerung betreffen oder die auf allgemeines Interesse stößt, wie zuletzt der Bundestrojaner. Zusätzlich werden zukünftig auch Smart Phones beim Verlust von vertraulichen Informationen weiter in den Mittelpunkt rücken und die Awareness der Benutzer weiter steigen lassen. Ein umfassender Schutz der Informationen, die auf Smart Phones gespeichert ist, ist also durchaus möglich.

Der Autor dieses Beitrags...

...heißt Udo Adlmanninger. Er ist verantwortlich für den Bereich Vertrieb bei der Secaron AG, Hallbergmoos. Adlmanninger verfügt über umfangreiche Projekterfahrungen in der Informationssicherheit, speziell in den Bereichen Sicherheitsmanagement, Risikomanagement, Business Continuity Management und Netzwerksicherheit. Er ist unter anderem zertifizierter ISO 27001 Auditor, Business Continuity Management System BS 25999 Auditor, ITIL Foundation Berater, CISA, CISM und CISSP. kf

Anzeige
Diesen Artikel …
sep
sep
sep
sep
sep

Weitere Beiträge zum Thema

Absatz von Unterhaltungselektronik

Absatz von UnterhaltungselektronikDer Smartphone-Boom fordert seine Opfer

Videos gucken, Musik hören, Fotos schießen, in einer fremden Stadt navigieren, im Internet surfen und nicht zuletzt auch telefonieren; das alles und noch viel mehr leisten Smartphones. Der Verkauf boomt. Weniger rosig sieht es dagegen für all die Geräte aus, deren Funktionen das Smartphone in sich vereint. 

…mehr
Infografik mobile Facebook-Nutzer 2015

Soziales Netzwerk per HandyDie 10 Länder mit den meisten mobilen Facebook-Nutzern

Die Zahl der deutschen Facebook-Nutzer, die das Soziale Netzwerk per Mobiltelefon nutzen wird laut einer Prognose von eMarketer in diesem Jahr auf 18,7 Millionen steigen. Damit werden dann 79 Prozent aller Facebook-Nutzer in Deutschland auf die mobilen Angebote des Sozialen Netzwerks zugreifen.

…mehr
Flir iphone App

App von Flir OneWärmebilder mit dem iPhone erstellen

Flir One von Flir Systems zeigt in Verbindung mit einer iPhone-App Live-Infrarotbilder an, mit denen der Anwender die Welt aus einer Wärmebild-Perspektive sieht. Die Kamera macht unsichtbare Wärmeenergie sichtbar.

…mehr
Infografik Anteil iPhones am Smartphones-Absatz

Absatz steigt um 3 ProzentiPhone 6 stärkt Apples Marktposition

Die Androiden haben Apple in Europa in den letzten Jahren, was den Marktanteil angeht, quasi zum Nischen-Anbieter degradiert. Indes scheint es dem Unternehmen laut Kantar Worldpanel mit dem iPhone 6 erstmals seit längerem gelungen zu sein, sich ein signifikantes Stück vom Smartphone-Kuchen zurückzuerobern.

…mehr
Funkheizungssteuerung: Heizung per App steuern

FunkheizungssteuerungHeizung per App steuern

Nach Feierabend wird man zuhause von wohliger Wärme empfangen. Aber nicht, weil im leeren Haus den ganzen Tag durchgeheizt, sondern weil die Heizung erst kurz vor der Abfahrt mit dem Smartphone hochgefahren wurde. Die EQ-3 Max-Funkheizungssteuerung macht es möglich.

…mehr

Neue Stellenanzeigen