Android, iOS, Blackberry, Windows Phone

Mobile Plattformen im Security-Check

09.09.2013
Von  und Christopher Dreher
Stefan Strobel ist Geschäftsführer der cirosec GmbH in Heilbronn.

Gegenmittel und Strategie

Unternehmen setzen meist eine Mobile-Device-Management-Lösung (MDM) ein, um mit allen betriebenen Geräten das gewünschte Sicherheitsniveau zu erreichen. Diese MDM-Lösungen dienen der Verwaltung von mobilen Endgeräten und ermöglichen eine plattformübergreifende Verteilung von Einstellungen und Restriktionen. Alle mobilen Betriebssystemplattformen bieten spezielle MDM-Schnittstellen zur Anpassung der Sicherheitsparameter an. Das kann die Mindestlänge des PIN-Codes sein, die Zulassung oder der Ausschluss bestimmter Apps oder das Auslösen eines "Remote Wipe" beim Verlust eines Gerätes.

Per MDM ebenfalls möglich ist die Verwaltung von Privatgeräten am Arbeitsplatz (ByoD). In Deutschland bringt der rechtliche Rahmen (DatenschutzDatenschutz, Mitbestimmung etc.) derartige ProjekteProjekte jedoch meist zum Scheitern. Die verantwortlichen Unternehmensentscheider sollten deshalb über fundiertes Rechtswissen verfügen oder externe Beratung in Anspruch nehmen, bevor sie entsprechende Pläne in die Tat umsetzen. Alles zu Datenschutz auf CIO.de Alles zu Projekte auf CIO.de

Bei iOS-Geräten werden alle Ausgaben, welche über die NSLog-Funktion in der Applikation protokolliert werden, auf der Konsolenausgabe im iPhone-Konfigurationsprogramm für jedermann lesbar ausgegeben.
Bei iOS-Geräten werden alle Ausgaben, welche über die NSLog-Funktion in der Applikation protokolliert werden, auf der Konsolenausgabe im iPhone-Konfigurationsprogramm für jedermann lesbar ausgegeben.
Foto: Cirosec

Ohne MDM-Lösung muss die Sicherung von Unternehmensdaten anders erreicht werden. Mehrere Hersteller bieten beispielsweise plattformübergreifende Container-Lösungen an. Diese Container-Apps verlassen sich nicht alleine auf die Sicherheitsmechanismen der Geräte, sondern bringen eigene Features und Policies mit. Sie kapseln die sensiblen Unternehmensdaten in eigenen verschlüsselten Bereichen und sorgen dafür, dass die Daten das Gerät nur auf vorher festgelegten Transportwegen verlassen. Die Gefahren liegen hier im technischen Detail.

Aufgrund der bereits erwähnten Sandbox-Mechanismen der verschiedenen Plattformen steht auch den Container-Apps nur eine begrenzte Anzahl an Mechanismen zur Verfügung, um das Sicherheitsniveau des jeweiligen Endgerätes festzustellen. In der Regel verweigern die Apps ihre Funktion, wenn sie feststellen, dass sie auf einem nicht vertrauenswürdigen Gerät, welches gejailbreaked oder gerooted wurde, ausgeführt werden. Durch die begrenzten Mechanismen zur Überprüfung des Gerätezustandes gibt es jedoch prinzipiell immer die Möglichkeit, die Containter-Apps zu täuschen.

Ohne die Sicherheitsmechanismen der Betriebssystem-Sandbox lässt sich die App gezielt analysieren und dort vorhandene Security-Features aushebeln.

Backup - der Anwender liebstes Kind

Die Auswahl eines mobilen Betriebssystems hat nicht nur Auswirkungen auf die Sicherheit der Daten auf dem Gerät selbst. Jedes Betriebssystem bringt auch unterschiedliche Backup-Mechanismen mit und kopiert damit potenziell vertrauliche Unternehmensdaten auf weitere IT-Systeme.

Wird zum Beispiel ein iOS-Gerät mit Apple iTunes gekoppelt, macht iTunes in der Standardkonfiguration zunächst ein lokales Backup, welches fast sämtliche Inhalte des mobilen Gerätes beinhaltet. Wenn auf dem mobilen Endgerät kein spezielles Sicherheitsprofil vorhanden ist, wird das lokale Backup möglicherweise sogar unverschlüsselt auf der Festplatte eines Privat-PCs abgelegt.

Zur Startseite