Erfahrung in Sachen Sicherheit hat Thomas Koelzer, Vorstand des IT-Dienstleisters Secartis AG, seit vielen Jahren. Dennoch hätte es ihn vor kurzem fast erwischt. "Ich hatte einen unbeantworteten Anruf auf meinem Handy und wollte reflexartig die Rückruftaste drücken", sagt er. Erst auf den zweiten Blick bemerkte Koelzer, dass sich hinter dem Anruf eine Falle verbarg. Jemand hatte ihm einen teure Zugangsnummer auf das Handy geschickt.
Die Manipulation des Nutzerverhaltens durch Kniffe, wie im beschriebenen Fall das Vorgaukeln eines verpassten wichtigen Anrufs, ist im Grunde ein alter, als "Social Engineering" bekannter Trick aus der Computerwelt. Doch während die meisten Nutzer skeptisch sind, wenn merkwürdige Angebote in der E-Mail-Box landen, gelingt es auf dem Handy immer wieder, Ahnungslose zu ködern.
Das Beispiel zeigt, dass sich zwar Computer, Laptops, PDAs und Mobiltelefone technisch immer stärker einander annähern. Das Bewusstsein der Anwender hat mit dem technischen Fortschritt allerdings nicht mitgehalten. Im Gegenteil: Immer mehr sensible Daten werden aus Komfortgründen auf die Mobiltelefone überspielt, teure IT-Sicherheitskonzepte auf diese Weise ausgehebelt. "Die Kombinations-Handys mit Kundendateien und E-Mails im Speicher sind eine Herausforderung an die Sicherheit", sagt SecartisExperte Koelzer. "Vor allem weil immer mehr Leute ihre Outlook-Daten auf die mobilen Endgeräte replizieren, kommen wir hier an einen Punkt, an dem Firmen diesem Thema ein eigenes Kapitel in den Sicherheits-Policies widmen müssen." Schließlich gehen Mitarbeiter im Verkauf, die bis zu tausend Adressen auf ihrem mobilen Alleskönner speichern, möglicherweise unbewusst das Risiko ein, den Kundenstamm publik zu machen, wenn das Gerät verloren oder gestohlen wird und einem Wettbewerber in die Hände fällt.
Zwar verpflichten Unternehmen wie die Allianz AG ihre Mitarbeiter, keine vertraulichen Informationen auf Mobiltelefonen zu speichern. Und prinzipiell halten Sicherheitsfachleute wie Peter Weichsel, Telekommunikationsexperte der Unternehmensberatung Booz Allen Hamilton, das auch für sinnvoll. "Man muss Handys mittlerweile vom Sicherheitsstandpunkt aus wie Computer behandeln, weil sie so komplex sind", sagt er. Doch in der Praxis lässt sich nicht überprüfen, ob die Vorgaben eingehalten werden.
Problem der dezentralen Beschaffung
Für CIOs ist das eine bittere Erkenntnis. Es hat Jahre gedauert, mit Firewalls, Intrusion-Detection-Systemen und Antivirensoftware die Unternehmensnetze sicher zu machen. Dabei hatten die CIOs sogar noch einen unschätzbaren Vorteil: Die Hard- und Softwarelandschaften auch großer Konzerne lassen sich nach der Konsolidierung mit vertretbarem Aufwand zentralisiert managen. Die Rechteverwaltung, das Einspielen von Software-Updates und das Durchsetzen von Bestimmungen durch technische Werkzeuge wie Filter ist aufwendig, aber machbar. Beim Mobiltelefon-Wildwuchs ist dagegen die Gerätevielfalt groß und Kontrolle unmöglich. "Die IT wird oft aus einer Hand gefahren", weiß Peter Weichsel. "Mobiltelefone werden dagegen lokal beschafft und die Funktionalitäten ganz individuell freigeschaltet und genutzt." Und die Mehrzahl dieser Geräte verfügt von sich aus nicht über ausreichende Sicherheitsanwendungen wie Firewalls.
Schon Laien haben es da leicht, kleine Manipulationen an den Mobilgeräten vorzunehmen, wie das Beispiel des Bluejacking durch eine 13-Jährige zeigt (siehe Kasten auf der nächsten Seite). Erst recht problematisch wird es, wenn skrupellose Unternehmer die Alleskönner-Handys der Mitbewerber ins Visier nehmen. Der IT-Sicherheitsdienstleister Integralis wies vor kurzem nach, dass Hacker via Laptop oder PDA heimlich über die Handys Telefonate einleiten können - zum Beispiel auch an kostenpflichtige 0190-Nummern. Sie können aber auch aktuelle Gespräche des Handy-Nutzers unterbrechen oder gar beenden, SMS-Nachrichten lesen und in seinem Namen verschicken.
Dadurch ist Sabotage vorprogrammiert. "Ich lese Ihr Adressbuch und die SMS-Korrespondenz und nutze dann Ihr Handy, um per SMS ein Meeting abzusagen", skizziert Michael Müller, Spezialist für WLAN- und Bluetooth-Sicherheit bei Integralis, das Szenario. Zudem lassen sich Adressbücher und Terminkalender auslesen und überschreiben, und die gefälschten Daten kann man sowohl im Handy-Speicher als auch auf der SIM-Karte abspeichern.
Auch der große Lauschangriff, etwa zum Zweck der Wirtschaftsspionage, ist möglich: Mikrofon und Lautsprecher der Handys lassen sich über die Bluetooth-Verbindung auf einen Laptop umleiten, Meetings und Konferenzgespräche problemlos mitschneiden. "Dafür muss man nur zehn Sekunden in Empfangsreichweite sein. Einmal den Flur auf und ab zu gehen reicht dazu aus", sagt Michael Müller. Man brauche nicht einmal Profiwissen für derartige Lauschangriffe. "Bedenklich ist, dass jeder gewiefte Schüler, der sich mit Linux etwas auskennt, einen derartigen Angriff erfolgreich durchführen kann."
Dass die praktische Schnittstelle ein derartiges Sicherheitsrisiko darstellt, ist ein Beleg dafür, dass die Mobiltelefonhersteller häufig nicht die Folgen von Komfort-Funktionen abschätzen können. Dazu ist die Technologie mittlerweile zu komplex. "Die Betriebssysteme und die Geräte bieten so viele Funktionen, dass es nur eine Frage der Zeit ist, bis neue Problem auftreten", sagt Müller. Erste Hersteller haben das begriffen und arbeiten nun an Lösungen, die an die Schutzmechanismen der Computerwelt erinnern. Nokia und Symantec kooperieren beispielsweise seit Februar 2004 in Sicherheitsfragen und entwickeln auf Basis des Symbian-Betriebssystems eine Kombination aus Firewall und Virenschutz.
Sensible Daten besser über Browser
Sicherheitsexperten raten zudem, wenn überhaupt, den Zugriff auf wichtige Daten vom Mobiltelefon aus nur Browser-basiert anzubieten. Die LVM-Versicherung in Münster hat voriges Jahr ein unternehmensweites Informations- und Kommunikationssystem aufgebaut, das vor diesem Hintergrund als nachahmenswert gelten kann. 2100 selbstständige Versicherungsagenturen und 240 angestellte Außendienstler greifen auf Kunden- und Vertragsinformationen zu, die im Rechenzentrum in der Münsteraner Zentrale vorgehalten werden. Dafür erhielten die Vertrauensleute in den Agenturen ein Notebook als Thin Client und daran angeschlossen ein GPRS-Handy für den mobilen Zugriff.
Doch weder Handy noch Laptop sind in diesem Fall multifunktionale Alleskönner. "Auf beiden Endgeräten befinden sich keine Programme und Daten. Wir nutzen Linux und einen Browser, Anwendungen und Daten liegen sicher auf dem Server", sagt Alois Lutz, Abteilungsdirektor Zentrale Anwenderbetreuung und Beschaffung (ZAB) bei LVM. Per Smartcard melden sich die Nutzer am Rechner und am Handy an, der sich dann automatisch ins Rechenzentrum einwählt.
LVM-Versicherung trennt Sprache und Daten
Die für alle Vorgänge von der Antragsaufnahme bis zum Vertragsabschluss benötigten Daten werden über die GPRS-Verbindung in einem VPN für die Übertragung zwischen Client und Server verschlüsselt getunnelt. Dass die Sicherheitslücken aus der Telefonwelt eine Bresche in die Schutzkonzepte seiner IT schlagen, verhindert Lutz außerdem dadurch, dass er trotz der neuen Möglichkeiten smarter Alleskönner-Geräte die Sprach- und die Datenlandschaft streng voneinander trennt. "Erst war das Projekt darauf ausgerichtet, Sprache und Daten auf einem Gerät zusammenzufassen. Doch dann haben wir uns im Laufe der Zeit dagegen ausgesprochen", erklärt er. Die GPRS-Telefone seien nicht für Telefonate geeignet. Die Agenturen haben ein zweites Handy zum Telefonieren. Dem Gerätewildwuchs tritt er durch die zentrale Vergabe der Hardware entgegen. Insgesamt wirkt die Lösung trocken, spröde und im Vergleich zur Funktionsvielfalt moderner Endgeräte beinahe primitiv. Aber immerhin ist sie eines: sicher.