Appsphere Future IT-Kongress, Ettlingen
Mobilität verschärft Sicherheitsfragen
Der Future IT-Kongress, eine vom Ettlinger Softwarehaus Appsphere organisierte eintägige Fachtagung zu den Themen Cloud, Mobility und Social Collaboration, lockte am 14. November 2013 laut Veranstalter knapp 100 Teilnehmer in das Tagungszentrum Buhlsche Mühle in Ettlingen. Im Mittelpunkt mehrerer Vorträge wie auch des Zuschauerinteresses standen Fragen rund um die Sicherheit beim mobilen Computing im Unternehmen.
Die Enthüllungen Edward Snowdens und der dadurch ausgelöste Skandal rund um die Datensammlungs- und -auswertungsmethoden der Geheimdienste, allen voran NSA und GCHQ, haben das Thema IT-Security in die Massenmedien getragen und damit auch in den Unternehmen das Sicherheitsbewusstsein nochmals geschärft. Vor diesem Hintergrund konzentrierte sich auch der Future IT-Kongress, dieses Jahr bereits zum vierten Mal vom Ettlinger System- und Softwareanbieter Appsphere durchgeführt, vor allem auf Fragen der Daten- und Informationssicherheit bei der Cloud-Nutzung und besonders der Arbeit mit mobilen Endgeräten.
Bei einem CEO- und CIO-Roundtable, der die Veranstaltung am Vorabend einleitete, plädierte Prof. Jörn Müller-Quade vom Karlsruher Institut für Technologie (KIT) für einen modellbasierten Sicherheitsansatz. „Der wirtschaftliche Vorsprung Deutschlands hängt an der Sicherheit unserer IT-Systeme“, mahnte Prof. Müller-Quade und wies auf das vorherrschende Problem hin, das erreichte Sicherheitsniveau konkret beurteilen zu können. „Wir hatten und haben zu großes Vertrauen in die Methoden“, monierte der Sicherheitsforscher.
Stattdessen forderte er eine modellbasierte Analyse der erreichten IT-Sicherheit: Security müsste nachvollziehbar sein, also im wissenschaftlichen Sinne transparent, logisch und falsifizierbar. Nur eine solche Nachvollziehbarkeit – statt Security-Produkten, deren Wirksamkeit man höchstens „blind vertrauen“ muss – könne eine solide Basis für Sicherheitsmetriken und damit für das Risiko-Management bilden.
In seiner Keynote zum Thema „Mobile Security – eine Illusion?“ diskutierte Sebastian Gerling, Administrative Manager beim CISPA (Center for IT-Security, Privacy and Accountability) der Saarland University, die Gefährungen des Mobilgeräteeinsatzes mittels Direktzugriff (durch Diebstahl oder bei Geräteverlust) wie auch aus der Ferne. Gegen Angriffsvektoren mit Gerätezugriff empfahl er den Schutz des Boot-Prozesses und Betriebssystems, den (in der Praxis leider nicht alltäglichen) Schutz des Gerätezugriffs zum Beispiel per PIN, Datenverschlüsselung und Geräte-Management mittels Richtlinien.
Doch auch Angriffe über Funk, so Gerling, seien leichter und preiswerter umsetzbar als oft gedacht. So könne ein Angreifer per Notebook und zum „Sendemast“ umdeklarierten Handy Mobilfunkgespräche einfach unverschlüsselt umleiten und damit abhören. Gegen Malware-Angriffe auf das Betriebssystem und den Mobilgeräte-Softwarestack helfen laut dem Sicherheitsforscher neben dem auch hier erforderlichen Boot-Prozess- und Betriebssystemsschutz vor allem Anwendungsisolation (zum Beispiel mittels Container-Lösungen) und eine Einschränkung der Zugriffsrechte der Apps.
Denn neben Malware bilden auch allzu neugierige „normale“ Apps ein Risiko für die Informationssicherheit, so zum Beispiel der Messaging-Dienst Whatsapp, dessen App routinemäßig die Telefonbücher der Benutzer ausliest, um ebenfalls beim Dienst registrierte Kontakte selbsttätig aufzuspüren. Des Weiteren, so Gerling, haben Forscher mit den Programmen Jekyll und Badnews bereits bewiesen, dass es durchaus möglich ist, verseuchte Apps in offiziellen Hersteller-App-Stores zu platzieren. Jekyll baut dabei unverdächtige Code-Bestandteile der legitimen App zu Malware zusammen, während Badnews, einmal installiert, über eine Verbindung zu einem angeblichen Ad-Server Malware aus dem Netz nachlädt.
Gerlings Vergleich der Mobilgeräte-Betriebssysteme Apple IOS, Android, Windows Phone 8, Blackberry OS und Firefox OS ergab verbreitet Lücken, insbesondere das noch sehr junge Firefox OS von Mozilla weise zahlreiche Schwachstellen auf. Als gangbaren Weg zur Erhöhung der Mobilgerätesicherheit empfahl der Experte die Aufteilung des Geräts in verschiedene Sicherheitsdomänen, zum Beispiel durch Blackberry Balance, Samsung Knox, Sirrix Trustedmobile Bizztrust oder Mobicore von Giesecke und Devrient. Er monierte das Fehlen plattformübergreifender Sicherheitslösungen, wirklich kritische Daten gehörten deshalb heute nicht auf mobile Endgeräte.
Zum Programm zählten zudem Vorträge von Appsphere-Seite, darunter des Vorstands Frank Roth zur Frage der Zukunft des Arbeitsplatzes (welcher hochgradig mobil sein wird), des Analysten Steve Janata von Crisp Research zur Frage, wie sich eine Real-Time Economy in Unternehmensprozesse umsetzen lässt, des Forschungszentrums Informatik (FZI) und von Bartsch Anwälte. Hinzu gesellten sich Präsentationen der Sponsoren Acronis, Appsense, ASG, Citrix, Cortado, Immidio, Microsoft, SAP, Secorvo und VMware. Eine abschließende Podiumsdiskussion rundete die informative Veranstaltung ab.
Lesen Sie mehr zum Thema
