Mobile Verantwortung oder zügelloser Daten-Striptease?

Der Haken beim Mobile Computing

In den Achtzigern hatte ich von meiner ersten Studentenbude in Berlin einen fantastischen Blick auf den Teufelsberg. Der Teufelsberg ist die höchste Erhebung Berlins und beherbergte weithin sichtbar eine Funkabhörstation der NSA. Belauscht wurden natürlich „die Russen“. Das war jedem bekannt und auch die Abgehörten ließen sich nicht lumpen und unterhielten ein entsprechendes Pendant auf dem Brocken im Harz – mitten in der Richtfunkstrecke, auf der sämtliche Telefonate zwischen West-Berlin und dem Rest der Welt abliefen.

Vertrauen ist gut…?

Gedanken darüber machte sich kaum jemand. Es war kalter Krieg und die Feindbilder eindeutig definiert. Heute scheint sich das geändert zu haben. Es umfasst nun augenscheinlich Verbündete, Konzerne oder Ex-Partner. Und auch die Methoden haben sich verändert: Antennenanlagen sind weniger offensichtlichen Verfahren, wie manipulierten Routern oder Bot-Netzen, gewichen.

Solange meine Daten nur auf dem heimischen Rechner liegen, ist auch das weniger ein Problem. Doch wir leben im Zeitalter des Mobile Computing. Wir sind „always on“ und benutzen smarte Geräte, die permanent ihre Daten untereinander und eben auch mit der „Cloud“ abgleichen. Wir vertrauen sozialen Netzen unsere Gedanken und Erinnerungen an. Jedem, der mit seinem heimischen PC online ist, sollte mittlerweile klar geworden sein, dass ein aktueller Viren- und Internetschutz selbstverständlich ist. Auch sollte das Betriebssystem immer auf dem neuesten Stand sein. Nur auf diese Art lässt sich die Zeitlücke, in der ein System für Profi-Hacker angreifbar ist, möglichst klein halten. Inzwischen aber verlagern sich die Angriffe mehr in Richtung mobiler Geräte, den Leitungen und der Cloud selbst.

Android unter Beschuss

Gefälschte Apps im Umlauf Android Geräte sind begehrte Ziele von Hackern. Die Zahl der Trojaner, die sich in Apps verbergen, steigt permanent. Antiviren-Programme für Android sind daher dringend zu empfehlen. Auch sollten Sie möglichst Apps nur aus dem Google Play Store beziehen, da hier die Anwendungen wenigstens etwas auf Sicherheit hin untersucht werden.

Beliebt ist auch das Fälschen von Apps: Sie gleichen in Namen und Aufmachung beliebten (kostenpflichtigen) Apps, verbergen aber Trojaner- oder Virenfunktionen. Wer eine bestimmte App sucht, sollte am besten über die Original-Seite des Herstellers gehen. Von Vorteil ist dabei auch, wenn Sie einen Hersteller auswählen, der schnell Systemupdates für seine Geräte bereitstellt. Grundsätzlich sollte bei Android die gleiche Vorsicht walten, wie sie auch beim heimischen PC angebracht ist.

Apple iOS legt bei Sicherheit vor

Bei Apple iOS ist es um die Sicherheit besser bestellt. Ähnlich wie es bereits bei IBM Notes Domino bekannt ist, müssen Apps eine Signatur haben, damit sie überhaupt auf dem Gerät laufen dürfen. Diese Signatur kann grundsätzlich nur Apple selbst erstellen. Selbst, wenn ich meine eigenentwickelten Apps auf meinem Gerät testen möchte, muss ich mir vorher bei Apple eine Signatur erzeugen lassen. Diese ist dann zeitlich begrenzt gültig. Danach lässt sich die App nicht mehr starten.

Ohne Signatur läuft nichts

Als Entwickler muss man sich zudem bei Apple registrieren. Dazu musste ich bei einem Notar meine Identität beglaubigen lassen. Jeder Entwickler darf Signaturen für maximal 100 Geräte erzeugen lassen. Diese müssen per Seriennummer bei Apple registriert werden. Ähnliche Möglichkeiten gibt es auch bei der Verteilung von Apps innerhalb eines Unternehmens. Soll die App aber auf jedem Gerät lauffähig sein, muss  diese bei Apple erst eingereicht werden. Sie wird untersucht, getestet, signiert und in den AppStore gesetzt. Ausschlusskriterien sind z.B., wenn eine App versucht, den Datenbereich einer anderen App einzusehen, zu manipulieren oder gar eine andere App nachahmt. Deswegen kann z.B. auch keine Trojaner App einfach so per E-Mail verschickt werden – sie würde auf dem Gerät nicht starten.

Jailbreak ist riskant

Umgehen lässt sich dieses Sicherheitssystem durch einen sogenannten Jailbreak. Das können Sie machen. Empfehlen würde ich es jedoch nicht, da das Gerät dann den gleichen Sicherheitslevel hat, wie ein Android-Gerät. Sie sollten daher genau wissen, was Sie tun. Firmen können sich durch eine MDM-Software gegen Jailbreaks auf den Geräten der Mitarbeiter schützen. Im Zweifel wird das Gerät dann einfach geblockt.

Befremdlich erscheint dann eine Meldung, dass die NSA auch iPhones und iPads gehackt hat. Das stimmt nicht wirklich. Gehackt wurde der Computer, mit dem die Geräte per iTunes synchronisiert werden. Einige Apps erlauben darüber auch den Austausch von Dateien. Diese Dateien wurden dann abgegriffen. Hier gilt es also wieder den PC zu schützen oder Sie verzichten auf iTunes und synchronisieren direkt über das interne Netz mit den Dateiservern, sofern die Apps das unterstützen. Das Stichwort hierzu ist die eigene Cloud. Sicher sind übrigens alle Dateien auf dem Gerät, wenn Sie unter iOS einen Zugangscode definieren. Mit dem werden alle lokalen Dateien verschlüsselt. Ein einfaches Auslesen des Speichers funktioniert damit nicht mehr.

Fazit

Mobilgeräte sicher einbinden

LesetippErfahren Sie in mehr über das Thema Mobile Device Management in unserem Artikel Die Vielfalt im Griff.

Der moderne Arbeitnehmer ist mobil, organisiert und vernetzt. Smartphones und Tablet PCs sind immer dabei. Berufliche und private Termine sind stets synchronisiert, der Zugang ins Internet und zu sensiblen Unternehmensdaten wie E-Mails selbstverständlich. Doch Sicherheit sollte dabei nicht zu kurz kommen.

Daher lautet mein Aufruf an Sie: Schützen Sie sich unbedingt vor dem allgemeinen Daten-Striptease. Stellen Sie sich bitte folgende Fragen und ergreifen gegebenfalls entsprechende Maßnahmen: Wie können mobile Geräte sicher in Unternehmensprozesse integriert werden? Wie verhindere ich Datenlecks? Wie lassen sich Unternehmens- und Kundendaten vor unerlaubtem Zugriff schützen? Welche Konsequenzen hat dies für die Compliance Richtlinien des Unternehmens? Erst, wenn Sie diese Fragen beantworten können, ist ein Mindestmaß an Sicherheit gewährleistet.

Wie schätzen Sie die Sicherheit mobiler Geräte ein? Wir freuen uns auf Kommentare und Anregungen.

geschrieben von: Andreas Graetz

Andreas Graetz

Andreas Graetz ist Senior Consultant bei GBS im Bereich IBM Notes Domino. Er hat sich schon seit vielen Jahren dem Thema Mobile Computing verschrieben und ist seit 2010 in der Apple iOS-Entwicklung aktiv.

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!

Posted in:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.