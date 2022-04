Security-Strategien für Mobilgeräte (2)

Aus der Unternehmenswelt sind mobile Endgeräte nicht mehr wegzudenken. Smartphones begleiten uns als kleine Helfer in unserem Alltag. Doch bereits bei der Anbindung und spätestens mit der Nutzung mobiler Endgeräte muss sich der Administrator mit sicherheitskritischen Aspekten auseinandersetzen. In diesem Artikel betrachten wir die strategische Bewertung der mobilen Sicherheit und leiten konkrete Vorschläge zur Absicherung ab. In der zweiten Folge beschäftigen wir uns mit dem STRIDE-Modell und wichtigen Schutzmaßnahmen, die sich daraus ergeben.

Mobilgeräte geraten schon seit Jahren immer mehr ins Visier von Cyberkriminellen.

STRIDE zur strategischen Betrachtung

Viele Administratoren fragen sich, ob es eine Methode gibt, mit der sie ihre eigene Infrastruktur und damit auch die eigenen mobilen Endgeräte bewerten können. Mit einem strategischen "Threat Modeling" [1] wie dem folgenden STRIDE-Modell [2] steht ein systematischer Ansatz zum Entdecken und Bewerten von Bedrohungen im Kontext des jeweiligen mobilen Anwendungsszenarios bereit. STRIDE steht für Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service und Elevation of Privileges. Jeder dieser Begriffe steht für eine ganz spezielle Kategorie von Bedrohung. Personen mit unterschiedlichen Schwerpunkten und Kenntnisständen sind nun aufgefordert, die verarbeitenden Systeme und die Kommunikationsverbindung aufzuzeichnen und so die einzelnen Kategorien mit potenziellen Gefahren anzureichern.





Bild 1: Überlegen Sie, welche Kommunikationsverbindungen und Datenhaltungen vorliegen und welche

Bedrohungen sich daraus ergeben.

Ursprünglich entwickelt wurde das Modell von Microsoft, denn das Unternehmen ist zu der Erkenntnis gelangt, dass im Hinblick auf Internetszenarien ernste Sicherheitslücken vorhanden sind. Als Hauptproblem wurde damals herausgearbeitet, dass das Bewusstsein für Sicherheit erst noch geschaffen und es dann in Taten überführt werden muss.



Aus genau diesem Grund wurde die Entwicklung von Windows 10 für einen Monat gestoppt, um die beteiligten Entwickler für das Bewusstsein für Sicherheit zu schulen und so ihre Aufmerksamkeit verstärkt auf Sicherheitsprobleme zu lenken.



Spoofing

Beim Spoofing täuscht der Angreifer eine falsche Identität vor. Das soll ihm dabei helfen, als vermeintlich legitimer Benutzer Zugriff auf einen Server zu erhalten und so an sensitive Daten zu gelangen. Dies kann durch eine direkte Mensch-zu-Mensch-Kommunikation im Rahmen eines Telefonats oder Chats erfolgen. Auch das Anmelden mit einer PIN an einem fremden Gerät fällt unter diese Kategorie, bei der sich ein Mensch einer Maschine gegenüber unrechtmäßigerweise legitimiert. Aber auch in der Maschine-zu-Maschine-Kommunikation kann ein manipulierter Rechner seine Legitimität in der Kommunikation vortäuschen.



Viele Nutzer denken hier zuallererst daran, ein mobiles Endgerät mit einem möglichst komplexen PIN-Schutz zu versehen. Nicht zu vergessen ist dabei aber die notwendige Akzeptanz durch die Anwender. Eine achtstellige PIN samt Buchstaben und Sonderzeichen, die alle 90 Tage zu ändern ist, findet wohl kaum Anklang. Erlauben Sie biometrische Verfahren, sofern die Geräteplattformen selbst hier ausreichend sicher sind. Verwenden Sie nur Verfahren, die Fotos von echten Gesichtern unterscheiden können. Sind die biometrische Merkmale kompromittiert, hat Ihr Mitarbeiter kein zweites Gesicht mehr für alternative Anmeldungen zur Verfügung.



Nutzen Sie in Ihren Apps zudem die Möglichkeiten von Single Sign-on (SSO) und Mehrfaktor-Authentifizierung (MFA) sowie das passwortlose Anmelden drahtlos über die NFC-Schnittstelle. Verwenden Sie für Ihre Apps und Webseiten zudem starke Authentifizierungsverfahren wie FIDO2/WebAuthn oder FIDO U2F.







Tampering

Beim Tampering handelt es sich um eine Bedrohung, die sich durch Manipulation von Daten ergibt. Angreifer modifizieren hier beispielsweise Passwortdatenbanken, persistente Daten, Bewegungsdaten, Netzwerkpakete oder auch einfach nur Logdaten, um ihre Spuren zu verwischen. Begegnen Sie dieser Bedrohung mit einer ausgefeilten Umsetzung von Maßnahmen sowohl auf einem mobilen Endgerät als auch in Ihrem Backend. Blockieren Sie die USB-Schnittstellen, um das Einfallstor Nummer eins in Sachen Rooting und Jailbreaking zu unterbinden.



