Home      Themenübersicht / Sitemap      Notizen      Webmaster      

 

Risiken und Schutzmaßnahmen für Smartphones (und anderen mobilen Geräten)

Aktualisierung Dezember 2011:

Ganz aktuell: ViaForensics macht Untersuchen zu Smartphone Sicherheit. Sie stellen (und beantworten) z.B. Fragen wie:

  1. Is iOS secure enough for use in the enterprise?
  2. Is Android secure enough for use in the enterprise?
  3. How do iOS and Android compare to BlackBerry for security?
  4. Does the device passcode prevent someone from accessing device data?

 

Sept. 2011:
Teile dieses Artikels sind leicht in die Jahre gekommen, die Ereignisse haben sich mittlerweile überschlagen. Alle Bedrohungen gelten natürlich weiterhin, aber die Smartphones sind jetzt so weit verbreitet, dass Angriffe gegen Smartphones alltäglich geworden sind: z.B. McAfee berichtet, dass Android das am häufigsten angegriffene mobile Betriebssystem ist. Die spezielle Verwundbarkeit von Android ist, dass es für Angreifer sehr leicht ist, modfizierte Versionen von beliebten Apps in alternative App-Stores zu stellen. Oktober 2011 überschlägt sich der "Markt" für Schadsoftware auf Android. Hier ein Überblicksartikel Googles Android-Betriebssystem bleibt im Trojaner- und Malware-Fokus mit weiteren Links. Langsam entdeckt die "böse Seite" Geschäftsmodelle rund im Smartphone-Malware. Ich bin gespannt, wie sich das noch weiterentwickeln wird, ob irgendwann die Begeisterung für diese Geräte in Entsetzen umschlagen wird.

Ausschnitt aus Infographik Android Malware - Klick für volle Version
Quelle: TrendMicro http://blog.trendmicro.com/snapshot-of-android-threats

Einen sehr guten Überblick über die Sicherheitskonzepte (oder fehlende Sicherheit) von iPhone und Android veröffentlichte Symantec: Examining the security approaches employed in Apple’s iOS and Google’s Android (pdf). Kurze Zusammenfassung ist, dass die Sicherheitskonzepte des iPhones (mittlerweile) deutlich besser sind. Eines der Problem ist, dass viele Anwender gar nicht in der Lage sind, Sicherheitsupdates einzuspielen, da sie dabei vom Mobilfunkprovider abhängen.

Sehr gut ist auch die folgende Infographik zu State of Mobile Malware. Und hier eine sehr gute Infographik Android Malware.

Das Australian Government Department of Defense hat nach dem früheren Blackberry Guide jetzt einen Hardening Guide für iOS herausgebracht (pdf).

Sept. 2011: Angriffe über QR-Codes
Vom Bürger-CERT in D.: Der Antivirus-Software-Hersteller Kaspersky Lab hat laut seinem Blog erstmals Trojaner ausfindig gemacht, die sich per QR-Code auf Smartphones installieren (sog. Attagging). QR-Codes funktionieren ähnlich wie Strichcodes und lassen sich mit Smartphone-Kameras auslesen. Wenn die URL die in diesem Code enthalten ist auf eine Website zeigt, auf der Angriffscode verlinkt ist, so hängt es allein von den Sicherheitseinstellungen des Smartphones und der Aufmerksamkeit des Benutzers ab, ob die Angriffssoftware nun installiert wird oder nicht.

McAfee Labs warnt vor Smartphone-Apps, die aus QR-Codes entschluesselte URLs automatisch oeffnen.

 

Gegenüberstellung des Installationsdialogs für das Originalspiel Draw Slasher und die "infizierte" Kopie Blood vs. Zombie - die Kopie fordert zusätzliche unnötige Zugriffe an, mit deren Hilfe sie z.B. Mehrwert-SMS versenden kann
Quelle: IBM X-Force® 2011 - Mid-year Trend and Risk Report

Vorsicht bei der Installation von Apps, speziell aus "Alternate Markets"

Im IBM X-Force® 2011 - Mid-year Trend and Risk Report auf Seite 80 gibt es eine gute Darstellung, wie Kopien von beliebten Spiele-Apps missbraucht werden, um Betrügerein zu begehen. Die Graphik rechts zeigt, dass das Orginalspiel weniger und andere Rechte angefordert hat. Für ein Spiel ist es unnötig, dass es auf SMS, GPS und die Speicherkarten zugreifen kann. Selbst die Netzwerkkommunikation die das Orginal anfordert ist nur notwendig um High-Scores auszutauschen und stellt bereits ein Risiko für das Gerät dar. Leider kann man nicht selektiv Berechtigungen verweigern (bzw. nur über zusäztliche App).

Der Report weist darauf hin, dass jegliche Installation von Software aus "Alternate Markets" mit einem deutlich höheren Risiko verbunden ist (auch wenn die Überprüfung bei den offiziellen Markets nicht 100%ig ist). D.h. für kritische Funktionen wie z.B. Internetbanking sind diese Market nie und nimmer nutzbar, bei Spielen ist stark davon abzuraten, bzw. dann muss sehr genau geprüft werden, welche Rechte die App haben möchte. Aber selbst "Network communication" kann natürlich bereits persönliche Daten aus dem Gerät herunterladen - speziell wenn es sich um ein Gerät mit "Jail-break" oder "Rooting" handelt. In diesem Fall muss das Gerät von vornherein bereits als infiziert betrachtet werden, denn wer auch immer sich die Mühe für die Software-Entwicklung gemacht möchte dafür natürlich auch belohnt werden.

 

Mitarbeiter außerhalb des gesicherten Firmennetzes – wie gefährlich ist das eigentlich?

Autoren: Philipp Schaumann und Helmut Breitenfelder

Mitarbeiter arbeiten heute sehr oft nicht im Unternehmen, sondern beim Kunden, auf Reisen oder sie arbeiten von zu Hause (Telearbeit). Und die Verbindungsmöglichkeiten werden immer besser, sei es über WLAN, Bluetooth, GPRS oder UMTS. Und es sind nicht immer (nur) post-pubertäre Ausbrüche von Verspieltheit und Status-Sucht („meines kann aber mehr als deines“) wenn Männer (und oft auch Damen) mit ihrem elektronischen „Spielzeugen“ wie Smartphones, PDAs und Laptops im Internet unterwegs sind. Es gibt durchaus auch gute Business-Gründe, mit dem Firmennetz verbunden zu sein, seine E-Mails von überall abrufen und seine Termine jederzeit aktualisieren zu können. Und die technischen Möglichkeiten, sowohl was die technischen Möglichkeiten der Geräte betrifft wie auch die Möglichkeiten der Kommunikation werden immer attraktiver.

Aber wie ist für eine Firma das Risiko einzuschätzen? Kann die IT-Abteilung mit gutem Gewissen die Nutzung solcher Geräte grundsätzlich verbieten, ein Bollwerk aufstellen, über das nicht mal der Vorstand steigen kann? Einer meiner Gesprächspartner erklärte mir „Wir sind eine Bank, so was kommt bei uns gar nicht in Frage, das ist ganz ausgeschlossen!“

Aber das ist nicht die allgemeine Auffassung. Nicht alle Vorstände und Mitarbeiter haben für solche grundsätzlichen Argumente Verständnis. „Warum dürfen die Mitarbeiter der Konkurrenz am Flughafen im Hotspot surfen, und ich nicht?“ Mehr und mehr experimentieren auch Banken und andere Firmen mit sensiblen Daten mit neuen Kommunikationstechniken. Wie gefährlich ist das eigentlich?

Die folgenden Betrachtungen beziehen sich auf alle Arten von Geräten, vom Laptop, über das Smartphone und Blackberry bis zum Heim-PC des Mitarbeiters. Und sie beziehen sich auf alle Arten von Anbindung, nicht nur drahtlos wie UMTS, sondern auch auf Hotel-LANs und das Kabelnetz des Providers.

 

Die Gefahren unterwegs - der hohe Diffussionsquotient der Geräte

Das erste Problem - und von der Zahl der Vorfälle her auch das überragende Problem - ist das Risiko, dass das Gerät verloren geht, gestohlen wird oder irgendwie in fremde Hände fällt. Studien von Versicherungen zeigen, welch hohe Zahl von mobilen Geräten in Taxis liegenblieben, und je kleiner die Geräte sind, desto häufiger gehen sie verloren.

Diebstahl ist ein großes Thema, die Zahl der Notebooks, die aus Autos gestohlen werden, ist sehr hoch. Die Empfehlung, solche Sachen nie offen liegen zu lassen, ist sicher gut, aber weder ausreichend noch praktikabel. Außerdem muss jede Firma beachten, dass solche Diebstähle für Zwecke der Industriespionage heute auch gern auf Bestellung durchgeführt werden ("ich hätte gern ein Notebook der Firma xyz"). Gartner geht davon aus, dass der wirkliche Schaden von Geräteverlusten das drei bis fünffache vom Warenwert beträgt.

Eine Studie aus dem Jahr 2005: Die meisten Laptops werden zwar im immer noch im Büro gestohlen (29%, deswegen ist es so wichtig, keine Fremden im Gebäude allein zu lassen!), dann kommen schon Autos mit 25% und Flughäfen mit 14%. Der Rest geht auf Restaurants, Eisenbahnen, etc.

Und wenn das Gerät erst mal in fremden Händen ist so ist das Risiko sehr groß, dass der Angreifer das Zugangspasswort herausfindet. Ich muss dafür sorgen, dass die Daten auf dem Gerät auch dann sicher sind, wenn das Gerät nicht mehr unter meiner Kontrolle ist.

"Data loss" im Unternehmen, gestohlene und verlorene Geräte führen die Statistiken an
Quelle: Microsoft Security Intelligence Report 1H 2010

Details zu den Verlusten von Notebooks, PDAs und Handys bei pointsec.com, jetzt Teil von Checkpoint:

    Befragt wurden in 2005 Taxifahrer in folgenden Ländern: Australia, Denmark, Finland, France, Germany, Norway, Sweden, Great Britain und den USA. In den 6 Monaten, die von dieser Studie erfasst wurden, berichteten Londoner Taxifahrer von 0,21 Laptops pro Taxi (d.h. in jedem 5 Taxi blieb eines liegen). Kleine Geräte gehen noch leichter verloren, in Chicago waren es 3.42 Handys pro Taxi im halben Jahr und 0,86 PDAs/Pocket PCs. Sie berichten für ein einziges Taxiunternehmen in Chicago in 6 Monaten folgende Zahlen: Es wurden in den Fahrzeugen gefunden: 85,619 Handys, 21,460 PDAs oder Pocket PCs und 4,425 Laptops. Auch wenn die Zahlen in einigen europäischen Städten niedriger waren, so zeigt sich doch, dass der Verlust mobiler Geräte eine ernste Bedrohung ist.

Eine Studie zum Nutzungsverhalten europäischer Unternehmer mit Smartphones oder PDAs die von Toshiba Mobile Communications in Auftrag gegeben wurde, berichtet, dass jeder fünfte Unternehmer, der ein Smartphone oder einen PDA benutzt, das Gerät bereits einmal in seinem Leben verloren hat. Mehr als 90 Prozent der 502 befragten Unternehmer gaben gleichzeitig an, vertrauliche Geschäftsinformationen und Dokumente auf ihren Geräten zu speichern. Hier eine weitere Veröffentlichung zu Laptop-Diebstahl: "EU-Flughäfen: 3.300 Laptops verschwinden wöchentlich".

Vertrauliche Informationen können verschiedener Art sein:

  • Finanzinformationen über den generellen finanziellen Zustand des Unternehmens, solchen Informationen können in Konkurrenzsituationen gegen das Unternehmen verwendet werden
  • Kalkulationen, die Überblick über die Herstellungskosten und Einkaufsbedingungen geben
  • Technische Informationen vertraulicher Art ( Konstruktionszeichnungen, Unterlagen für eine Patentanmeldung, etc.)
  • Kundeninformationen (Ansprechpartner, Preise, Angebote, Umsätze, etc.)

Ein Angreifer, der physikalischen Zugriff auf ein Gerät hat, kann nur mit erheblichem Aufwand daran gehindert werden, die Sicherheitsmaßnahmen „zu knacken“. Die Angriffsmöglichkeiten sind in diesem Fall vielfältig.

Dazu gehört z. B. das Starten des Gerätes von einer Boot-CD mit einem anderen Betriebssystem, gefolgt von dem systematischen „Knacken“ des Administrator Accounts durch „brute force“. Ein erfolgreicher Angreifer gewinnt oft nicht nur Zugang zu den Daten, sondern oft auch Zugriff auf die gespeicherten Passworte für den VPN-Zugang zum Unternehmen und gefährdet damit das Unternehmensnetz.

Als „Bonusgeschenk“ für den Angreifer ist es leider immer noch bei vielen Unternehmen üblich, dass das gleiche Administratorpasswort auch innerhalb des Unternehmens genutzt wird, d.h. der Angreifer hat in diesem Fall auch gleich noch Kenntnis des internen Administratorpassworts.

 

Ein anderer wichtiger Aspekt kann natürlich sein, dass wir den gestohlenen Laptop gern zurück hätten. Dafür gibt es Software die bei jedem Netzzugang den Standort an einer zentralen Stelle ablegt. Hier eine OpenSource Variante: Adeona.

 

Das Überleben in der freien Wildbahn

Wann immer ein Laptop sich außerhalb des Firmennetzes direkt ins Internet wagt, so haben wir es mit einer verstärkten Exponierung gegenüber den Angriffen zu tun, die jedem Rechner im Internet ständig drohen. Zwar kann sich die IT-Abteilung heute auch nicht mehr 100% darauf verlassen, dass im internen Firmennetz keine Schadsoftware aktiv ist, aber die Bedrohungen außerhalb des Firmennetzes sind doch erheblich größer. Firmennetze sind zwar heute auch nicht mehr DER Hort des Schutzes, Schadsoftware findet sich heute leider zum Teil auch in den Firmennetzen.

Trotzdem bietet mir dieser Perimeter-Schutz mittels Firmen-Firewalls mit NAT- und Proxy-Funktionalität, Content Filtering und möglicherweise Intrusion Detection mehr Sicherheit, als wenn ein Rechner direkt ungeschützt im Internet präsent ist. Wann immer ich diesen Schutz hinter mir lasse, begebe ich mich mit meinen mobilen Geräten in eine noch gefährlichere Umgebung.

Außerhalb des Firmennetzes bin ich in den meisten Fällen mit meinem Rechner oder mobilem Gerät (PDA, Smartphone) beim Surfen mit einer öffentlichen (offiziellen) IP-Adresse im Internet sichtbar und damit Port-Scans direkt ausgesetzt. Jetzt kommt es darauf an, dass die Personal Firewall auf dem Rechner selbst gut konfiguriert ist.

Halt! Personal Firewall auch für Smartphones? Ja, jedes Gerät, das mit einer IP-Adresse im Netz ist, ist damit auch angreifbar. Zum Glück gibt es noch nicht viele solche Angriffe, aber je mehr Funktionalitäten diese Geräte bieten werden.

Und wenn Notebooks, die auch außerhalb des Firmennetzes aktiv waren und nur unzureichend geschützt sind, bei ihrer Rückkehr ins Firmennetz eine ganz erhebliche Bedrohung für das interne Netz dar.

Eine weitere Gefahr liegt darin, dass die Verbindung abgehört werden könnte und dass dadurch vertrauliche Informationen in falsche Hände gelangen könnten. Gegen diese Gefahren schützen sich viele Firmen bereits erfolgreich durch den Einsatz von Virtual Private Networks (VPN). Wenn man bei deren Implementierung sorgfältig vorgeht und sicherstellt, dass eine ausreichende Authentisierung der Endstellen dieses Tunnels sichergestellt ist, so reduziert sich die Bedrohung durch Abhören erheblich. Zu einem Risiko wird ein VPN-Tunnel aber immer dann, wenn man nicht sicher sein kann, dass am anderen Ende der korrekte Teilnehmer ist, bzw. wenn am anderen Ende ein unsicheres Gerät steht. Ein VPN Tunnel schaltet nämlich (in aller Regel) ein vollständige und transparente Verbindung zu dem anderen Netz, d.h. wenn eine Schadsoftware in einem der Netze, bzw. Endgeräte aktiv ist, so kann sie auch sofort in das andere Netz eindringen.

Eine solche "Durchschaltung" der Netze sollte, wenn sie nicht wirklich notwendig ist, verhindert werden. Dafür setzen viele Unternehmen heute sog. SSL-VPN ein, von denen einige (z.B. Citrix Access Platform mit Advanced Access Control) eine sehr ausgefeilte Zugriffskontrolle zu einzelnen Anwendungen ermöglichen (White-List-Konzept) und keine direkte Verbindung der Netze. Im Detail muss man sich anschauen, welche der "Tunnel-Technologien" für jedes Unternehmen und für jeden Verwendungszweck die beste ist.

 

Exponierung im Netz des Providers

Zusätzlich bin ich aber auch im lokalen Netz des jeweiligen Providers (Kabelnetz, Hotel, Telefongesellschaft) sichtbar und damit offen für alle Angriffe auf Layer 2, z.B. Man-in-the-Middle Angriffe durch ARP-Cache Poising, DHCP-Spoofing oder Spoofing eines falschen Access Points.

Man-in-the-Middle Angriffe gehören zu den gefährlicheren Bedrohungen, denn es gibt heute jede Menge Software, die solche Angriffe sehr einfach macht und einem Angreifer nicht nur erlaubt, meinen Datenverkehr mitzulesen, sondern auch Datenelemente einzuschleusen, z.B. zusätzliche Javascripts in die Webseiten, die ich besuche. Und diese Javascripts können dann bei Verwundbarkeiten meines Gerätes leicht Trojaner und andere Schadsoftware herunterladen.

 

Schutz des Endgeräts

Dies bedeutet, dass der Laptop, das Handy oder der PDA für seinen Schutz selbst sorgen muss und das bedeutet, dass unabhängig davon, ob ich im heimischen Kabelnetz bin, in einem Flughafen-Hotspot oder ob ich mit GPRS surfe, folgende Regeln gelten sollten

  • Keine Administrationsrechte für die Anwender

  • Kommunikation nur über einen verschlüsselten Kanal, (IPsec-VPN, SSL-VPN, verschlüsselte Terminalserver-Verbindung) mit gegenseitiger Authentisierung beider Endgerät

  • Zusätzlich starke Authentisierung des Anwenders, z.B. über Smartcard, USB-Token oder One-Time-Passwort-Token

  • Regelmäßige Aktualisierung des mobilen Gerätes mit Sicherheitspatches

  • Verwendung einer Personal Firewall (zusätzlich zum VPN-Client)

  • für Laptops: ständig aktualisierter Schutz gegen Malicious Software (Viren und Trojaner, aber auch Spyware), Kontrolle der Sicherheit des Gerätes durch "Endpoint-Security"

  • Geräte Hardening und Penetration Testing vor Einsatz der mobilen Geräte

  • Verschlüsselung der Daten auf den mobilen Geräten für den Fall von Verlust oder Diebstahl

  • Installation von Hardware oder Software nur durch IT-Abteilung

  • Automatische Deaktivierung der Verbindung bei Nichtbenutzung (bsplw. Timeout)

 

Aber natürlich gibt es Unterschiede in der Bedrohung bei den verschiedenen (drahtlosen) Zugangstechniken. Bedrohungsfaktoren sind dabei die Exponierung des Gerätes im Internet (d.h. öffentlich erreichbare IP-Adressen) und wer noch alles mit mir im gleichen lokalen Netz ist, mich daher auf Layer 2 angreifen kann.

Die größte Bedrohung geht wohl von öffentlichen WLANs aus (bzw. öffentliche Hotspots auf Bluetooth-Basis). Bei jeder anderen Methode sind die anderen Teilnehmer im lokalen Netz zumindest über eine Rechnungsadresse authentifiziert und können mich nicht ganz anonym angreifen. Ziemlich sicher hingegen ist UMTS. Die Sicherheit ist dort gegenüber GSM und GPRS deutlich erhöht. Die Sicherheit einer UMTS Verbindung kann der von Standleitungen durchaus gleichgesetzt werden.

 

Welche Firmen-Anwendungen muss ich eigentlich wirklich erreichen?

Wichtig ist bei allen Überlegungen die Frage, was muss denn wirklich erlaubt werden, welche Funktionalitäten sind für den Geschäftsbetrieb wirklich notwendig? Ein voller Zugang ins interne Netz ist immer viel gefährlicher als „lediglich“ ein Synchronisieren von Kontakten, Termine und E-Mails zwischen den PDAs und einem speziellen Server in einer speziellen DMZ.

Für Laptops bietet sich eine Lösung an, die auf der Terminalserver-Philosophie, z.B. mittels Citrix, beruht. Wiederum führt der Pfad nicht direkt ins interne Netz, sondern nur auf die Citrix-Farm in einer DMZ. In allen Fällen, d.h. ob über Terminalserver, Outlook-Web-Access oder bei Einsatz eines VPNs müssen zur Sicherheit auf jeden Fall ausreichende Sicherheitsmaßnahmen getroffen werden.

  • eine verschlüsselte Datenübertragung

  • auf jeden Fall eine 2-Faktor-Authentisierung für die Benutzer

  • zusätzlich eine gegenseitige Authentisierung der beiden Endgeräte selbst über geeignete Zertifikate

Die 2-Faktor-Authentisierung allein ist nicht genug, denn ein Man-in-the-Middle kann jeden Challenge/Response-Austausch leicht weiterspielen. Nur bei gegenseitiger Authentisierung beider Endpunkte, d.h. nur wenn die beiden Gegenstellen sich bereits „vorher kennen“, z.B. weil die gegenseitigen Zertifikate auf anderem Wege eingespielt wurden, kann ein Angriff mittels Man-in-the-Middle sicher verhindert werden. Die Gegenstellen dürfen nicht erst übers Netz ihre Zertifikate austauschen.

Ein VPN ist aber nur sicher, wenn nicht gleichzeitig noch eine direkte Verbindung ins Internet möglich ist. Sonst stellt nämlich das VPN keinen Schutz, sondern eine zusätzliche Schwachstelle dar, über die ein Angreifer sich ins Firmennetz einschleichen kann.

 

Gefahr durch Bridging

Aber Geräte mit einer IP-fähigen drahtlosen Schnittstelle, sei es Bluetooth, WLAN, GPRS oder UMTS können, wenn sie wieder im Firmennetz verbunden sind, eine Bedrohung dieses darstellen. Zum einen könnten sie evtl. infiziert sein, andererseits besteht das Risiko, dass die drahtlose Schnittstelle auch noch aktiv ist. In diesem Fall besteht die Gefahr, dass ein Angreifer dieses Gerät als Bridge oder Router ins Firmennetz nutzt. Daher sollte verhindert werden, dass Geräte mit aktiven drahtlosen Schnittstellen gleichzeitig im Firmennetz hängen. Manche Firmen lösen dieses Problem, in dem sie mittels Skripten testen, ob das Gerät im Firmennetz ist und falls ja, dann drehen sie alle drahtlosen Schnittstellen ab. Falls das Gerät jedoch außerhalb des Firmennetzes ist, so zwangsaktivieren sie den VPN-Client, und der sollte einen direkten Zugriff ins Internet verhindern (kein Split-Traffic, Web-surfing nur über die Firmenverbindung).

Eine andere organisatorische Lösung ist, wenn drahtlos ausgestattete Geräte sich auch auf dem Firmengelände nie direkt über Kabel ins Firmennetz gehen, sondern sich immer nur mit einem Access Point verbinden können, der logisch außerhalb des Firmennetzes angesiedelt ist. Diese Mitarbeiter arbeiten dann auch im Arbeitsplatz so, als wären sie auf Reisen. Wenn eine entsprechende VPN- oder Terminalserver-Funktionalität implementiert wurde, so muss dies keine Einschränkung der Arbeitsmöglichkeiten darstellen.

 

Bluetooth

Bluetooth ist ein extrem vielseitiges Protokoll. Es kann ganz ohne Sicherheit oder mit sehr viel Sicherheit betrieben werden, ja nach Bedarf. Die Entscheidung darüber liegt aber leider nicht beim Benutzer, sondern der Hersteller des Geräts entscheidet dies bereits. Zwei ganz unterschiedliche Anwendungen von Bluetooth sind einmal die Kopplung zweier Geräte wie Handy und Ohrwaschl oder Handy und Freisprecheinrichtung (nämlich direkte Gerätekommunikation ohne IP-Adresse) und andererseits der Einsatz von Bluetooth mit IP-Adresse, z.B. als Alternative für einen WLAN-Hotspot.

Wenn ein Bluetooth-Gerät nur für die erste Funktionalität konfiguriert ist, so können schlimmstenfalls die lokalen Daten des Gerätes ausgelesen werden, z.B. Adressbuch, Termine, E-Mails. Wenn aber eine IP-Funktionalität konfiguriert ist, so kann über dieses Gerät auch auf andere Netze zugegriffen werden.

Eine spezielle Problematik von Bluetooth-Geräten ist das Pairing, d.h. eine gegenseitige Authentisierung und Freischaltung der Kommunikation zwischen 2 Geräten. Aus Benutzerbequemlichkeit werden die meisten Pairings permanent gemacht, d.h. 2 Geräte, die irgendwann mal durch ein solches Pairing miteinander verbunden wurden (durch das Eintippen der gleichen PIN) haben ein permanentes Vertrauensverhältnis untereinander. Da das Flirten mittels Bluetooth in einigen Ländern bereits zu einem Sport in öffentlichen Verkehrsmitteln geworden ist, besteht das Risiko das auf diese Weise erworbene Pairings auch für andere Zwecke ausgenutzt werden.

Eine spezielle Bedrohung für Handys, speziell solche mit Bluetooth, sind Social Engineering Angriffe, wobei z.B. der Download eines Videos oder Spieles in einem öffentlichen Hotspot angeboten wird, in Wirklichkeit jedoch eine Schadsoftware installiert wird. Hier ein Artikel zu Werbung über Bluetooth.

Aktualisierung Aug. 2008: 2 gründliche Texte zu Bluetooth-Sicherheit: NIST SP 800-121 - Guide to Bluetooth Security (Draft) (pdf) und Bluetooth Security-Mechanismen und potentielle Schwachstellen(pdf)

 

UMTS

UMTS hat auf Grund der Werbung in Richtung Multimedia-Entertainment oft den Ruf, mehr etwas für Jugendliche als für Geschäftsleute zu sein. Aber ohne dass dies in der Öffentlichkeit viel diskutiert wird hat UMTS nicht nur das Geschwindigkeitsproblem sondern auch fast alle Schwachstellen von GSM- und GPRS-Verbindungen beseitigt und ist damit eine sehr gute und ziemlich sichere Möglichkeit zur Verbindung ins Firmennetz.

 

WLAN-Hotspots

WLAN ist wohl die unsicherste der drahtlosen Zugangsmethoden zum Firmennetz. Hier gibt es nicht nur zahlreiche Angriffsmöglichkeiten und –werkzeuge, der Hauptvorteil für Angreifer ist die Anonymität. Technisch lassen sich Man-in-the-Middle auch im lokalen Kabel oder ADSL-Netz durchführen, aber bei einem öffentlichen WLAN-Hotspot kann der Angreifer vollkommen anonym sein und das ist für illegale Aktivitäten ein deutlicher Vorteil.

 

15.11.2008:
Das deutsche BSI hat eine Broschüre "Öffentliche Mobilfunknetze und ihre Sicherheitsaspekte" zusammengestellt. Und heise.de berichtet, dass mittlerweile auch WPA Verschlüsselung geknackt ist. Das heißt, Firmen die WLAN einsetzen müssen zusätzliche Absicherungen (Access Point hinter einer Firewall und Daten nur über VPN) einsetzen. Am Ende dieses Artikels gibt es gute weiterführende Informationen zum Thema WLAN.

August 2010: WPA2 zeigt auch Schwächen.

April 2011: An anderer Stelle zum Thema Man-in-the-Mobile Angriffe, d.h. Schadsoftware auf Smartphones die die mTAN für Internetbanking abfangen.

 

Hotel-LAN

Das ist ebenso gefährlich wie im öffentlichen WLAN. Wieder gibt es keine Verschlüsselung meiner Internetverbindungen, alle anderen Gäste können, wenn ich direkt ins Internet gehe, mitlesen (entweder direkt oder nach einem Angriff, z.B. über DHCP-Spoofing) und mir auch gefährliche Daten in meinen Datenstrom einschleusen. Sicherheit bietet nur ein gut abgesichertes Gerät und die ausschließliche Kommunikation über ein sicher implementiertes VPN zum Firmennetz.

 

Die Nutzung von Internetcafés

Bei der Nutzung von Internetcafés haben wir das gleiche Problem, das auch bei der Nutzung von Privat-PCs der Mitarbeiter zu Hause entsteht: zusätzlich zur unsicheren Verbindung arbeiten wir auch noch auf einem unsicheren Gerät. Untersuchungen zeigen, dass ein ziemlich hoher Prozentsatz von PCs "verseucht" ist, d.h. ich muss immer davon ausgehen, dass ein Keylogger alle Tastatureingaben weitersenden kann und dass alle Informationen, die auf das unsichere Endgerät geladen werden, in falsche Hände fallen.

Das heißt, die einzige akzeptable Nutzung solcher Gerät ist, wenn keine Firmendaten auf das Gerät selbst übertragen werden (z.B. keine E-Mail-Anhänge), sondern lediglich das Gerät als "Bildschirm" für die zentralen Server dient, d.h. die Nutzung als Terminalserver. Und dabei muss ich dann sicherstellen, dass kein lokales Drucken der Inhalte möglich ist, dass kein sog. "Rückkanal" angeboten wird (z.B. zum lokalen Abspeichern eines E-Mail-Anhangs) und dass die angezeigten Inhalte auch keine Spuren im Cache des Webbrowsers hinterlassen.

 

"Home Office"

Dies ist eine recht beliebte Lösung, bequem für die Mitarbeiter und auch mit Vorteilen für das Unternehmen. Aber wenn so etwas falsch implementiert wird, können für das Unternehmensnetz erhebliche Risiken entstehen. Denn für Heimarbeitsplätze gilt alles, was weiter oben über Internetcafés gesagt wurde: diese können grundsätzlich nicht als "sicher" angeommen werden. D.h. das Unternehmen muss feste Regeln für die Nutzung des Home Office aufstellen, z.B.

  • es werden nur Firmengeräte genutzt, keine Privat-PCs

  • diese Firmengeräte werden nach einem einheitlichen Firmenstandard aufgesetzt, der den Sicherheitsanforderungen für mobile Geräte entspricht

  • die Mitarbeiter haben nur eingeschränkte Rechte auf diesen Geräte

  • die Familienmitglieder dürfen diese Geräte nicht nutzen (evtl. kann die Firma ausrangierte Geräte für den Kauf durch die Mitarbeiter zur Verfügung stellen)

  • der gesamte Datenverkehr findet über einen VPN-Tunnel statt und wird wie genauso gefiltert, wie alle Aktivitäten vom Firmennetz aus

 

Blackberry

Blackberry-Geräte stellen einen Spezialfall dar. Sie verbinden einen eingeschränkten Zugriff zu E-Mail, Terminen und Browsen im Internet in Verbindung mit einem ausgereiften Sicherheitskonzept (wenn korrekt implementiert). Ihr starker Vorteil ist die im Vergleich mit PDAs und Smartphones (z.B. iPhone) zentrale Administrierbarkeit. Im Gegensatz zu ersteren Geräte sind Blackberrys von vorn herein für den Einsatz in Unternehmen konzipiert, die Administrierbarkeit der anderen Geräte ist auf Selbst-Administration durch den Privatkunden ausgerichtet und oft kaum einschränkbar. Dies ist bei dem Einsatz im Unternehmen oft ein Nachteil.

Das Fraunhofer Institut für Secure Information Technologie hat im Auftrag von RIM eine Sicherheitsanalyse des Blackberry (pdf) durchgeführt und positiv beschieden. Sie weisen in Bericht auch darauf hin, wie Firmen die Sicherheit weiter verbessern können.

Hier der BlackBerry Hardening Guide der australischen Armee, ein Best Practices for BlackBerry Administrators, Best Practices of Deploying and Maintaining BlackBerry for Microsoft Exchange und von RIM selbst Documentation for Administrators.

 

Aktualisierung August 2010: Große Dikussion und Verwirrung zu Blackberry und RIM. Etliche Regierungen verlangen von RIM Zugriff auf Emails und andere Inhalte die mittels Blackberry ausgetauscht werden. Die Details sind nicht ganz klar, aber so wie es aussieht besteht kein Problem, auf die Emails der privat-genutzten Blackberrys zuzugreifen. Diese Inhalte sind nicht verschlüsselt und die Server stehen bei den jeweiligen Telefonanbietern.

Technisch kaum zu realisieren sind Zugriffe der Behörden zu den Mails der Firmen, die die Enterprise-Lösung mit einem eigenen Server (BES) und einer eigenen Schlüsselverwaltung. Hier Zitate aus dem Wallstreet-Journal:

In a statement issued Thursday, RIM outlined its guidelines for how far it is willing to go in helping carriers meet surveillance needs. RIM said it will only help carriers meet strict national-security rules, won't provide more access than its competitors already do and won't alter the security architecture of its corporate email servers in response to government needs.

According to minutes taken by the Indian side, the parties discussed whether RIM could provide "metadata" from encrypted corporate emails—information such as the email's sender and recipient and the time sent. "After some persuasion, the [RIM] representative agreed that they can provide the metadata of the message," according to an Indian summary of one discussion.

Auch techrepublic.com ist verwirrt ob und wie die Blackberry-Emails (private und oder Enterprise) nun wirklich verschlüsselt sind: Research in Motion: Trying to have it both ways und Bruce Schneier auch. futureoftheinternet.org geht wohl davon aus, dass Enterprise-Kunden immer noch sicher sind.

 

Was ist die optimale Lösung für IHR Unternehmen?

Was für Sie die optimale Lösung ist, hängt von einer Reihe von Faktoren ab, z.B. welche Geschäftsprozesse wollen Sie mit den mobilen Lösungen unterstützen, was ist die Region, in der Ihre Mitarbeiter unterwegs sind, und vielen anderen. Eine optimale Lösung für Ihr Unternehmen kann nach einer Betrachtung des Risikos erstellt werden.

 

Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.