In ein paar Jahren wird also fast unser gesamtes Leben auf dem Smartphone oder in einer Cloud liegen. Eine zwar interessante, aber auch befremdliche Vorstellung, vor allem hinsichtlich der Frage, wer denn dann Zugriff auf die Daten hat außer uns selbst. Doch schon jetzt gibt es aus Security-Sicht bei Smartphones zwei gravierende technische Themenbereiche, die einer Lösung bedürfen.
Eingeschränkter Schutz sensibler Daten
Zum einen gilt es, die Daten auf dem Gerät vor dem Zugriff Fremder zu schützen. Ein mobiles Telefon geht verloren oder wird gestohlen – wie gut sind die Informationen dann geschützt? Bei den aktuellen Betriebssystemen lassen sich die Daten auf den Geräten zumindest teilweise verschlüsseln. Der Schlüssel für den Zugriff ist aber die PIN, die zum Freischalten des Gerätes Verwendung findet. Je nachdem wie lange und wie komplex diese ist, ergibt das Schutzniveau der Daten – das Thema Jailbreak einmal außen vor gelassen, bei dem Angreifer diesen Schutz aushebeln können. Eine Vorgabe für die Qualität und die Länge der PIN lässt sich mit Bordmitteln oder mit Mobile Device Management Lösungen erreichen.
Zusätzlich gibt es in der Regel die Möglichkeit, im Falle des Verlustes ein sogenanntes Remote Wiping, also ein Löschen der Daten, durchzuführen. Das Problem dabei ist aber, dass bei einem Diebstahl des Gerätes und dem Entfernen der SIM-Karte ein Remote Wiping nicht mehr möglich ist. Also stellt dies nicht die ideale Lösung für den Schutz der Daten da, besonders wenn es sich dabei um kritische und sehr vertrauliche Daten handelt. Eine Alternative dazu ist die Installation eines verschlüsselten Containers, in dem die vertraulichen Daten liegen. Dies bedingt aber, dass die Apps, die mit den Daten interagieren, ebenfalls in dem Container sein müssen, da ein Zugriff sonst nicht mögliche ist. Dies bedeutet, dass sich beispielsweise der Mailclient, der im Betriebssystem enthalten ist, nicht verwenden lässt.
Sicherheit vs. Usability
Ein derartiger höherer Schutz der Daten geht also mit einem Verlust an Usability einher, da sich der Benutzer zuerst gegenüber dem Container authentisieren muss, bevor er auf die dort enthaltenen Apps und Daten zugreifen kann. Mittlerweile gehen die Hersteller dazu über, Lösungen in die Betriebssysteme einzubauen, wie das Sandboxing des Exchange Accounts unter Apples iOS5 oder die Möglichkeit der kompletten Verschlüsselung des Speichers unter Android 4.0. Alternativ dazu lassen sich natürlich kritische Daten, besonders Mailanhänge auch durch Verschlüsselung schützen, beispielsweise per PGP oder durch IRM-Lösungen. Dies ist aktuell aber auf Smartphones nur teilweise möglich (Adobe Reader beziehungsweise IRM auf Windows Phone 7). Die Konsequenz daraus ist, dass der Mailanhang auf dem Gerät nicht geöffnet werden kann. Wieder haben wir uns also den höheren Schutz mit einem Verlust der Usability erkauft.
Eine weitere große Gefahr ist der App Store. Lädt sich der Anwender eine neue App herunter, die einen Trojaner enthält, muss das Smartphone erst gar nicht gestohlen werden sondern versendet kritische Daten automatisch an Dritte. Der Schutz hängt hier ausnahmslos am Betreiber des App Stores. Der einzige Alternative, wiederum beispielsweise über eine Mobile Device Management-Softwarelösung ist es, dem Anwender die Installation von Apps zu verbieten – und ihm damit gleichzeitig die Nutzung des Smartphones zu vermiesen. Denn wer will schon ein neues Smartphone ohne die Möglichkeit, nette kleine Apps zu installieren?
Seite 1 von 2 Nächste Seite>>
