Home      Themenübersicht / Sitemap      Notizen      Webmaster      

 

 

Risiken und Schutzmaßnahmen für Smartphones (und andere mobile Geräte)

An anderer Stelle erkäre ich, was die Angreifer eigentlich tun, nachdem der Benutzer eine "böse" App installiert hat.

Ebenfalls zu diesem Thema: "Leaky Apps" wie Angry Birds verraten nicht nur der NSA sehr viel über ihre Nutzer.

Außerdem für Smartphones relevant: Die Sicherheit von cloud-basierten Speicher-Diensten

Ein anderes Thema: von Klicksafe gibt es einen Elternratgeber Handys und Smartphones.

Noch ein Ratgeber, leider auf englisch: Wie bereite ich mich darauf vor, dass mein Smartphone gestohlen oder verloren gehen könnte. Und das gleiche Thema, viel viel kürzer bei der NY Times Preparing for Disaster: When Your Phone Is Gone.

Und hier noch ein ganz anderes Problem: Eine Studie hat gezeigt, dass der Anblick selbst eines abgeschalteten Smartphones die Konzentration von Testpersonen deutlich reduziert.

Letzte Aktualisierung: Nov. 2017

 

Vorsicht beim Verkauf von Smartphones oder Handys - Factory Reset Problem

Ein Team von Avast hat untersucht, was auf gekauften Smartphones so noch alles drauf ist. Auf 20 gebrauchten Android Smartphones, die alle einem "Factory Reset" unterzogen worden waren, fanden sie 40 000 Fotos, Emails, SMS. Von den Fotos zeigten 750 von ihnen spärlich bekleidete Frauen und 250 waren nackte Männer, dazu noch 1500 Familienfotos.

Ich muss zugeben, dass ich evtl. auch darauf reingefallen wäre, zu glauben, dass ein "Entleeren des Papierkorbs", dann "Factory Reset" vor dem Verkauf ausreicht, um die Spuren sicher zu löschen, tut es aber nicht. Die Lösung liegt darin, mittels einer speziellen Software den gesamten Speicher sicher zu überschreiben. Die Firma Avast schlägt ihreApp Avast Anti-Theft vor, die kostenlos im Google Play store zu finden ist (link siehe obiger Artikel).

Die neueren iPhones, die den Speicher verschlüsseln, haben das Problem nicht (durch Löschen des Schlüssels) ist der Inhalt nicht mehr wiederherstellbar, aber ältere iPhone Modelle, einfache Handys und natürlich PCs und Macs haben das Problem natürlich auch. Für PCs und Macs gibt es sog. "Wipe"-Programme, die alle Daten zerstören. Der etwas technischere Artikel in techrepublic geht etwas tiefer. Für Geräte ab 3.1 (Gingerbread) gibt es die Option, zuerst das Gerät zu verschlüsseln und dann Factory Reset vom Recovery Mode zu tun. Aber noch ein Achtung: das löscht die SD-Karten nicht, auch nicht die eingebauten. Details in den beiden Artikeln.

Mai 2015:
Neue Untersuchung von Android Geräten: Daten von Millionen zurückgesetzten Android-Smartphones wiederherstellbar. D.h. große Vorsicht beim Verkauf oder dem Entsorgen von gebrauchten Smartphones.

 

Bewertungen der Messenger durch die EFF
Graphik aus dem heise.de Artikel EFF würdigt WhatsApp-Verschlüsselung,
Quelle: Secure Messaging Scorecard der EFF

Die Sicherheit der Messaging Apps

Kurzer Stand Mitte 2017: es ist deutlich besser geworden, Details kommen jetzt hier.

Feb. 2014:
Facebook hat Whatsapp gekauft. Im Januar 2015 erklärt ein Sprechern von Facebook, dass es bei den Kurznachrichtendiensten derzeit nicht um das Datensammeln gehe - ein Artikel in heise.de erklärt, warum End-to-end Verschlüsselung zum Schutz der Privatsphäre notwendiger ist denn je.

April 2016
WhatsApp verschlüsselt jetzt konsequent, vorausgesetzt dass beide Partner die aktuelle Version verwenden. Das ist sehr lobenswert. Aber das allein macht die App noch nicht tauglich für sensible Kommunikationen. Es fallen nach wie vor Metadaten zuhauf an(wer kommuniziert wann mit wem?). Und weiterhin synchronisiert WhatsApp automatisch das Adressbuch – im Unternehmensumfeld in der Regel ohne Rechtsgrundlage.

Jan. 2017: Die an sich vernünftige Guardian bringt einen Bericht über angebliche Sicherheitslücken in WhatsApp. Das stellt sich dann aber als eine durchaus gut zu rechtfertigende Design-Entscheidung heraus. Führende Sicherheisexperten kritisieren die Veröffentlichung und betonen, dass natürlich Signal das sicherere Produkt sei, aber dass es nicht massengeeignet sei und Berichte wie im Guardian nicht ganz versierte Nutzer zu noch unsichereren Alternativen treiben können.

Nov. 2017: Auf der Privacyweek 2017 berichet eine Kriminalkommissarin dass Stalking bei Whatsapp extrem einfach ist, der "böse" Partner muss nur in Whatsapp ein weiteres Gerät konfigurieren, das dann alle Kommunikation mitlesen kann (der Vortrag beginn um 29:02).

 

März 2012: Ein sehr kreativer Angriff auf die Bankkonten mittels einer Fake-App.

Okt. 2014: Studie zum Risiko "Handynutzung im Auto", auch bei Nutzung einer Freisprecheinrichtung.

Juli 2015: The Secret Life of Your Mobile Phone. Ein Engländer macht eine Bühnenshow, indem er mitloggt, wo die Handys der Zuschauer sich mittels WLAN einloggen wollen. Dann kann er den Zuschauern viel über ihr Leben erzählen.

Alternativen zu WhatsApp

An vielen Stellen wird 2015 berichtet, welche alternativen Möglichkeiten es gibt: die Schweizer Lösung Threema wird von der Sicherheit her recht gut besprochen, ebenso KakaoChat, Whistle.im, Heml.is und MyEnigma. Hier noch die Stiftung Warentest: WhatsApp und Alternativen: Datenschutz im Test. Noch eine 2014 Neu-Erscheinung: SIMSme von der Deutsche Post AG. Wie bei den meisten der europäischen Lösungen End-to-End Verschlüsselung, Austausch der Schlüssel auch über QR-Code persönlich möglich.

Ende 2015: Die Schweizer Security AG die Sicherheitsfunktionen von Threema getestet und für gut befunden. Threema dokumentiert seine Sicherheitsmechanismen in einem detaillierten Whitepaper.

Schon 2014 hat die Ruhr Universität Bochum das Ergebnis ihrer Untersuchung der Sicherheit von TextSecure publiziert, dem Vorgänger von Signal.

Juni 2016: The Intercept hat die Sicherheit von Signal, WhatsApp, and Allo von Google gegeneinander getestet. Signal hat gewonnen, hat aber die geringste Userbasis. Klar nicht zu empfehlen ist Telegram.

 

 

 

Hauptrisiko bei den Smartphones: Die Apps

An anderer Stelle beschreibe ich noch über die Privatsphäre-Bedrohungen für Smartphones durch Apps.

Gegenüberstellung des Installationsdialogs für das Originalspiel Draw Slasher und die "infizierte" Kopie Blood vs. Zombie - die Kopie fordert zusätzliche unnötige Zugriffe an, mit deren Hilfe sie z.B. Mehrwert-SMS versenden kann
Quelle: IBM X-Force® 2011 - Mid-year Trend and Risk Report

Vorsicht bei der Installation von Apps, speziell aus "Alternate Markets"

Im IBM X-Force® 2011 - Mid-year Trend and Risk Report auf Seite 80 gibt es eine gute Darstellung, wie Kopien von beliebten Spiele-Apps missbraucht werden, um Betrügerein zu begehen. Die Graphik rechts zeigt, dass das Orginalspiel weniger und andere Rechte angefordert hat. Für ein Spiel ist es unnötig, dass es auf SMS, GPS und die Speicherkarten zugreifen kann. Selbst die Netzwerkkommunikation die das Orginal anfordert ist nur notwendig um High-Scores auszutauschen und stellt bereits ein Risiko für das Gerät dar. Leider kann man nicht selektiv Berechtigungen verweigern (bzw. nur über eine zusätzliche App).

Der Report weist darauf hin, dass jegliche Installation von Software aus "Alternate Markets" mit einem deutlich höheren Risiko verbunden ist (auch wenn die Überprüfung bei den offiziellen Markets nicht 100%ig ist). D.h. für kritische Funktionen wie z.B. Internetbanking sind diese Market nie und nimmer nutzbar, bei Spielen ist stark davon abzuraten, bzw. dann muss sehr genau geprüft werden, welche Rechte die App haben möchte. Aber selbst "Network communication" kann natürlich bereits persönliche Daten aus dem Gerät herunterladen - speziell wenn es sich um ein Gerät mit "Jail-break" oder "Rooting" handelt. In diesem Fall muss das Gerät von vornherein bereits als infiziert betrachtet werden, denn wer auch immer sich die Mühe für die Software-Entwicklung gemacht möchte dafür natürlich auch belohnt werden.

 

Sehr empfohlen wird jetzt für Android-Geräte Super Security Standard. Diese App wird vom Google Play Store geladen und erlaubt so Funktionalitäten wie das Scannen aller installierten Apps auf verdächtiges, etc. Kollegen empfehlen diese App als sinnvoll.

März 2012: Da hat sich jemand die Mühe gemacht, iPads so herzurichten, dass sie bei Prüfungen verwendet werden können, ohne dass der Prüfling damit ins Internet kann und etwas nachschauen (oder Kontakt mit einem Freund aufnehmen). Es zeigt 3 Punkte: 1. Man kann mobile Geräte sicher machen, 2. das Sicher-machen ist nicht trivial und 3. es nimmt den Spaß komplett raus aus den Geräten: Digital Exams on iPad.

Symantec hat sich die Mühe gemacht herauszufinden, was eigentlich mit iPhone passiert, die man verliert. Hier die Studie: Symantec Smartphone Honey Stick Project (pdf) - kurze Zusammenfassung in der LA Times: in 89% der Fälle versucht der Finder, an persönliche Daten zu kommen, in 50% der Fälle gibt der Finder das Gerät zurück (nachdem er es gründlich untersucht hat). Was können Benutzer daraus lernen: eine halbwegs sichere Sperre (nach einer kurzen Zeit Inaktivität) ist zumindest eine Barriere für den zufälligen Finder, und die Hälfte ist bereit, das Handy zurückzugeben, denen muss man einen Hinweis auf eine Kontaktmöglichkeit geben.

Sept. 2011: Teile des Rests dieses Artikels sind leicht in die Jahre gekommen, die Ereignisse haben sich mittlerweile überschlagen. Aber alle Bedrohungen die weiter unten beschrieben werden, wie z.B. Angriff über Bluetooth, gelten natürlich weiterhin und zwar nicht nur gegen Laptops sondern auch gegen Smartphones. Und die Smartphones sind jetzt so weit verbreitet, dass Angriffe gegen Smartphones alltäglich geworden sind: z.B. McAfee berichtet, dass Android das am häufigsten angegriffene mobile Betriebssystem ist. Die spezielle Verwundbarkeit von Android ist, dass es für Angreifer sehr leicht ist, modfizierte Versionen von beliebten Apps in alternative App-Stores zu stellen. Oktober 2011 überschlägt sich der "Markt" für Schadsoftware auf Android. Hier ein Überblicksartikel Googles Android-Betriebssystem bleibt im Trojaner- und Malware-Fokus mit weiteren Links. Langsam entdeckt die "böse Seite" Geschäftsmodelle rund im Smartphone-Malware. Ich bin gespannt, wie sich das noch weiterentwickeln wird, ob irgendwann die Begeisterung für diese Geräte in Entsetzen umschlagen wird.

Sept. 2011: Angriffe über QR-Codes Vom Bürger-CERT in D.: Der Antivirus-Software-Hersteller Kaspersky Lab hat laut seinem Blog erstmals Trojaner ausfindig gemacht, die sich per QR-Code auf Smartphones installieren (sog. Attagging). QR-Codes funktionieren ähnlich wie Strichcodes und lassen sich mit Smartphone-Kameras auslesen. Wenn die URL die in diesem Code enthalten ist auf eine Website zeigt, auf der Angriffscode verlinkt ist, so hängt es allein von den Sicherheitseinstellungen des Smartphones und der Aufmerksamkeit des Benutzers ab, ob die Angriffssoftware nun installiert wird oder nicht.

McAfee Labs warnt vor Smartphone-Apps, die aus QR-Codes entschluesselte URLs automatisch oeffnen.

 

 

 

Das größte Problem bei Android: Fragmentierung und fehlende Security Patches

Eines der Kernprobleme von Android ist die Update-Politik: 'Over half' of Android devices have unpatched holes. Google fixed zwar die Sicherheitsprobleme, aber die Auslieferung der korrigierten Versionen läuft bei Android-Geräten zumeist zuerst über die Hersteller des jeweiligen Geräts und dann noch über die Mobilfunkanbieter, und diese Kombination braucht sehr lange bis sie die Updates in ihre "gebrandeten" Versionen übernommen habt. Und sehr oft gibt es Updates überhaupt nur in den ersten 2 Jahren nach dem Erscheinen eines Gerätes.

50% aller Android Geräte liegen 2 Hauptupdates zurück und damit weit offen in Bezug auf Verwundbarkeiten und mögiche Angriffe sind. Klick führt zur großen Version der Graphik. - Quelle: techrepublic.com

Hier noch ein sehr ausführlicher Artikel zum Problem der Security Patches bei Android: The problem with Android updates: Playing the blame game. Der Artikel zeigt auf, dass 50% aller Android Geräte 2 Hauptupdates zurückliegen und damit weit offen in Bezug auf Verwundbarkeiten und mögiche Angriffe sind.

Dies war auch einer der Kritikpunkte des Fraunhofer Instituts im Frühjahr 2011 bei ihrem Vergleich der Sicherheit von iPhone und Android-Gerät - eine recht interessante Präsentation. Hier ein Artikel aus dem Februar 2013 zum gleichen Thema: ‘Fragmentation’ leaves Android phones vulnerable to hackers, scammers. Eine schnelle Lösung des großen Android-Sicherheitsproblems scheint nicht in Sicht.

Aug. 2014:
Ein Bericht zeigt, dass die Fragmentierung bei Android immer weiter wächst (19 000 unterschiedliche Android Geräte sind weltweit im Einsatz!) und dass der Anteil mit aktuellem Betriebssystem bei mickrigen 20% liegt.

Okt. 2015:
Das Problem geht nicht weg, diese Studie besagt, dass auf Grund Fragmentierung der Android Systeme immer 87% der Geräte ausreichend veraltet sind, um angreifbar zu sein.


Google bestätigt: Die Hälfte aller Android-Geräte erhält unsere Sicherheitspakete nicht

 

 

 

Android vs. iOS Security

Sept. 2012: Ein Vortrag von mir zum Thema Herausforderung Smartphone und Bring-your-own-device. (PDF, 1,5 MB) - Dazu ergänzend empfehle ich: Gegenüberstellung der technischen iPhone und Android Sicherheit des Fraunhofer Instituts vom März 2011.

Generell kann man sagen, dass iOS-Geräte auf Grund des geschlossenen Umfelds das Apple implementiert hat eine geringere Flexibilität und damit auch eine höhere Sicherheit bieten als Android Geräte. So ermöglicht Apple kein Installieren von Apps die nicht vorher von Apple geprüft wurden (was aber natürlich auch keine 100% Garantie bietet, aber immerhin). Bei Android-Geräten kann der Nutzer im Einzelfall entscheiden, ob er Apps aus zwielichten Quellen installieren möchte, z.B. die neusten Spiele die es im offiziellen Store nicht gibt, oder spezielle ge-krackte Versionen. Dies stellt ein erhebliches Risiko dar.

Der zweite Punkt bei der höheren Sicherheit der iOS-Geräte sind die doch in der Regel längere Verfügbarkeit von Security Updates. Bei Android gibt es oft schon nach kurzer Zeit keine Updates, Grund ist die Fragmentierung des Android-Marktes. Bei Apple sind Security Updates in der Regeln 2-3 Jahre verfügbar, was aber natürlich auch viel zu kurz ist, warum soll ich mir alle 2 Jahre ein neues Gerät kaufen - welche Vergeudung von knappen Resourcen und welche Umweltschädigung!

Hier eine Infographik von Veracode mit einem Vergleich der Systeme.

Forrester Research hat eine gute Studie zur Post-PC Zeit gemacht: Security In The Post-PC Era: Controlled Chaos. Sie behandeln eine ganze Reihe guter Fragen zur Problematik des Bring-Your-Own-Computer (BYOC), nämlich dem Trend dass mehr und mehr IT-Abteilungen (resignierend) den Privatgeräten der Mitarbeiter auch Zugriff auf die Firmendaten gewähren. Leider ist die Studie nur kommerziell zu erstehen und teuer (aber empfehlenswert).

Apple veröffentlicht das Security Konzept für iOS und bestätigt indirekt, dass 4-stellige PINs keine Sicherheit bieten.

Ausschnitt aus Infographik Android Malware - Klick für volle Version
Quelle: TrendMicro http://blog.trendmicro.com/snapshot-of-android-threats

Einen sehr guten Überblick über die Sicherheitskonzepte (oder fehlende Sicherheit) von iPhone und Android veröffentlichte Symantec: Examining the security approaches employed in Apple’s iOS and Google’s Android (pdf). Kurze Zusammenfassung ist, dass die Sicherheitskonzepte des iPhones (mittlerweile) deutlich besser sind. Eines der Problem ist, dass viele Anwender gar nicht in der Lage sind, Sicherheitsupdates einzuspielen, da sie dabei vom Mobilfunkprovider abhängen.

Das Australian Government Department of Defense hat nach dem früheren Blackberry Guide auch einen Hardening Guide für iOS ab 9.3 herausgebracht (pdf).

 

 

 

Die Gefahren unterwegs - der hohe Diffussionsquotient der Geräte

Das erste Problem - und von der Zahl der Vorfälle her auch das überragende Problem - ist das Risiko, dass das Gerät verloren geht, gestohlen wird oder irgendwie in fremde Hände fällt. Studien von Versicherungen zeigen, welch hohe Zahl von mobilen Geräten in Taxis liegenblieben, und je kleiner die Geräte sind, desto häufiger gehen sie verloren.

Diebstahl ist ein großes Thema, die Zahl der Notebooks, die aus Autos gestohlen werden, ist sehr hoch. Die Empfehlung, solche Sachen nie offen liegen zu lassen, ist sicher gut, aber weder ausreichend noch praktikabel. Außerdem muss jede Firma beachten, dass solche Diebstähle für Zwecke der Industriespionage heute auch gern auf Bestellung durchgeführt werden ("ich hätte gern ein Notebook der Firma xyz"). Gartner geht davon aus, dass der wirkliche Schaden von Geräteverlusten das drei bis fünffache vom Warenwert beträgt.

Eine Studie aus dem Jahr 2005: Die meisten Laptops werden zwar im immer noch im Büro gestohlen (29%, deswegen ist es so wichtig, keine Fremden im Gebäude allein zu lassen!), dann kommen schon Autos mit 25% und Flughäfen mit 14%. Der Rest geht auf Restaurants, Eisenbahnen, etc.

Und wenn das Gerät erst mal in fremden Händen ist so ist das Risiko sehr groß, dass der Angreifer das Zugangspasswort herausfindet. Ich muss dafür sorgen, dass die Daten auf dem Gerät auch dann sicher sind, wenn das Gerät nicht mehr unter meiner Kontrolle ist.

"Data loss" im Unternehmen, gestohlene und verlorene Geräte führen die Statistiken an
Quelle: Microsoft Security Intelligence Report 1H 2010

Details zu den Verlusten von Notebooks, PDAs und Handys bei pointsec.com, jetzt Teil von Checkpoint:

    Befragt wurden in 2005 Taxifahrer in folgenden Ländern: Australia, Denmark, Finland, France, Germany, Norway, Sweden, Great Britain und den USA. In den 6 Monaten, die von dieser Studie erfasst wurden, berichteten Londoner Taxifahrer von 0,21 Laptops pro Taxi (d.h. in jedem 5 Taxi blieb eines liegen). Kleine Geräte gehen noch leichter verloren, in Chicago waren es 3.42 Handys pro Taxi im halben Jahr und 0,86 PDAs/Pocket PCs. Sie berichten für ein einziges Taxiunternehmen in Chicago in 6 Monaten folgende Zahlen: Es wurden in den Fahrzeugen gefunden: 85,619 Handys, 21,460 PDAs oder Pocket PCs und 4,425 Laptops. Auch wenn die Zahlen in einigen europäischen Städten niedriger waren, so zeigt sich doch, dass der Verlust mobiler Geräte eine ernste Bedrohung ist.

Eine Studie zum Nutzungsverhalten europäischer Unternehmer mit Smartphones oder PDAs die von Toshiba Mobile Communications in Auftrag gegeben wurde, berichtet, dass jeder fünfte Unternehmer, der ein Smartphone oder einen PDA benutzt, das Gerät bereits einmal in seinem Leben verloren hat. Mehr als 90 Prozent der 502 befragten Unternehmer gaben gleichzeitig an, vertrauliche Geschäftsinformationen und Dokumente auf ihren Geräten zu speichern. Hier eine weitere Veröffentlichung zu Laptop-Diebstahl: "EU-Flughäfen: 3.300 Laptops verschwinden wöchentlich".

Vertrauliche Informationen können verschiedener Art sein:

  • Finanzinformationen über den generellen finanziellen Zustand des Unternehmens, solchen Informationen können in Konkurrenzsituationen gegen das Unternehmen verwendet werden
  • Kalkulationen, die Überblick über die Herstellungskosten und Einkaufsbedingungen geben
  • Technische Informationen vertraulicher Art ( Konstruktionszeichnungen, Unterlagen für eine Patentanmeldung, etc.)
  • Kundeninformationen (Ansprechpartner, Preise, Angebote, Umsätze, etc.)

Ein Angreifer, der physikalischen Zugriff auf ein Gerät hat, kann nur mit erheblichem Aufwand daran gehindert werden, die Sicherheitsmaßnahmen „zu knacken“. Die Angriffsmöglichkeiten sind in diesem Fall vielfältig.

Dazu gehört z. B. das Starten des Gerätes von einer Boot-CD mit einem anderen Betriebssystem, gefolgt von dem systematischen „Knacken“ des Administrator Accounts durch „brute force“. Ein erfolgreicher Angreifer gewinnt oft nicht nur Zugang zu den Daten, sondern oft auch Zugriff auf die gespeicherten Passworte für den VPN-Zugang zum Unternehmen und gefährdet damit das Unternehmensnetz.

Als „Bonusgeschenk“ für den Angreifer ist es leider immer noch bei vielen Unternehmen üblich, dass das gleiche Administratorpasswort auch innerhalb des Unternehmens genutzt wird, d.h. der Angreifer hat in diesem Fall auch gleich noch Kenntnis des internen Administratorpassworts.

 

Ein anderer wichtiger Aspekt kann natürlich sein, dass wir den gestohlenen Laptop gern zurück hätten. Dafür gibt es Software die bei jedem Netzzugang den Standort an einer zentralen Stelle ablegt. Hier eine OpenSource Variante: Adeona.

 

 

 

Das Überleben in der freien Wildbahn - Mobile Geräte auf Reisen

Wann immer ein Laptop oder ein anderes mobiles Gerät sich außerhalb des Firmennetzes oder des privaten WLANs in der Wohnung direkt ins Internet wagt, so haben wir es mit einer verstärkten Exponierung gegenüber den Angriffen zu tun, die jedem Rechner im Internet ständig drohen. Wer in öffentlichen WLANs, Flughäfen, Restaurants, etc. ins Internet geht, der ist von der Qualität der WLAN-Implementierung und der Qualität der Verschlüsselung in den benutzten Apps abhängig. Bei letzteren sieht es nicht gut aus. Die Zeit berichtet: Populäre Apps gefährden ihre Nutzer (dass sich der Artikel auf iPhones konzentriert ist kein Grund für Entspannung bei Android-Nutzern). Bei den untersuchten Apps kommt 2017 raus: mehr als der Hälfte der 200 in Deutschland beliebtesten kostenlosen iOS-Apps setzen keine korrekt implementierte Verschlüsselung ein.

Der Perimeter-Schutz mittels Firmen-Firewalls mit NAT- und Proxy-Funktionalität, Content Filtering und möglicherweise Intrusion Detection (aber sogar die heute aktuellen Heim-Router und WLAN-Boxen) bieten mehr Sicherheit, als wenn ein Rechner direkt ungeschützt im Internet präsent ist (oder gar in einer potentiell "feindlichen" Umgebung wie ein öffentliches WLAN. Wann immer ich diesen Schutz hinter mir lasse, begebe ich mich mit meinen mobilen Geräten in eine noch gefährlichere Umgebung.

Außerhalb des Firmennetzes bin ich in den meisten Fällen mit meinem Rechner oder mobilem Gerät beim Surfen mit einer öffentlichen (offiziellen) IP-Adresse im Internet sichtbar und damit Port-Scans direkt ausgesetzt. Außerdem haben es andere Nutzer des WLANs oft leicht, Datenverkehr mitzulesen oder zu verändern (Abhängig von der Qualität der WLAN-Implementierung, da gibt es riesige Unterschiede).

Notebooks, die auch außerhalb des Firmennetzes aktiv waren und nur unzureichend geschützt sind, bei ihrer Rückkehr ins Firmennetz eine ganz erhebliche Bedrohung für das interne Netz dar.

Mehr zu IT-Sicherheit auf Reisen an anderer Stelle.

Eine weitere Gefahr liegt darin, dass die Verbindung abgehört werden könnte und dass dadurch vertrauliche Informationen in falsche Hände gelangen könnten. Gegen diese Gefahren schützen sich viele Firmen bereits erfolgreich durch den Einsatz von Virtual Private Networks (VPN). Wenn man bei deren Implementierung sorgfältig vorgeht und sicherstellt, dass eine ausreichende Authentisierung der Endstellen dieses Tunnels sichergestellt ist, so reduziert sich die Bedrohung durch Abhören erheblich. Zu einem Risiko wird ein VPN-Tunnel aber immer dann, wenn man nicht sicher sein kann, dass am anderen Ende der korrekte Teilnehmer ist, bzw. wenn am anderen Ende ein unsicheres Gerät steht. Ein VPN Tunnel schaltet nämlich (in aller Regel) ein vollständige und transparente Verbindung zu dem anderen Netz, d.h. wenn eine Schadsoftware in einem der Netze, bzw. Endgeräte aktiv ist, so kann sie auch sofort in das andere Netz eindringen.

Eine solche "Durchschaltung" der Netze sollte, wenn sie nicht wirklich notwendig ist, verhindert werden. Dafür setzen viele Unternehmen heute sog. SSL-VPN ein, von denen einige eine recht ausgefeilte Zugriffskontrolle zu einzelnen Anwendungen ermöglichen (White-List-Konzept), 2-Faktor-Login und keine direkte Verbindung der Netze. Im Detail muss man sich anschauen, welche der "Tunnel-Technologien" für jedes Unternehmen und für jeden Verwendungszweck die beste ist.

 

 

WLAN / WiFi – die Risiken in fremden WLANs

Frage: Wie gefährlich ist es eigentlich, ein öffentliches WLAN zu nutzen?

Kurzfassung: Öffentliche Netze (egal ob drahtlos oder über Kabel) bieten nur begrenzte Sicherheit und sind für kritische Aktivitäten wie Internetbanking nicht wirklich geeignet. Meine Möglichkeiten zum Absichern des Datenverkehr reduziert sich darauf, dass ich nur auf Webseiten gehe und nur Apps nutze, die von sich aus den Datenverkehr verschlüsseln (im Browser zu sehen wenn die URL mit https:// beginnt und bei PCs und Laptops am Zertifikat in der URL-Zeile). Leider ist das bei Smartphones fast nie möglich, d.h. bei Smartphones bin ich bei fremden WLANs fast immer ein wenig auf dünnem Eis.

Hier die Gründe im Detail:
Wenn ich unterwegs bin und z.B. in einem Lokal oder Hotel das WLAN benutze, so macht es nur einen geringen Unterschied, ob dieses verschlüsselt ist oder nicht. Selbst in einem verschlüsselten WLAN (mit mehr oder weniger öffentlich bekanntem Schlüssel) bin ich, bzw. ist mein Datenverkehr nicht wirklich sicher. Dort gibt es für gewiefte Angreifer vielfältige Möglichkeiten meinen Datenverkehr anzugreifen. Das gilt übrigens genauso für kabelgebundene Hotel-Netze.

Außerdem hänge ich von der Vertrauenswürdigkeit des Systembetreuers des WLAN-Anbieters ab. Der unverschlüsselte Teil des Verkehrs liegt offen für den Betreiber und kann ausgewertet werden, und die Smartphone-Apps senden fast alles unverschlüsselt. Das Mitloggen des Datenstroms ist Routine, das wird der Betreiber schon zum eigenen Schutz gegen Abmahnungen in einem begrenzten Umfang immer tun. D.h. alles was der Nutzer im öffentlichen Netz tut, wird protokolliert, ob das ein Problem ist, muss jeder selbst entscheiden

Wenn das Netzwerk nicht sehr professionell ausgestattet ist, so können andere Teilnehmer (möglicherweise böse Teilnehmer) im gleichen Netz ebenfalls ihren Datenverkehr (soweit unverschlüsselt) mitschneiden und/oder ändern. Das setzt aber einen gezielten Angriff gegen eine einzelne Person voraus denn so ein Angriff ist nicht flächendeckend möglich. Daher werden Angreifer die es auf die Bankkonten von vielen abgesehen haben, dies vermutlich nicht tun und dies bietet mir einen begrenzten Schutz.

Das bedeutet: Egal ob verschlüsselt oder nicht, die Möglichkeiten zur Absicherung meines Datenverkehrs reduzieren sich darauf, dass ich nur auf Webseiten gehe und nur Apps nutze, die von sich aus den Datenverkehr verschlüsseln (im Browser in der URL-Zeile am Zertifikat und dem Start mit https:// angezeigt). Leider ist das bei Smartphones nur sehr begrenzt möglich, d.h. bei Smartphones bin ich bei fremden WLANs fast immer ein wenig auf dünnem Eis.

Die Zeit berichtet: Populäre Apps gefährden ihre Nutzer (dass sich der Artikel auf iPhones konzentriert ist kein Grund für Entspannung bei Android-Nutzern). Bei den untersuchten Apps kommt 2017 raus: mehr als der Hälfte der 200 in Deutschland beliebtesten kostenlosen iOS-Apps setzen keine korrekt implementierte Verschlüsselung ein.

Zu Hause ist das was anderes. Da sollte ich ein verschlüsseltes WLAN konfigurieren damit kein Außenstehender in mein Heimnetz eindringen und meine Geräte untersuchen kann, aber auch, damit kein Nachbar mein WLAN mitbenutzt und ich als Betreiber evt. eine Abmahnung wegen seiner Musik- oder Video-Downloads bekomme. Aber heute werden eigentlich alle Heimnetze ausreichend sicher ausgeliefert, auch bei Freunden im WLAN bin ich eigentlich sicher genug.

Noch ein WLAN-Problem: Einmal eingespeicherte SSIDs (die Kennung/der Name des Access Points-AP) werden immer wieder automatisch verbunden - das ist bequem, aber öffnet auch Tür und Tor für Fake-Access Points (indem der Angreifer den gleichen SSID-Namen nutzt wie z.B. McDonalds. Diese "connect automatically" Automatik kann man für eine höhere Sicherheit im jeweiligen mobilen Gerät abschalten. Am sichersten ist eigentlich der Flugmodus. Tipps zu WLAN Sicherheit gibt das BSI für Bürger.

An anderer Stelle verlinke auf eine Liste der 16 häufigsten Sicherheitsirrtümer. Dort kommt auch das Thema WLAN-Irrtümer vor.

Und hier geht es zurück zur Gesamtserie "Wie bin ich im Internet sicher unterwegs?"

 

WLAN - öffentlich und privat

Überarbeitet 2017

WLAN (wireless LAN, engl. Wifi) hat sich als Zugang zum Internet eigentlich flächendeckend durchgesetzt, egal ob zu Hause oder unterwegs. Der nebenstehende Block behandelt in kurzer Form die Sicherheitsregeln für private Nutzung von WLAN. Über den Einsatz von WLAN als Zugang zu einem Firmennetz schreibe ich ausführlich an anderer Stelle.

WLAN für Angriff auf die Privatsphäre

Dieser "Angriff" auf die Privatsphäre ist in den USA bereits sehr üblich und kommt leider wohl auch zu uns: Supermärkte und andere Geschäfte installieren WLAN-Hotspots, die jedoch zum Teil gar keinen Service anbieten, sondern nur warten, bis Smartphones prüfen, ob dieses WLAN Netz bereits im Gerät eingetragen ist. Dies Prüfung findet bei aktiviertem WLAN ständig statt, nur im Flugmodus ist dies nicht aktiv.

Bei dieser Anfrage sendet das Smartphone genügend Daten um den Besitzer zu identifizieren. In Europa sollte das nur erlaubt sein, wenn die Kunden explizit zugestimmt haben.

Die Veröffentlichungen von Edward Snowden bringen auch Neues zum Thema WLAN: die NSA hängt entsprechende Geräte unter ihre Drohnen und kann die Handys und andere Geräte, die WLAN nutzen, in Somalia, Pakistan und anderen Ländern orten. Oft führt das zu tödlichen Angriffen, nicht immer auf die gesuchten Personen, sondern auf die, die gerade das Smartphone nutzen.

Hier ein Artikel von Kaspersky der einen Überblick über den Stand der WLAN-Verschlüsselung in verschiedenen Ländern der Welt zeigt.

 

Im Hotel-Netz / Hotel-WLAN

Hotelnetze sind genauso riskante wie öffentliche WLANs (und deutlich unsicherer als ein typisches Firmen-Netz und sogar ein typischer Internetanschluss zu Hause). Wieder gibt es keine Verschlüsselung der Internetverbindungen, und vor allem können alle anderen Gäste, wenn ich direkt ins Internet gehe, mitlesen (entweder direkt oder nach einem Angriff, z.B. über DHCP-Spoofing) und mir auch gefährliche Daten in meinen Datenstrom einschleusen. Sicherheit bietet nur ein gut abgesichertes Gerät und die ausschließliche Kommunikation über ein sicher implementiertes VPN zum Firmennetz.

2014 berichtet Kaspersky auf eine Profi-Truppe, die auf Angriffe im Hotel-LAN spezialisiert ist und dort ihre Opfer für Wirtschaftsspionage findet. August 2017 wird berichtet, dass russische (staatsnahe) Hacker Laptops in Hotelnetzwerken angreifen. Dafür nutzen sie Software, die der NSA irgendwie "abhanden kam".

 

Die Nutzung von Internetcafés

Bei der Nutzung von Internetcafés haben wir das gleiche Problem, das auch bei der Nutzung von Privat-PCs der Mitarbeiter zu Hause entsteht: zusätzlich zur unsicheren Verbindung arbeiten wir auch noch auf einem unsicheren Gerät. Untersuchungen zeigen, dass ein ziemlich hoher Prozentsatz von PCs "verseucht" ist, d.h. ich muss immer davon ausgehen, dass ein Keylogger alle Tastatureingaben weitersenden kann und dass alle Informationen, die auf das unsichere Endgerät geladen werden, in falsche Hände fallen.

Das heißt, die einzige akzeptable Nutzung solcher Gerät ist, wenn keine Firmendaten auf das Gerät selbst übertragen werden (z.B. keine E-Mail-Anhänge), sondern lediglich das Gerät als "Bildschirm" für die zentralen Server dient, d.h. die Nutzung als Terminalserver. Und dabei muss ich dann sicherstellen, dass kein lokales Drucken der Inhalte möglich ist, dass kein sog. "Rückkanal" angeboten wird (z.B. zum lokalen Abspeichern eines E-Mail-Anhangs) und dass die angezeigten Inhalte auch keine Spuren im Cache des Webbrowsers hinterlassen.

 

 

 

 

"Home Office"

Dies ist eine recht beliebte Lösung, bequem für die Mitarbeiter und auch mit Vorteilen für das Unternehmen. Aber wenn so etwas falsch implementiert wird, können für das Unternehmensnetz erhebliche Risiken entstehen. Denn für Heimarbeitsplätze gilt alles, was weiter oben über Internetcafés gesagt wurde: diese können grundsätzlich nicht als "sicher" angeommen werden. D.h. das Unternehmen muss feste Regeln für die Nutzung des Home Office aufstellen, z.B.

  • es werden nur Firmengeräte genutzt, keine Privat-PCs

  • diese Firmengeräte werden nach einem einheitlichen Firmenstandard aufgesetzt, der den Sicherheitsanforderungen für mobile Geräte entspricht

  • die Mitarbeiter haben nur eingeschränkte Rechte auf diesen Geräte

  • die Familienmitglieder dürfen diese Geräte nicht nutzen (evtl. kann die Firma ausrangierte Geräte für den Kauf durch die Mitarbeiter zur Verfügung stellen)

  • der gesamte Datenverkehr findet über einen VPN-Tunnel statt und wird wie genauso gefiltert, wie alle Aktivitäten vom Firmennetz aus

 

 

 

Welche Firmen-Anwendungen muss ich eigentlich wirklich erreichen?

Wichtig ist bei allen Überlegungen die Frage, was muss denn wirklich erlaubt werden, welche Funktionalitäten sind für den Geschäftsbetrieb wirklich notwendig? Ein voller Zugang ins interne Netz ist immer viel gefährlicher als „lediglich“ ein Synchronisieren von Kontakten, Termine und E-Mails zwischen den PDAs und einem speziellen Server in einer speziellen DMZ.

Für Laptops und Smartphones bietet sich eine Lösung an, die auf der Terminalserver-Philosophie, z.B. mittels Citrix, beruht. Wiederum führt der Pfad nicht direkt ins interne Netz, sondern nur auf die Citrix-Farm in einer DMZ. In allen Fällen, d.h. ob über Terminalserver, Outlook-Web-Access oder bei Einsatz eines VPNs müssen zur Sicherheit auf jeden Fall ausreichende Sicherheitsmaßnahmen getroffen werden.

  • eine verschlüsselte Datenübertragung
  • auf jeden Fall eine 2-Faktor-Authentisierung für die Benutzer
  • zusätzlich eine gegenseitige Authentisierung der beiden Endgeräte selbst über geeignete Zertifikate

Die 2-Faktor-Authentisierung allein ist nicht genug, denn ein Man-in-the-Middle kann jeden Challenge/Response-Austausch leicht weiterspielen. Nur bei gegenseitiger Authentisierung beider Endpunkte, d.h. nur wenn die beiden Gegenstellen sich bereits „vorher kennen“, z.B. weil die gegenseitigen Zertifikate auf anderem Wege eingespielt wurden, kann ein Angriff mittels Man-in-the-Middle sicher verhindert werden. Die Gegenstellen dürfen nicht erst übers Netz ihre Zertifikate austauschen.

Ein VPN ist aber nur sicher, wenn nicht gleichzeitig noch eine direkte Verbindung ins Internet möglich ist. Sonst stellt nämlich das VPN keinen Schutz, sondern eine zusätzliche Schwachstelle dar, über die ein Angreifer sich ins Firmennetz einschleichen kann.

 

 

 

Schutz des Endgeräts (typischerweise Laptop)

Dies bedeutet, dass der Laptop oder das Handy für seinen Schutz selbst sorgen muss und das bedeutet, dass unabhängig davon, ob ich im heimischen Kabelnetz bin, in einem Flughafen-Hotspot oder ob ich mit GPRS surfe, folgende Regeln gelten sollten

  • Keine Administrationsrechte für die Anwender

  • Kommunikation nur über einen verschlüsselten Kanal, (IPsec-VPN, SSL-VPN, verschlüsselte Terminalserver-Verbindung) mit gegenseitiger Authentisierung beider Endgerät

  • Zusätzlich starke Authentisierung des Anwenders, z.B. über Smartcard, USB-Token oder One-Time-Passwort-Token

  • Regelmäßige Aktualisierung des mobilen Gerätes mit Sicherheitspatches

  • Verwendung einer Personal Firewall (zusätzlich zum VPN-Client)

  • für Laptops: ständig aktualisierter Schutz gegen Malicious Software (Viren und Trojaner, aber auch Spyware), Kontrolle der Sicherheit des Gerätes durch "Endpoint-Security"

  • Geräte Hardening und Penetration Testing vor Einsatz der mobilen Geräte
  • Verschlüsselung der Daten auf den mobilen Geräten für den Fall von Verlust oder Diebstahl
  • Installation von Hardware oder Software nur durch IT-Abteilung
  • Automatische Deaktivierung der Verbindung bei Nichtbenutzung (bsplw. Timeout)

 

Aber natürlich gibt es Unterschiede in der Bedrohung bei den verschiedenen (drahtlosen) Zugangstechniken. Bedrohungsfaktoren sind dabei die Exponierung des Gerätes im Internet (d.h. öffentlich erreichbare IP-Adressen) und wer noch alles mit mir im gleichen lokalen Netz ist, mich daher auf Layer 2 angreifen kann.

Die größte Bedrohung geht wohl von öffentlichen WLANs aus (bzw. öffentliche Hotspots auf Bluetooth-Basis). Bei jeder anderen Methode sind die anderen Teilnehmer im lokalen Netz zumindest über eine Rechnungsadresse authentifiziert und können mich nicht ganz anonym angreifen.

 

 

 

Gefahr durch Bridging

Aber Geräte mit einer IP-fähigen drahtlosen Schnittstelle, sei es Bluetooth, WLAN, GPRS, LTE oder UMTS können, wenn sie wieder im Firmennetz verbunden sind, eine Bedrohung dieses darstellen. Zum einen könnten sie evtl. infiziert sein, andererseits besteht das Risiko, dass die drahtlose Schnittstelle auch noch aktiv ist. In diesem Fall besteht die Gefahr, dass ein Angreifer dieses Gerät als Bridge oder Router ins Firmennetz nutzt. Daher sollte verhindert werden, dass Geräte mit aktiven drahtlosen Schnittstellen gleichzeitig im Firmennetz hängen. Manche Firmen lösen dieses Problem, in dem sie mittels Skripten testen, ob das Gerät im Firmennetz ist und falls ja, dann drehen sie alle drahtlosen Schnittstellen ab. Falls das Gerät jedoch außerhalb des Firmennetzes ist, so zwangsaktivieren sie den VPN-Client, und der sollte einen direkten Zugriff ins Internet verhindern (kein Split-Traffic, Web-surfing nur über die Firmenverbindung).

Eine andere organisatorische Lösung ist, wenn drahtlos ausgestattete Geräte sich auch auf dem Firmengelände nie direkt über Kabel ins Firmennetz gehen, sondern sich immer nur mit einem Access Point verbinden können, der logisch außerhalb des Firmennetzes angesiedelt ist. Diese Mitarbeiter arbeiten dann auch im Arbeitsplatz so, als wären sie auf Reisen. Wenn eine entsprechende VPN- oder Terminalserver-Funktionalität implementiert wurde, so muss dies keine Einschränkung der Arbeitsmöglichkeiten darstellen.

 

 

 

Bluetooth

Bluetooth ist ein extrem vielseitiges Protokoll. Es kann ganz ohne Sicherheit oder mit sehr viel Sicherheit betrieben werden, ja nach Bedarf. Die Entscheidung darüber liegt aber leider nicht beim Benutzer, sondern der Hersteller des Geräts entscheidet dies bereits. Zwei ganz unterschiedliche Anwendungen von Bluetooth sind einmal die Kopplung zweier Geräte wie Handy und Ohrwaschl oder Handy und Freisprecheinrichtung (nämlich direkte Gerätekommunikation ohne IP-Adresse) und andererseits der Einsatz von Bluetooth mit IP-Adresse, z.B. als Alternative für einen WLAN-Hotspot.

Wenn ein Bluetooth-Gerät nur für die erste Funktionalität konfiguriert ist, so können schlimmstenfalls die lokalen Daten des Gerätes ausgelesen werden, z.B. Adressbuch, Termine, E-Mails. Wenn aber eine IP-Funktionalität konfiguriert ist, so kann über dieses Gerät auch auf andere Netze zugegriffen werden.

Eine spezielle Problematik von Bluetooth-Geräten ist das Pairing, d.h. eine gegenseitige Authentisierung und Freischaltung der Kommunikation zwischen 2 Geräten. Aus Benutzerbequemlichkeit werden die meisten Pairings permanent gemacht, d.h. 2 Geräte, die irgendwann mal durch ein solches Pairing miteinander verbunden wurden (durch das Eintippen der gleichen PIN) haben ein permanentes Vertrauensverhältnis untereinander. Da das Flirten mittels Bluetooth in einigen Ländern bereits zu einem Sport in öffentlichen Verkehrsmitteln geworden ist, besteht das Risiko das auf diese Weise erworbene Pairings auch für andere Zwecke ausgenutzt werden.

Eine spezielle Bedrohung für Handys, speziell solche mit Bluetooth, sind Social Engineering Angriffe, wobei z.B. der Download eines Videos oder Spieles in einem öffentlichen Hotspot angeboten wird, in Wirklichkeit jedoch eine Schadsoftware installiert wird. Hier ein Artikel zu Werbung über Bluetooth.

Aug. 2008:
2 gründliche Texte zu Bluetooth-Sicherheit: NIST SP 800-121 - Guide to Bluetooth Security (Draft) (pdf) und Bluetooth Security-Mechanismen und potentielle Schwachstellen(pdf).

Juni 2012:
Der Artikel Bluetooth – ein sicherer Standard?, erschienen auf botfrei.de, klärt über Nutzen und Risiken der etablierten Funktechnik auf, zeigt beispielhaft Anwendungen und gibt Ratschläge zur sicheren Nutzung. Die wichtigsten Sicherheitshinweise für mobiles Telefonieren und mobiles Internet sind darüber hinaus auf der Website BSI FUER BUERGER im Kapitel Basisschutz für Handy, Smartphone und Co. nachzulesen.

2016:
Smart Home: Bluetooth-Schlösser senden Passwort im Klartext und Bluetooth 5- Funkleistung wird verzehnfacht. Letzeres klingt wie eine gute Nachricht, aber nicht, wenn auf diese Weise Kriminelle auf noch größere Entfernung den geheimen Schlüssel zu ihrer Wohnung oder ihrem Fahrzeug mitschneiden können.

 

 

 

Blackberry

Blackberry-Geräte stellen einen Spezialfall dar. Sie verbinden einen eingeschränkten Zugriff zu E-Mail, Terminen und Browsen im Internet in Verbindung mit einem ausgereiften Sicherheitskonzept (wenn korrekt implementiert). Ihr starker Vorteil ist die im Vergleich mit PDAs und Smartphones (z.B. iPhone) zentrale Administrierbarkeit. Im Gegensatz zu ersteren Geräte sind Blackberrys von vorn herein für den Einsatz in Unternehmen konzipiert, die Administrierbarkeit der anderen Geräte ist auf Selbst-Administration durch den Privatkunden ausgerichtet und oft kaum einschränkbar. Dies ist bei dem Einsatz im Unternehmen oft ein Nachteil.

Das Fraunhofer Institut für Secure Information Technologie hat im Auftrag von RIM eine Sicherheitsanalyse des Blackberry (pdf) durchgeführt und positiv beschieden. Sie weisen in Bericht auch darauf hin, wie Firmen die Sicherheit weiter verbessern können.

Hier der BlackBerry Hardening Guide der australischen Armee, ein Best Practices for BlackBerry Administrators, Best Practices of Deploying and Maintaining BlackBerry for Microsoft Exchange und von RIM selbst Documentation for Administrators.

 

Aktualisierung August 2010: Große Dikussion und Verwirrung zu Blackberry und RIM. Etliche Regierungen verlangen von RIM Zugriff auf Emails und andere Inhalte die mittels Blackberry ausgetauscht werden. Die Details sind nicht ganz klar, aber so wie es aussieht besteht kein Problem, auf die Emails der privat-genutzten Blackberrys zuzugreifen. Diese Inhalte sind nicht verschlüsselt und die Server stehen bei den jeweiligen Telefonanbietern.

Technisch kaum zu realisieren sind Zugriffe der Behörden zu den Mails der Firmen, die die Enterprise-Lösung mit einem eigenen Server (BES) und einer eigenen Schlüsselverwaltung. Hier Zitate aus dem Wallstreet-Journal:

    In a statement issued Thursday, RIM outlined its guidelines for how far it is willing to go in helping carriers meet surveillance needs. RIM said it will only help carriers meet strict national-security rules, won't provide more access than its competitors already do and won't alter the security architecture of its corporate email servers in response to government needs.
    According to minutes taken by the Indian side, the parties discussed whether RIM could provide "metadata" from encrypted corporate emails—information such as the email's sender and recipient and the time sent. "After some persuasion, the [RIM] representative agreed that they can provide the metadata of the message," according to an Indian summary of one discussion.

Auch techrepublic.com ist verwirrt ob und wie die Blackberry-Emails (private und oder Enterprise) nun wirklich verschlüsselt sind: Research in Motion: Trying to have it both ways und Bruce Schneier auch. futureoftheinternet.org geht wohl davon aus, dass Enterprise-Kunden immer noch sicher sind.

 

 

 

Was ist die optimale Lösung für IHR Unternehmen?

Was für Sie die optimale Lösung ist, hängt von einer Reihe von Faktoren ab, z.B. welche Geschäftsprozesse wollen Sie mit den mobilen Lösungen unterstützen, was ist die Region, in der Ihre Mitarbeiter unterwegs sind, und vielen anderen. Eine optimale Lösung für Ihr Unternehmen kann nach einer Betrachtung des Risikos erstellt werden.

 

 

 

Smartphones als Spyphones

Der Artikel How iPhones Are Being Turned Into Nasty Spyphones stellt dar, dass eine überraschend große Zahl von kommerziellen Angeboten existiert mit deren Hilfe eine Spionage-Funktionalität in ein iOS-Gerät integriert wird (z.B. SpyEra, SpyBubble and StealthGenie). Solche Software ist für viele Betriebssysteme verfügbar, aber die Forscher waren überrascht, dass 51% der Fälle die sich gefunden hatten iOS betraf.

Diese Software sind keine Apps die dem eigentlichen Benutzer des Geräts sichtbar wären, sondern das ist Software, für die zuerst ein Jail-Break durchführt und sich dann so in das jeweilige Betriebssystem hängt, dass es Zugriff zu Mails, Gesprächen, SMS, Geo-Koordiaten, etc. hat. Offiziell wird das für Überwachungen in der Familie gekauft, aber die Forscher sagen, dass vor allem bei den iPhones vor allem Firmenhandys ausspioniert werden. Der Angreifer braucht für eine kurze Zeit physischen Zugriff zum Gerät.

 

Korrekturen bei der angeblichen Trojaner Flut bei Android

August 2012: Ein Artikel in heise berichtet über einen Dissenz zwischen Kaspersky und F-Secure. Kaspersky berichtet für das 2.Quartal 2012 über 14000 neue Android Trojaner, F-Secure sagt, dass es sich bei "nur" um Varianten von 40 Trojanern handelt. Die Differenz ergibt sich daraus, dass für Kaspersky eine neue Version vorliegt, wenn auch nur 1 Byte im Code anders ist, d.h. wann immer sie eine neue Signatur erstellen müssen.

Die angebliche Trojaner Flut bei Android
Quelle: heise.de - Klick bringt große Version

Das zeigt aber wieder einmal die Schwächen der herkömmlichen Signatur-Methode bei der Malware-Erkennung, die auch von anderen kritisiert wird.

Anderseits ist das alles kein Grund zur Entspannung, der Bericht Mobile Sicherheit 2012 von Lookout berichtet über ein floriendes Ökosystem mit vielen Millionen Umsatz im Bereich der Smartphones. Die ertragreichste Quelle ist derzeit mit großen Abstand der Tool Fraud mit Premium SMS, vor allem in Osteuropa und Russland, zum Teil aber auch in Westeuropa. Der sehr empfehlenswerte Bericht zeigt die Mechanismen dieses Betrugs auf, erklärt aber auch wie die Angreifer durch das "Pushen" von Apps im Rahmen des ganzen "App-Ökosystems" mit App-Promotern sehr gut Geld machen können. Und am Ende erklärt der Bericht, wie der Einzelne sich besser schützen kann.

Große Frage: Brauchen Smartphones einen Schutz gegen Malware? Eigentlich ja, aber rein praktisch können diese derzeit verfügbaren Lösungen ihre Aufgabe nicht sinnvoll erfüllen. Das liegt unter anderem am Sicherheitskonzept von Android, Phone 7 und iOS, dem Sandboxing, das die Apps voneinander abschirmt. Und diese Abschirmung verhindert auch das Scannen der anderen Apps auf dem Gerät (außer das Gerät hätte ein Jail-break / Rooting, aber dann ist die Sicherheit eh futsch).

April 2015: Es wird nicht wirklich besser: Symantec stuft 17 Prozent aller Android-Apps als Malware ein.

 


Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.