Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

11.08.2000 - 

Interview mit Mikko Hyppönen, CTO von F-Secure

"Virenschutz für WAP greift heute nur bei Servern und Gateways"

CW-Bericht, Frank Niemann

CW: Müssen sich WAP-Handy-Nutzer schon heute über Viren Sorgen machen?

Hyppönen: Was bei WAP fehlt, ist Content-Sicherheit. Die Entwicklungen wurden von Firmen vorangetrieben, die sich bisher fast ausschließlich mit Sprachkommunikation beschäftigt haben. Doch die Anwender laden sich Programme und Daten auf ihre Mobiltelefone herunter, in denen Viren versteckt sein können. Wir haben bisher noch keinen solchen Virus gesehen, doch wir wollen vorbereitet sein. Hätten wir und andere Anbieter bereits vor 15 Jahren Antivirenprogramme für PCs entwickelt, wäre die Situation bei der Desktop-Sicherheit auch eine andere. Heute müssen wir viel Aufwand treiben, um mit den Entwicklern von PC-Viren mitzuhalten.

CW: Was verstehen Sie unter Content-Security?

Hyppönen: Wir entwickeln Filter, die in Wireless Markup Language (WML) beziehungsweise der Scriptsprache WMLS erstellte Inhalte untersuchen, die der Nutzer von einem WAP-Server lädt. Die Server oder WAP-Gateways beispielsweise von HP, Nokia und Ericsson verfügen über keine Filterfunktionen.

CW: Was könnten Viren auf WAP-Handys anrichten?

Hyppönen: WML-Scripts haben Zugriff auf das Adressbuch im Handy, können Short-Message-Service-(SMS-)Nachrichten versenden oder Telefonverbindungen aufbauen. Bösartige WML-Scripts vermögen einigen Schaden anzurichten. Beispielsweise könnte ein Wurm eine SMS an alle im Adressbuch eingetragenen Benutzer schicken und sie damit auf die WAP-Seite locken, die den Virus enthält. Er könnte Anrufe tätigen, die Sie bezahlen müssten, Einträge im Adressbuch ändern oder löschen.

CW: Sind solche WAP-Gateways sicherer, die nicht bei einem Netzbetreiber, sondern beispielsweise bei einer Bank stehen?

Hyppönen: Ein privates Gateway sollte mehr Sicherheit bieten, wenn Sie beispielsweise darüber nur Banktransaktionen abwickeln können. Doch auch hier kann es zu Problemen kommen. Multiplattformviren, die nicht nur Windows-PCs angreifen, sondern auch WAP-Telefone, könnten auf Rechnern nach WML-Dateien suchen und diese dann modifizieren. Wenn ein solcher Virus dann die Workstation befällt, mit der die Bank die WAP-Seiten pflegt, nützt auch das eigene Gateway wenig.

CW: Gibt es auch Sicherheitsmechanismen für die Endgeräte?

Hyppönen: Alles, was wir tun, spielt sich auf den Servern ab, die bei Carriern oder Internet-Service-Providern stehen. Wir würden es sehr begrüßen, wenn es möglich wäre, Virenscanner für WAP-Handys zu schreiben. Doch die heutigen Geräte verfügen weder über den erforderlichen Speicher noch über die Prozessorleistung, die dafür nötig wäre. In zwei bis drei Jahren könnte sich dies aber geändert haben.

CW: Wie gefährdet sind denn die Systeme, auf die der Handy-User über das WAP-Gateway zugreift, beispielsweise firmeneigene Datenbanken oder Customer-Relationship-Management-Software?

Hyppönen: Um diese Systeme machen wir uns weniger Sorgen, da sie durch Firewalls sowie Virtual Private Networks (VPNs) ganz gut geschützt sind.

ProphylaxeViren, die WAP-Handys befallen, gibt es offenbar noch keine, doch schon haben Sicherheitsspezialisten Lösungen parat, die der potenziellen Gefahr entgegenwirken sollen. Die Anbieter wollen gerüstet sein, wenn die ersten Störprogramme aufkommen. Zu den Herstellern von WAP-Sicherheits-Tools zählt die finnische Firma F-Secure.