IT-Sicherheit von Smartphones

7. Februar 2011 - Firmen müssen Smartphones in das IT-Sicherheitskonzept einbinden, weil Mitarbeiter darauf sensible Dokumente speichern und die Geräte verloren gehen können.
Ein Smartphone ist nichts anderes als ein kleiner Computer. Zwar nicht so leistungsfähig, aber auch anfällig auf Malware wie jeder andere vernetzte Rechner. «Rund 500 Schädlinge sind im Umlauf, die Smartphones angreifen», weiss Candid Wüest, Senior Threat Researcher bei Symantec. Die Anzahl liegt damit noch weit unter derjenigen für Windows-Computer. Die Gefahr, sich zu infizieren, ist heute klein. Trotzdem, die Schädlinge sind weltweit verbreitet.

Versteckt im Spiel

Die häufigste Quelle für Malware sind infizierte MMS. Vielfach ist der Schadcode auch versteckt in einem scheinbar harmlosen Spiel. Im Hintergrund verschickt der Trojaner jedoch teure SMS. Pro Benutzer beläuft sich der Schaden im Durchschnitt auf zehn bis 20 Franken. Bei einer grossen Anzahl Opfer addiert sich die Summe – ein lukratives Geschäft für die Hacker.
Es gibt zudem Spionage-Trojaner, die es ermöglichen, ein Telefongespräch mitzuhören oder Kontaktdaten und Agenda-Einträge auszulesen. Andere Malware versucht lediglich, möglichst viele Geräte zu infizieren, enthält aber keine Schadensroutine.
«Bis jetzt war in den meisten Fällen eine Interaktion des Benutzers nötig, um sich zu infizieren», erklärt Wüest. Beim MMS-Wurm wird ein Link geschickt, beispielsweise für ein angebliches Sicherheits-Update oder ein attraktives Spiel. Nur wer auf den Link klickt, lädt den Wurm herunter. Zudem fragt das Betriebssystem nach, ob der Benutzer wirklich dieses Paket von einer nicht vertrauenswürdigen Quelle installieren will. «Ein bisschen Naivität wird also vorausgesetzt», so Wüest.

Schwachstelle im PDF-Viewer

Es geht aber auch ohne dass der Benutzer eine offensichtliche Bestätigung geben muss. Jailbreakme beispielsweise nutzt eine Schwachstelle im PDF-Viewer des iPhones aus. Es lenkt den Safari-Browser auf eine spezielle Website. Darauf wird der Code ausgeführt, ohne dass der Benutzer etwas anklickt. Bei Jailbreakme wird zwar nur das iPhone auf Wunsch des Benutzers freigeschaltet, damit beliebige Applikationen auf dem Gerät installiert werden können. Analog könnte aber auch ein Trojaner diese Schwachstelle nutzen. Was bei Computern gilt, muss also genauso bei Smartphones beachtet werden: Vorsicht bei dubiosen Applikationen, illegaler Software und unaufgeforderten Links zu unbekannten Inhalten.
Ein Hacker kann das Handy auch direkt angreifen. So wurden einige Schwachstellen des Bluetooth-Stacks bekannt, worüber ein Hacker in ein Smartphone eindringen kann. Dies ist zwar aufgrund der Reichweite von Bluetooth limitiert auf einen Umkreis von rund 50 Metern. «Im Hauptbahnhof Zürich wäre die Chance aber gross, dass der eine oder andere vorbeikommt, dessen Handy sich knacken lässt», so Wüest. Ein typischer Angriff wäre, das Adressbuch auszulesen. Es ist aber auch möglich, über das fremde Gerät zu telefonieren oder im Internet zu surfen.

Wurm durchsucht Mobilnetz

Der iPhone-Wurm IKEE nutzt das 3G-Netzwerk, um andere Geräte zu infizieren. Zuerst baut er eine UMTS-Verbindung zum Provider auf. Von diesem erhält er eine eindeutige IP-Adresse. Nun versucht er, iPhones mit ähnlichen Adressen zu kontaktieren. Findet er eines, kontrolliert er, ob die Secure Shell (SSH) installiert ist, die das Standard-Passwort akzeptiert, und verbreitet sich so unbemerkt. Wie das Internet kann also auch das Mobilnetz nach Geräten mit schwachen Passwörtern oder schlecht geschützten Diensten durchsucht werden.
Trotz den Möglichkeiten, ein Smartphone zu infizieren, hält es Candid Wüest heute noch nicht für zwingend, einen Virenschutz oder eine Firewall auf dem Handy zu installieren: «In Zukunft wird dies wichtig werden. Im Moment sind aber noch zu wenig Schädlinge im Umlauf.»

Verlust des Handys

«Viel wichtiger ist es, zu überlegen, was passiert, wenn das Mobiltelefon verloren geht», sagt Wüest. Denn die Chance, dass jemand ein Handy verliert, sei zur Zeit viel grösser als ein Angriff eines Hackers. In diesem Fall sei es entscheidend, dass ein Backup der Daten bestehe. Zudem sollte der Finder keinen Zugriff auf das Handy haben. Die Daten sollten deshalb verschlüsselt auf dem Gerät gespeichert werden. Insbesondere vertrauliche Geschäfts-E-Mails und Attachments.
Blackberry bietet eine solche Verschlüsselung an. Für das iPhone oder Android-Handys muss eine spezielle Applikation installiert werden. Der normale PIN-Code reicht als Schutz vor Datenzugriff durch Unberechtigte nicht aus, obwohl die meisten Handys den Zugang zum Betriebssystem blockieren, wenn dieser mehrfach falsch eingegeben wurde. iPhones oder Android-Handys beispielsweise erlauben jedoch teilweise auch dann noch den Zugriff vom PC aus. Besonders kritisch ist es, wenn eine Speicherkarte entfernt und in einem handelsüblichen Leseadapter am PC ausgelesen werden kann. Eine zusätzliche Sicherheits-Software stellt sicher, dass auch dies nur mit dem Passwort möglich ist. Zudem schützt sie die Daten auf dem Smartphone durch Verschlüsselung von anderen Applikationen, damit beispielsweise ein Spiel nicht im Hintergrund die restlichen Daten im Handy durchsucht. Android-Applikationen können nach Freigabe durch den Benutzer bei der Installation Zugriff auf die Daten anderer Apps, E-Mails oder Adressen haben.

Daten verschlüsseln

Eine Sicherheits-Software erlaubt neben Verschlüsselung meist auch, alle Daten auf dem Handy per SMS zu löschen, sollte das Gerät verloren gehen. Allerdings muss der IT-Manager den Fall berücksichtigen, wenn ein Mitarbeiter den Code vergisst. Denn dann hat auch der IT-Support keinen Zugang mehr zu den Daten. Entweder wird dies mit einem regelmässigen Backup der Daten des Smartphones gelöst, oder der Support installiert eine Verschlüsselungs-Software mit einem Master-Passwort. Beide Versionen bringen einen Mehraufwand mit sich.
Generell bedeuten Smartphones Arbeit für den IT-Support. Insbesondere das Inventar sorgt bei vielen IT-Managern für Kopfzerbrechen: Welche Geräte werden im Unternehmen genutzt? Welches Betriebssystem und welche Software-Version sind im Umlauf? Sind zusätzliche Programme installiert? «Es gibt zwar erste Lösungen, um die Geräte zu managen», so Wüest, «aber der IT-Support hat die Geräte nicht unter Kontrolle – der Benutzer kann beispielsweise immer noch eigene Software installieren.»

Zugriff beschränken

Um die Sicherheit weiter zu erhöhen, besteht die Möglichkeit, die Smartphones über Proxy-Server ins Unternehmensnetzwerk einzubinden und den direkten Zugriff aufs Internet zu vermeiden. Das ist allerdings ein Problem, wenn die Mitarbeiter häufig im Ausland sind: Weil der Datenverkehr über die Schweiz läuft, verschlechtert sich die Performance. Eine weitere Möglichkeit ist, die Smartphones über ein eigenes WLAN ins Firmennetzwerk einzubinden, das nur mit dem Internet und den E-Mail-Servern verbunden ist, aber zum Beispiel keinen Zugang auf firmeninterne Oracle- oder SAP-Datenbanken hat.
Eine zusätzliche Herausforderung, mit welcher sich IT-Manager heute befassen müssen, ist Cloud Computing. Immer mehr Smartphones bieten Applikationen an, welche in Diensten von Cloud-Computing-Anbietern persönliche Daten speichern. Auf diese wird via Internet zugegriffen und sowohl die Daten als auch die verschlüsselte Kommunikation zwischen Applikation und Dienst sind nicht mehr direkt unter der Kontrolle des IT-Managers. Dafür sichert der Cloud-Computing-Provider die Dienste und Daten gegen Angriffe aus dem Internet. In der Regel sorgt er auch für das regelmässige Datenbackup. Wüest: «Die Sicherheit muss den Informationen folgen, lokale Sicherheit reicht in der Cloud nicht mehr.»

Welches Handy ist das Sicherste?

Rund die Hälfte der Schädlinge, die im Umlauf sind, betreffen die Symbian-Plattform. «Das bedeutet nicht per se, dass sie unsicherer ist als andere Plattformen, aber Symbian ist schon länger auf dem Markt und die Würmer sind im Open-Source-Bereich verfügbar. Sie können modifiziert und nochmals geschickt werden», betont Candid Wüest von Symantec. Diskussionswürdig sei der Umgang mit Apps: Apple kontrolliert alle Apps, bevor sie aufgeschaltet werden. Bei Android wird die App sofort zum Download freigeschaltet und erst dann vom Markt genommen, wenn sich Benutzer melden.
Beim iPhone ist es schwieriger, einen Trojaner in einem Tetrisspiel zu verstecken. «Es hat aber schon einen Fall gegeben, bei dem Apple die Schad-Software erst im Nachhinein erkannte», so Wüest. Einfach abzuklären ist, ob das App teure Telefonnummern wählt. Bei Applikationen, die Informationen herausschicken, ist es hingegen schwierig zu erkennen, was damit gemacht wird. «Viele der Top-10-Applikationen schicken persönliche Infos heraus», erwähnt Wüest. Beispielsweise die App, die sich merkt, wo man parkiert hat. Was mit den Daten später geschieht, ist unklar.
Was den Hackern bei Apple das Leben erschwert, behindert auch die Arbeit der Hersteller von Antiviren-Software: Apple lässt keine Hintergrundprozesse fremder Hersteller zu. So gibt es Antiviren- und Firewallsoftware erst für Symbian, Android und Windows Mobile. Die Performance der Smartphones wird mit der Software leicht gebremst, aber nicht dramatisch, da sie im Gegensatz zum PC nicht ständig läuft. Erst wenn Daten heruntergeladen oder neue Applikationen installiert werden, läuft der Virenscanner. (Thomas Dübendorfer)


Thomas Dübendorfer, Präsident der Information Security Society Switzerland,
www.isss.ch
Copyright by Swiss IT Media 2014