Secaron: Das ideale Smart Phone aus Sicht der IT-Security
– Artikel von Udo Adlmanninger, Secaron AG –
Smart Phone 20xx – Das ideale Smart Phone aus Sicht der Informationssicherheit
Smart Phones vereinigen Informationen aus sehr vielen Bereichen unseres Lebens. Nicht nur dass sich berufliche und private Daten auf den Geräten vermischen, zusätzlich wird es weitere Bereiche geben, die Daten darauf ablegen. Apps, die Gesundheitsdaten speichern, wie Blutdruck- und Pulswerte, Zutrittsberechtigungen zu Gebäuden und Fahrzeugen, Zugangsberechtigungen zu Anwendungen, die Geräte im eigenen Haus oder der Wohnung steuern. In naher Zukunft werden Smart Phones auch als Zahlungsmittel dienen, mit denen wir Brot beim Bäcker kaufen können.
In ein paar Jahren wird also fast unser gesamtes Leben auf dem Smart Phone oder in einer Cloud liegen. Eine zwar schöne aber auch befremdliche Vorstellung, wer denn dann Zugriff auf die Daten hat außer uns selbst.
In der aktuellen Situation gibt es aus Security Sicht bei den Smart Phones zwei gravierende technische Themenbereiche, die gelöst werden müssen.
Zum einen gilt es die Daten auf dem Gerät vor dem Zugriff Fremder zu schützen. Ein mobiles Telefon geht verloren oder wird gestohlen, wie gut sind die Informationen dann geschützt? Bei den aktuellen Betriebssystemen können Daten zumindest teilweise auf den Geräten verschlüsselt werden. Der Schlüssel für den Zugriff ist aber die PIN, die zum Freischalten des Gerätes verwendet wird. Je nachdem wie lange und wie komplex diese ist, ergibt das Schutzniveau der Daten. Zumindest dann, wenn man das Thema Jailbreak außen vor lässt, bei dem dieser Schutz ausgehebelt werden kann. Eine Vorgabe für die Qualität und die Länge der PIN lässt sich mit Bordmitteln oder mit Mobile Device Management Lösungen erreichen. Zusätzlich gibt es hier in der Regel die Möglichkeit im Falle des Verlustes ein sogenanntes Remote Wiping, also ein Löschen der Daten, durchzuführen. Das Problem dabei ist aber, dass bei einem Diebstahl des Gerätes und dem Entfernen der SIM Karte ein Remote Wiping nicht mehr möglich ist. Also stellt dies nicht die ideale Lösung für den Schutz der Daten da, besonders wenn es sich dabei um kritische und sehr vertrauliche Daten handelt. Alternative dazu ist die Installation eines verschlüsselten Containers, in dem die vertraulichen Daten abgelegt werden. Dies bedingt aber, dass die Apps, die mit den Daten interagieren ebenfalls in dem Container sind, da sonst ein Zugriff nicht mögliche ist. Das heißt, dass beispielsweise der Mail Client, der im Hersteller Betriebssystem enthalten ist, nicht verwendet werden kann. Zusätzlich erkauft man sich den höheren Schutz der Daten mit einem Verlust der Usability, da sich der Benutzer zuerst gegenüber dem Container authentisieren muss, bevor er auf die dort enthaltenen Apps und Daten zugreifen kann. Mittlerweile gehen die Hersteller dazu über, Lösungen in die Betriebssysteme einzubauen, wie das Sandboxing des Exchange Accounts unter Apple’s iOS5 oder die Möglichkeit der kompletten Verschlüsselung des Speichers unter Android 4.0. Alternativ dazu lassen sich natürlich kritische Daten, besonders Mailanhänge auch durch Verschlüsselung schützen, beispielsweise per PGP oder durch Information Rights Management (IRM) Lösungen. Dies ist aktuell aber auf Smart Phones nur teilweise möglich (Adobe Reader bzw. IRM auf Windows Phone 7). Die Konsequenz daraus ist, dass der Mailanhang auf dem Gerät nicht geöffnet werden kann. Wieder haben wir uns also den höheren Schutz mit einem Verlust der Usability erkauft.
Der zweite große Showstopper ist der App Store. Lädt sich der Anwender eine neue App herunter, die einen Trojaner enthält, muss das Smart Phone erst gar nicht gestohlen werden, es versendet beispielsweise kritische Daten automatisch an Dritte. Der Schutz hängt hier ausnahmslos am Betreiber des App Stores. Der einzige Schutz, wiederum beispielsweise über eine Mobile Device Management Softwarelösung ist es, dem Anwender die Installation von Apps zu verbieten – und ihm gleichzeitig die Nutzung des Smart Phones zu vermiesen. Wer will schon ein neues Smart Phone ohne der Möglichkeit, die netten kleinen Apps zu installieren, die das Smart Phone Leben schöner und interessanter machen.
Neben den technischen Themen gibt es leider, wie fast immer, eine rechtliche Komponente, die alles noch etwas komplizierter macht. Speziell mit dem Thema ByoD (Bring your own Device) haben wir eine neue Hürde gebaut. Benutzt der Mitarbeiter seine privates Smart Phone für dienstliche Zwecke, so stellt sich zunächst die Frage, wer haftet für den Verlust des Gerätes und sorgt für einen Ersatz? Zudem ergeben sich Probleme, sobald der Mitarbeiter das Unternehmen verlässt. Ein Remote Wiping des gesamten Gerätes verbietet sich, da dann natürlich auch die privaten Daten verloren gehen. In Zukunft auch die Zutrittsdaten zur eigenen Wohnung oder die letzten Blutdruckwerte für den Hausarzt.
Alles, was ein Smart Phone interessant macht, wird also durch die Security gnadenlos zerstört. Derzeit gibt es keine Lösung, die Daten zu schützen, ohne die Usability des Gerätes zu reduzieren. Wie könnte also eine Lösung in Zukunft aussehen? Security wird in der Regel nur dann akzeptiert, wenn sie erstens wirtschaftlich sinnvoll ist und zweitens für den Benutzer vollkommen transparent ist. Mit den aktuellen Lösungen ist dies leider nicht möglich, oder das Sicherheitsniveau ist besonders kritischen Daten nicht angemessen.
Wie bereits beschrieben, gibt es die Möglichkeit einen Teil der Daten auf dem Smart Phone verschlüsselt abzulegen (zumindest beim iPhone). Die Sicherheit hängt dabei an der PIN, die für die Freischaltung des Gerätes verwendet wird. Diese ist in der Regel 4 Zeichen lang, kann zwar verlängert werden, aber wer tippt gerne 10 Zeichen jedes Mal ein, wenn sich das Gerät sperrt? Wenn also der gesamte Schutz der Daten an der Authentisierung hängt, dann muss eben diese verbessert werden.
In der IT-Sicherheit haben wir hier das Mittel der 2-Faktor Authentisierung, also 2 Faktoren aus den Möglichkeiten – Wissen, Besitz und Sein. Es gibt zwar bereits Smart Phones mit Fingerprintsensor, allerdings bleibt es dann bei einem Faktor, nämlich der Biometrie (Fingerprint). Wir haben also keinen Mehrgewinn an Sicherheit. Das andere Problem ist, dass der Fingerprintsensor separat zu betätigen ist, also wiederum die Usability reduziert. Eine aus meiner Sicht optimale Lösung wäre es, wenn zum Freischalten des Gerätes die Eingabe einer PIN erforderlich ist, und der Fingerprint bei dieser Eingabe direkt am Touch Screen ausgelesen wird. Dies bedeutet für den Benutzer keinerlei Änderung zur aktuellen Situation, aber für die Sicherheit einen riesigen Schritt vorwärts, da dies eine echte 2 Faktor-Authentisierung darstellt. Die Daten liegen also verschlüsselt auf dem Gerät und der Zugriff hängt vom Wissen (PIN) und dem Sein(Fingerprint) ab.
Um das Gerät auch vor Jailbreaks zu schützen, könnte zusätzlich eine pre boot authentication analog zu Notebooks mit verschlüsselten Festplatten erfolgen. Diese Authentisierung wird bei jedem Neustart verlangt und verhindert somit die Möglichkeit einen Jailbreak zu installieren.
Bleibt noch das Problem mit den Trojanern, die über die Apps kommen. Zum einen werden wir uns daran gewöhnen müssen, dass zukünftig auch Virenscanner oder ähnliches auf einem Smart Phone Anwendung finden, andererseits hilft hier speziell für die Speicherung von Firmendaten die Verwendung von Information Rights Management Lösungen, sobald diese verfügbar sind. Da ein Smart Phone immer online ist, stellt die Anfrage des IRM Clients am zentralen Service im Unternehmen kein Problem dar. Eine Überprüfung, welche Rechte der Anwender hat, und was er mit der Datei machen darf ist also jederzeit möglich. Wird die Datei von einem Trojaner versendet, so ist diese trotzdem geschützt.
Auch die rechtliche Problematik mit privaten Geräten im Firmenumfeld lässt sich dadurch einfach lösen. Scheidet der Mitarbeiter aus dem Unternehmen aus, so werden ihm die Rechte per IRM entzogen. Er hat zwar nach wie vor die Daten auf seinem privaten Gerät, kann sie aber nicht mehr lesen oder sonst irgendetwas damit anfangen.
Ein adäquater Schutz von kritischen Informationen auf dem Smart Phone ist also durchaus möglich und sollte sich auch wirtschaftlich abbilden lassen. Wann die Hersteller (der Smart Phones und von Softwarelösungen) soweit sind, ist natürlich eine andere Frage. Dies wird stark davon abhängen, ob sich Anwender weiter und in verstärktem Maße für Datenschutz- und Datensicherungsthemen interessieren. Derzeit lässt sich hier durchaus ein gesteigertes Interesse feststellen, nicht zuletzt durch Veröffentlichungen zu Datenverlusten, die einen Großteil der Bevölkerung betreffen oder die auf allgemeines Interesse stößt, wie zuletzt der Bundestrojaner. Zusätzlich werden zukünftig auch Smart Phones beim Verlust von vertraulichen Informationen weiter in den Mittelpunkt rücken und die Awareness der Benutzer weiter steigen lassen.
Ein umfassender Schutz der Informationen, die unser Leben darstellen und auf Smart Phones gespeichert ist, ist also durchaus möglich, wir müssen es nur alle wollen! Zum Autor:Udo Adlmanninger ist verantwortlich für den Bereich Vertrieb bei der Secaron AG. Er verfügt über umfangreiche Projekterfahrungen in der Informationssicherheit, speziell in den Bereichen Sicherheitsmanagement, Risikomanagement, Business Continuity Management und Netzwerksicherheit. Er ist unter anderem zertifizierter ISO 27001 Auditor, Business Continuity Management System BS 25999 Auditor, ITIL Foundation Berater, CISA, CISM und CISSP.