Schadsoftware für Smartphones: Der Ernstfall kommt noch

Wurde anfänglich mit den Westentaschen-Geräten im Wesentlichen nur telefoniert, wird es immer mehr zur Selbstverständlichkeit, Daten von unterwegs zu synchronisieren, zu versenden oder über das Internet auf das mobile Endgerät zu laden. Das bringt natürlich nicht nur Vorteile für die geschäftlichen Abläufe, sondern es entstehen dadurch auch neue Einfalltore für das Einschleusen von Viren und anderem Schadcode. Es stellt sich also die Frage nach der Sicherheit dieser Systeme selbst beziehungsweise der involvierten Firmennetzwerke.

Popularität als Gefahr
Im nichtmobilen Bereich hat das Gros der Unternehmen mittlerweile Schutzvorkehrungen gegen die verschiedenen Angriffsarten getroffen. Doch als Rechner benutzbare Mobiltelefone machen aus Unternehmen mit klaren IT-Grenzen auf einmal grenzenlose Unternehmen und erfordern damit das Überden-ken bestehender Schutzmechanismen. Auf jeden Fall müssen die Verfügbarkeit einerseits und die Vertraulichkeit und Integrität andererseits auch in Zeiten zunehmender Mobilisierung gewährleistet bleiben.
Dass mobile Geräte für Virenautoren attraktiv sind, beweisen die ersten Exemplare von Schadsoftware - Viren, Würmer und Trojaner -,die in den letzten Monaten entdeckt wurden. Die bisherigen Smartphone-Schädlinge wie der Wurm Cabir, der Trojaner Skulls oder der Gavno-Virus gehen ursprünglich auf »Machbarkeits-Studien« zurück, bei denen die prinzipielle Angreifbarkeit eines Betriebssystems für die mobilen Winzlinge unter Beweis gestellt werden sollte. Doch der Weg von diesen Fingerübungen zu Viren, die zu massiven, finanziellen Schäden führen,indem sie beispielsweise selbstständig kostenpflichtige SMS-Dienste abonnieren oder unaufgefordert teure Telefonverbindungen aufbauen, ist nicht weit. Im Grunde sind es drei Elemente,die bei der Beurteilung der Gefährdungslage eine Rolle spielen: Verbreitung eines Betriebssystems, technische Offenheit und eventuelle Sicherheitslücken. Gewöhnliche Mobiltelefone arbeiten üblicherweise mit einem herstellerspezifischen Betriebssystem, während bei Smartphones standardisierte Betriebssysteme zum Einsatz kommen, die auf verschiedenen Gerätetypen gleichermaßen funktionieren und somit eine größere Verbreitung haben. Je populärer ein Betriebssystem ist, je offener es für die Installation von Drittanbieterprogram-men gehalten wird und je mehr Angriffsflächen es in Form von Sicherheitslücken bietet, desto mehr Schreiber von Schadcode werden sich daran versuchen.

Funkstrecke besonders Schadcodegefährdet
Um die Funktionsvielfalt der Geräte noch weiter zu erhöhen, bieten die meisten Smartphone-Hersteller Partnern und Lizenznehmern diverse Anwendungsprogrammierschnittstellen (APIs) sowie Programmierhilfen zur Entwicklung von Zusatzapplikationen in Standardsprachen wie C++ und Java an. Diese offenen Schnittstellen können natürlich auch zur Einbringung von Schadsoftware benutzt werden. Aufgrund seiner Verbreitung ist im Moment vor allem das Betriebssystem Symbian Ziel von Schadsoftware für Smartphones.
Zu dem oben genannten Gefährdungspotenzial, das für alle Endgeräte gilt, kommt bei mobilen Endgeräten noch hinzu, dass Schadcode über die Funkstrecke besonders schnell in lokale Fest- und Funknetze sowie das Internet gelangen kann.

Mobile Geräte im Sicherheitskonzept
Wenn derzeit praktisch noch keine Viren für Smartphones und PDAs existieren, so sollte das nicht etwa zum Zuwarten verleiten, sondern gerade umgekehrt zu vorausschauendem Handeln.Wenn erst einmal zahlenmäßig die kritische Masse an Mobilgeräten im Markt ist, wird sich die Gefährdungslage sehr schnell anders darstellen.
Schadcode-Befall in Unternehmensnetzen erzeugt hohen Supportaufwand und unter Umständen unabsehbare Folgen für die Geschäftsprozesse. Für Netzbetreiber kann eingebrachter Schadcode zum Zusammenbruch von ganzen Netzwerken, extrem hohem Support-Aufwand für die betroffenen Anwender sowie gebremstem Marktwachstum durch Vertrauensverlust führen. Um derartigen Angriffen nicht wehrlos ausgeliefert zu sein, gilt es die klassischen Sicherheitsprämissen auch für Smartphones umzusetzen. Von Seiten der Smartphone-Hersteller werden Sicherheitsmaßnahmen wie die Freischaltung der Anwendungen durch die Benutzer, signierte Applikationen sowie Zugriffsbeschränkungen auf bestimmte Dienste für unsignierte Applikationen eingerichtet.
Unternehmen können sich schützen, indem sie mobile Systeme in die Sicherheitspolitik des Unternehmens einbinden. Folgende Schutzmaßnahmen sind neben der regelmäßigen Sensibilisierung der Mitarbeiter zu empfehlen:
- Schutz der mobilen Daten zum Beispiel durch Verschlüsselung
- Schutz des Gerätes selbst durch Schutzsoftware wie beispielsweise Anti-Virensoftware oder ein System, das nur speziell zugelassene Applikationen ablauffähig macht
- Vertragliche Kostenbegrenzungen mit Netzbetreibern und Diensteanbietern, damit im Schadensfall nicht unkalkulierbare Telefonkosten auf den Smartphones auflaufen.
Diensteanbieter können sich durch Einhaltung folgender Sicherheitsrichtlinien schützen:
- Konsequente Umsetzung von Sicherheitsstandards und Mechanismen zur Erkennung von Missbrauch
- Sensibilisierung der Verbraucher spätestens beim Kauf eines Smartphones
- Einsatz von Schutz-Software auf den Smartphones als Service der Provider, um Epidemien vorzubeugen Grund zur Panik ist zur Zeit nicht angebracht. Mit Blick in die nahe Zukunft sollten Unternehmen jedoch frühzeitig agieren, um zu vermeiden, dass ihnen später möglicherweise nur die Alternative einer hektischen Reaktion bleibt, mit entsprechend hohen Kosten. Andreas Lamm ist Geschäftsführer der Kaspersky Labs GmbH in Ingolstadt