Mobile Security

Die größten Sicherheitsrisiken im Umgang mit Handys

05.12.2008 von Katharina Friedmann
Handys, Smartphones, PDAs und Co. - die funktionsreichen Rechenzwerge für unterwegs bergen mehr Sicherheitsrisiken als Laptops. Lesen Sie, wovor sich Mobile User hüten sollten.

Das von Handys, Smartphones und PDAs ausgehende Risiko ist auf zwei Faktoren zurückzuführen: Zum einen gehen Nutzer mit den handlichen Mobilgeräten in der Regel nachlässiger um als mit ihren Notebooks, zum anderen sind Sicherheitsvorkehrungen wie Verschlüsselung und Virenschutz auf den mobilen Rechenzwergen noch nicht so verbreitet wie etwa auf Laptops. IT-Sicherheitsverantwortliche sind sich dessen offenbar bewusst, wie eine Untersuchung von Credant Technologies zeigt. Demnach halten 94 Prozent der 300 befragten IT-Security-Verantwortlichen diese Mobilgeräte für ein größeres Sicherheitsrisiko als etwa mobile Speichermedien (88 Prozent) oder Notebooks (79 Prozent). Eine 2007 unter anderem von der National Cyber Security Alliance (CSIA) initiierte, weltweite Umfrage unter 700 mobilen Anwendern bekräftigt dies. Demzufolge räumten 73 Prozent der Teilnehmer ein, nicht sicher zu sein, wo die mobilen Sicherheitsrisiken liegen, und auch hinsichtlich der Best Practices beim Arbeiten unterwegs nicht im Bild zu sein. Nahezu 30 Prozent gaben zu, mobile Sicherheitsrisiken "kaum jemals" zu berücksichtigen und keine Präventivmaßnahmen zu treffen.

Die COMPUTERWOCHE-Schwesterpublikation "CSO" hat die gröbsten "Sicherheitsvergehen" auf Seiten der Nutzer aufgelistet - darunter Fehler, die sich mobile Anwender mit ihren Notebooks nicht leisten würden.

1. Auf das Handy-Passwort verzichten

Die grundlegendste Sicherheitsvorkehrung und erste Verteidigungslinie für mobile Devices, das Passwort, ist für mobile Anwender offenbar alles andere als selbstverständlich: Im Rahmen der erwähnten Credant-Erhebung gab jeder zweite (56 Prozent) befragte IT-Security-Verantwortliche zu, bei seinem eigenen Mobilgerät oder Smartphone nicht immer ein Kennwort zu verwenden. So werden aus abhandengekommenen Mobilgeräten gefährliche Mobilgeräte. Und weil sie klein und leicht sind, werden Handys häufiger verlegt oder gestohlen als Laptops: So wurden etwa nach einer Erhebung von Pointsec (jetzt Check Point) in Chicago allein im Jahr 2005 in einem Zeitraum von sechs Monaten 85.000 Mobiltelefone sowie 21.000 PDAs und Smartphones, in London 63.000 Handys und 5.800 PDAs in Taxis liegen gelassen.

Das Deaktivieren der Passwortabfrage - wie etwa bei Apples iPhone möglich - ist riskant.
Foto: areamobile

Unternehmen investieren Milliarden in Informationssicherheit, riskieren aber Hacking und Sabotage, indem sie den unkontrollierten Zugriff auf mobile Endgeräte zulassen. Abhilfe können Firmen schaffen, indem sie kritische Inhalte auf abhandengekommenen Handys mittels Management-Software aus der Ferne sperren oder löschen. Ein proaktiver Ansatz, um Nutzer vor sich selbst schützen: Security-Policies für Mobilgeräte und Applikationen etablieren und durchsetzen. Dazu zählen etwa Richtlinien, die starke Gerätepasswörter zum Entsperren eines brachliegenden Telefons fordern.

2. Das Smartphone als "Kennwort-Reminder" nutzen

Mobiltelefone werden zunehmend als Minicomputer genutzt. Entsprechend befinden sich dort mittlerweile alle möglichen Arten von Informationen - beispielsweise Server- und andere Passwörter, die offen einsehbar in Lotus Notes oder unter "Kontakte" abgelegt sind. Bei einer globalen Umfrage des auf Mobile Security spezialisierten Anbieters Mformation unter 500 CIOs gab mehr als die Hälfte der Befragten an, dass sich technische Produkt- und Vertriebsinformationen sowie Kundendetails auf den (häufig privaten) Handys ihrer Mitarbeiter befinden. Über eine genaue Aufstellung der dort vorgehaltenen Daten verfügten indes nur zwölf Prozent der Unternehmen.

Ein sicherer Aufbewahrungsort für Passwörter ist beispielsweise der "Mobilesitter" des Fraunhofer SIT.
Foto: TeleTrusT Deutschland

Noch schlimmer: Meist liegen diese kritischen Firmeninformationen auf ungesicherten Geräten. Laut McAfees "Mobile Security Report 2008" nutzen 79 Prozent der mobilen Privatanwender wissentlich ungeschützte Devices, weitere 15 Prozent sind sich über den Sicherheitsstatus ihres Mobilgeräts nicht im Klaren. Um Informationen auch dann schützen zu können, wenn die Nutzer nicht so umsichtig sind, wie sie sein sollten, müssen entsprechende Security-Policies auf Mobilgeräten durchgesetzt werden.

3. Mobile Applikationen aus unsicherer Quelle öffnen

Auf Symbian-Handys werden Applikationen bei der Installation auf ein Zertifikat überprüft.
Foto: Nokia

Ohne mobile Anwendungen und Inhalte - von Messaging und E-Mail über Spiele und Geschäftsapplikationen bis hin zu Produktivitätssoftware - ist ein Mobilgerät im Prinzip nicht mehr als ein Telefon. Daher werden ständig neue Spezialanwendungen entwickelt - allerdings bei weitem nicht alle gleich gut. Das Herunterladen oder Öffnen einer "schädlichen" oder auch nur schlecht konstruierten Applikation kann viele Probleme hervorrufen.

Auch hier gilt es für Unternehmen, mittels Sicherheitsrichtlinien sicherzustellen, dass ausschließlich autorisierte Applikationen auf die Mobilgeräte ihrer Mitarbeiter geladen werden können.

4. Mit dem Handy riskante Websites besuchen

Das Gros der Mobiltelefone ermöglicht den Zugriff aufs Internet. Was bedeutet, dass Handy-Nutzer ebenso leicht auf gefährliche Websites oder an riskanten Content geraten können wie PC-Anwender. Jeder weiß, welchen Schaden bösartige Web-Seiten auf einem Desktop anrichten können - vom Systemabsturz durch Malware bis hin zu unerbetenen Inhalten, die den Rechner zur Schnecke machen. Davon sind mittlerweile auch Mobiltelefone betroffen.

Das Risiko, unangebrachte beziehungsweise unerwünschte Inhalte oder gefälschte Rechnungen zu erhalten sowie Datenverluste zu erleiden, macht laut McAfee-Report mittlerweile rund 86 Prozent der Mobilanwender Sorgen. Auch musste sich weltweit immerhin einer von sieben Nutzern schon einmal mit einem mobilen Virus herumschlagen. Um sich gegen solche Gefahren zu wappnen, müssen mobile Privatanwender wie Unternehmen unerbetene Inhalte blockieren und infizierte Mobilgeräte schnell und vollständig bereinigen können.

5. Mobiltelefone mit offenen oder ungesicherten Bluetooth- und WLAN-Verbindungen

Einige der gängigsten mobilen Viren und Würmer machen sich ungesicherte Bluetooth-Verbindungen zunutze, um in Mobilgeräte einzudringen oder sich auf weitere Devices zu verbreiten. So etwa die beiden bekanntesten Schädlinge "Cabir" und "CommWarrior" samt Varianten. Angriffe auf Mobiltelefone via WLAN-Verbindung wiederum wurden bislang noch keine gemeldet, was sich Experteneinschätzungen zufolge allerdings ändern dürfte, sobald mehr Mobilgeräte diese Verbindung nutzen.

Schmuggelt sich via ungesicherte Bluetooth-Verbindungen ins Handy: der Cabir-Virus.

Darüber hinaus können Außenstehende offene ungesicherte Verbindungen kapern, um in das Firmennetz einzudringen, und Schaden an Systemen und Daten anrichten. Eine Möglichkeit, Firmendaten und -Assets vor externen Angriffen dieser Art zu schützen, sind Policies, die den Zugriff auf bestimmte Handy-Funktionen (etwa WLAN oder Bluetooth) nur unter gewissen Umständen zulassen.

Fazit

Mobiltelefone werden für Unternehmen immer wichtiger. Deshalb sollten Anwender mit ihren Handys, Smartphones und PDAs ebenso sorgfältig umgehen wie mit ihren Laptops. Nur so lassen sich die zunehmend mächtigen Rechenzwerge und die dort immer häufiger untergebrachten sensiblen Daten angemessen schützen. Die Einführung entsprechender Sicherheitsrichtlinien beziehungsweise Remote-Management-Unterstützung für alle mobilen Mitarbeiter sind Schritte in die richtige Richtung.