Mobilen Zugriff absichern

Sichere Cloud-Nutzung mit Smartphones

25.01.2012 von Oliver Schonschek
Smartphones sind für die Cloud-Nutzung wie geschaffen. Doch der mobile Zugriff muss kontrolliert erfolgen, sonst geraten Daten in Gefahr.

Mehr als 30 Prozent der Smartphone-Nutzer speichern vertrauliche Daten wie E-Mail-Passwörter auf ihrem intelligenten Handy, so eine aktuelle Studie von Motorola. 45 Prozent der Befragten verwenden keine Sicherheitssoftware für ihr Smartphone. Ginge das schlaue Mobiltelefon verloren, wären die darauf gespeicherten Daten in Gefahr. Aber nicht nur diese.

Mögliche Hintertür in die Cloud

Smartphones bieten sich geradezu an, Cloud-Dienste zu nutzen. Ein Webbrowser ist ebenso vorhanden wie die Möglichkeit, schnelle Internetverbindungen aufzubauen. Werden allerdings die Passwörter für den Cloud-Zugang auf dem Smartphone ungeschützt gespeichert, sind neben den lokalen Smartphone-Daten auch sämtliche Daten in der Cloud gefährdet, die nur über das gespeicherte Passwort geschützt sind.

Die "Sicherheitsempfehlungen für Cloud Computing Anbieter" des Bundesamtes für Sicherheit in der Informationstechnik (BSI) fordern für den Schutz vertraulicher Cloud-Daten unter anderem eine starke Authentifizierung. Neben einem Passwort sollen weitere Faktoren abgeprüft werden, um die Berechtigung für den Cloud-Zugang besser kontrollieren zu können. Diese Anforderung gilt auch für mobiles Cloud Computing.

Es gibt bereits verschiedene Möglichkeiten einer starken mobilen Authentifizierung auf dem Markt. Grundsätzlich eignen sich diese Lösungen allerdings nur dann für die Absicherung des mobilen Cloud-Zugriffs, wenn die Cloud den jeweiligen Authentifizierungsmechanismus auch unterstützt. Zudem sind noch nicht alle mobilen Verfahren ausgereift.

Einmal-Passwörter für die mobile Cloud

Passwortspender: Mit dem RSA SecurID Software Token wird unter anderem der Backberry zum Security Token und erzeugt nach PIN-Eingabe Einmal-Passwörter.
Foto: RSA

Ob Google Authenticator, Securepoint HandyID oder RSA SecurID Software Token, es gibt zahlreiche Apps, mit denen ein Smartphone zum Generator eines Einmal-Passwortes wird.

Ist die mobile Applikation einmal installiert, erzeugt diese nach Eingabe des Passwortes ein Einmal-Passwort, das für den Cloud-Zugang zusätzlich eingegeben werden muss. Alternativ kommt das Einmal-Passwort per SMS oder Anruf.

Eine zusätzliche Sicherheit besteht allerdings nur, wenn der für die Erzeugung des Einmal-Passwortes erforderliche PIN durch den Nutzer nicht auf dem Smartphone gespeichert wird. Andernfalls könnten auch Unbefugte das Einmal-Passwort anfordern und für den Cloud-Zugang missbrauchen.

Zugriffschutz: Der mobile Zugang zu Google Apps kann durch eine Zwei-Faktor-Authentifizierung geschützt werden. Das Einmal-Passwort erzeugt unter anderem der Google Authenticator.
Foto: Google

Der Anwender sollte sich auch bewusst sein, dass das Smartphone in diesem Fall selbst zum Security Token wird. Für die Absicherung des mobilen Cloud-Zugangs ist ein Einmal-Passwort nur dann sinnvoll, wenn es nicht auf dem mobilen Endgerät empfangen wird, mit dem der mobile Zugang erfolgen soll. Nicht umsonst fordert zum Beispiel der Zentrale Kreditausschuss des deutschen Kreditgewerbes, dass der Empfang mobiler TANs nicht auf dem Smartphone erfolgen soll, das für das Mobile Banking genutzt wird.

Soll der mobile Cloud-Zugriff über zusätzliche Einmal-Passwörter abgesichert werden, sollten die Einmal-Passwörter nicht auf dem Smartphone selbst, sondern auf einem zusätzlichen Hardware-Token oder einem zweiten Handy empfangen werden. In diesem Fall kann ein einzelnes Smartphone somit den Token nicht ersetzen.

Empfehlung: Für den Fall, dass nur das Cloud-Passwort gestohlen wird, nicht aber das Smartphone, ist die Forderung von zusätzlichen Einmal-Passwörtern für den mobilen Cloud-Zugang eine wichtige Sicherheitsmaßnahme, ob sie nun per SMS, per Anruf oder App bereitgestellt werden.

Fingerabdruck-Scanner am Smartphone

Was bei Notebooks fast die Regel ist, ist bei Smartphones eher die Ausnahme: Die Prüfung des Fingerabdrucks kann ebenfalls die Passwortabfrage ergänzen und so den mobilen Cloud-Zugriff sicherer machen.

Kontrolle: Das Motorola ATRIX verfügt über einen Fingerabdruck-Scanner als alternativen Zugangsschutz.
Foto: Motorola

Smartphones wie Motorola ATRIX verfügen über einen Fingerabdruck-Scanner. Wird dieser aktiviert und ein Fingerabdruck auf dem Gerät hinterlegt, kann das Smartphone mittels Fingerabdruck-Prüfung entsperrt werden anstatt mit Passwort oder PIN. Dazu wird der Fingerabdruck über das Smartphone-Display eingelesen. Aber: Falls die Anmeldung am Smartphone über den Fingerabdruck misslingt, kann man auch das Passwort oder die PIN verwenden.

Empfehlung: Gängige Fingerabdruck-Scanner für Smartphones bieten einen alternativen Schutz für den Gerätezugang. Eine Ergänzung des Passwortes bei der Cloud-Anmeldung bieten sie in der Regel allerdings nicht. Wird also das Smartphone bei Inaktivität nicht automatisch gesperrt und geht es während des Betriebs verloren, besteht durch die Fingerabdruck-Prüfung keine zusätzliche Sicherheit für den Cloud-Zugang.

Gesichtserkennung mit Smartphone-Kamera

Da die meisten Smartphones mit einer hochauflösenden Kamera ausgestattet sind, bietet sich neben dem Fingerabdruck ein weiterer biometrischer Faktor für die starke mobile Authentifizierung an, um den mobilen Cloud-Zugriff sicherer zu machen.

Versuchsweise: Android 4.0 versucht mit Face Unlock, als Zugangskontrolle die Gesichtserkennung per Smartphone-Kamera umzusetzen.
Foto: Android.com

Mit Face Unlock wird bei Smartphones mit Android 4.0 etwa der Versuch unternommen, über die Smartphone-Kamera eine Gesichtserkennung zu ermöglichen. Erste Versuche zeigen allerdings, dass sich Face Unlock unter Umständen austricksen lässt, indem der Kamera ein passendes Foto des legitimen Nutzers präsentiert wird.

Empfehlung: Die Absicherung des Smartphone- und mobilen Cloud-Zugangs mit biometrischen Faktoren wie der Gesichtserkennung könnte bei entsprechend ausgereifter Technik ein wichtiger Ansatz werden. Noch ist allerdings Vorsicht angezeigt.

Standortabhängige Zugriffskontrolle

Die Positionsdaten zum aktuellen Standort eines Smartphones können nicht nur dabei helfen, ein verlorenes Gerät wieder aufzuspüren. Die Überprüfung der Position des Gerätes kann auch Teil der Zugangskontrolle zur Cloud werden. So könnte der Zugriff auf die Cloud auf bestimmte Orte eingeschränkt werden, indem die Position des Smartphones über GPS- oder WLAN-Ortung bestimmt und mit der Liste der erlaubten Orte verglichen wird.

Lösungen wie ZoneDefense von AirPatrol können Smartphones in einem gewissen Umkreis orten und die Zugangsberechtigungen abhängig vom aktuellen Ort vergeben und unbefugte Nutzungen sperren. Solche Lösungen eignen sich für eine räumlich begrenzte Kontrolle der Smartphone-Aktivitäten. Eine übergreifende Kontrolle des mobilen Cloud-Zugangs ist damit nicht vorgesehen.

Empfehlung: Gegenwärtig arbeiten jedoch zum Beispiel Forscher des Mobile Business-Teams am Institut für angewandte Informatik und formale Beschreibungsverfahren (AIFB) des Karlsruher Institut für Technologie an Lösungen für eine ortsabhängige Zugriffskontrolle zur Absicherung mobiler Geschäftsprozesse und Cloud Computing.

Geräte-Erkennung als Zugriffsschutz

Einschränkung: Der Zugang zu Office 365 kann beispielsweise auf der Ebene der Smartphone-Geräte-ID kontrolliert werden.
Foto: Microsoft

Der mobile Zugriff auf Cloud-Lösungen wie Microsoft Office 365 lässt sich zum Beispiel durch eine Prüfung der Geräteidentität (Geräte- ID, Geräte-IMEI, International Mobile Equipment Identity) zusätzlich absichern.

Der Administrator kann über eine Regel für den Gerätezugriff die Smartphones und mobilen Endgeräte festlegen, mit denen der mobile Zugang erlaubt sein soll. Ein gestohlenes Passwort reicht dann nicht, wenn der Dieb das legitimierte Smartphone nicht im Zugriff hat.

Geht allerdings ein legitimiertes Smartphone und das Passwort des Nutzers verloren, müssen Benutzerzugang und Berechtigung für das Smartphone umgehend durch den Administrator deaktiviert werden.

Dienste wie Junos Pulse Mobile Security Suite oder Sophos Mobile Control können zum Beispiel für die Zugriffskontrolle auf eine Private Cloud eingesetzt werden. Dabei können die mobilen Geräte, die für den Zugang zur Cloud genutzt werden sollen, unter anderem auf Geräteidentität, aktuelle Position und Sicherheitsstatus überprüft werden.

Regulativ: Mit Sophos Mobile Control lassen sich einzelne Smartphones gezielt überwachen und bei Abweichung von den Vorgaben blockieren.
Foto: Sophos

Bei Abweichung von den Vorgaben wird der Zugriff auf die Cloud verweigert. Verlorene Smartphones können aus der Ferne gesperrt und gelöscht werden.

Empfehlung: Gerade die Prüfung der Geräteidentität ist eine sinnvolle Ergänzung des Passwortes, um den Passwortmissbrauch zu verhindern. Der mobile Cloud-Zugriff über ein verlorenes oder gestohlenes Smartphone, auf dem das Passwort gespeichert wurde, kann jedoch nicht verhindert werden, wenn der Betroffene den Verlust nicht sofort meldet und der Administrator das Gerät für den Cloud-Zugang blockiert.

Große Vielfalt bei mobiler Zugangskontrolle

Wichtig ist in jedem Fall, dass mobile Cloud-Nutzer ihre Daten auch auf dem Smartphone verschlüsseln, ihr Cloud-Passwort nicht speichern und den Verlust ihres Smartphones sofort bei der zuständigen Stelle melden.

Lösungen wie die StoneGate SSL VPN Appliance mit rund 20 verschiedenen Authentifizierungsalternativen zeigen zudem, wie umfangreich die Möglichkeiten der mobilen Zugriffskontrolle sind. So lassen sich zum Beispiel die Passwortabfrage und das Einmal-Passwort noch um eine Sicherheitsfrage ergänzen, die der mobile Cloud-Nutzer bei der Anmeldung beantworten muss.

Alternative: Die StoneGate SSL VPN Appliance unterstützt auch den sicheren mobilen Zugriff auf die Cloud.
Foto: StoneGate

Die Möglichkeiten der mobilen Zugriffskontrolle werden in Zukunft noch weiter zunehmen, wie das Projekt MimoSecco (Middleware for Mobile and Secure Cloud Computing) zeigt. Dort werden unter anderem Smartcards als Ergänzung des Passwortes im Mobile Cloud Computing untersucht, die zum Beispiel in Form einer SD-Karte in Smartphones eingesetzt werden können.

Beim sicheren mobilen Cloud Computing könnte auch der neue Personalausweis eine Rolle spielen, zum Beispiel mit einer zertifizierten AusweisApp für Smartphones. Unternehmen sollten diese Entwicklungen im Blick behalten, denn so riskant der mobile Cloud-Zugriff auch sein kann, das Mobile Cloud Computing ist ein klarer Zukunftstrend. (Computerwoche )