Aushorchen leicht gemacht

Risiko Handy

Reppesgaard studierte in Hannover und arbeitete danach als Reporter und Moderator bei Hörfunk von Radio Bremen zu innen- und jugendpolitischen Themen und in den Bereichen Technologie und Wissenschaft. Seit dem Jahr 2000 lebt er in Hamburg, seit 2001 arbeitet er mit Christoph Lixenfeld im druckreif Redaktionsbüro zusammen.
Bluetooth-Verbindungen, E-Mail-Empfang und umfangreiche Adressbücher machen Mobiltelefone immer komfortabler. Doch was die Alleskönner für die IT-Sicherheit bedeuten, ist vielen Anwendern nicht klar.

Erfahrung in Sachen Sicherheit hat Thomas Koelzer, Vorstand des IT-Dienstleisters Secartis AG, seit vielen Jahren. Dennoch hätte es ihn vor kurzem fast erwischt. "Ich hatte einen unbeantworteten Anruf auf meinem Handy und wollte reflexartig die Rückruftaste drücken", sagt er. Erst auf den zweiten Blick bemerkte Koelzer, dass sich hinter dem Anruf eine Falle verbarg. Jemand hatte ihm einen teure Zugangsnummer auf das Handy geschickt.

Die Manipulation des Nutzerverhaltens durch Kniffe, wie im beschriebenen Fall das Vorgaukeln eines verpassten wichtigen Anrufs, ist im Grunde ein alter, als "Social Engineering" bekannter Trick aus der Computerwelt. Doch während die meisten Nutzer skeptisch sind, wenn merkwürdige Angebote in der E-Mail-Box landen, gelingt es auf dem Handy immer wieder, Ahnungslose zu ködern.

Das Beispiel zeigt, dass sich zwar Computer, Laptops, PDAs und Mobiltelefone technisch immer stärker einander annähern. Das Bewusstsein der Anwender hat mit dem technischen Fortschritt allerdings nicht mitgehalten. Im Gegenteil: Immer mehr sensible Daten werden aus Komfortgründen auf die Mobiltelefone überspielt, teure IT-Sicherheitskonzepte auf diese Weise ausgehebelt. "Die Kombinations-Handys mit Kundendateien und E-Mails im Speicher sind eine Herausforderung an die Sicherheit", sagt SecartisExperte Koelzer. "Vor allem weil immer mehr Leute ihre Outlook-Daten auf die mobilen Endgeräte replizieren, kommen wir hier an einen Punkt, an dem Firmen diesem Thema ein eigenes Kapitel in den Sicherheits-Policies widmen müssen." Schließlich gehen Mitarbeiter im Verkauf, die bis zu tausend Adressen auf ihrem mobilen Alleskönner speichern, möglicherweise unbewusst das Risiko ein, den Kundenstamm publik zu machen, wenn das Gerät verloren oder gestohlen wird und einem Wettbewerber in die Hände fällt.

Zwar verpflichten Unternehmen wie die Allianz AG ihre Mitarbeiter, keine vertraulichen Informationen auf Mobiltelefonen zu speichern. Und prinzipiell halten Sicherheitsfachleute wie Peter Weichsel, Telekommunikationsexperte der Unternehmensberatung Booz Allen Hamilton, das auch für sinnvoll. "Man muss Handys mittlerweile vom Sicherheitsstandpunkt aus wie Computer behandeln, weil sie so komplex sind", sagt er. Doch in der Praxis lässt sich nicht überprüfen, ob die Vorgaben eingehalten werden.

Problem der dezentralen Beschaffung

Für CIOs ist das eine bittere Erkenntnis. Es hat Jahre gedauert, mit Firewalls, Intrusion-Detection-Systemen und Antivirensoftware die Unternehmensnetze sicher zu machen. Dabei hatten die CIOs sogar noch einen unschätzbaren Vorteil: Die Hard- und Softwarelandschaften auch großer Konzerne lassen sich nach der KonsolidierungKonsolidierung mit vertretbarem Aufwand zentralisiert managen. Die Rechteverwaltung, das Einspielen von Software-Updates und das Durchsetzen von Bestimmungen durch technische Werkzeuge wie Filter ist aufwendig, aber machbar. Beim Mobiltelefon-Wildwuchs ist dagegen die Gerätevielfalt groß und Kontrolle unmöglich. "Die IT wird oft aus einer Hand gefahren", weiß Peter Weichsel. "Mobiltelefone werden dagegen lokal beschafft und die Funktionalitäten ganz individuell freigeschaltet und genutzt." Und die Mehrzahl dieser Geräte verfügt von sich aus nicht über ausreichende Sicherheitsanwendungen wie Firewalls. Alles zu Konsolidierung auf CIO.de