Mobile Bedrohungen

Angriff! Hilft Mobile Security?

Mobile Security wird die Unternehmen auch 2012 beschäftigen. Die Experten sind sich jedoch nicht einig: wie viel Panikmache ist im Spiel? Und ist Sicherheit mobiler Endgeräte möglich oder scheitert sie letztlich an dem schwächsten Glied der Kette, dem Anwender?

---

Auf die ketzerische Frage, inwiefern Sicherheit mobiler Endgeräte überhaupt gewährleistet werden kann, fallen die Antworten der befragten Unternehmensvertreter sehr unterschiedlich aus. Michael Klatte, Sicherheitsexperte von Eset Deutschland, geht grundsätzlich davon aus, dass die Sicherheit mobiler Geräte ebenso wie am PC möglich ist. Er räumt ein: „Dazu muss aber jeder seine Hausaufgaben machen. Hersteller von Betriebssystemen und Apps sind aufgerufen, ihre Produkte möglichst sicher zu programmieren. Auch die schnelle Reaktion auf bekannt gewordene Sicherheitslücken zählt dazu.“ Außerdem fordert er, dass die Betreiber von App Stores stärker als bisher die aufgenommenen Anwendungen überprüfen und nur saubere Programme anbieten sollten. Für Anwender bedeute dies den Einsatz von Sicherheitslösungen und die kontinuierliche Pflege von Betriebssystem und Programmen. Bei näherer Betrachtung betont er also diverse Voraussetzungen, die letztendlich dazu führen, dass mobile Geräte genauso sicher wie ein PC werden.

Christof Baumgärtner, Country Manager DACH bei MobileIron, beschreibt in seiner Antwort hauptsächlich das Angebot seines Unternehmens und vermeidet eine klare Beantwortung der Frage: „Viele der großen Kunden von MobileIron haben mittlerweile 10.000 oder noch mehr iOS-Geräte installiert. Unsere Lösung überwacht u.a. die Verschlüsselung und setzt Passwortrichtlinien durch.“ Weiterhin gehören zu dem Funktionsumfang unter anderem die Kontrolle der Applikationen und des Netzwerkzugangs.

Eine bis hierhin durchaus positive Einschätzung der aktuellen Situation. Etwas skeptischer beurteilt jedoch Kevin Mahaffey, CTO und Gründer von Lookout, die Lage: „Absolute Sicherheit gibt es in keinem System. Jeder Nutzer kann jedoch einige wichtige Schritte unternehmen, um seine Sicherheit deutlich zu erhöhen.“ Klartext spricht Wolfgang Straßer, Experte für IT-Risk und -Sicherheit und Geschäftsführer der @-yet GmbH: „Die Smartphones und Pads der meisten Hersteller sind technisch nur sehr schwer bis gar nicht sicher zu machen. Ich spreche hier nicht von 100-Prozent-Szenarien und neige auch nicht zu Paranoia oder Panikmache, aber die Situation ist wirklich sehr schlecht und ich sehe derzeit kaum Fortschritte. Auch Produkte von Drittanbietern, zum Beispiel ‚Container-Lösungen’ zur Sicherung von Daten, haben sich in unseren Tests zumeist als völlig unzureichend erwiesen – schlampig programmiert und somit sehr löchrig sowie angreifbar.“

Wer hat die Nase vorn?

Der wichtigste Unterschied zwischen mobilen Endgeräten liegt in den verwendeten Betriebssystemen. Nur zwei der befragten Experten entscheiden sich für ein Betriebssystem als das sicherste. Udo Schneider, Solution Architect EMEA bei Trend Micro, schätzt die Lage folgendermaßen ein: „Bei iOS handelt es sich um ein geschlossenes Ökosystem, in dem Apple die Hardware, das Bestriebssystem und den App Store kontrolliert. Gerade weil Apple an jeder Applikation, die über den App Store verkauft wird, 30 Prozent verdient, ist es Apples ureigenstes Interesse, den Müll draußen zu halten – was bisher auch von Erfolg gekrönt war. Durch dieses komplett geschlossene und abgeschottete Universum ist iOS bisher sicherer.“  Ähnlich beurteilt Michael Klatte von Eset die Lage: „Das iOS-Betriebssystem scheint im Moment das sicherste Betriebssystem für mobile Geräte zu sein. Apple erkannte schnell, dass das Thema Sicherheit für den Verkauf ihrer Geräte von enormer Wichtigkeit ist. Das geschlossene System macht es Angreifern sehr schwer, einen geeigneten Ansatzpunkt zu finden. Der App Store sortiert Anwendungen rigoros aus, die als nicht sauber gelten. Sicherheitslücken schließt Apple zudem rasch. Dies zusammen macht es Angreifern schwer, einen geeigneten Ansatzpunkt zu finden. Das Ausweichen auf einfachere Opfer wie Android ist die logische Konsequenz.“

Wolfgang Straßer möchte keinem der Betriebssysteme eine herausragende Stellung attestieren und bringt die entscheidenden Unterschiede zwischen Apple und Google folgendermaßen auf den Punkt: „Offene Systeme wie Android sind extrem leicht zu manipulieren, aber im Gegenzug können Schwachstellen schneller behoben werden. Geschlossene Systeme bieten einen besseren Schutz gegen unbefugte Zugriffe. Dafür ist im Umkehrschluss der Anwender darauf angewiesen, dass der Hersteller beim Auftreten einer neuen Sicherheitslücke entsprechend zeitnah reagiert.“ Zurückhaltend formuliert er weiter: „Ich bin der Ansicht, dass dem Bedarf der Kunden nach Sicherheit bei RIM eine hohe Priorität eingeräumt wird, was sich auch in den beträchtlichen Investitionen des Herstellers sowohl mit Blick auf das sichere Design der Geräte, als auch die Software betreffend widerspiegelt.“

RIM liegt demnach eine Nasenspitze weiter vorn. Kevin Mahaffey von Lookout hält dagegen ein Urteil für verfrüht: „Sowohl für Android als auch für iOS nehmen die Sicherheitsprobleme zu. Beide arbeiten daran, ihre Kunden zu schützen. Der Weg, den sie dabei einschlagen, entscheidet darüber, wie sich die Risiken entwickeln.“ Sowohl Symbian als auch Windows Mobile finden bei den Experten entweder gar keine Erwähnung oder sie werden wie von Michael Klatte in wenigen Worten abgehandelt: „Durch die geringe Verbreitung von Symbian und Windows Mobile stellen sie für die Cyberkriminellen einfach kein lohnendes Ziel dar.“

Angriff der Apps!

Apps spielen als mögliche Bedrohung mobiler Endgeräte eine immer größere Rolle. Udo Schneider von Trend Micro sagt hierzu: „Aktuell gehen wir für Android im Dezember 2012 von über 129.000 Android-Schädlingen aus. Das Risiko ist weniger technisch, das heißt, es wird technisch nicht schlimmer, als es jetzt schon ist, vielmehr wird der Schaden, einfach aufgrund der Anzahl der verkauften Geräte größer.“ Zu beachten ist hierbei, dass die meisten Apps Zugriff auf Telefondaten und weitere Zugriffsrechte verlangen, insofern besteht fast bei jeder App ein Risikio. Michael Klatte beschreibt die von ihm in Zukunft erwarteten Bedrohungsszenarien in Bezug auf Apps folgendermaßen: „Apps könnten der Dreh- und Angelpunkt für die Infektion von mobilen Geräten werden. Über sie lässt sich die gesamte Malware-Bandbreite auf Smartphones abbilden. Vom Diebstahl der Kontodaten bis hin zur Integration eines Gerätes in ein Botnet ist alles realisierbar. Die Applikationen besitzen dabei jeweils ein anderes Gesicht. Fake-Apps sind Malware mit einem angeblichen Nutzwert. Andere Applikationen erscheinen im Gewand eines populären Programms und sind als wiederverpackte Apps mit Malware bestückt. Letzlich ist die in vielen Gratis-Apps vorhandene Werbung das Einfallstor von Schädlingen.“

Christof Baumgärtner von MobileIron sieht vor allem die Sicherheitsanbieter in der Pflicht. Er unterscheidet grundsätzlich drei Szenarien: „1. Consumer-Apps, die auf Unternehmensdaten zugreifen können. 2. Interne Apps mit Zugriff auf Unternehmensdaten, die ohne die Policy-Überwachung durch die IT-Abteilung erstellt wurden. 3. Consumer-Apps mit Schadsoftware.“ Für den Unternehmensvertreter ist eine Sicherheitslösung gefragt, die Apps identifiziert und unschädlich macht, sobald sie Zugriff auf Kontaktlisten oder E-Mail- und Unternehmensdaten haben.

Naheliegend ist es jedoch, die Zuständigkeit auch noch an anderer Stelle zu suchen. Und so sieht Wolfgang Straßer eine Verantwortung der Betreiber von App-Portalen: „Ein großes Bedrohungsszenarium ist die Verbreitung von Viren und Trojanern über die App-Portale der Hersteller. Warum? Oftmals werden hier die Apps nicht in ausreichendem Maße kontrolliert – mit anderen Worten, eine Überprüfung findet lediglich unter funktionellen, nicht aber unter Sicherheitsaspekten statt. Ich halte es für sehr wichtig, dass die Hersteller hier Verantwortung übernehmen und mit ihren App Stores Sicherheit nicht nur suggerieren, sondern auch bieten.“

Solange diese Sicherheit nicht gewährleistet werden kann, sind die Anwender gefragt, darin sind sich die Experten einig. Michael Klatte sagt hierzu: „Apps sind deswegen so beliebt, weil viele Anwender sie ohne nachzudenken herunterladen und installieren. Dabei geben sie den Applikationen alle geforderten Rechte, auch wenn sie gar nicht benötigt werden.

So erhalten Hacker quasi stillschweigend die Genehmigung, das Smartphone nach Gutdünken auszubeuten.“ Mitdenken ist also gefragt oder wie es Udo Schneider in Bezug auf kostenlose Apps formuliert: „Als Gegenmittel stehen natürlich technische Maßnahmen zur Erkennung und Beseitigung der Malware zur Verfügung. Effizienter und günstiger ist es aber, gar nicht erst auf schwarze App Stores zu gehen und beim Installieren der Anwendungen ein wenig mehr Zeit auf die Überprüfung der Rechte zu verwenden. Nachdenken ist in diesem Fall immer noch der beste Schutz. Wenn ein Angebot zu gut ist, um wahr zu sein, ist vielleicht oder eher wahrscheinlich einfach etwas faul – oder historisch gesehen: Selbst Troja ist durch ­Geschenke zu Fall gebracht worden. Daraus sollte man endlich lernen.“

Weniger wird es nicht...

Weitere Trends 2012 werden wohl Premium-SMS und -anrufe sein. Wolfgang Straßer weist in diesem Zusammenhang darauf hin, dass einige Hersteller auch am Mobilfunkumsatz der Endkunden beteiligt sind und deshalb vielleicht nicht unbedingt Interesse daran hätten, gegen diesen Missbrauch vorzugehen. Wobei zu erwähnen ist, dass diese Art der Abzocke eine Betrugsform und kein explizites Sicherheitsrisiko darstellt. Ein weiteres Bedrohungsszenario dagegen ist das „Jailbreaken“ von iOS-Geräten. Laut Straßer hat es sich beinahe zum Trend hochstilisiert, die Nutzungseinschränkungen, die Apple auf den Geräten eingerichtet hat, auszuhebeln. Einen Grund hierfür sieht er darin, dass Nutzer so nicht mehr an den App Store gebunden sind. Die Gefahr dabei ist seiner Meinung nach allerdings, „dass nun via Kabel Daten ausgelesen oder Root-Passwörter geändert werden können. Des Weiteren ist aufgrund dessen ein unbefugter Zugriff möglich, über den ungewollte Programme auf iPhones und iPads installiert werden können.“

Auch für Christof Baumgärtner bilden aus Unternehmenssicht kompromittierte Geräte die Hauptgefahr und nicht Hacker, Virusangriffe oder andere Schadsoftware. Michael Klatte gibt außerdem zu, dass 2011 „das rasche Wachstum von Banking-Malware viele überrascht habe. Dieser Trend wird auch in 2012 voranschreiten.“ Ähnlich schätzt auch Kevin Mahaffey die Lage ein: „Für 2012 erwarten wir eine Zunahme mobiler Phishing-Versuche und mehr Nachrichten mit Links zu Webseiten, bei deren Besuch man automatisch Schadsoftware herunterlädt.“ Ob tatsächlicher Angriff oder Panikmache –  eines scheint gewiss: Alle Beteiligten, sowohl die Anwender selbst als auch die Hersteller und Anbieter, müssen sich wohl noch an die Möglichkeiten und die damit verbundenen Gefahren der kleinen handlichen Computer neuester Generation gewöhnen.

Bildquelle: iStockphoto.com/inktycoon

---