Startseite > Markt > Schwachstelle Smartphone

Mobile Security

Schwachstelle Smartphone

27. Juli 2016, 12:26 Uhr | Autor: Axel Pomper

Smartphones sind aus dem Geschäftsalltag nicht mehr wegzudenken und mobiles Arbeiten ist in vielen Unternehmen schon längst Standard. Der Schutz geschäftlicher Daten auf mobilen Endgeräten ist deshalb nicht mehr „nice to have“, sondern gehört zur unternehmerischen Sorgfalt.

Netzwerksicherheit gehört in jedem Unternehmen zum guten Ton. Doch gerade Telefongespräche, in denen entscheidende Sachverhalte geklärt werden, sind meist nur unzureichend geschützt. Dabei können die Folgen abgehörter Telefonate oder Mitteilungen beträchtlich sein: Der Verlust von Betriebsgeheimnissen führt immer wieder zu nachhaltigen Wettbewerbsnachteilen.

Häufig sind sich die Verantwortlichen gar nicht bewusst, welches Know-how schutzbedürftig ist. „Unternehmen müssen sich zunächst einmal klar machen, welche Informationen für andere von Interesse sein könnten“, erklärt Peter Rost, Director Marketing bei Rohde & Schwarz Cybersecurity. „Die erste Frage muss dabei lauten: Was sind die Kronjuwelen unter den vielen Daten des Unternehmens? Wer generiert, überträgt und speichert diese? Anschließend muss analysiert werden, über welche Wege diese kommuniziert und damit abgefangen werden können. Dann wird geklärt, wie man unerlaubten Zugriff verhindern kann.“ Oberste Priorität müssen Innovationen und personenbezogene Daten haben. Ein Faktor, der es Angreifern noch leichter macht, ist das in vielen Unternehmen bereits übliche BYOD: Gerade Führungskräfte nutzen lieber ihr eigenes multifunktionelles Smartphone als das Diensthandy.

Knackpunkt Hardware

Deutsche Behörden nutzen den vom BSI spezifizierten Verschlüsselungsstandard „Sichere Netzübergreifende Sprachkommunikation“ (SNS), um vertrauliche Telefonate zu schützen. Doch in der Privatwirtschaft hat sich bisher kein „Industriestandard“ durchgesetzt. Will man auf Nummer sicher gehen, stehen spezielle Krpyto-Handys oder App-basierte Lösungen zur Auswahl.

Die meisten Lösungen setzen auf Ende-zu-Ende-Verschlüsselung: Die Gesprächsteilnehmer benötigen auf beiden Seiten die gleiche Verschlüsselungstechnik und den gleichen, dazu passenden Schlüssel. Dieser wird vor Beginn der Verbindung kryptografisch geschützt zwischen beiden Gesprächspartnern ausgetauscht. Schließlich müssen die Schlüssel im Endgerät vor Hacker-angriffen sicher aufbewahrt werden.

Krypto-Handys sind speziell auf abhörsicheres Telefonieren hin entwickelt. Dazu härten Anbieter das Mobiltelefon durch das funktionale „Abspeck-en“ oder das Einspielen eines von Grund auf neu entwickelten Handy-Betriebssystems. Diese Variante bietet ein sehr hohes Maß an Sicherheit, erfordert aber in der Regel Abstriche beim Funktionsumfang: Meist können nur noch explizit freigegebene Apps damit genutzt werden. Sie erfordert auch enormen Entwicklungsaufwand und kann somit nicht für beliebige Handy-Modelle angeboten werden. Mit dieser Lösung werden Gespräche, E-Mails und Messages vor Viren, Trojanern und anderer Spyware geschützt.

Um mehr Flexibilität zu ermöglichen, können kritische Systemelemente, etwa für Sprachverschlüsselung, völlig aus dem Mobiltelefon herausgelöst werden. Mitarbeiter können so beispielsweise ihr Smartphone weiter benutzen, müssen für vertrauliche Gespräche allerdings ein zusätzliches Krypto-Headset verwenden.

Schlüsselerzeugung, Sprachaufnahme und Verschlüsselung erfolgen außerhalb des Smartphones und damit außer Reichweite jeglicher Schad-Software. Alle VoIP-Daten werden vom Kryptohörer bereits vor der Bluetooth-Übertragung verschlüsselt. Das Handy selbst dient lediglich der Übertragung der chiffrierten VoIP-Daten.

„Der Vorteil dieser Art von Verschlüsselungslösung ist neben der kompromisslosen Sicherheit die Kompatibilität mit fast jedem modernen Mobilfunkgerät. Zwar bedarf es auch bei dieser Methode – wie bei allen anderen Lösungen – eines Gegenübers mit gleicher Ausrüstung, jedoch können die kleinen Geräte, je nach Einsatzbedarf, an Kollegen weitergereicht werden“, sagt Peter Rost.

Verschlüsselungs-Apps ermöglichen es buchstäblich im Handumdrehen, Gespräche zu verschlüsseln. Die Kosten dafür reichen von kostenlosen Apps bis hin zu deutlich über 1.000 Euro pro Lizenz. Es besteht jedoch die Gefahr, dass auf dem gleichen Smartphone installierte, bösartige Apps diese Verschlüsselung unterlaufen, da sich beide die gleichen Prozessoren, Arbeitsspeicher, Tastatur und Mikrofon teilen. Die wenigsten offiziellen Betriebssysteme garantieren heutzutage absolute Exklusivität dieser Komponenten. Auch kann ein Handy durch „rooten“ oder „jailbreaken“ derart manipuliert werden, dass die Gespräche noch vor der Verschlüsselung direkt am Mikrofon oder Lautsprecher im Klartext abgegriffen und per Datenverbindung an den weit entfernten Angreifer weitergeleitet werden können. Das Handy am Ohr wird damit zur fern-gesteuerten Wanze.

Ein eigentlich sicherer VPN-Client schützt nur dann wirksam vor Data Leakage, wenn es gleichzeitig keinen weiteren Datenkanal ins Internet im Handy gibt. Selbst für IT-Spezialisten ist dies fast unmöglich zu beurteilen. Software-Lösungen sind also bequem, schützen aber nur vor ungezielten, breit gestreuten Massenangriffen.

Mitarbeiter müssen mitziehen

Software-Applikationen sind günstig und unkompliziert, letztendlich aber nur nach kritischer Betrachtung der Schutzmerkmale und Unternehmensanforderungen zu empfehlen. Spezielle Krypto-Handys oder Zusatzgeräte wie Krypto-Hörer sind als Verschlüsselungstools grundsätzlich geeignet und bieten mehr Schutz, allerdings auf Kosten von Funktionsumfang und Komfort. Unternehmen müssen sich bewusst werden, welches Sicherheitsniveau unumgänglich ist. Klar ist aber, dass jedes Unternehmen für das nötige Sicherheitsbewusstsein bei seinen Mit-arbeitern zu sorgen hat. Wenn am Flughafen-Gate oder im Zugabteil lautstark die vertraulichsten Firmengeheimnisse hinausposaunt werden, oder Ausdrucke liegenbleiben – dann hilft auch die beste Verschlüsselungstechnik wenig.