Mobile Zielscheibe

09.11.2006 von xyz 
Wer stets online ist, ist auch ständig ein potenzielles Ziel von Hackerattacken. Vor allem Unternehmen brauchen massive mehrstufige Schutzmechanismen, wenn ihre Mitarbeiter von außen auf firmeneigene Datennetze zugreifen.

Zuerst die schlechte Nachricht: Alle Probleme, die wir aus dem Internet kennen, seien es Viren, Würmer, Trojanische Pferde, Denial-of-Service-Angriffe und Ähnliches, werden wir künftig auch auf mobilen Endgeräten, ob Handys oder Smartphones, erleben. Und die gute Nachricht: Die meisten Sicherheitsprobleme, mit denen eine "Always-on"-Gesellschaft zu kämpfen haben wird, kennen wir schon. Daher birgt der Mobilfunk für Sicherheitsexperten keine unwägbaren Gefahren.

Im Gegenteil: Massenattacken von Viren, die in immer schnelleren Abständen ganze Firmen und Millionen von Privat-PCs lahmlegen, weil alle das gleiche Betriebssystem nutzen, werden deutlich weniger Schaden anrichten, "denn anders als für die PC-Welt gibt es für mobile Endgeräte keine einheitliche Plattform", erklärt Dr. Stephan Lechner, als Fachbereichsleiter bei Siemens Corporate Technology für die Sicherheit der Informationstechnik zuständig.

Selbst nach der erwarteten Marktkonsolidierung für Handysysteme gehen Experten für die nächsten Jahre von mindestens drei bis fünf verschiedenen Herstellern aus. Deren Betriebssysteme - etwa Windows CE, Palm oder Symbian - sind den Hackern allerdings bestens bekannt.

Auf Worst-Case vorbereitet

Virenangriffe könnten also theoretisch etwa 20 bis 25 Prozent aller Handys treffen. Bisher müssen Viren bei Handys spezielle, typenbedingte Schwachstellen ausnutzen. Der Handy-Virus Cabir, der im Frühsommer 2004 grassierte, nutzte zum Beispiel eine Schwachstelle bei der drahtlosen Übertragungstechnologie Bluetooth aus. Betroffen waren nur vier Handytypen eines Herstellers, bei denen zudem Bluetooth aktiviert sein musste. Während bei diesem Virus lediglich der Schriftzug "Cabir" auf den befallenen Handys erschien, ist der potenzielle Schaden von Handyviren grundsätzlich nicht voraussehbar. So könnten sie etwa die Anzeigen auf Displays einfrieren, Anrufe auf kostenpflichtige Nummern auslösen oder das massenhafte Versenden von SMS in Gang setzen.

Technische Lösungen sind vorhanden

"Hacker brauchen viele Informationen über die Handys oder Smartphones, die sie angreifen wollen", sagt Otmar Knoller von Siemens Communications. Welche Software ist geladen, welche Protokolle werden unterstützt? Wenn ein Nutzer etwa im Büro sein mobiles Endgerät in den PC stöpselt, um Daten zu synchronisieren, stellt er damit eine neue, schlimmstenfalls ungeschützte Verbindung zum internen Datennetz her, die die Firewall umgeht. Genau in diesem Moment könnte ein Hacker unerlaubten Zugang zum Intranet erhalten, oder ein Wurm könnte vom Handy aufs Intranet überspringen. Eine Horrorvorstellung für Unternehmen, die aber nach Ansicht des Sicherheitsexperten Lechner derzeit rein hypothetisch ist. "Der Hacker bräuchte nicht nur alle technischen Informationen, er müsste auch genau wissen, wann welche Person ihre Daten mit dem PC synchronisiert und zu welchen Daten sie über das Intranet Zugang hat", meint Lechner.

Ferner wird in diesem Szenario davon ausgegangen, dass zum Zeitpunkt der Synchronisation keinerlei Sicherheitsmechanismen vorhanden sind.

Tatsächlich kennt die technische Avantgarde viele solcher "Worst-Case"-Szenarios. Für die meisten gibt es aber bereits Lösungen. Derzeit bieten zwar nur wenige Hersteller Firewalls für mobile Endgeräte an. Doch sobald in einigen Jahren Handys mit schnellem Internetzugang massenhaft verbreitet sind, wird der Nutzer - wie jetzt für den PC - dann auch fürs Handy verschiedenste Sicherheitslösungen wählen können. Mobile Personal Firewalls schotten das Endgerät ab. Firmen legen zentral in einem Profil fest, welche Anwendungen für welche Nutzer zugelassen werden. Private Nutzer hingegen dürften mit der Einstellung eines komplexen Sicherheitsprofils für ihr Handy überfordert sein. Für sie wird es standardisierte Profile geben.

Sicherer Tunnel

Zudem werden sogenannte Virtual Private Networks (VPN) technisch möglich sein. Der Datentransfer, etwa vom Handy zum Server der Firma, findet dann in einem geschützten "Tunnel" im Internet statt - was zusammen mit einer starken Authentisierung heute der Königsweg für Sicherheit in der mobilen Internet-Kommunikation ist. Egal ob eine Anbindung von außen ins Intranet oder Voice-over-IP-Telefonie: Mit VPN lassen sich sensible Daten sicher übertragen. Dabei wird zwischen einem speziellen Sicherheitsserver der Firma und dem mobilen Endgerät eine virtuelle Verbindung etabliert, durch die alle Sicherheitsverhandlungen laufen und schließlich auch die Nutzdaten verschlüsselt übertragen werden.

Das Sicherheitsbewusstsein der mobilen Nutzer ist derzeit allerdings eher gering. Wer über WLAN-Zugänge an öffentlichen Orten wie Hotels, Flughäfen und Cafés ins Netz geht, ohne die empfohlenen Sicherheitsfeatures zu aktivieren, kann leicht ausspioniert werden. Denn bisher bieten die drahtlosen Netze oft nur eine Standardverschlüsselung der Datenpakete mit einer Schlüssellänge von 40 Bit an. Je länger ein Schlüssel ist, desto sicherer ist er, wobei sich mit jedem zusätzlichen Bit die Anzahl der möglichen Schlüssel verdoppelt, die ein Hacker ausprobieren müsste.

Der Standard für eine hohe Sicherheit liegt derzeit bei 128 Bit und darüber. In diesen Fällen ist dann die Zeit zu lang, die ein Hacker bräuchte, um mit spezieller Software alle Kombinationsmöglichkeiten auszutesten: Bevor die Software den richtigen Schlüssel gefunden hat, ist dieser meistens bereits geändert.

Automatisierte Sicherheit

Bisher riskiert der private Nutzer offener WLANs allerdings kaum mehr, als dass jemand seine privaten E-Mails liest. Bei wirklich heiklen Transaktionen wie Online-Banking sind die Kunden sowieso durch sogenannte End-to-End-Verschlüsselungen und starke Authentisierung durch PIN- und TAN-Codes geschützt. Dabei werden die Daten nach der Eingabe in das Endgerät verschlüsselt und erst in der Rechenzentrale der Bank entschlüsselt. Solche Sicherheitsvorkehrungen aktiviert der Browser automatisch, wenn die Banking-Seite geöffnet wird.

Genau solche Automatismen sollen auch die Nutzer von mobilen Multimedia-Geräten schützen. "Siemens vertritt die Philosophie, dass die Sicherheit in den Produkten liegen muss und nicht nur vom Bewusstsein der Kunden abhängen darf", erklärt Lechner. Wie die Erfahrung zeigt, machen sich nämlich private Nutzer, aber auch viele kleinere Firmen, kaum die Mühe, den Schutz ihres Internetzugangs - ob mobil oder zu Hause - immer auf dem aktuellen Stand zu halten. Eine Lösung sind etwa automatisch und gesichert zugesandte Updates einer einmal gekauften Security-Software. So könnten auch Smartphones vor Virenattacken geschützt werden.

Völlige Sicherheit wird aber weder technisch noch organisatorisch möglich sein: "Stellen Sie sich vor, Sie sitzen mit Ihrem Notebook im Flugzeug und kommunizieren über eine VPN-Internetverbindung mit dem Marketingvorstand über geheime Strategien. Dann haben Sie zwar eine sichere Kommunikationsverbindung, aber derjenige, der hinter Ihnen sitzt, kann bequem alles verfolgen, was sich auf Ihrem Bildschirm abspielt", warnt Lechner.

(Quelle: Pictures of the Future/ Marzena Fiok)