Sicherheitsrisiko PDA und Smartphone wird ignoriert

EnterpriseSoftware

Die ersten Viren für PDAs und Smartphones sind bereits seit einiger Zeit in Umlauf, doch die daraus resultierende Gefahr für die Unternehmens-IT wird noch ignoriert.

Die ersten Viren für PDAs und Smartphones sind bereits seit einiger Zeit in Umlauf, doch die daraus resultierende Gefahr für die Unternehmens-IT wird noch ignoriert. Zu diesem Schluss kommen die Marktforscher von Forrester Research in ihrer neuen Untersuchung. Forrester mahnt IT-Leiter und Security-Verantwortliche dazu, künftig auch diese Geräte in ihre IT-Sicherheitsplanung einzubeziehen, um zu verhindern, dass unternehmensweite Netzwerke durch sie lahmgelegt werden.
Aus dem kürzlich vorgelegten Jahresbericht des Computer Security Institute (CSI) und des FBI zum Thema Computer-Kriminalität geht hervor, dass Virus-Attacken am häufigsten Unternehmensnetzwerke stören und die höchsten Schäden verursachen. An zweiter Stelle steht der Diebstahl von vertraulichen Daten, gefolgt vom Missbrauch des Netzwerkes durch Insider – und erstmals – dem stark zunehmenden Missbrauch von WLANs.

Forrester-Analyst Bernt Ostergaard verweist darauf, dass nach wie vor die Unternehmen davon ausgehen, dass derartige Risiken nur PC und Server betreffen. Die Verbreitung von PDAs und Smaprtphones und vor allem deren Anbindung an das Internet wird aber bald diese Einschätzung als Trugschluss erweisen. Forrester rechnet damit, dass allein in Westeuropa im Jahr 2006 mehr als 99 Millionen Menschen Internet-fähige mobile Telefone und ähnliche Geräte nutzen werden, von denen ein Großteil ein attraktives Angriffsziel für Hacker sein dürfte.

Nachdem die Sicherheitsexperten von Kapersky Labs den ersten bekannten Mobilphone-Wurm entdeckten und anschließend schnell auch ein File-Virus sowie der Trojaner ‘Brador-A’ gefunden wurden, die ebenfalls speziell für mobile Geräte geschrieben wurden, habe sich bestätigt, dass auch sie nicht länger gegen Angriffe gefeit sind, erläutert Ostergaard.

So zum Beispiel nutzt der Wurm ‘Cabir’ Bluetooth-Verbindungen in einem Smartphone, um sich selbst auf andere Telefone, die OBEX nutzen, zu duplizieren. OBEX wird zum Beispiel eingesetzt, um digitale Visitenkarten oder Eintragungen im mobilen Kalender auszutauschen, über Bluetooth, Infrarotverbindungen oder PC-Kabel. Künftig können also Informationen, die über OBEX transportiert wurden, sich als Wurm herausstellen.

Der Virus ‘Duts’ kann ebenfalls durch direkten Datenaustausch und der Synchronisation mit dem Desktop oder die gemeinsame Nutzung von SDIO-Cards eingefangen und verbreitet werden. Der Trojaner ‘Brador-A’ gibt dem Hacker direkten Zugriff auf das mobile Gerät, der es dann bei jedem Kontakt mit dem Internet beliebig für seine Zwecke nutzen kann.

Ein weiteres, nur für mobile Geräte bestehendes Sicherheitsrisiko sieht Forrester in dem OTA-Übertragungsweg (Over the Air), den Hacker sowohl für individuelle Attacken oder – so fürchtet Ostergaard – auch auf breiter Basis nutzen können. Ein erfahrener Hacker könne zum Beispiel OTA-Codes, die einzelne Service-Parameter – zum Beispiel wo Daten gespeichert oder abgeholt  werden – verändern, an Tausende von Telefonen schicken, ohne dass die Nutzer das merken. Falls der Hacker dann entscheidet, seine Zwischenstation abzuschalten, würde das die gesamte W-E-Mail- und SMS-Kommunikation der infizierten Geräte stoppen.

Über einen  Virus könnte er allerdings auch GPRS- und 3G-Datenzugänge auf teure Empfangsstationen wie in Belize, Ghana und China umdirigieren, oder Informationen auf dem Telefon lesen, verändern oder gar löschen sowie Bluetooth-Verbindungen für ein anderes, unautorisiertes Gerät zugänglich machen.

Den IT-Service-Abteilungen empfiehlt Forrester, Smartphones und PDAs künftig als Bestandteile des unternehmensweiten Netzwerks anzusehen, die ebenso gegen Störungen abgeschottet werden müssen wie die Notebooks und Laptops, die von mobilen Mitarbeitern zum Daten- und Informationsaustausch mit der Zentrale eingesetzt werden. Das bedeute auch, dass kein Nutzer darauf Sonderapplikationen installieren dürfe, ohne dass dies zuvor mit der IT-Abteilung abgesprochen wurde – und natürlich auch den Einsatz spezieller Antivirus-Software für mobile Geräte.