von Redaktion IT-A…
Lesezeit
4 Minuten
Security-Strategien für Mobilgeräte (3)
Aus der Unternehmenswelt sind mobile Endgeräte nicht mehr wegzudenken. Smartphones begleiten uns als kleine Helfer in unserem Alltag. Doch bereits bei der Anbindung und spätestens mit der Nutzung mobiler Endgeräte muss sich der Administrator mit sicherheitskritischen Aspekten auseinandersetzen. In diesem Artikel betrachten wir die strategische Bewertung der mobilen Sicherheit und leiten konkrete Vorschläge zur Absicherung ab. Im dritten Teil geht es vor allem darum, wie sich Risiken anhand eines Modells objektiv bewerten lassen.
Gesperrte sowie verlorene Endgeräte
Stört ein Angreifer die Verfügbarkeit einer Anwendung, spricht man von einem Denial of Service (DoS). Dies kann beispielsweise durch das gezielte Verbrauchen von Bandbreite, Speicher oder CPU-Zyklen geschehen. Derartige Angriffe lassen sich etwa durch Botnetze auch von außerhalb als Distributed Denial of Service Attacks (DDoS) durchführen.
Aber auch gezielte Angriffe auf anfällige Applikationen, die nach der Eingabe bestimmter Daten abstürzen, gehören zu einem DoS-Szenario. In Verbindung mit mobilen Endgeräten ist dieses Bedrohungsszenario sehr einfach herzuleiten. Zum einen können Dritte ein Gerät sperren, indem sie die Geräte-PIN mehrfach falsch eingeben. Dies sorgt bei modernen Endgeräten für eine Sperre des Geräts. Je öfter ein Code falsch eingegeben wird, desto länger sperrt sich das Gerät.
Auch ein verlorengegangenes Gerät, das nicht gesperrt ist, stellt natürlich ein Problem dar. Ein solches kann für Anfragen direkt im eigenen Netzwerk genutzt werden und den Angreifer so hinter die Schutzmauer der IT-Infrastruktur führen [3]. Gegenmaßnahmen auf mobilen Geräten sind hier einfach identifiziert. Verwenden Sie ein MDM-System, um die Geräte zu verwalten. Dies erlaubt es Ihnen, verlorengegangene Geräte aus der Ferne zu sperren. Außerdem können Sie einen vergessenen PIN-Code temporär entfernen. Mithilfe eines MDM-Systems lassen sich damit sowohl die Verfügbarkeit als auch die Zuverlässigkeit erhöhen.
Findet ein Angreifer einen Weg, seine Berechtigungen in Ihrer IT-Infrastruktur zu erhöhen, ist von einer Elevation of Privileges die Rede. Dabei stellen die umfangreichen administrativen Rechte das erstrebte Ziel dar. Klassisch versuchen Angreifer über sogenannte Pufferüberläufe (Buffer Overflows) höhere Rechte zu erlangen. Diesem Szenario können Sie auf einem mobilen Endgerät nur bedingt entgegenwirken. Geeignete Gegenmaßnahmen sind hier auf Backend-Seite einzuführen. Achten Sie auf robusten Code, Privilegien und Eingabeprüfungen im Infrastruktur-Backend. Eine App kann diese Tätigkeit höchstens als Komfortfunktion mitbringen. Eine App darf aber niemals entscheiden, ob sie ein bestimmtes Recht hat (oder haben soll). Dies muss immer im Backend validiert werden.
Datenschutz berücksichtigen
Mit dem Begriff Datenschutz wird das Recht des Einzelnen auf informationelle Selbstbestimmung umschrieben. Bedenken Sie, dass die Menge an personenbezogenen Daten enorm sein kann. Diese umfassen beispielsweise IP-Adresse, Geräte- und Kartenkennung (IMEI, UDID, MAC-Adresse), Mobilfunknummer, Name des Telefons, Standortdaten, Foto-/Video-/Audiodateien, biometrische Daten, Nutzungsdaten, Kontaktdaten, Kalendereinträge, Registrierungsdaten, Anruflisten, Nachrichten, Kontoverbindungsdaten und vieles mehr [4]. Es gibt keine Unterscheidung zwischen personenbezogenen Daten einer Person in ihrer jeweiligen privaten, öffentlichen oder berufsbezogenen Rolle – alle unterliegen dieser Verordnung. Im Zweifel geht die DSGVO von einem Personenbezug aus.
Dies betrifft somit nicht nur die erfassten Daten auf dem Endgerät, sondern auch die gespeicherten Daten im Rahmen der beschriebenen Maßnahmen. Als Organisation unterliegen Ihnen Aufklärungspflichten bei Datenerhebung zur wirksamen Einwilligung. Auch müssen Sie organisatorische und technische Maßnahmen treffen, um dieses Recht zu gewährleisten. An dieser Stelle kann der Artikel jedoch keine juristische Beratung leisten, wenden Sie sich hierzu an die Datenschutzexperten.
Risiken bewerten
Inwieweit es für Sie notwendig ist, jede identifizierte Sicherheitsmaßnahme umzusetzen, müssen Sie selbst bewerten [5]. Für eine einfachere Einschätzung können Sie sich des von Microsoft entworfenen DREAD-Risikomodells bedienen. Der Name steht für das Akronym der Abkürzungen der einzelnen zu bewertenden technischen Risikofaktoren:
Die Eintrittswahrscheinlichkeit (W) ist dabei definiert durch den Schweregrad, mit dem ein Angriff ausgeführt werden kann. Die Eintrittswahrscheinlichkeit ergibt sich aus der Summe der Werte "Exploitability" und "Discoverability":
"Exploitability" + "Discoverability" = X
Damit Sie den entsprechenden Score-Wert ableiten können, müssen Sie das Ergebnis noch einmal verdichten:
X < 4 -> W= 0
X = 4 -> W = 1
X = 5 -> W = 3
X > 5 -> W = 4
Die Auswirkung eines Schadens hängt hauptsächlich von der damit verbundenen Schadenshöhe (S) ab. Auch hier gibt es eine einfache Formel. Bilden Sie die Summe aus den Zeilen "Reproducibility" und "Affected Users":
"Wert Reproducibility" + "Wert Affected Users" = Y
Diesen Wert verdichten Sie nun wieder:
Y < 6 -> S = "Wert aus Damage" + 1
Y >= 6 -> S = "Wert aus Damage" + 2
Das Ergebnis dieser Rechnungen (DREAD-Score) können Sie in einer vereinfachten Risikomatrix aus Eintrittswahrscheinlichkeit (W) und Schadenshöhe (S) eintragen.
Die von Ihnen im roten Bereich identifizierten Risiken sollten Sie vermeiden beziehungsweise diesen aktiv nachgehen. Risiken im gelben Bereich sind von Ihnen kontrollierbar, sollten aber konsequent beobachtet werden. Falls sich Ereignisse in diesem Bereich häufen, müssen Sie auch hier eine Ablösung des Verfahrens in Erwägung ziehen. Risiken im grünen Bereich sind nach dieser Bewertung ausreichend abgedeckt.
Informiert bleiben und testen
Halten Sie öffentlich zugängliche Designrichtlinien ein und werfen Sie dabei einen Blick auf das Computer Security Resource Center (CSRC) sowie das Open Application Security Project (OWASP). Bleiben Sie stets informiert und informieren Sie andere. Abonnieren Sie hierzu Sicherheitsmailings und folgen Sie den verschiedenen Sicherheitsforschern, die Ihre Ergebnisse in Social-Media-Kanälen veröffentlichen.
Legen Sie Richtlinien für sicheres Programmieren fest und führen Sie regelmäßige Schulung aller Mitarbeiter – Entwickler wie Administratoren – zur Informationssicherheit durch.
Scheuen Sie sich nicht, ihre eigenen Systeme regelmäßig überprüfen zu lassen; hacken Sie sich selbst oder bezahlen Sie jemanden dafür. Eine auf diese Art gefunden Lücke ist günstiger, als dieser im Ernstfall ausgeliefert zu sein. Gefundene Probleme dürfen auch nicht als Fingerzeig verstanden werden. Und das Wichtigste: Verfallen Sie nicht in Panik. Wurde Ihre Infrastruktur angegriffen, machen Sie das Beste daraus und lernen aus dem Vorfall.
Fazit
Der Schutz von mobilen Endgeräten samt der darauf gespeicherten Daten sowie der erreichbaren Systeme muss oberstes Ziel einer strategischen Betrachtung sein. Auch die Marke eines Unternehmens in der Außendarstellung sowie die Kunden beziehungsweise Mitarbeiter und damit auch die Einnahmen eines Unternehmens unterliegen Gefahren – nicht nur, aber gerade aus dem mobilen Umfeld. Eine absolute Sicherheit gibt es jedoch nicht. Auch die hier abgebildeten Modelle sind nur einige der am Markt verfügbaren und werden je nach Anwender und Betrachter unterschiedlich ausgefüllt und bewertet.
ln/dr/Mark Zimmermann
[3] www.computerwoche.de/a/ist-ihr-vpn-sicher,3544637
[4] www.slideshare.net/BokowskyLaymann/lastminute-einfhrung-in-die-dsgvo
[5] https://geballte-sicherheit.de/threat-modelling-bedrohungsanalyse-7-teil-einstufung-von-bedrohungen-ranking-of-threats/
Stört ein Angreifer die Verfügbarkeit einer Anwendung, spricht man von einem Denial of Service (DoS). Dies kann beispielsweise durch das gezielte Verbrauchen von Bandbreite, Speicher oder CPU-Zyklen geschehen. Derartige Angriffe lassen sich etwa durch Botnetze auch von außerhalb als Distributed Denial of Service Attacks (DDoS) durchführen.
Aber auch gezielte Angriffe auf anfällige Applikationen, die nach der Eingabe bestimmter Daten abstürzen, gehören zu einem DoS-Szenario. In Verbindung mit mobilen Endgeräten ist dieses Bedrohungsszenario sehr einfach herzuleiten. Zum einen können Dritte ein Gerät sperren, indem sie die Geräte-PIN mehrfach falsch eingeben. Dies sorgt bei modernen Endgeräten für eine Sperre des Geräts. Je öfter ein Code falsch eingegeben wird, desto länger sperrt sich das Gerät.
Auch ein verlorengegangenes Gerät, das nicht gesperrt ist, stellt natürlich ein Problem dar. Ein solches kann für Anfragen direkt im eigenen Netzwerk genutzt werden und den Angreifer so hinter die Schutzmauer der IT-Infrastruktur führen [3]. Gegenmaßnahmen auf mobilen Geräten sind hier einfach identifiziert. Verwenden Sie ein MDM-System, um die Geräte zu verwalten. Dies erlaubt es Ihnen, verlorengegangene Geräte aus der Ferne zu sperren. Außerdem können Sie einen vergessenen PIN-Code temporär entfernen. Mithilfe eines MDM-Systems lassen sich damit sowohl die Verfügbarkeit als auch die Zuverlässigkeit erhöhen.
Findet ein Angreifer einen Weg, seine Berechtigungen in Ihrer IT-Infrastruktur zu erhöhen, ist von einer Elevation of Privileges die Rede. Dabei stellen die umfangreichen administrativen Rechte das erstrebte Ziel dar. Klassisch versuchen Angreifer über sogenannte Pufferüberläufe (Buffer Overflows) höhere Rechte zu erlangen. Diesem Szenario können Sie auf einem mobilen Endgerät nur bedingt entgegenwirken. Geeignete Gegenmaßnahmen sind hier auf Backend-Seite einzuführen. Achten Sie auf robusten Code, Privilegien und Eingabeprüfungen im Infrastruktur-Backend. Eine App kann diese Tätigkeit höchstens als Komfortfunktion mitbringen. Eine App darf aber niemals entscheiden, ob sie ein bestimmtes Recht hat (oder haben soll). Dies muss immer im Backend validiert werden.
Datenschutz berücksichtigen
Mit dem Begriff Datenschutz wird das Recht des Einzelnen auf informationelle Selbstbestimmung umschrieben. Bedenken Sie, dass die Menge an personenbezogenen Daten enorm sein kann. Diese umfassen beispielsweise IP-Adresse, Geräte- und Kartenkennung (IMEI, UDID, MAC-Adresse), Mobilfunknummer, Name des Telefons, Standortdaten, Foto-/Video-/Audiodateien, biometrische Daten, Nutzungsdaten, Kontaktdaten, Kalendereinträge, Registrierungsdaten, Anruflisten, Nachrichten, Kontoverbindungsdaten und vieles mehr [4]. Es gibt keine Unterscheidung zwischen personenbezogenen Daten einer Person in ihrer jeweiligen privaten, öffentlichen oder berufsbezogenen Rolle – alle unterliegen dieser Verordnung. Im Zweifel geht die DSGVO von einem Personenbezug aus.
Dies betrifft somit nicht nur die erfassten Daten auf dem Endgerät, sondern auch die gespeicherten Daten im Rahmen der beschriebenen Maßnahmen. Als Organisation unterliegen Ihnen Aufklärungspflichten bei Datenerhebung zur wirksamen Einwilligung. Auch müssen Sie organisatorische und technische Maßnahmen treffen, um dieses Recht zu gewährleisten. An dieser Stelle kann der Artikel jedoch keine juristische Beratung leisten, wenden Sie sich hierzu an die Datenschutzexperten.
Risiken bewerten
Inwieweit es für Sie notwendig ist, jede identifizierte Sicherheitsmaßnahme umzusetzen, müssen Sie selbst bewerten [5]. Für eine einfachere Einschätzung können Sie sich des von Microsoft entworfenen DREAD-Risikomodells bedienen. Der Name steht für das Akronym der Abkürzungen der einzelnen zu bewertenden technischen Risikofaktoren:
- Damage: Wie groß wäre der Schaden, wenn ein möglicher Angriff tatsächlich Erfolg hätte?
- Reproducibility: Wie einfach wäre der Angriff für Dritte reproduzierbar?
- Exploitability: Wieviel Zeit, Aufwand und Erfahrungen sind notwendig, um den Angriff durchzuführen?
- Affected Users: Wieviele Anwender wären durch den möglichen Angriff betroffen?
- Discoverability: Wie leicht ist die Bedrohung zu erkennen?
Die Eintrittswahrscheinlichkeit (W) ist dabei definiert durch den Schweregrad, mit dem ein Angriff ausgeführt werden kann. Die Eintrittswahrscheinlichkeit ergibt sich aus der Summe der Werte "Exploitability" und "Discoverability":
"Exploitability" + "Discoverability" = X
Damit Sie den entsprechenden Score-Wert ableiten können, müssen Sie das Ergebnis noch einmal verdichten:
X < 4 -> W= 0
X = 4 -> W = 1
X = 5 -> W = 3
X > 5 -> W = 4
Die Auswirkung eines Schadens hängt hauptsächlich von der damit verbundenen Schadenshöhe (S) ab. Auch hier gibt es eine einfache Formel. Bilden Sie die Summe aus den Zeilen "Reproducibility" und "Affected Users":
"Wert Reproducibility" + "Wert Affected Users" = Y
Diesen Wert verdichten Sie nun wieder:
Y < 6 -> S = "Wert aus Damage" + 1
Y >= 6 -> S = "Wert aus Damage" + 2
Das Ergebnis dieser Rechnungen (DREAD-Score) können Sie in einer vereinfachten Risikomatrix aus Eintrittswahrscheinlichkeit (W) und Schadenshöhe (S) eintragen.
Bild 2: Exemplarische Darstellung einer Risikomatrix aus Eintrittswahrscheinlichkeit (W) und Schadenshöhe (S).
Die von Ihnen im roten Bereich identifizierten Risiken sollten Sie vermeiden beziehungsweise diesen aktiv nachgehen. Risiken im gelben Bereich sind von Ihnen kontrollierbar, sollten aber konsequent beobachtet werden. Falls sich Ereignisse in diesem Bereich häufen, müssen Sie auch hier eine Ablösung des Verfahrens in Erwägung ziehen. Risiken im grünen Bereich sind nach dieser Bewertung ausreichend abgedeckt.
Informiert bleiben und testen
Halten Sie öffentlich zugängliche Designrichtlinien ein und werfen Sie dabei einen Blick auf das Computer Security Resource Center (CSRC) sowie das Open Application Security Project (OWASP). Bleiben Sie stets informiert und informieren Sie andere. Abonnieren Sie hierzu Sicherheitsmailings und folgen Sie den verschiedenen Sicherheitsforschern, die Ihre Ergebnisse in Social-Media-Kanälen veröffentlichen.
Legen Sie Richtlinien für sicheres Programmieren fest und führen Sie regelmäßige Schulung aller Mitarbeiter – Entwickler wie Administratoren – zur Informationssicherheit durch.
Scheuen Sie sich nicht, ihre eigenen Systeme regelmäßig überprüfen zu lassen; hacken Sie sich selbst oder bezahlen Sie jemanden dafür. Eine auf diese Art gefunden Lücke ist günstiger, als dieser im Ernstfall ausgeliefert zu sein. Gefundene Probleme dürfen auch nicht als Fingerzeig verstanden werden. Und das Wichtigste: Verfallen Sie nicht in Panik. Wurde Ihre Infrastruktur angegriffen, machen Sie das Beste daraus und lernen aus dem Vorfall.
Fazit
Der Schutz von mobilen Endgeräten samt der darauf gespeicherten Daten sowie der erreichbaren Systeme muss oberstes Ziel einer strategischen Betrachtung sein. Auch die Marke eines Unternehmens in der Außendarstellung sowie die Kunden beziehungsweise Mitarbeiter und damit auch die Einnahmen eines Unternehmens unterliegen Gefahren – nicht nur, aber gerade aus dem mobilen Umfeld. Eine absolute Sicherheit gibt es jedoch nicht. Auch die hier abgebildeten Modelle sind nur einige der am Markt verfügbaren und werden je nach Anwender und Betrachter unterschiedlich ausgefüllt und bewertet.
Der ersten Teil
des Workshops erklärt, warum
die hohe Verbreitung von Mobilgeräten angesichts immer keativerer
Angreifer ein Umdenken bei Security-Konzepten erfordert. In der zweiten Folge beschäftigen wir uns mit dem STRIDE-Modell und wichtigen Schutzmaßnahmen, die sich daraus ergeben. Im dritten Teil des Workshops geht es vor allem darum, wie sich Risiken anhand eines Modells objektiv bewerten lassen.
ln/dr/Mark Zimmermann
[3] www.computerwoche.de/a/ist-ihr-vpn-sicher,3544637
[4] www.slideshare.net/BokowskyLaymann/lastminute-einfhrung-in-die-dsgvo
[5] https://geballte-sicherheit.de/threat-modelling-bedrohungsanalyse-7-teil-einstufung-von-bedrohungen-ranking-of-threats/
