Die Top 5 Smartphone Sicherheitsaspekte

Die Art und Weise, wie wir heute arbeiten hat sich stark verändert. Vor allem seit dem Apple mit der Einführung des iPhones eine völlig neue und leicht benutzbare Plattform geschaffen hat. Heute nutzen die meisten Menschen vielleicht sogar mehr als ein Gerät. Es haben sich Tablets in den Haushalten bewährt, die in ihrer Funktionalität und Größe alle variieren können.

Mit diesen Geräten treten gerade im unternehmerischen aber auch im privaten Umfeld völlig neue Sicherheitsaspekte zu Tage, die zuvor vielleicht unwesentlich erschienen:

1. Verlust

Sie wiegen nur einige Gramm, manche sogar zwischen 100 und 200. Dadurch bemerkt man sie auch im Alltag nicht so sehr wie ein 2,5kg schweres Notebook. Vergisst man es, oder verliert man es macht sich das Gewicht sofort bemerkbar. Lassen wir hingegen das Smartphone am Flughafen liegen, merken wir es dann, wenn es meistens schon zu spät ist.

Man könnte meinen, dass doch so ein teures und nützliches Geräte nicht einfach so verloren gehen kann. Die Besitzer würden aufpassen. Auf folgender Seite kann man nach verloren gegangenen Gegenständen am Londoner Flughafen Heathrow suchen. Es lohnt sich einmal nach iPhones zu suchen oder Amazon Kindle Geräten: http://www.missingx.com

Da die E-Mail in der heutigen Arbeitswelt das elektronische Kommunikationsmedium Nummer Eins ist finden sich auf allen Business Geräten entsprechend viele davon. Vor allem interessant sind die mitgelieferten Anhänge, die für den Finder lesbar und wertvoll sein dürften.

2. Diebstahl

Das Ergebnis eines Diebstahles ähnelt dem eines Verlustes in gewisser Maßen. Und da Taschendiebstahl ein ständiger Bestandteil unserer Gesellschaft ist, sind Smartphones ein begehrtes Ziel. Es geht dem Dieb nicht zwangsläufig um die Daten, da letzten Endes ein PIN oder ein Kennwort das Gerät sperrt. Das Gerät ist vielleicht sogar verschlüsselt. Aber nichts ist 100 prozentig sicher, leider.

Ist aber eine Mobile Device Management im Einsatz, so gibt es immer noch die Möglichkeit das Gerät aus der ferne zu administrieren. Es können bestimmte Befehle an das Gerät geschickt werden. Ein effektives Beispiel wäre der “Wipe” Befehl. Dadurch wird das Gerät auf Werkseinstellungen zurückgesetzt.

Um nun aber die Latte möglichst hoch zu setzen, müssen folgende Richtlinien und Konfigurationen zentralisiert erzwungen werden:

  • Geräteverschlüsselung
  • Verschlüsselung externer Speichermedien (Mini SD Karte)
  • PIN/Password Zwang
  • Fernzugriffssoftware (MDM Client)

3. Jailbreaking / Rooting

Was könnte der Unterschied zwischen einem handelsüblichen Smartphone sein und einem gerootetn oder gejailbreakten? Auf beiden lässt sich der Mobile Device Management Client problemlos ausrollen. Was nun ist aber der Unterschied aus sicherheitstechnischer Sicht?

Android Bootloeader
Android Bootloeader

Google und Apple entwickelten diese restriktiven Umgebungen für Smartphones, um mehr Sicherheit zu gewährleisten. Sie haben durchaus von Microsofts Fehlern aus der Vergangenheit gelernt. Als noch jeder unter Windows 98 mit administrativen Rechten im Internet unterwegs war und das bei Windows 8.1 heute noch so ist. Am Ende wird ein Trojaner ebenfalls im administrativen Kontext gestartet und erlangt maximale Rechte im System.

Um nun die mobile IT Sparte im Unternemen zu schützen ist es äußerst wichtig Geräte auf irgendeine Art und Weise zu blockieren, die gerootet oder gejailbreaket sind. Viele MDM Hersteller bieten zumindest eine Erkennung an und sperren bzw. löschen ggf. alle Unternehmensdaten vom Smartphone. Dies ist zwar nicht die eleganteste Lösung, aber die einzig machbare.

4. Mobile Malware

Apps aus unbekannten Quellen installieren
Apps aus unbekannten Quellen installieren

Mobile Malware entwickelt sich derzeit zu einer großen Gefahr für einige Smartphones. Laut actionfraud.police.uk sucht beispielsweise HijackRAT aktiv nach installierter Antivirus Software auf dem Gerät und schaltet diese ab. Nichts wirklich neues im WINTEL Bereich, aber dafür in der Androidensektion. Die Malware selbst tarnt sich als Google Service Framework und wirkt damit eher unscheinbar. So lange man aber keine gerooteten Geräte in seinem Unternehmen zu lässt und bereits besprochene Sicherheitsmaßnahmen realisiert, ist man ganz gut gerüstet gegen alle möglichen Gefahren. Im Falle von Android sollte man derzeit lediglich sogenannte Samsung SAFE Geräte einsetzen:

Aber die Frage ist nach wie vor: Wie infiziert sich der Nutzer? Früher waren es Disketten, heute sind es Phishing Mails. Im mobilen Bereich sind es die alternativen Appstores. Sie locken mit dem Versprechen kostenlos Apps bereit zu stellen, die in den offiziellen Stores Geld kosten würden. Aber der Preis, den man hier für bezahlt wird nicht direkt in einer Währung angegeben sondern in der Kontrolle über das eigene Gerät und über die eigenen Daten.

5. Datenhungrige Apps

Es braucht nicht zwangsläufig alternative Appstores, um gefährliche Apps auf einem Smartphone zu haben. Viele Apps begnügen sich nur mit außergewöhlnich vielen Rechten, dazu gehören unter anderem die Rechte alle Kontakte ein zu lesen, die Kamera zu verwenden und dazu noch Geräte ID & Anrufinformationen abzufischen.

Zugriffsrechte für Angry Birds
Zugriffsrechte für Angry Birds

Gerade im Unternehmensbereich kann es sehr kritisch werden, wenn über scheinbar harmlose Spiele Unmengen an Unternehmensdaten abhanden kommen. Allein der Zugriff auf die Kontakte bewirkt einen Transfer aller Kundendaten. Aus Bequemlichkeit halten viele Ihre Kontakte auch auf den Smartphones gespeichert, da der Zugriff in das interne CRM oft aufwändig und nicht praktikabel ist. Schließlich will man den Kunden schnell erreicht haben.

Was nun?

Zusammengefasst möchte ich folgende Maßnahmen aufzählen, die dem Schutz eines mobilen Ökösystems im Unternehmen, dienen:

  • Mobile Device Management Lösung verwenden (z. Bsp. MobileIron)
  • Eine möglichst homogene Infrastruktur aufbauen (Android, iOS, Windows Phone etc.)
  • Im Falle von Android: Immer auf Samsung SAFE setzen
  • Geräteverschlüsselung aktivieren
  • Externe Speichermedien verschlüsseln
  • PIN/Passwort erzwingen
  • Auf Rooting und Jailbreaking mit einer Datensperre reagieren
  • Geschäftsdaten möglichst gesondert isolieren und verschlüsseln (z. Bsp. Divide)

Ich hoffe damit einiges geklärt zu haben was aus sicherheitstechnischer Sicht im mobilen Bereich wichtig ist. Es gibt mit Sicherheit noch mehr zu tun in Zukunft. Aber bis dahin findet sich auch ein neuer Blogeintrag, der auf die Veränderungen reagiert.

Artikel teilen:

Kommentar verfassen