Die innere Sicherheit: iPhone versus Blackberry

Das Smartphone ist ein PC für die Westentasche. Aber in puncto Sicherheit gibt es noch Fragezeichen. Besonders im Firmeneinsatz ist Vorsicht geboten.

Für eine rasant wachsende Zahl von Benutzern ist das Smartphone zum ständigen und unentbehrlichen Begleiter in allen Lebenslagen geworden. Gerade deshalb sehen viele Sicherheitsexperten in den mobilen Alleskönnern noch etwas anderes – nämlich die perfekte multimediale Abhörwanze. Fest steht, dass die schnelle Verbreitung der Mobilgeräte mit computerähnlichen Funktionen und eingebauten Kameras auch zu wachsenden Sicherheitsproblemen führen wird.

Smartphones: Lukratives Ziel für Cyber-Angriffe

Unzureichende Tests von Betriebssystemen und mobilen Apps sowie das noch stark unterentwickelte Risikobewusstsein der Benutzer tragen dazu bei, dass das Smartphone sich zum lukrativen Angriffsziel für Cyberkriminelle entwickelt. Das gilt umso mehr, wenn die Multimedia-Handys im Business-Kontext verwendet werden. Neun von zehn Angestellten hatten Ende 2010 ein Firmenhandy. Damit tragen sie nicht bloß ein mobiles Büro in ihrer Westentasche, sondern oft auch sehr sensible Informationen spazieren. „Ein Smartphone ist nichts anderes als ein Mini-PC und muss dementsprechend geschützt werden“, betont der Sicherheitsexperte Markus Robin. Die Bedrohungen sind real. Aktuell listen Beobachter mehr als 1.000 Schadprogramme für mobile Geräte. Die können Daten vernichten, kopieren, transferieren, das Handy deaktivieren oder die Geräte zu mobilen Spam-Schleudern zweckentfremden und SMS und E-Mails versenden. Sogar die ferngesteuerten PC-Armeen gibt es schon in einer To-Go-Variante – als mobile Botnetze.

Besser für Business: Blackberry

Wie wasserdicht die mobilen Betriebssysteme sind, darüber scheiden sich die Geister. Worauf sich alle konsultierten Experten einigen konnten, war Research in Motion als Klassensieger. „Wer einen hohen Sicher­heitsstandard haben will, greift nach wie vor zu BlackBerry“, sagt Christian Haspl vom Netzbetreiber 3. „Das ist das einzige Gerät mit Nato-Zertifizierung.“ Dass der militärische Verschlüsselungsstandard, auf dem der E-Mail-Dienst von BlackBerry beruht, sicherer ist, als die Polizei erlaubt, ist spätestens seit Sommer 2010 bekannt. Indien und die Vereinigten Arabischen Emirate beschwerten sich über die Tatsache, dass ihre Geheimdienste den Schriftverkehr nicht mitlesen können, und verlangten unter Androhung eines Verbots einen Zugang für ihre Antiterror-Behörden. „Das ist aber technisch gar nicht möglich“, beruhigt Arno Glompner, Pressesprecher von RIM ­Deutschland. „Unsere Enterprise-Lösung hat eine End-to-End-Verschlüsselung. Das heißt, nur der Admin der Firma hat die Schlüssel. RIM routet lediglich die Übertragung und hat keinerlei Zugriff auf die Inhalte.“

Firmen sind vorsichtig

Bei Unternehmensberater PwC Österreich sind 350 Smartphones im Einsatz, die aber ausschließlich für Firmen-E-Mail, Firmenkalender und Kontaktdaten verwendet werden. Kundendaten sind aus Sicherheitsgründen nicht mobil abrufbar. Wartung und Softwareupdates laufen ebenfalls über einen ­zentralen Firmenserver, die Anwender können von sich aus auch keine Apps installieren. Dazu IT-Chef Heimo Tarmann: „Hier fahren wir eine sehr restriktive Linie, es gibt mit BlackBerry nur ein einziges Produkt, das
wir zulassen. Natürlich abgesichert durch alles, was das Sicherheitsherz begehrt – Endpunktsicherheitslösung, Datenverschlüsselung und mehrstufige Sicherheitsbarrieren.“ Von einem Security-Level à la BlackBerry ist die Konkurrenz noch ein ganzes Stück entfernt. Apple hat bei seinem jüngsten Update auf die Betriebssystem-Version 4.2.1 einige Lücken im Programm gestopft und Sicherheitsfunktionen eingebaut, die iPad und iPhone nun auch für den Firmeneinsatz attraktiver machen sollen. Dasselbe versucht auch Google mit seiner aktuellsten Programmversion von Android. In jedem Fall sollten Firmen ausführliche Sicherheitstests durchführen, bevor sie ein Smartphone-Produkt ins ­Firmennetz integrieren, rät Robin. So manche Firma ent­scheide sich nach solchen Tests gegen einen Einsatz. Bei PwC wird derzeit auf vielfachen Mitarbeiterwunsch auch das iPhone auf Herz und Nieren getestet. Mit offenem Ende, wie Tarmann betont: „Wenn es unseren Sicherheitsanforderungen nicht entspricht, werden wir es nicht zulassen.“

Apple, Google und Microsoft

„Mittelfristig werden auch Apple, ­Google und Microsoft mit Windows Mobile eine stärkere Rolle am Business-Markt spielen“, ist Peter Sperk, Mobility-Experte bei SAP, überzeugt. Bei den Walldorfern will man allerdings nicht warten, bis die Smartphone-Hersteller ihre Sicherheitslücken gestopft haben. Durch den Kauf von Sybase, einem US-Hersteller geräteunabhängiger Mobil-Plattformen, hat SAP nun eine Lösung im Portfolio, mit der man ihre kaufmännische Software auf jedem mobilen Gerät auf sichere Weise verfügbar machen kann. „Der Renner sind derzeit Lösungen für den Vertriebsaußendienst und Business-Intelligence-Anwendungen für Manager. Für die Sicherheit ist entscheidend, dass die mobi­len Geräte über eine zentrale Management­software vollständig unter der Kontrolle des Administrators der Firma sind und ­Angreifer nie bis auf die Datenebene des Handys vordringen können“, so Sperk. So kann zum Beispiel auf dem iPhone über die SAP-Software ein komplett abge­schotteter Systembereich für vertrauliche Firmendaten eingerichtet werden.
Laut Karl Gorz von T-Mobile Business Solutions wird nicht zuletzt aus Sicherheitsgründen bei Smartphones das Thema Software als Service eine immer stärkere Rolle spielen, weil dabei keine Daten am Handy gespeichert werden und der Benutzer im Browser über eine sichere https-Verbindung online arbeitet. „Die Software wird von der IT zentral betrieben. Das Endgerät ist dabei aus Security-Sicht egal, und die Firma spart sich dafür auch die Betriebskosten.“

Die App-Falle

Schwachstellen im mobilen Betriebssystem auszunutzen ist ein gängiger Weg zur Verbreitung von Schadsoftware. Das Prinzip ist dasselbe wie am PC. Über das Aufrufen manipulierter Websites oder das Öffnen von Dateianhängen gelangen die Programme auf das Smartphone. Mit dem Aufkommen der App Stores ab 2008 machten sich die Virenprogrammierer selbstredend auch diese Logistik zunutze. Erfolgreich sind die Bösen in der Regel damit, dass sie ihre Malware im Fahrwasser erfolgreicher Downloads ansiedeln, also Programme nach populären Spielen be­nennen. Aber auch ohne böswillige Absicht dahinter können Apps schnell zur Achillesferse eines Smartphones werden, da bei ­ihrer Programmierung Sicherheitsfragen oft komplett außer Acht gelassen werden (siehe Interview Seite 65). Verschärfend kommt hinzu, dass die Entwickler den Programmen nicht selten mehr Rechte als nötig einräumen – zum Beispiel Zugriff auf das GPS oder die Kontakte des Benutzers. In den USA läuft derzeit eine Sammelklage gegen Apple und mehrere App-Anbieter, weil ­einige iPhone-Programme rechtswidrig ­Benutzerinformationen gesammelt und an die Entwickler übermittelt haben. Die Infos wurden dann für Marketingzwecke missbraucht. PwC-IT-Chef Tarmann ist sich der Problematik der Apps durchaus bewusst. Nach Belieben aus dem App Store runterzu­laden wird es bei PwC selbst bei Zulassung des iPhones deshalb nicht spielen. Erlaubt werden nur von der IT-Abteilung getestete Anwendungen, die zumindest indirekt einen Business-Nutzen bringen. „Auch ein Wetterdienst kann sich bei Dienstreisen als nützlich erweisen“, so Tarmann. Für den Fall eines Diebstahls will sich Tarmann ebenfalls absichern. Auf Knopfdruck sollen alle Daten auf dem Smartphone von zentraler Stelle aus gelöscht werden können.

Virenschutz-Programme

Wie wirksam die langsam aufkommenden Virenschutz- und Firewallprodukte für Smartphones sind, darüber herrscht selbst unter Experten noch Uneinigkeit. Peter Klein, Leiter technischer Service bei dem einschlägigen Anbieter f-secure, warnt vor überzogenen Erwartungen. „Ein effektiver Virenschutz muss sehr tief ins Betriebs­system eingreifen können. Das funktioniert aber nicht, wenn es die Smartphonehersteller nicht unterstützen.“ Und das tun derzeit nicht alle in gleicher Weise. Während laut Klein die Kooperation mit Nokia zügig vor­anschreitet, könne man Apple- und Windows-Mobile-basierte Geräte noch nicht in dem Ausmaß unterstützen. Einen gewissen Grundschutz bieten die Sicherheitsprogramme aber allemal, ist Sicherheitsberater Robin überzeugt. Und auf Firmenebene könne die Endpunkt-Sicherheit ohnehin immer nur Teil eines Gesamtkonzepts für Mobile Security sein. In Sachen Gerätesicherheit rät Robin, den Anbietern Dampf zu machen: „Wo Firmen gegenüber den Anbietern klar ihre Anforderungen formulieren, gibt es auch Bewegung in der Sicherheitsfrage.“

– Alexander Hackl, Barbara Mayerl

Das Gros der Kunden bucht seinen Sommerurlaub in den Monaten Jänner bis März. Der Rest bucht in letzter Minute.
#urlaub #internet #reise
 

Internet

Urlaub in letzter Sekunde

Warum Apple 3,2 Milliarden Dollar für Kopfhörer ausgegeben hat, die man nicht braucht - und warum sich der Beats-Deal für den Konzern trotzdem lohnt.
#beats apple
 

Börse International

Warum Apple 3,2 Milliarden für den Beats-Deal zahlt

Das Auto soll mit Elektromotor ausgestattet werden und
#Google #Elektroauto
 

Innovation

Google baut selbstfahrende Autos ohne Lenkrad