FAQ

Wie sichere ich mobile Endgeräte im Unternehmen ab?

27.03.2015 von Boris Schröder und Mark Zimmermann  
Bei der Nutzung von Smartphones und Tablets im Unternehmen lauern zahlreiche Schwachstellen und Bedrohungen. Diese FAQ klärt über Risiken und Lösungsansätze auf.
Die aus dem Consumer-Umfeld stammenden Smartphones und Tablets sind ohne die richtigen Vorkehrungen besonders anfällig für Bedrohungen.
Foto: Jakub Jirsak, Fotolia.com

Smartphones und Tablets erfreuen sich als mobile Endgeräte zunehmend steigender Beliebtheit. Bei der Nutzung dieser mobilen Kommunikationstechniken kommen immer mehr Informations- und Kommunikationsdienste im privaten sowie auch im beruflichen Umfeld zum Einsatz. Mit dieser FAQ soll die Aufmerksamkeit erzeugt werden, um gängigen Schwachstellen und Bedrohungen begegnen zu können.

Was ist bei der Auswahl einer mobilen Geräteplattform zu beachten?

Bei der Auswahl einer mobile Plattform müssen neben funktionalen Anforderungen auch die Anforderungen an die Sicherheit der Geräte und der auf ihm befindlichen Daten in Betracht gezogen werden. Die vom Gerätehersteller ermöglichten Update-Strategien sind auch nicht zu vernachlässigen. Die Geräte müssen durch regelmäßige und automatisierbare Updates versorgt werden können. Sollte eine Plattform dies nicht anbieten, riskieren Unternehmen, auf eventuelle Sicherheitsbedrohungen nicht zeitnah reagieren zu können.

Was Unternehmen erwarten
Einer Studie von IDC Deutschland zufolge erwarten sich deutsche Unternehmen vom Einsatz von Mobilsystemen handfeste wirtschaftliche Vorteile. Eine höhere Zufriedenheit von Mitarbeitern spielt eine untergeordnete Rolle.
Hürden in Sachen Mobility
Einer Umfrage von Citrix unter IT-Fachleuten zufolge sind potenzielle Sicherheitsrisiken ein Grund dafür, dass Mobility-Strategien in Unternehmen nur zögerlich oder gar nicht umgesetzt werden.
Apple vor Android
Apples iOS knapp vor Android: In Unternehmen in Deutschland, Frankreich, Großbritannien und der Schweiz waren nach einer Untersuchung der Beratungsfirma Pierre Audoin Consultants (PAC) im vergangenen Jahr im Schnitt 2,4 Mobilbetriebssysteme im Einsatz. Auch Blackberry hielt sich trotz der wirtschaftlichen Probleme des Herstellers RIM beachtlich.
Länderverteilung
Nach Angaben des Marktforschungsinstituts PAC setzen deutsche Firmen vor allem auf Mobilgeräte mit Apples Betriebs iOS und Android-Systeme. Immer noch stark vertreten ist RIM mit Blackberry.
Strikte Regeln
PAC zufolge bestehen vor allem deutsche Unternehmen auf strikten Regeln bei der Nutzung mobiler Geräte und dem Umfang mit entsprechenden Daten.
App-Regeln
Viele Firmen verzichten darauf, Regeln für die Nutzung von Apps auf Mobilgeräten zu definieren. Im Gegensatz dazu existieren in den meisten Organisationen Vorgaben, welche Mobilsysteme verwendet werden dürfen.
Private Apps
Laut einer Untersuchung von Citrix von 2013 nutzen an die 19 Prozent der Arbeitnehmer auf Mobilsystemen, die sie auch für berufliche Zwecke einsetzen, private Apps Dies kann Sicherheitsrisiken mit sich bringen.
Der Citrix-Ansatz
Mit MDX von Citrix kann ein User von seinem Mobilgerät aus über ein Virtual Private Networks auf Daten und Anwendungen im Firmenrechenzentrum zugreifen. Die Apps und lokalen Daten auf dem Mobilsystem werden mithilfe von Wrapping und Containern geschützt.
Schutzwirkung
Die amerikanische Sicherheitsfirma Mobile Active Defense hat Mobile-Security-Technologien anhand ihrer Schutzwirkung klassifiziert. Ein Mobile Device Management (MDM) alleine ist demnach unzureichend.
Zugriffs-Policies
Eine Beispiel für abgestufte Zugriffsregelungen für Nutzer von Mobilgeräten: Nutzer von Android-Geräten mit dem Original-Betriebssystem und MDM können auf weniger IT-Ressourcen zugreifen als User von Android-Systemen, deren Betriebssystem-Kernel für ein umfassendes Remote-Management modifiziert wurde.
Pro und Contra
Vor- und Nachteile unterschiedlicher Mobile-Security-Verfahren aus Sicht des amerikanischen Mobility-Spezialisten Mobile Spaces
Die Techniken
Unterschiedliche Ansätze: Um mobile Applikationen und Daten auf sichere Weise bereitzustellen, haben IT-Abteilungen die Wahl zwischen einer Vielzahl von Verfahren. Etliche, etwa das Wrapping von Anwendungen, erfordern teilweise den Einsatz von Software Development Kits (SDKs) und Eingriffe in den Programmcode von Applikationen.
Urteil des Fachmanns
Rüdiger Trost, Sicherheitsfachmann von F-Secure: "Zu einer Mobile-Security-Strategie gehören nicht nur Container für Apps und Daten, sondern auch die Absicherung der Verbindungen zwischen Mobilgerät und Firmennetz sowie speziell abgesicherte Online-Plattformen für den Datenaustausch zwischen Mitarbeitern."

Was ist bei der Nutzung von kostenfreien Diensten zu beachten?

Bei der Nutzung kostenfreier Dienste ist neben den Serives oder Anwendungen selbst auch auf die Vertrauenswürdigkeit des Herstellers zu achten. Gerade kostenlose Dienstangebote können das Risiko mit sich bringen, dass nicht der Dienst, sondern die Daten des Anwenders der eigentliche Preis des Produktes sind.

Welche Faktoren bestimmen die Sicherheit einer mobilen Plattform ?

Grundsätzlich stellt sich die Frage, ob eine Plattform kompromittiert werden kann, bzw. wurde (Jailbreak, Root). In einem solchen Fall greifen die Sicherheitsmechanismen der Hersteller nicht mehr. Abseits dieser Grundsatzfrage gibt es jedoch weitere Faktoren. Die Architektur einer mobile Plattform ist ebenfalls für eine Sicherheitsbewertung wichtig.

Bietet beispielsweise die Entwicklungssprache der Plattform einem Angreifer die Möglichkeit, direkten Zugriff auf den Quellcode von Applikationen zu bekommen (z.B. Android allgemein oder Windows Phone bei inhouse-Apps) ist dies entsprechend anders zu bewerten als eine Plattform, bei der höchstens auf Assembler Code und Methodennamen (z.B. iOS) zugegriffen werden kann.

Android-Security
Wir zeigen Ihnen, was Sie zum Schutz Ihres Android-Smartphones tun können.
App-Verification
So könnten grundsätzlich viele Probleme gelöst werden: Die App-Verification, wie Google sie ab der Version 4.2 von Android unterstützt. (Quelle: Jiang-Studie)
App-Verification
Ab Android 4.2 Standard (hier unter Android 4.3): In den Sicherheitseinstellung des Geräts können die Anwender die Verifizierung der Apps durch den „App-Verification-Client“ einschalten.
App Ops Starter
Welche App auf dem Android-Gerät kann aktiv mit welchen Berechtigungen arbeiten? Der „App Ops Starter“ hilft, auf diese Berechtigungen unter Android 4.3 zuzugreifen.
App Ops Starter
Google+ wird standardmäßig mit sehr vielen Zugriffsrechten installiert: Durch den „App Ops Starter“ kann der Nutzer diese nachträglich überprüfen und der App auch wieder entziehen.
App Ops Starter
Einer der vielen Gründe, warum Anwender die Installation von APK-Paketen aus anderen Quellen als dem Google Play Store erlauben (müssen): Nur so können zum Beispiel Apps aus dem Amazon Store auf ein „Nicht-Kindle“-Gerät gelangen.
Mobile Sandbox
Wie sicher ist eigentlich die APK-Datei, die ich aus dem Web geladen habe: Mit der Web-App „Mobile Sandbox“ kann das überprüft werden.
Mobile Sandbox
Was haben andere Nutzer bereits testen lassen? Hat der Anwender der Veröffentlichung auf der Seite zugestimmt, so können auch die Prüfberichte anderer APK-Dateien direkt eingesehen werden.
Sophos Antivirus
Klassische AV-Lösung mit vielen Extras auf den Android-Geräten: Auf Wunsch blockiert die Sophos-Software den Zugriff auf ausgewählte Apps wie hier beispielsweise dem PlayStore durch ein zusätzliches Passwort.
Sophos Antivirus
Der Sicherheitsberater von Sophos „Free Antivirus and Security“: Er hilft dem Anwender bei der sicheren Konfiguration seines Geräts auch in deutscher Sprache.
Avira USSD Exploit Blocker
. Schutz vor USSD-Hacks: Die App des Anbieter Avira erläutert dem Anwender auch, wie und weshalb er sie auf seinem Android-Smartphone betreiben sollte.
Avira USSD Exploit Blocker
Eine URL wurde im Browser des Smartphones angeklickt. Der Nutzer kann entscheiden, mit welcher Anwendung diese geöffnet wird – der sichere Weg: Eine der Sicherheitslösungen gegen USSD-Angriffe wie Avira USSD Exploit wird zum Öffnen verwendet.
Avira USSD Exploit Blocker
Und hier zeigt sich, dass die URL wirklich einen USSD-Code übermitteln wollte: Hier war es „#6#“, um die IMEI-Nummer des Geräts auszulesen.
avast! Free Mobile Security
Sicherheit durch das Rooten? Wer die Anti-Theft-Lösung von Avast mit allen Möglichkeiten installieren und damit wirklich tief in das System einbringen möchte, muss das Gerät leider rooten.
avast! Free Mobile Security
Bei der Avast-Software können Nutzer ohne den richtigen Code keine Konfigurationsänderungen vornehmen: Sie sind so auch nicht einmal dazu in der Lage, ohne Eingabe des Codes ein Scan-Ergebnis näher zu betrachten.
avast! Free Mobile Security
Hat etwas enttäuscht: Egal wie es die Tester es auch drehten und wendeten – der EICAR-Teststring wurde von der Avast-Software einfach nicht entdeckt und als Problem angezeigt.

Weiter muss sich das Gerät in die bestehenden Ökosysteme des Anwenders bzw. des Unternehmens einbinden lassen, ohne dass große Änderungen nötig sind. Jedes notwendige Zusatzprodukt kann potentiell ein zusätzliches Risiko darstellen. Im professionellen Umfeld muss zunehmend eine Trennung zwischen privaten und öffentlichen Vertrauensbereichen sichergestellt werden. Dabei ist es egal, ob es sich um ein eigenes Endgerät (ByoD - Bring your own Device) oder ein von der Firma bereitgestelltes und zur privaten Nutzung freigegebenes (CyoD - Chose your own device) Endgerät handelt. Hier bieten sich Dual Persona Systeme (z.B: Blackberry, Android L) oder Architekturen zur Trennung auf App Ebene (z.B.: iOS) an.

Welche Gefahren bestehen bei kompromittierten Endgeräten?

Grundsätzlich muss davon ausgegangen werden, dass Apps auf einem unkompromittierten Endgerät betrieben werden. Vollziehen Sie einen Jailbreak (iOS, Windows Phone) oder ein Rooting (Android), kann die Sicherheit einer App bzw. der darin abgelegten Daten nur mit erhöhtem Aufwand durch den Entwickler, in gewissen Grenzen, sichergestellt werden.

Mit einer solchen Kompromittierung werden Sicherheitsmechanismen außer Kraft gesetzt, die verhindern, dass nicht autorisierte Software/Anwendungen installiert und genutzt werden können. Im Grunde kann man sich den Vorgang der Kompromittierung so vorstellen, als würden Sie als Administrator Zugriff auf jegliche Datei bekommen und die etablierten Schreibschutzeinstellungen aller Ordner aufheben. Entwickler müssen sich hier einer großer Herausforderung stellen, um den daraus resultierenden Gefahren trotzdem gerecht zu werden. Dies ist bei einer Vielzahl der verfügbaren Apps nicht gegeben.

Welchen Schutz bieten Zertifikate?

Im mobile Umfeld wird viel mit Zertifikaten gearbeitet. Vertrauen Sie hier nicht blind auf ein Zertifikat, egal von wem dieses ausgestellt ist. Nicht jedes Zertifikat prüft wirklich gegen den Ernstfall, sondern behandelt unter Umständen nur sehr rudimentär die Einhaltung von Vorgaben im Umgang mit Daten. Schauen Sie sich die Zertifikate genau an, bevor Sie diesen vertrauen.

Worauf ist bei Installation, Gebrauch und Aktualisierung von Apps zu achten?

Applikationen auf mobilen Endgeräten, sowie die zugehörige Software auf einem klassischen PC müssen auf dem neuesten Stand gehalten werden. Nur dadurch können entsprechende Sicherheitsprobleme von den jeweiligen Softwareherstellern behoben werden. Stark fragmentierte Plattformen ( wie Android) erschweren dies dem Anwender. Neben dem Hersteller des Basissystems und des Endgerätes selbst liefern hier auch diverse Provider Funktionen aus. Verwenden Sie auch hier nur Apps aus bekannten Quellen. Sofern die Plattform dies erlaubt, setzen Sie einen Virenscanner oder sonstiges Prüfverfahren ein um die Sicherheit und Validität einer App sicherzustellen.

Die Sicherheit einer App selbst hängt von der Art und Weise ab, wie Entwickler die gebotenen Sicherheitmechanismen in Form von APIs und Konfigurationen nutzen. Einige Plattformen haben nicht nur ein umfangreiches Potential an Möglichkeiten (iOS) sondern bieten auch Entwickler regelmäßige Unterweisungen (z.B .Apple auf der WWDC) und Handlungsempfehlungen an.

Wie schütze ich meine Daten auf dem mobilen Endgerät?

Durch Verschlüsselungsmechanismen und entsprechende Absicherung des Gerätezugangs per PIN, Kennwort oder biometrischem Faktor können die Speicherinhalte des mobilen Endgerätes vor unberechtigten Einblicken geschützt werden. So wird vermieden, dass die Daten auch bei Verlust des Gerätes durch Unberechtigte gelesen werden. Gerade mit Blick auf den aktuellen Zwangsverschüsselungen ohne Backdoor für die Geheimdienste (Android L, iOS8) stellt dies einen entscheidenden Schutzfaktor dar.

Wie schütze ich meine Daten vor Manipulation bzw. Datenabfluss durch Software?

Grundsätzlich gilt: Setzen Sie nur vertrauliche Software ein. Der Abgriff von Daten ist bei den meisten Systemen zwar grundsätzlich durch die Sandbox-Technik geschützt, jedoch haben viele Systeme Schwachstellen bei im Hintergrund laufenden „Datenstaubsaugern“. So ist beispielsweise die Zwischenablage, das Telefonbuch, das Telefonieverhalten oder der Browser-Cache nicht unbedingt stark geschützt und erlaubt es so einem Angreifer, auf Daten zuzugreifen.

Auch wenn keine „Datenstaubsauger“ auf dem Endgerät installiert sind, sollte der Benutzer stetig prüfen, wie es um den Datenschutz der eingesetzten Apps bestellt ist. Je nach Betriebssystem und App kann man dabei den Zugriff auf datenschutzrelevante Themen wie Geoposition, Kontakte, Gesundheitsdaten usw. mehr oder weniger granular zu steuern. Gut ist dies etwa bei der Blackberry-Plattform gelöst, bei Android und iOS ist ein echtes "Steuern" der Zugriffsrechte häufig erst nach dem Rooten des Geräts möglich - was dann wieder andere Probleme (siehe Punkt 3) hervorruft.

Wie sichere ich die drahtlose Kommunikation im Internet ab?

Grundsätzlich ist festzuhalten, dass der Benutzer der Kommunikationsstrecke zum Access Point (Übergang von drahtloser zu kabelgebundener Kommunikation) sowie dem ab dort stattfindenden Transport seiner Daten Aufmerksamkeit schenken muss. Durch beispielsweise die SSL-Verschlüsselung kann eine Grundsicherheit hergestellt werden. Eine mit SSL-Verschlüsselung (Secure-Socket-Layer Protokoll) gesicherte Verbindung lässt sich beispielsweise an der Erweiterung https:// in der Adressleiste eines jeweiligen Browsers erkennen. Um die Kommunikation gerade in öffentlichen HotSpots (WLAN Zugängen) abzusichern, ist die Nutzung von VPN Zugängen (z.B. BlackVPN für Privatanwender) sehr zu empfehlen. Dieser abgesicherte Kanal greift jedoch nur bis zu dem entsprechenden VPN-Knotenpunkt, ab dann erfolgt die Kommunikation im Internet wieder ohne den zusätzlichen Schutz des VPN Zugangs.

Was ist bei direkter Drahtloskommunikation zu beachten?

Neben den Kommunikationsmöglichkeiten in das Internet existieren noch weitere drahtlose Kommunikationsmöglichkeiten, etwa Bluetooth zur Übertragung von Daten in der unmittelbaren persönlichen Umgebung, Infrarot-Module (IrDA) zur Kommunikation mit Zusatzgeräten sowie Datenübertragung im unmittelbaren Nahbereich (Near Field Communication, NFC). Um diese Übertragungswege abzusichern, sollte der Anwender die Dienste bei Gebrauch selektiv aktiveren und anschließend deaktivieren. Im Firmenumfeld helfen hier organisatorische Vorgaben (Policies) oder die Nutzung von MDM (Mobile Device Management) Systemen zur Sicherstellung der Einhaltung dieser Vorgaben auf technischer Ebene.

Worauf muss ich bei Verkauf und/oder Entsorgung meines mobilen Endgerätes achten?

Die in den mobilen Endgeräten meist angebotene Funktion des Zurücksetzens auf Werkseinstellungen löscht meist nur oberflächlich. Kontakte, Fotos, sonstige Daten oder sogar Logins bleiben unter Umständen im Speicher und unterliegen der Gefahr, durch Dritte ausgelesen werden zu können.

Googles Android-System sowie Windows Phone 8 löscht zum Beispiel standardmäßig nur das Inhaltsverzeichnis des internen Speichers, wenn Sie das mobile Endgerät in den Werkszustand zurücksetzen. Dieses Löschverfahren finden nicht nur Anwendung, wenn das Gerät direkt zurück gesetzt wird, sondern auch bei Nutzung der Fernlöschfunktion z. B. bei Verlust des Gerätes. Dadurch könnte ein böswilliger Angreifer theoretisch auch nach dem Rücksetzen des Gerätes an Ihre Daten gelangen. Er müsste nur in der Lage sein, das Gerät zu kompromittieren um Root-Zugriff zu erlangen,

Ein solcher Zugriff ist unter Android relativ leicht zu realisieren. Für das Windows Phone 8 existiert Stand Oktober 2014 keine Kompromittierungslösung am Markt. Ein zusätzlicher Schutz bietet die Verschlüsselung der Daten auf dem Gerät. Mit aktivierter Verschlüsselung kann bei einem Zurücksetzen der dazu notwendige Schlüssel entfernt werden. So ist auch hier nach einer Kompromittierung kein Zugriff mehr möglich.

Apple-Nutzer haben es hingegen ziemlich leicht. Denn iOS-Geräte lassen sich über den internen Reset vollständig und sicher löschen. Dies liegt an der zugrundeliegenden Verschlüsselung, welche seit vielen Jahren standardmäßig aktiviert ist. Im Falle eines Löschbefehls, sei es am Endgerät oder per Fernzugriff wird der zur Entschlüsselung notwendige Schlüssel vernichtet. Damit ist ein Zugriff auf die Daten nicht mehr möglich. (mb)