Der große Erfolg von Smartphones und Tablets beruht auch darauf, dass die Betriebssysteme sehr anwenderfreundlich sind. Beim Einsatz im Geschäftsalltag ist die einfache Handhabung zwar von Vorteil, bringt aber auch Sicherheitsrisiken mit sich. Will man geschäftliche Daten auf Mobilgeräten vor Hacker- oder Abhörangriffen schützen, dürfen die Security-Lösungen die Nutzerfreundlichkeit – neudeutsch: „Usability“ – nicht verringern.

Wenn die Anwender die vom Unternehmen geforderten Sicherheitslösungen für Smartphone und Tablet nicht akzeptieren und nutzen, geht das Sicherheitskonzept nicht auf. Mit herkömmlichen Strategien lassen sich Anwenderfreundlichkeit und Sicherheit nicht vereinen. Erforderlich sind völlig neue Sicherheitsansätze, die den Nutzer in den Mittelpunkt stellen.

Smartphones und Tablets lassen sich einfach und intuitiv bedienen; eine ständig wachsende Zahl an Apps erleichtert die Arbeit mit den Geräten zusätzlich. Die mobilen Geräte sind zudem deutlich schneller als die meisten Firmen-PCs. Was viele Mitarbeiter außerdem schätzen: Die private und geschäftliche Kommunikation lässt sich mit einem einzigen Endgerät erledigen – vor allem wenn Unternehmen eine BYOD-Strategie (Bring Your Own Device) verfolgen.

Mobile Kommunikationsgeräte sind jedoch immer häufiger Ziel von Angriffen. Die „Mobile-Security-Studie 2017“ von IDC stellte fest, dass sich die Sicherheitsrisiken für Mobilgeräte in den letzten anderthalb Jahren weiter verschärft haben. Neben Malware birgt auch das klassische Telefonat Gefahren: Sensible Inhalte sind dabei nicht vor dem Abhören durch Dritte geschützt. Umsatzeinbußen durch Plagiate können eine Folge sein, bis hin zum Verlust der Wettbewerbsfähigkeit.

Sicherheit schafft Komplexität

Der Schutz geschäftlicher Daten auf Mobilgeräten ist also längst nicht mehr nur „nice to have“, sondern eine Frage der unternehmerischen Existenz. Die Herausforderung bei einer Mobile-Security-Strategie besteht darin, möglichst keine Vorteile der Mobilgeräte zunichte zu machen. Sicherheitstechnik und Usability schließen sich jedoch bei herkömmlichen Sicherheitslösungen aus. Denn mehr Sicherheit bedeutet meist eine Zunahme an Komplexität. Das macht die Geräte oft langsamer und erschwert die Bedieunung. Abgesicherte Apps weichen zudem häufig von der Optik ab, die dem Nutzer vertraut ist.

Die Ursache dafür ist, dass handelsübliche Smartphones und Tablets mit Blick auf Funktionalität, Benutzerkomfort und Offenheit entwickelt und für Apps aller Art zugänglich sind. Die Entwickler können keine umfassenden Sicherheitstest dieser Anwendungen vor der Markteinführung gewährleisten. Damit machen sie es Hackern und Cyberkriminellen sehr leicht. Mobile Devices sind daher durch ergänzende Sicherheitsmaßnahmen zu schützen. Wie sich Anwenderfreundlichkeit und Sicherheit dabei beeinträchtigen, zeigen die folgenden drei Beispiele:

BYOD-Strategie: Kommen private Mobiltelefone im Unternehmen zum Einsatz, ist es entscheidend, die Geräte regelmäßig mit aktuellen Patches zu aktualisieren. Auf diese Weise lassen sich sensible Sicherheitslücken schließen und eine große Zahl an Angriffen abwehren. Je nach Gerätemodell kann aber längst nicht jeder Hersteller ein solches Update zur Verfügung stellen. MDM-Lösungen (Mobile-Device-Management) bieten eine einfache Möglichkeit, um auf jedem beliebigen Mobiltelefon geschäftliche und private Daten zu trennen. Aus diesem Grund sind sie vor allem in Unternehmen mit BYOD-Strategie gefragt. Geschäftliche Apps werden in einem sogenannten „MDM-Container“ von den privaten Apps getrennt und durch ein Passwort gesichert. Das Problem: Apps, die hier abliegen, haben oft ein völlig anderes „Look and Feel“ als vertraute Android- oder IOS-Apps. Das schränkt die Benutzerfreundlichkeit erheblich ein. Zudem verlangsamen MDM-Lösungen das Betriebssystem. Private Apps wiederum kann ein MDM-System nicht ausreichend kontrollieren und einschränken. Das Hauptproblem von MDM-Lösungen liegt aber darin, dass sich an dem unsicheren Betriebssystem selbst nichts ändert und damit das Fundament angreifbar bleibt.

Display-Sperre: Jedes geschäftlich genutzte mobile Gerät sollte über eine Display-Sperre verfügen. Nur so lässt sich beispielsweise im Falle eines Diebstahls sicherstellen, dass sensible Daten nicht auf einfachem Weg auslesbar sind. Beliebt bei Nutzern sind vierstellige Passwörter oder Wischmuster. Diese sind zwar leicht zu merken und einfach zu bedienen; sie stellen jedoch keinen adäquaten Schutz dar. Aufwändigere Zahlen- und Buchstabenfolgen sind deutlich sicherer, erschweren dem Anwender allerdings die Nutzung.

Kryptotelefone: Spione können Telefonate – insbesondere Mobilgespräche – mit einfachen Mitteln abhören und mitschneiden. Um auf Nummer sicher zu gehen, ist daher die Verschlüsselung von Mobiltelefonaten nötig. Spezielle Kryptotelefone sind allerdings im Funktionsumfang so stark eingeschränkt, dass die Nutzer ihr eigenes multifunktionales Smartphone oft vorziehen.

Mit einer externen Verschlüsselungslösung kann man jedes Android- oder IOS-Smartphone-Modell unkompliziert und personenunabhängig mit hochsicherer Verschlüsselung aufrüsten. Bild: Rohde & Schwarz Cybersecurity

Sicherheitslösungen auf dem Smartphone selbst – darunter Micro-SD-Karten oder reine App-Lösungen – bieten einen ersten Basisschutz, bleiben jedoch angreifbar durch Spionage-Apps. Zudem sind Smartcard-Lösungen aufgrund fehlender Kartensteckplätze nicht mit dem beliebten Iphone kompatibel.

Nur wenn die Endanwender die geforderten Sicherheitslösungen für Smartphone und Tablet akzeptieren und nutzen, geht das Sicherheitskonzept des Unternehmens auf. Deshalb sind Sicherheitslösungen erforderlich, die den Endanwender in den Mittelpunkt der Entwicklung stellen.

Möglich ist dies nur mit Geräten, die nach dem „Security by Design“-Prinzip entwickelt sind. Im Unterschied zu herkömmlichen Smartphones und Tablets integriert der Anbieter die Sicherheit hier bereits bei der Entwicklung in das Betriebssystem. Dies ist bei Android ohne Schwierigkeiten möglich. Der Vorteil: Die Devices haben das „Look and Feel“ eines Android-Geräts und verfügen gleichzeitig über eine extrem hohe Sicherheit.

Dazu wird der Sicherheitskern „gehärtet“ und in zwei oder mehr gesonderte Sicherheitsbereiche unterteilt: einen privaten Bereich und einen Arbeitsbereich. Anwendungen und Daten in diesen Sicherheitsdomänen sind streng voneinander getrennt. Vom Benutzer installierte Apps können nicht auf sensitive Unternehmensdaten zugreifen. Durch diesen Mechanismus ist das mobile Gerät geschützt vor Zero-Day Exploits, APTs (Advanced Persistent Threats) und Schadcode-Programmen. Für den Anwender liegen alle Apps mit vertrauter Optik auf einer einzigen Oberfläche. Apps aus dem geschützten Bereich sind beispielsweise mit einem Icon gekennzeichnet; branchenüblich ist zum Beispiel ein Vorhängeschloss. Der Endanwender kann das mobile Gerät auf diese Weise bei voller Flexibilität und in gewohnter Umgebung gleichzeitig für private und geschäftliche Zwecke verwenden.

IOS-Lösungen lassen sich nicht mit „Security by Design“-Methoden härten, da Apple keine Anpassungen seines Betriebssystems zulässt. Auch die Nutzung von MDM-Systemen in Verbindung mit IOS-Geräten ist problematisch, da die Basis der Geräte trotzdem nicht gesichert ist.

Kriminelle zielen deutlich öfter auf Android-Geräte ab, da deren Source Code zugänglich ist, der von IOS hingegen nicht. Der Angriff durch die Schadsoftware Pegasus hat jedoch gezeigt, dass auch IOS nicht unverwundbar ist. Benutzer von IOS-Geräten sollten daher besonders darauf achten, ihr Gerät auf dem neuesten Stand zu halten und Patches stets herunterzuladen. Eine Bildschirmsperre mit sicherem Passcode muss selbstverständlich sein.

Des Weiteren kann man mithilfe eines externen, im Netzwerk verankerten Analyseinstruments Transparenz schaffen. Arbeitet dieses Instrument mit Deep Packet Inspection, dann zeigt es beispielsweise sehr genau, welche Daten von einer App abfließen und wohin. Auf diese Weise kann ein IT-Administrator das Risiko abschätzen, das von einem Mobilgerät ausgeht und im Zweifel bestimmte Apps entfernen lassen.

Nach dem „Security by Design“-Prinzip entwickelte Geräte sind wie handelsübliche Android-Devices bedienbar, verfügen aber gleichzeitig über eine extrem hohe Sicherheit. Bild: Rohde & Schwarz Cybersecurity

Solche Maßnahmen sind auch im Hinblick auf die EU-Datenschutzverordnung relevant, die 2018 in Kraft tritt. Für den Endanwender hat eine solche Analyse den Vorteil, dass er Einschränkungen nur gezielt und nicht pauschal erfährt.

Krypto-Headsets lassen sich mit beliebigen Endgeräten nutzen und bieten eine benutzerfreundliche Alternative zu Kryptotelefonen. Das Gespräch läuft über das Headset, das benutzte Endgerät dient lediglich der Übertragung bereits verschlüsselter VoIP-Daten. Mit einer solchen externen Verschlüsselungslösung lässt sich grundsätzlich jedes Android- oder IOS-Smartphone-Modell unkompliziert und personenunabhängig mit hochsicherer Sprachverschlüsselung aufrüsten.

Auch die Display-Sperre wird immer anwenderfreundlicher – etwa durch NFC-Ringe oder den Schutz per Fingerabdruck. Apple testet derzeit zudem eine weitere biometrische Methode zum Entriegeln der Geräte: Das Iphone reagiert dann auf das Gesicht des Benutzers.

Fazit

Endanwender erwarten flexible Business-Geräte mit einer für sie gewohnten Benutzeroberfläche, die sie gleichzeitig für private Zwecke verwenden können. Nur wenn Geräte diese Anforderungen erfüllen, bleibt Mobilität ein „Business Enabler“. Das höchste Maß an Anwenderfreundlichkeit und Sicherheit bei mobilen Geräten ist erreicht, wenn das Betriebssystem sowohl dem gewohnten Aussehen entspricht, als auch in seinem Kern gesichert ist. Das ist nur möglich, wenn die Geräte nach dem „Security by Design“-Ansatz ent-wickelt sind.

Dr. André Egners ist Senior IT-Security Architect bei Rohde & Schwarz Cybersecurity, cybersecurity.rohde-schwarz.com/de.