Strategien und Technologien zur Mobile Security

Mobile Daten in der Praxis effizient schützen

Bernd Reder ist freier Journalist und Autor mit den Schwerpunkten Technologien, Netzwerke und IT in München.

Restriktives Vorgehen

Restriktive Strategien sind in der Praxis in speziellen Branchen anzutreffen: "In unserem Unternehmen ist es schlichtweg untersagt, private Mobilgeräte zu verwenden", sagt beispielsweise eine leitende Mitarbeiterin der IT-Abteilung eines italienisch-deutschen Bankhauses in München. "Als Mobiltelefone kommen immer noch Blackberrys zum Einsatz, zudem Notebooks, die zentral von der IT-Abteilung bereitgestellt und verwaltet werden."

Die amerikanische Sicherheitsfirma Mobile Active Defense hat Mobile-Security-Technologien anhand ihrer Schutzwirkung klassifiziert. Ein Mobile Device Management (MDM) alleine ist demnach unzureichend.
Die amerikanische Sicherheitsfirma Mobile Active Defense hat Mobile-Security-Technologien anhand ihrer Schutzwirkung klassifiziert. Ein Mobile Device Management (MDM) alleine ist demnach unzureichend.
Foto: Mobile Active Defense

Wer gegen diese Regelungen verstößt, riskiert laut der IT-Fachfrau eine Abmahnung oder gar die Kündigung. Die Folge: Mitarbeiter nutzen für offizielle Tätigkeiten ihre Blackberrys, setzen aber sehr wohl daneben eigene Smartphones ein. Allerdings, so die IT-Spezialistin, würden diese privaten Systeme nicht - oder zumindest nicht mit Wissen der IT-Abteilung - in das Firmennetz der Bank integriert.

Wie schnell sich eine solche homogene Mobility-Welt in ein buntes Miteinander diverser Plattformen verwandeln kann, belegt ein zweites Beispiel: der Fahrzeughersteller MAN. Auch dort war vor der Übernahme des Unternehmens durch den VW-Konzern nach Angaben eines IT-Spezialisten, der nicht namentlich genannt werden will, Blackberry das Maß aller Dinge. Mitarbeiter waren mit entsprechenden Endgeräten ausgestattet. Als zentrales Kommunikationssystem diente der Blackberry Enterprise Server.

"Jetzt müssen wir auf Wunsch von VW-Managern, die Führungsaufgaben bei MAN übernehmen, auch iPhones und iPads unterstützen", sagt der IT-Fachmann. "Für uns bedeutete es einen erheblichen Aufwand, diese neuen Systeme in die IT-Infrastruktur zu integrieren und auf die entsprechenden Prozesse abzustimmen." Ein weiterer Effekt dieses Politikwechsels: Nun haben Mitarbeiter den Wunsch geäußert, dass auch Android-Smartphones und -Tablets unterstützt werden.

Technische Lösungen: Von Containern bis hin zu Spaces

IT-Fachleute, die Daten und Anwendungen auf Mobilsystemen schützen möchten, haben die Wahl zwischen mehreren Techniken. Hoch im Kurs stehen bei etlichen Herstellern von Sicherheitslösungen so genannte Container: "Nach unserer Auffassung bieten Container ein hohes Schutzniveau und erlauben es zudem, private und geschäftliche Daten auf einem Mobilgerät zu trennen", sagt Rüdiger Trost, Senior Sales Engineer beim finnischen IT-Security-Spezialisten F-Secure. Dies wiederum würde die Einführung von BYOD-Programmen (Bring Your Own Device) in Unternehmen erleichtern.

Ein Container ist ein verschlüsselter, durch ein Passwort geschützter Bereich auf einem Mobilgerät, der mithilfe einer speziellen Software eingerichtet wird. Er agiert unabhängig von der "normalen" Arbeitsumgebung des Smartphones oder Tablet-Rechners. In solchen Containern werden Geschäftsdaten und Anwendungen abgelegt, etwa E-Mail, Geschäftskontakte, Kalender und Browser, außerdem unternehmensspezifische Applikationen.

Vorteile der Container-Technik sind das hohe Sicherheitsniveau und die Möglichkeit, den Einsatz privater Endgeräte für geschäftliche Zwecke zu erlauben, ohne dass es zu einer Vermengung privater und beruflicher Daten und Anwendungen kommt. Die IT-Abteilung hat zudem die Kontrolle über die Container, kann also deren Inhalt ändern oder diese "Behälter" komplett löschen.

Zu den Nachteilen zählt, dass viele Container-Technologien herstellerspezifisch sind. Dies bedeutet, dass sich der Anwender an einen Anbieter bindet. Hinzu kommt, dass einige Lösungen ein Rekompilieren der ursprünglichen Anwendung mithilfe von Software Development Kits (SDKs) erfordern. Das schränkt die Zahl der unterstützten Applikationen ein. Anbieter von solchen Container-Lösungen sind unter anderem Citrix und Good Technology.

App-Wrapping: Anwendungen werden eingepackt

Bei App Wrapping werden in eine mobile Anwendung beispielsweise unternehmenseigene Sicherheitsregeln "injiziert". Dies kann mithilfe von Software Development Kits erfolgen, allerdings auch ohne massive Änderungen am Programmcode der Applikation.
Bei App Wrapping werden in eine mobile Anwendung beispielsweise unternehmenseigene Sicherheitsregeln "injiziert". Dies kann mithilfe von Software Development Kits erfolgen, allerdings auch ohne massive Änderungen am Programmcode der Applikation.
Foto: Good Technology

Ohne SDKs kommen "App Wrapper" aus. Der Anbieter, beispielsweise MobileIron oder VMware-AirWatch, modifiziert in diesem Fall den ausführbaren Code einer Anwendung. Hinzugefügt werden beispielsweise Sicherheitsregeln. Diese legen fest, wo welche Daten gespeichert werden und über welche Verbindungen diese transportiert werden dürfen. Dieser Ansatz weist ähnliche Vorteile auf wie das "Containerisieren" von Apps und Daten, insbesondere die Trennung zwischen privaten und geschäftlichen Bereichen auf einem Mobilgerät.

Zu den potenziellen Problemen zählt, dass manche Hersteller von Anwendungen es untersagen, deren Code zu modifizieren. Zudem ist das Patchen solcher ummantelter Anwendungen komplexer als bei Original-Applikationen. Vor allem bei Standard-Applikationen, die beispielsweise über die App-Stores von Google, Apple, Microsoft oder auch RIM/Blackberry bezogen werden, sind Techniken wie Wrapping mit einem höheren Aufwand verbunden und lassen sich wegen des mangelnden Zugriffs auf den Programmcode oft gar nicht umsetzen.

Mittlerweile werben etliche Anbieter wie etwa Good Technology oder Apperian mit einem "App-Wrapping ohne Coding". So ersetzt beispielsweise die Good Dynamics Secure Mobility Platform Standard-Systemaufrufe durch "Secure Calls" von Sicherheitsbibliotheken von Good. Auch IT-Fachleute ohne profunde Programmierkenntnisse können so laut Good mobile Anwendungen "einpacken".

Mit dem Good Dynamics SDK dagegen lassen sich dagegen Container erzeugen, indem der Programmcode der Anwendungen geändert wird. Dieses Verfahren eignet sich vorzugsweise für Apps, die ein Unternehmen selbst entwickelt hat. Der erhöhte Aufwand zahlt sich laut Good durch einen größeren Funktionsumfang aus: Apps können so konzipiert werden, dass sie untereinander auf sichere Weise Daten austauschen, oder applikationsspezifische Policies können über dieselbe zentrale Management-Konsole gesteuert werden, über welche die Verwaltung von Standard-Sicherheitsregeln erfolgt.

Mobile Daten in der Praxis effizient schützen
Mobile Daten in der Praxis effizient schützen
Foto: Jakub Jirsak, Fotolia.com

Virtualisierung: Desktops und Anwendungen im Rechenzentrum

Gerade in jüngster Zeit haben Ansätze wie virtualisierte Desktops im Mobilbereich an Boden gewonnen. Ein Grund dafür ist, dass die erforderlichen Mobilfunkverbindungen oder Anbindungen über ein öffentliches Wireless LAN mittlerweile erschwinglich sind. Das gilt insbesondere für den Zugriff auf Desktops-Umgebungen über 3G- sowie 4G-Netze.

Unternehmen wie Citrix und VMware bieten solche virtualisierte Desktop-Umgebungen an (Virtual Desktop Infrastructures, VDIs). Anwendungen und Daten werden im Firmen-Data-Center oder einem Cloud-Rechenzentrum vorgehalten. Der Nutzer greift darauf über VPN-Verbindungen (Virtual Private Network) vom Mobilgerät aus zu. Weder Anwendungen noch Daten werden auf dem Endgerät gespeichert - ein Vorteil in puncto Sicherheit.

Dem stehen Nachteile wie die Abhängigkeit von einer Datenverbindung und die eingeschränkte Zahl von Anwendungen gegenüber. Denn Original-Apps auf dem Endgerät, mit denen ein User vertraut ist, lassen sich bei diesem Ansatz nicht einsetzen. Zudem müssen die Anwendungen im Rechenzentrum auf die eingesetzten Mobilgeräte hin zugeschnitten werden, etwa die Displays (Größe, Auflösung) und die verwendeten Browser. Das erfordert einen höheren Aufwand.

Virtualisierung als App oder im Betriebssystem

Die Virtualisierungstechniken im mobilen Bereich lassen sich in zwei Kategorien einteilen:

Typ-1-Hypervisors: Sie setzen direkt auf der Hardware des Mobilgeräts auf ("Bare Metal"). Betriebssystem und Apps werden in Form von Virtual Machines auf dem Hypervisor ausgeführt. Dadurch ist es möglich, zwei komplett getrennte Systeme (Virtual Machines) aufzusetzen - eines für den privaten Gebrauch und eines für berufliche Zwecke. Als Ergänzung kann eine Verschlüsslung der Daten erfolgen, sowohl auf dem Endgerät auf der VM-Ebene als auch beim Transport. Der Nachteil: Dieses Verfahren ist aufwändig und erfordert eine nachhaltige Unterstützung durch den Hersteller des Mobilgeräts.

Typ-2-Hypervisors: Sie werden wie eine App auf dem Endgerät ausgeführt und erzeugen dort gewissermaßen in zweites, virtualisiertes Smartphone oder Tablet. Auch in diesem Fall lassen sich private und berufliche Bereiche auf dem Endgerät trennen. Allerdings wirken sich Typ-2-Hyervisors negativ auf die Batterielaufzeit und Performance des Endgeräts aus. Zudem muss die Virtualisierungsfunktion Zugriff auf zentrale Funktionen des Betriebssystems haben.

Spezielle Ansätze: Samsung Knox und Mobile Spaces

Einen eigenen Weg geht Samsung mit Knox. Diese Virtualisierungslösung setzt auf Security Enhanced Android (SE Android) auf und klinkt sich sowohl in die Hard- als auch Software eines Samsung-Galaxy-Systems ein. Ein Vorteil: Knox bietet eine AES-Verschlüsselung mittels AES (Advanced Encryption Standard) mit 256-Bit-Schlüsseln auf der Hardware-Ebene. Der User kann das Endgerät wie gewohnt einsetzen. Der Start der virtualisierten Arbeitsumgebung erfolgt über einen Button auf der Benutzeroberfläche. Zudem ist die Anbindung an MDM-Lösungen von Anbietern wie MobileIron möglich.

Ein Nachteil: SE Android wurde vom US-Geheimdienst NSA entwickelt. Auch wenn dieser nach eigenen Angaben keine Hintertüren in das Betriebssystem eingebaut hat, bleiben nach den Enthüllungen von Edward Snowden über die Ausspähaktionen der NSA Zweifel. Auf dem Mobile World Congress 2014 im Februar in Barcelona stellte Samsung Version 2.0 von Knox vor. Eine gravierende Änderung: Samsung hat selbst entwickelte MDM-Funktionen in Knox integriert. Die Lösung steht voraussichtlich ab April 2014 zur Verfügung.

Eine virtualisierte Runtime-Umgebung auf dem Mobilgerät richtet auch Mobile Spaces der gleichnamigen amerikanischen Firma ein. Eine Besonderheit der Lösung ist, dass der Hersteller sie mit Mobile-Application-Management-Funktionen ausgestattet hat. So steht eine Agent-App zur Verfügung, die als App-Starter dient. Sie stellt dem User eine Liste mit Anwendungen zur Verfügung, die von der IT-Abteilung freigegeben wurde. Der Nutzer wählt eine dieser Applikationen aus, die anschließend von Mobiles Spaces gestartet wird. Das heißt, es erfolgt kein direkter Aufruf von Apps durch den Nutzer. Diese Aufgabe übernimmt Mobile Spaces.

Zur Startseite