Zeitbombe PDA: Brisante Daten ohne Schutz

Lange Zeit waren PDAs (Personal Digital Assistants) als ‘Management-Spielzeug’ verschrieen, doch die unbeschwerten Zeiten in der Kinderstube sind endgültig vorbei. In den vergangenen fünf Jahren wurden rund 20 Millionen Handheld-Computer verkauft. Als eine Art ‘Einstiegsdroge’ fungierte dabei das Personal Information Management (PIM), also der mobile Zugriff auf Kalender, Kontakte und Emails. Doch nicht nur im Zusammenhang mit E-Mails werden inzwischen immer mehr businesskritische Daten auf PDAs gespeichert.
Wenn es aber darum geht, diese Daten zu schützen, legen die Verantwortlichen in den meisten Firmen eine wiederum fast kindliche Naivität an den Tag. “Die Zahl der PDAs, die verschlüsselt sind, bewegt sich derzeit noch im einstelligen Prozentbereich”, sagt Markus Müller, Sprecher der Geschäftsführung der Softwarefirma Ubitexx, im Interview mit silicon.de. Das Unternehmen hat sich auf Security-Software für PDAs spezialisiert.

Die Marktforscher von Gartner oder von der Pepperdine Universität in Los Angeles warten mit ähnlich erschreckenden Zahlen auf. So brachte eine US-Umfrage ans Tageslicht, dass dort schon jeder vierte PDA-Besitzer sein Gerät einmal verloren hat, wobei jeder Dritte sensible Daten auf seinem Handheld speichert. Die Hälfte aller Geräte ist gerade mal durch ein Passwort geschützt. Gartner schätzt zudem, dass nur auf 1 Prozent aller Geräte Virenschutzprogramme installiert sind. Das bedeutet umgekehrt, dass die verbleibenden 99 Prozent völlig ungeschützt sind.

Unternehmen kümmern sich nicht um Security

Doch seit kurzem kommen mehr und mehr Firmen zur Vernunft – und rennen unter anderem Ubitexx die Türen ein. Die Münchner haben sich auf Datensynchronisation und Sicherheitsmanagement spezialisiert – letzteres nimmt inzwischen 70 Prozent der Mitarbeiterzeit ein. Dabei war das Thema Security für PDAs bis vor einem halben Jahr in den deutschen Unternehmen nicht präsent, sagt  Ubitexx-Sprecher Müller. Nach seinen Worten werden in vielen Firmen PDAs oft zunächst in größerem Umfang angeschafft. Erst wenn sie im Einsatz sind, warnt dann plötzlich die IT- oder Security-Abteilung vor den möglichen Folgen. “Banken und Versicherungen waren die ersten, die sich mit diesem Thema auseinandergesetzt haben, jetzt beschäftigen sich auch andere Branchen damit”, so Müller. “Vor allem große Firmen, in denen die Security-Abteilung gut aufgestellt ist, spielen hier eine Vorreiter-Rolle.”

Gefordert werden allen voran lokale Datenverschlüsselung und Virenschutz. Nach Auskunft von Symantec sind zwar derzeit keine bedrohlichen PDA-Viren bekannt. Ähnlich wie bei Smartphones ist es aber nach Einschätzung der Sicherheitsexperten nur eine Frage der Zeit, bis Handhelds für Virenschreiber und Hacker interessant werden. “Es ist also durchaus möglich, dass noch in diesem Jahr ein Proof-of-Concept-Wurm, also ein Testwurm, auftaucht”, prognostizierte Kevin Hogan, Senior Manager im Symantec Virenforschungszentrum Dublin, zur diesjährigen CeBit.

Bereits im August vergangenen Jahres hat Symantec deshalb sein erstes  Virenschutzprogramm für Handhelds auf den Markt gebracht. Ubitexx will in den kommenden Monaten eine Anti-Viren-Software in sein Sicherheitspaket ‘PDA Secure’ integrieren. “Künftig geht es mehr um die Entwicklung in die Breite. Das heißt, die Features, die es derzeit gibt, genügen, jedoch muss dafür gesorgt werden, das möglichst viele Geräte ausgerüstet werden”, so Müller.

Während der Virenschutz vergleichsweise noch ein Schattendasein fristet, ist es vor allem die Verschlüsselung der Daten, die die Anwender derzeit umtreibt. Vor allem wenn über PDAs E-Mails empfangen werden, reagieren viele Firmen sensibel. Was nicht darüber hinwegtäuschen soll, dass sich die meisten Firmen – wie die oben aufgeführten Zahlen beweisen – auch über dieses Thema hinwegsetzen.

Wenn die Unternehmen zur Sicherheitssoftware greifen, entscheiden sie sich meist für serverbasierte Lösungen. Das heißt, die unternehmenseigene Sicherheitspolitik wird zentral festgelegt und dann auf die PDAs übertragen. Die Synchronisation der Daten erfolgt via Desktop, aber auch über das Internet. Ist jedoch kein Virenschutzprogramm implementiert, empfehlen die Experten, sich nur innerhalb abgeschlossener Netze zu bewegen, also beispielsweise das Internet nur über den Firmenserver anzusteuern.

Tausende Handhelds bleiben in Taxis liegen

Doch egal wie, irgendwann sind die Daten auf dem PDA und die kleinen handlichen Geräte gehen wesentlich leichter verloren als Notebooks. Es geht das Gerücht, dass allein in Londons Taxis jährlich rund 5000 Handhelds liegen bleiben – inklusive ihrer oft sensiblen Daten. Sicherheitsfeatures sorgen dafür, dass die Daten gelöscht und überschrieben werden, wenn der Dieb dreimal das falsche Passwort eingibt. Möglich ist auch, dass die Daten automatisch gelöscht werden, wenn das Gerät nicht in regelmäßigen Abständen synchronisiert wird. Bei ‘always-on’-Geräten gibt es zusätzlich die Option, die Datenbank zum Beispiel via GPRS zu zerstören, sobald der Verlust dem Administrator gemeldet wird.

Einen Schritt weiter geht eine Diebstahlsicherung, die vom Fraunhofer-Institute for Secure Telecooperation entwickelt wurde. Sie verschlüsselt nicht nur eine Datei oder das Verzeichnis, sondern auch alle dazugehörenden Meta-Informationen, wie Eigentümer, Name und letzte  Änderungen. “Group-Awareness ermöglicht es, dass nur dem Eigentümer selbst und eventuell den Mitgliedern seines Teams die entsprechenden Dateien und Verzeichnisse angezeigt werden. Alle übrigen Nutzer werden von der Existenz dieser Dateien nichts ahnen,” sagte Fraunhofer-Experte Mario Hoffmann gegenüber silicon.de. Derzeit verhandelt das Institut mit mehreren Herstellern, um das Verschlüsselungstool in Serie zu bringen

Grundsätzlich, so Hoffmann weiter, könne man für Handhelds vergleichbare Sicherheitsstandards wie für ein Notebook oder eine PC erreichen. “Man sollte sich jedoch vor Augen halten, dass sich ein solche Geräte bezüglich der Datenverbindung wie ein permanent ans Internet angeschlossener PC verhält. Solche PCs würde man heutzutage sicher nicht ohne Schutzmaßnahmen unbeaufsichtigt lassen”, so Hoffmann.

Ubitexx-Sprecher Müller verlässt sich unterdessen bereits jetzt voll und ganz auf die verfügbaren Sicherheitsfeatures. Von der Telefonnummer bis zur Kreditkartennummer vertraut er seinem PDA alles an. Wirklich alles? Ja, gibt er zu, es gäbe was, was er lieber im Kopf, als im PDA hätte: “Wenn ich verheiratet wäre und eine Geliebte hätte, würde ich deren Kontaktdaten nicht auf meinem Handheld speichern.”