von Redaktion IT-A…
Lesezeit
4 Minuten
Security-Strategien für Mobilgeräte (2)
Aus der Unternehmenswelt sind mobile Endgeräte nicht mehr wegzudenken. Smartphones begleiten uns als kleine Helfer in unserem Alltag. Doch bereits bei der Anbindung und spätestens mit der Nutzung mobiler Endgeräte muss sich der Administrator mit sicherheitskritischen Aspekten auseinandersetzen. In diesem Artikel betrachten wir die strategische Bewertung der mobilen Sicherheit und leiten konkrete Vorschläge zur Absicherung ab. In der zweiten Folge beschäftigen wir uns mit dem STRIDE-Modell und wichtigen Schutzmaßnahmen, die sich daraus ergeben.
STRIDE zur strategischen Betrachtung
Ursprünglich entwickelt wurde das Modell von Microsoft, denn das Unternehmen ist zu der Erkenntnis gelangt, dass im Hinblick auf Internetszenarien ernste Sicherheitslücken vorhanden sind. Als Hauptproblem wurde damals herausgearbeitet, dass das Bewusstsein für Sicherheit erst noch geschaffen und es dann in Taten überführt werden muss.
Aus genau diesem Grund wurde die Entwicklung von Windows 10 für einen Monat gestoppt, um die beteiligten Entwickler für das Bewusstsein für Sicherheit zu schulen und so ihre Aufmerksamkeit verstärkt auf Sicherheitsprobleme zu lenken.
Spoofing
Beim Spoofing täuscht der Angreifer eine falsche Identität vor. Das soll ihm dabei helfen, als vermeintlich legitimer Benutzer Zugriff auf einen Server zu erhalten und so an sensitive Daten zu gelangen. Dies kann durch eine direkte Mensch-zu-Mensch-Kommunikation im Rahmen eines Telefonats oder Chats erfolgen. Auch das Anmelden mit einer PIN an einem fremden Gerät fällt unter diese Kategorie, bei der sich ein Mensch einer Maschine gegenüber unrechtmäßigerweise legitimiert. Aber auch in der Maschine-zu-Maschine-Kommunikation kann ein manipulierter Rechner seine Legitimität in der Kommunikation vortäuschen.
Viele Nutzer denken hier zuallererst daran, ein mobiles Endgerät mit einem möglichst komplexen PIN-Schutz zu versehen. Nicht zu vergessen ist dabei aber die notwendige Akzeptanz durch die Anwender. Eine achtstellige PIN samt Buchstaben und Sonderzeichen, die alle 90 Tage zu ändern ist, findet wohl kaum Anklang. Erlauben Sie biometrische Verfahren, sofern die Geräteplattformen selbst hier ausreichend sicher sind. Verwenden Sie nur Verfahren, die Fotos von echten Gesichtern unterscheiden können. Sind die biometrische Merkmale kompromittiert, hat Ihr Mitarbeiter kein zweites Gesicht mehr für alternative Anmeldungen zur Verfügung.
Nutzen Sie in Ihren Apps zudem die Möglichkeiten von Single Sign-on (SSO) und Mehrfaktor-Authentifizierung (MFA) sowie das passwortlose Anmelden drahtlos über die NFC-Schnittstelle. Verwenden Sie für Ihre Apps und Webseiten zudem starke Authentifizierungsverfahren wie FIDO2/WebAuthn oder FIDO U2F.
Tampering
Beim Tampering handelt es sich um eine Bedrohung, die sich durch Manipulation von Daten ergibt. Angreifer modifizieren hier beispielsweise Passwortdatenbanken, persistente Daten, Bewegungsdaten, Netzwerkpakete oder auch einfach nur Logdaten, um ihre Spuren zu verwischen. Begegnen Sie dieser Bedrohung mit einer ausgefeilten Umsetzung von Maßnahmen sowohl auf einem mobilen Endgerät als auch in Ihrem Backend. Blockieren Sie die USB-Schnittstellen, um das Einfallstor Nummer eins in Sachen Rooting und Jailbreaking zu unterbinden.
Moderne Mobile-Device-Management-Systeme (MDM) bieten Ihnen eine Überprüfung der Geräteintegrität an, bevor SSO-Verfahren oder VPN-Anbindungen zum Zug kommen. Die Integrität der eingesetzten Geräte und Apps hat hier oberste Priorität. Führen Sie Hash-Codes und digitale Signaturen bis auf Netzwerkprotokollebene ein, um die Kompromittierungsfreiheit des Gerätes und der daraus erfolgenden Kommunikation sicherzustellen.
Repudiation
Bei der Repudiation besteht das Risiko durch einen Angreifer aus einer Aktion heraus, die ihm nicht (mehr) nachgewiesen werden kann. Dies ist beispielsweise dann der Fall, wenn ein in Angreifer behauptet, eine Datei nicht gelöscht zu haben, eine Bestellung nicht getätigt zu haben oder die Ware nicht entgegengenommen zu haben.
Dieser Bedrohung können Sie nur durch ein Logging-Konzept begegnen. Beachten Sie dabei gesetzlich maximale Vorhaltezeiten. Auch Ihre Mitarbeitervertreter haben hier eine wichtige Rolle beizutragen. Audit-Logs, Empfangsbestätigungen von Aktivitäten, digitale Signaturen in Aufträgen und Zeitstempel, die sich aus festen Zeitservern ergeben, sind hier die notwendigen Maßnahmen. Aber auch hier gilt: Auf dem mobilen Endgerät alleine nützt Ihnen dies nichts, Sie müssen die Daten auch in Ihrer Infrastruktur vorhalten.
Information Disclosure
Beim so genannten Information Disclosure erhält ein Angreifer Zugriff auf vertrauliche Daten. Dazu zählen beispielsweise lokale Dateien, Daten die zwischen Rechnern übertragen werden, unautorisierte Datenbankzugriffe, Informationen über die Infrastruktur eines Unternehmens oder auch einfach nur Fehlermeldungen mit vertraulichen Informationen.
In diesem Bedrohungsszenario gibt es beim Einsatz von mobilen Geräten mannigfaltige Herausforderungen im täglichen Umgang. Dies liegt in der Tatsache geschuldet, dass die Offenlegung derartiger Informationen über verschiedene Kommunikationswege erfolgen kann. Dies fängt beim Gerätebackup an, geht über den Einsatz manipulierter oder allgemein unsicherer Apps bis hin zu einer nicht ausreichend abgesicherten Kommunikationsverbindung.
Wichtige Schutzmaßnahmen
Eine allgemeine Empfehlung wie die Einführung einer starken Authentifizierung als Zugriffskontrolle mit starker Kommunikaionsverschlüsselung adressiert hier nur einen Teil der Probleme. Sie schützen aber trotzdem gegen viele Gefahren aus diesem Bedrohungsszenario. Auch hier sind Mobile-Device-Management-Systeme essenziell.
Unterbinden Sie zuerst die Möglichkeit, eine kabelgebundenen Datenkommunikation mit Fremdgeräten zu ermöglichen. Dies schützt Sie auf vielfältige Weise. Zum einen verhindern Sie nicht nur den kabelgebundenen Datenabfluss, sondern auch ein gängiges Einfallstor für die Gerätemanipulation durch Rooting (Android) und Jailbreaking (iOS). Konfigurieren Sie ferner per MDM-System, dass ein Sideloading nicht erlaubt ist. Dies schützt Sie vor manipulierten Fremd-Apps. Damit eine Kommunikationsverbindung ausreichend sicher ist, setzen Sie zwingend ein VPN ein, egal ob Ihre App die Datenkommunikation per TLS absichert oder nicht. Erlauben Sie keine Fremdzertifikate für die TLS-Datenkommunikation und setzen Sie ausschließlich auf am Markt übliche und aktuelle Sicherheitsverfahren. Zum Zeitpunkt des Artikels stellt TLS 1.3 das Maß der Dinge dar. Schalten Sie alte und schwache Verbindungen bereits an Ihrem Backend ab. Dies verhindert, dass veraltete oder manipulierte Versionen weiterhin zum Einsatz kommen.
Sie sollten sich allerdings darüber im Klaren sein, dass ein Datenleck sich nicht nur über Ihre öffentliche IP-Adresse ergeben kann, sondern auch durch Anfragen an das Domain Name System (DNS). Aber auch bei der Verarbeitung von Daten innerhalb Ihres mobilen Endgeräts ist mit entsprechenden Vorgaben zu arbeiten. Konfigurieren Sie Ihr mobiles Endgerät so, dass keine Daten an unsichere Apps übergeben werden können. Das Ziel dahinter ist klar: Sie möchten nicht, dass etwa Gehaltslisten in WhatsApp landen.
Ein Weg dorthin ist die Trennung privater und geschäftlicher Apps sowie deren Daten über Container-Umgebungen wie Samsung Knox. Natürlich bieten auch solche Lösungen keinen 100-prozentigen Schutz. Unterbinden Sie eine Weitergabe von Daten aus dienstlichen Apps wie Excel an privat genutzte Apps wie WhatsApp jedoch nicht, dürften Ihre Mitarbeiter dies sicherlich nicht nur als nützliche, sondern auch als explizit erlaubte Verfahrensweise interpretieren. Egal, welche Vorgabe Sie jedoch wählen, achten Sie deshalb auch auf eine stetige Sensibilisierung Ihrer Mitarbeiter im Umgang mit Informationen.
ln/dr/Mark Zimmermann
[1] www.cologne-intelligence.de/blog/was-ist-eigentlich-threat-modeling
[2] https://docs.microsoft.com/en-us/previous-versions/commerce-server/ee823878(v=cs.20)?redirectedfrom=MSDN
Viele Administratoren fragen sich, ob es eine Methode gibt, mit der sie ihre eigene Infrastruktur und damit auch die eigenen mobilen Endgeräte bewerten können. Mit einem strategischen "Threat Modeling" [1] wie dem folgenden STRIDE-Modell [2] steht ein systematischer Ansatz zum Entdecken und Bewerten von Bedrohungen im Kontext des jeweiligen mobilen Anwendungsszenarios bereit. STRIDE steht für Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service und Elevation of Privileges.
Bild 1: Überlegen Sie, welche Kommunikationsverbindungen und Datenhaltungen vorliegen und welche
Bedrohungen sich daraus ergeben.
Bedrohungen sich daraus ergeben.
Ursprünglich entwickelt wurde das Modell von Microsoft, denn das Unternehmen ist zu der Erkenntnis gelangt, dass im Hinblick auf Internetszenarien ernste Sicherheitslücken vorhanden sind. Als Hauptproblem wurde damals herausgearbeitet, dass das Bewusstsein für Sicherheit erst noch geschaffen und es dann in Taten überführt werden muss.
Aus genau diesem Grund wurde die Entwicklung von Windows 10 für einen Monat gestoppt, um die beteiligten Entwickler für das Bewusstsein für Sicherheit zu schulen und so ihre Aufmerksamkeit verstärkt auf Sicherheitsprobleme zu lenken.
Spoofing
Beim Spoofing täuscht der Angreifer eine falsche Identität vor. Das soll ihm dabei helfen, als vermeintlich legitimer Benutzer Zugriff auf einen Server zu erhalten und so an sensitive Daten zu gelangen. Dies kann durch eine direkte Mensch-zu-Mensch-Kommunikation im Rahmen eines Telefonats oder Chats erfolgen. Auch das Anmelden mit einer PIN an einem fremden Gerät fällt unter diese Kategorie, bei der sich ein Mensch einer Maschine gegenüber unrechtmäßigerweise legitimiert. Aber auch in der Maschine-zu-Maschine-Kommunikation kann ein manipulierter Rechner seine Legitimität in der Kommunikation vortäuschen.
Viele Nutzer denken hier zuallererst daran, ein mobiles Endgerät mit einem möglichst komplexen PIN-Schutz zu versehen. Nicht zu vergessen ist dabei aber die notwendige Akzeptanz durch die Anwender. Eine achtstellige PIN samt Buchstaben und Sonderzeichen, die alle 90 Tage zu ändern ist, findet wohl kaum Anklang. Erlauben Sie biometrische Verfahren, sofern die Geräteplattformen selbst hier ausreichend sicher sind. Verwenden Sie nur Verfahren, die Fotos von echten Gesichtern unterscheiden können. Sind die biometrische Merkmale kompromittiert, hat Ihr Mitarbeiter kein zweites Gesicht mehr für alternative Anmeldungen zur Verfügung.
Nutzen Sie in Ihren Apps zudem die Möglichkeiten von Single Sign-on (SSO) und Mehrfaktor-Authentifizierung (MFA) sowie das passwortlose Anmelden drahtlos über die NFC-Schnittstelle. Verwenden Sie für Ihre Apps und Webseiten zudem starke Authentifizierungsverfahren wie FIDO2/WebAuthn oder FIDO U2F.
Tampering
Beim Tampering handelt es sich um eine Bedrohung, die sich durch Manipulation von Daten ergibt. Angreifer modifizieren hier beispielsweise Passwortdatenbanken, persistente Daten, Bewegungsdaten, Netzwerkpakete oder auch einfach nur Logdaten, um ihre Spuren zu verwischen. Begegnen Sie dieser Bedrohung mit einer ausgefeilten Umsetzung von Maßnahmen sowohl auf einem mobilen Endgerät als auch in Ihrem Backend. Blockieren Sie die USB-Schnittstellen, um das Einfallstor Nummer eins in Sachen Rooting und Jailbreaking zu unterbinden.
Moderne Mobile-Device-Management-Systeme (MDM) bieten Ihnen eine Überprüfung der Geräteintegrität an, bevor SSO-Verfahren oder VPN-Anbindungen zum Zug kommen. Die Integrität der eingesetzten Geräte und Apps hat hier oberste Priorität. Führen Sie Hash-Codes und digitale Signaturen bis auf Netzwerkprotokollebene ein, um die Kompromittierungsfreiheit des Gerätes und der daraus erfolgenden Kommunikation sicherzustellen.
Repudiation
Bei der Repudiation besteht das Risiko durch einen Angreifer aus einer Aktion heraus, die ihm nicht (mehr) nachgewiesen werden kann. Dies ist beispielsweise dann der Fall, wenn ein in Angreifer behauptet, eine Datei nicht gelöscht zu haben, eine Bestellung nicht getätigt zu haben oder die Ware nicht entgegengenommen zu haben.
Dieser Bedrohung können Sie nur durch ein Logging-Konzept begegnen. Beachten Sie dabei gesetzlich maximale Vorhaltezeiten. Auch Ihre Mitarbeitervertreter haben hier eine wichtige Rolle beizutragen. Audit-Logs, Empfangsbestätigungen von Aktivitäten, digitale Signaturen in Aufträgen und Zeitstempel, die sich aus festen Zeitservern ergeben, sind hier die notwendigen Maßnahmen. Aber auch hier gilt: Auf dem mobilen Endgerät alleine nützt Ihnen dies nichts, Sie müssen die Daten auch in Ihrer Infrastruktur vorhalten.
Information Disclosure
Beim so genannten Information Disclosure erhält ein Angreifer Zugriff auf vertrauliche Daten. Dazu zählen beispielsweise lokale Dateien, Daten die zwischen Rechnern übertragen werden, unautorisierte Datenbankzugriffe, Informationen über die Infrastruktur eines Unternehmens oder auch einfach nur Fehlermeldungen mit vertraulichen Informationen.
In diesem Bedrohungsszenario gibt es beim Einsatz von mobilen Geräten mannigfaltige Herausforderungen im täglichen Umgang. Dies liegt in der Tatsache geschuldet, dass die Offenlegung derartiger Informationen über verschiedene Kommunikationswege erfolgen kann. Dies fängt beim Gerätebackup an, geht über den Einsatz manipulierter oder allgemein unsicherer Apps bis hin zu einer nicht ausreichend abgesicherten Kommunikationsverbindung.
Wichtige Schutzmaßnahmen
Eine allgemeine Empfehlung wie die Einführung einer starken Authentifizierung als Zugriffskontrolle mit starker Kommunikaionsverschlüsselung adressiert hier nur einen Teil der Probleme. Sie schützen aber trotzdem gegen viele Gefahren aus diesem Bedrohungsszenario. Auch hier sind Mobile-Device-Management-Systeme essenziell.
Unterbinden Sie zuerst die Möglichkeit, eine kabelgebundenen Datenkommunikation mit Fremdgeräten zu ermöglichen. Dies schützt Sie auf vielfältige Weise. Zum einen verhindern Sie nicht nur den kabelgebundenen Datenabfluss, sondern auch ein gängiges Einfallstor für die Gerätemanipulation durch Rooting (Android) und Jailbreaking (iOS). Konfigurieren Sie ferner per MDM-System, dass ein Sideloading nicht erlaubt ist. Dies schützt Sie vor manipulierten Fremd-Apps. Damit eine Kommunikationsverbindung ausreichend sicher ist, setzen Sie zwingend ein VPN ein, egal ob Ihre App die Datenkommunikation per TLS absichert oder nicht. Erlauben Sie keine Fremdzertifikate für die TLS-Datenkommunikation und setzen Sie ausschließlich auf am Markt übliche und aktuelle Sicherheitsverfahren. Zum Zeitpunkt des Artikels stellt TLS 1.3 das Maß der Dinge dar. Schalten Sie alte und schwache Verbindungen bereits an Ihrem Backend ab. Dies verhindert, dass veraltete oder manipulierte Versionen weiterhin zum Einsatz kommen.
Sie sollten sich allerdings darüber im Klaren sein, dass ein Datenleck sich nicht nur über Ihre öffentliche IP-Adresse ergeben kann, sondern auch durch Anfragen an das Domain Name System (DNS). Aber auch bei der Verarbeitung von Daten innerhalb Ihres mobilen Endgeräts ist mit entsprechenden Vorgaben zu arbeiten. Konfigurieren Sie Ihr mobiles Endgerät so, dass keine Daten an unsichere Apps übergeben werden können. Das Ziel dahinter ist klar: Sie möchten nicht, dass etwa Gehaltslisten in WhatsApp landen.
Ein Weg dorthin ist die Trennung privater und geschäftlicher Apps sowie deren Daten über Container-Umgebungen wie Samsung Knox. Natürlich bieten auch solche Lösungen keinen 100-prozentigen Schutz. Unterbinden Sie eine Weitergabe von Daten aus dienstlichen Apps wie Excel an privat genutzte Apps wie WhatsApp jedoch nicht, dürften Ihre Mitarbeiter dies sicherlich nicht nur als nützliche, sondern auch als explizit erlaubte Verfahrensweise interpretieren. Egal, welche Vorgabe Sie jedoch wählen, achten Sie deshalb auch auf eine stetige Sensibilisierung Ihrer Mitarbeiter im Umgang mit Informationen.
Der ersten Teil
des Workshops erklärt, warum
die hohe Verbreitung von Mobilgeräten angesichts immer keativerer
Angreifer ein Umdenken bei Security-Konzepten erfordert. In der zweiten Folge beschäftigen wir uns mit dem STRIDE-Modell und wichtigen Schutzmaßnahmen, die sich daraus ergeben. Im dritten Teil des Workshops geht es vor allem darum, wie sich Risiken anhand eines Modells objektiv bewerten lassen.
ln/dr/Mark Zimmermann
[1] www.cologne-intelligence.de/blog/was-ist-eigentlich-threat-modeling
[2] https://docs.microsoft.com/en-us/previous-versions/commerce-server/ee823878(v=cs.20)?redirectedfrom=MSDN
