Handys, Smartphones und PDAs im Netz
Security-Management mobiler Geräte
Mobile Security ist ein Wachstumsmarkt. Nahezu alle Anti-Malware-Hersteller wie Trend Micro, Symantec, McAfee oder auch Avira bieten Lösungen für Handys, Smartphones und PDAs an. Hinsichtlich der Eignung für mobile Endgeräte im Unternehmenseinsatz unterscheiden sich die Produkte aber erheblich: So ist im Business-Umfeld besonderes Gewicht auf eine möglichst breite Plattformunterstützung zu legen.
IT-Verantwortliche sollten bei der Evaluierung von Sicherheitsprodukten für mobile
Zugriffsgeräte prüfen, ob die Funktionalität alle aktuellen und zu erwartenden mobilen
Business-Prozesse absichert. Umfassendes Security-Management für mobile Geräte bedeutet darüber
hinaus zentralisiertes Device-Management.
Die erste Aufgabe des Security-Managements ist die Abwehr von Malware auf mobilen Rechnern –
auch zum Schutz des Netzwerks bei der Synchronisation. Analog zu Desktop-Lösungen kommen hier bei
allen Produkten Pattern-basierte Scan-Mechanismen zum Einsatz. Dabei gehört das Echtzeit-Scanning
aller Daten auf dem Gerät sowie auf externen Memory Cards zu den Grundvoraussetzungen, ebenso wie
die Überprüfung komprimierter Dateiformate. Bewegen sich Applikationen in einer Grauzone zwischen "
legitim" und "Spyware", müssen Anwender in einem geführten Prozess die Möglichkeit zur Blockierung
oder Entfernung erhalten. Störendem SMS-Spam begegnen Unternehmen am besten über "weiße" oder "
schwarze" Absenderlisten oder der Blockade von unbekannten SMS-Quellen.
Eine wachsende Anzahl von mobilen Geräten verfügt zudem über WiFi-Fähigkeiten, sodass eine
Firewall zur Abwehr von Port-Scans und für die generelle Kontrolle des Datenverkehrs erforderlich
ist. In Verbindung mit Intrusion-Detection-Systemen (IDS) ist damit auch der Schutz vor Hacking-
und Denial-of-Service-Angriffen gewährleistet.
Wesentlich häufiger dürfte der Fall auftreten, dass ein Gerät verloren geht oder gestohlenen
wird. Deshalb werden hohe Anforderungen an Authentifizierung und Verschlüsselung gestellt. Ein
Power-on-Passwort ist daher ebenso sinnvoll wie die Möglichkeit, die Passwort-Policy zentral für
alle Geräte zu verwalten. Mithilfe dieser globalen Policies kann zum Beispiel auf
Brute-Force-Passwortangriffe abgestuft reagiert werden: Fehlgeschlagene Log-in-Versuche führen dann
zu einem Neustart des Geräts mit Passwortabfrage oder der Sperrung bis hin zur zwangsweisen Eingabe
eines Administratorpassworts oder sogar zu kompletten Löschung aller Daten auf Gerät und
Speichermedien sowie zur Rücksetzung auf Werkseinstellungen. Einige Sicherheitslösungen ermöglichen
zudem die Durchführung dieser Aktionen durch den Client nach Maßgabe voreingestellter Parameter,
sodass ein Gerät auch geschützt ist, wenn es der Administrator nicht erreichen kann.
Essenziell ist in diesem Zusammenhang zudem die Verschlüsselung der Daten auf dem Gerät und den
Speicherkarten. Die Verschlüsselung sollte sich nicht nur auf Mails, sondern auch auf Kontakte, den
Kalender sowie Dateien erstrecken. Dem Administrator fällt hier die Aufgabe zu, die zu
verschlüsselnden Daten sowie den geeigneten Algorithmus auszuwählen: Zunächst stellt sich die Frage
nach Public-Key- oder Secret-Key-Algorithmus. Public Key bietet sowohl Verschlüsselung als auch
Authentifizierung, Secret Key ist auf mobilen Geräten um ein Vielfaches schneller. Erfolgt die
Anwenderauthentifizierung schon auf separatem Weg, werden meist Secret-Key-Algorithmen eingesetzt.
Zu den verbreiteten Secret-Key-Algorithmen gehören der ältere 3DES-Standard sowie AES mit den
Schlüssellängen 128, 192 und 256 Bit. Höhere Schlüssellängen verbrauchen mehr Leistung und
reduzieren damit die Akku-Laufzeit. Deshalb sollte der Administrator einen Algorithmus wählen, der
den Anforderungen des Unternehmens und rechtlichen Vorgaben entspricht, aber nicht darüber
hinausgeht.
Dasselbe gilt auch für die zu verschlüsselnden Daten: Die komplette Verschlüsselung des Geräts
ist möglich, aber nur in wenigen Fällen sinnvoll und stellt auch auf neuen Geräten eine Belastung
für CPU, Speicher und Akku dar. Wesentlich wichtiger ist hier die Nutzung einer
In-Place-Verschlüsselung von Dateien in Echtzeit im Gegensatz zur Container-Verschlüsselung. Bei
der letztgenannten Methode besteht ein hohes Risiko, dass Anwender sensible Daten außerhalb des
verschlüsselten Containers speichern. Für die Sicherheit der Daten während der Übertragung stehen
ebenfalls zwei Ansätze bereit: SSL oder VPN. VPN-Lösungen sind sehr sicher, benötigen aber aufgrund
des VPN-Clients auf dem mobilen Gerät zusätzliche CPU- und damit Akkuleistung. Sind bereits
zentrale VPN-Komponenten von Cisco, Check Point/Nokia und so weiter im Unternehmen vorhanden,
entstehen durch die VPN-Anbindung mobiler Geräte zum Beispiel mit dem Nokia Intellisync Device
Management keine zusätzliche Kosten. Anderenfalls werden Investitionen erforderlich. Das bekannte
SSL-Protokoll benötigt hingegen keinen Client und ist schnell zu implementieren. Überhaupt ein VPN
zu nutzen, ist Stand der Technik.
Mit den Sicherheitslösungen der großen Anbieter lassen sich mobile Geräte umfassend und vor
allem zentralisiert schützen, auf spezifische Geräte fokussierte Einstellungen wie die Blockade von
Kameras oder Schnittstellen sind aber nicht möglich. Diese Funktionalität wird nur über
Device-Managementlösungen wie das Nokia Intellisync Device Management hergestellt. Bei der
Evaluierung einer Lösung ist darauf zu achten, dass nicht nur existierende Geräte verwaltet werden
können, sondern auch die Chance zur schrittweisen Einführung des
Open-Mobile-Alliance-Device-Managementstandards (OMA DM) genutzt wird. OMA DM verwendet XML für den
Datenaustausch, und die Kommunikation kann vom Server per WAP Push, SMS und so weiter sowie über
GSM, CDMA, IrDA oder Bluetooth initiiert werden. OMA-fähige Geräte – wie die neue Generation der
Microsoft- und Symbian-basierten Devices – werden bei der Provisionierung einmalig in das
Unternehmensumfeld integriert, analog zur Domain-Anmeldung eines PCs. Dies erlaubt zum Beispiel die
Sperrung von verlorenen oder gestohlenen Geräten "over the air", selbst wenn dem Finder der
PIN-Code bekannt ist.
Blackberry - proprietär trotz Java
Darüber hinaus ermöglicht erst das Device-Management eine konsolidierte Asset-Verwaltung und
Inventarisierung, die wiederum wichtige Planungsdaten für das Sicherheitsmanagement liefern und
einen effizienten Remote-Support erst ermöglichen. So lässt sich der Rollout von Applikationen und
Updates an Parametern wie Benutzergruppe, Gerätetyp, verfügbarer Speicher oder installierter
Software anpassen. Dies betrifft auch den Rollout des Clients und der Profile der
Sicherheitssoftware, die zwar mit der Security-Managementlösung erstellt, dann aber am effektivsten
mit der dedizierten Applikationsverteilung des Device-Managements auf die richtigen Geräte gebracht
werden. Ebenso kann der Administrator Betriebszeiten, automatische Aktualisierungsvorgänge,
Einwahl, VPN und andere wichtige Einstellungen an einem zentralen Standort verwalten.
Im Unternehmenseinsatz dominieren Geräte mit Windows-Mobile- und Symbian-Betriebssystem.
Trotzdem hat sich mit dem Blackberry von Research in Motion (RIM) auch ein Java-basiertes Gerät
eine Nische erobert. Diese Technik lässt zunächst ein offenes System vermuten, aber zumindest im
Bereich des Security-Managements ist das Gegenteil der Fall: Keiner der großen
Sicherheitshersteller bietet explizit Lösungen für den Blackberry an, da RIM seine Schnittstellen
nicht ausreichend offengelegt hat. Auch die Einbindung in ein plattformübergreifendes
Device-Management ist derzeit nur mit Basisfunktionalität möglich. Weitergehendes Security- und
Device-Management muss also über den Blackberry Enterprise Server erfolgen.
RIM verweist auf die Firewall des Blackberry, die 256-Bit-AES-Verschlüsselung mit dem Blackberry
Enterprise Server und die Möglichkeit, Anwendungen durch den Administrator festzulegen oder die
Installation durch den Anwender komplett zu verhindern. Ob sich diese Haltung in der Zukunft
bewährt, bleibt abzuwarten.
Lesen Sie mehr zum Thema
