Zeit für eine umfassende Sicherheitsstrategie

Mobile Geräte wie PDAs oder Smartphones werden von unternehmensweiten Security-Suiten bislang kaum eingebunden. Ihr Gefahrenpotenzial aber wächst ständig.

Ursprünglich war der Wurm ‘Cabir’ nur eine Machbarkeitsstudie. Doch laut dem Antivirenspezialisten F-Secure hat der vergangenen Juni erstmals aufgetauchte Virus inzwischen Mobiltelefone in neun Ländern infiziert. Das jüngste “Opfer” war ein Nokia-Handy in Russland. Es sind nur kleine, relativ unbedeutende Vorfälle, aber sie zeigen, dass das Thema Sicherheit bei Mobilgeräten wie Handys oder PDAs zunehmend an Bedeutung gewinnt.
Doch anders als bei Notebooks, die wegen ihrer technischen Nähe zu Desktop-PCs inzwischen in vielen Unternehmen Bestandteil der IT-Sicherheitsstrategie sind, steht die Welt der Westentaschencomputer und Mobiltelefone noch immer relativ isoliert da. Nicht zuletzt liegt dies auch daran, dass diese Geräte meistens ein anderes Betriebssystem nutzen und in gängige unternehmensweite Management-Suiten bislang kaum einzubinden sind. Doch es sind nicht nur die Endgeräte, die den IT-Abteilungen Sorgen machen, sondern auch die wachsende Beliebtheit von drahtlosen Funktechniken wie WLAN und Bluetooth.

“Die Administratoren haben ein entsprechendes Problembewusstsein, aber auch einen Mangel an Zeit und Ressourcen, um sich der Sache anzunehmen”, stellt Michael Müller, Bluetooth- und WLAN-Sicherheitsexperte bei Integralis, immer wieder fest. Dagegen seien die Unternehmensführungen häufig noch nicht für das Thema sensibilisiert.

Bei mobilen Anwendungen hört der Spaß auf

Dabei ist es höchste Zeit, sich des Themas anzunehmen, wenn man einer Prognose des Beratungsunternehmens Meta Group glauben darf: In zwei bis drei Jahren, so die Analysten, werden bis zu drei Viertel der weltweit 2000 größten Unternehmen mindestens eine mobile Anwendung einsetzen. Vor allem die Bereiche Enterprise Resource Planing und Customer Relationship Management dürften die Treiber sein.

Derzeit haben Anwenderfirmen den Umgang mit mobilen Endgeräten sehr unterschiedlich geregelt. Neben einem strikten Verbot oder der Bereitstellung der Gadgets – begleitet von einer Sicherheitsstrategie – schaffen Mitarbeiter häufig Fakten, indem sie ihre privaten Smartphones oder PDAs einfach in der Arbeit verwenden. Dann nimmt die Synchronisation von Daten mit dem Arbeitsplatzrechner fast schon anarchische Verhältnisse an.

Olaf Lindner, Sicherheitsexperte beim Antivirenspezialisten Symantec, empfiehlt Unternehmen eine entsprechende Risikoanalyse, um das Thema mobile Endgeräte sicherheitstechnisch in den Griff zu kriegen: “Dabei sollte man drei Fragen klären: In welcher Form man die neuen Technologien einsetzt, welchen Gefahren die Daten ausgesetzt sind und welche Daten die Mitarbeiter unterwegs dabei haben.”

Man muss sich mit Heterogenität abfinden

Bei der BW Bank in Stuttgart ist Andreas Postl als IT-Sicherheitsbeauftragter auch für die Sicherheit von mobilen Geräten zuständig. Rund 500 Notebooks und ungefähr 300 PDAs setzen die Mitarbeiter des Kreditinstituts ein. Mit PDAs werden die erste und zweite Führungsebene, die Vermögensmanager und die international tätigen Relationship-Manager ausgestattet. Seit rund drei Jahren setzt die BW Bank nun PDAs ein.

“Die sicherheitstechnischen Anforderungen an mobile Endgeräte sind prinzipiell nicht anders als bei Desktops”, sagt Postl, “aber man muss sich mit einer größeren Heterogenität abfinden.” Denn um auf den PDAs Maßnahmen wie Verschlüsselung oder Virenschutz zu verwirklichen, brauche man Produkte von verschiedenen Herstellern. “Das erhöht den Aufwand für die technische Betreuung der Geräte”, so Postl. Da auf den PDAs aber sehr viel weniger Anwendungen zum Einsatz kämen als auf Desktops und Notebooks, sei der Managementaufwand insgesamt für sie trotzdem nicht höher. “Am meisten zu schaffen machen uns die häufigen Modellwechsel bei den PDA-Anbietern, die viel schneller erfolgen als im PC-Geschäft.” Dies habe die IT jedoch über ihr standardisiertes Verfahren zur Produktfreigabe soweit unter Kontrolle.

Im Zeitalter von Funknetzen sieht es auch mit der vergleichsweise hohen IT-Sicherheit von Notebooks nicht mehr so gut aus, denn moderne Geräte verfügen häufig über einen eingebauten WLAN-Adapter. Eine falsche Konfiguration des Notebooks oder das versehentliche Aktivieren der WLAN-Funktion durch einen Tastendruck macht das Gerät angreifbar. “Der Angreifer täuscht entweder einen Access-Point unter falschem Namen vor, mit dem sich das Notebook dann automatisch verbinden kann, oder er verwendet die Funktion zur direkten Rechnerkopplung”, warnt Stefan Strobel, Geschäftsführer der IT-Sicherheitsberatungsfirma Cirosec. Ähnliche Funktionen gebe es auch bei Bluetooth-Adaptern.

Reichlich Angriffsflächen

Dass Bluetooth wegen seiner formal geringen Reichweite von zehn Metern dabei nur ein Problem darstellt, wenn sich ein Mitarbeiter im Außendienst befindet, ist ein Trugschluss: Bereits im vergangenen August hatten Spezialisten nachgewiesen, dass man mit einer geeigneten Antenne Bluetooth-fähige Geräte noch aus einer Entfernung von einem Kilometer anzapfen kann.

Personal Firewalls schützen vor solchen Gefahren nur teilweise, wobei das größte Problem dabei ist, dass es die heute übliche Schutzsoftware, wie sie für Desktops und Notebooks längst Stand der Technik ist, für viele PDAs und Mobiltelefone noch gar nicht gibt. So bietet Symantec seit Januar Virenschutz und Firewall für die Nokia-Handys ‘9500 Communicator’ und ‘9300 Smartphone’ an.

Die Empfehlungen angesichts der heutigen Situation können daher nur lauten, möglichst wenige Funktechnologien zu verwenden, Schnittstellen nur bei Bedarf zu aktivieren und sowohl die Kommunikation als auch die Daten zu verschlüsseln. Sonst wird das derzeit häufigste Sicherheitsproblem von mobilen Geräten – der schnöde Diebstahl – schon bald von perfideren Methoden abgelöst werden.