Impressum
Aktuelles
Unternehmensprofil
Sicherheitsloesungen
Dienstleistungen
Trainings
Presse
Startseite
Aktuelles
Pressemeldungen
Veröffentlichungen
Advisories
Veranstaltungen
Newsletter

Mobile Endgeräte im Auslandseinsatz

Zusammenfassung
In U-Bahnen, auf Flughäfen oder in Cafés sieht man immer mehr Menschen, die ein „mobiles Endgerät“ verwenden. Mobile Endgeräte sind klein, handlich, leicht, leistungsfähig, multifunktional nutzbar und in ihren Ausprägungen sehr vielfältig. Es kann sich hierbei um Laptops, Smartphones, PDAs, MDAs oder sonstige elektronische Helfer, aber auch ganz einfach um Speichermedien wie USB-Speichersticks handeln.
Auf diesen Geräten werden oftmals sensible Daten gespeichert und verarbeitet, ohne dass sie gegen Dritte geschützt werden. Die integrierten Netzwerkschnittstellen (WLAN, Bluetooth, UTMS, etc.) werden arglos benutzt und öffnen Angreifern Tür und Tor zu den Daten auf den mobilen Endgeräten und in Unternehmensnetze.
Durch den Verlust oder Diebstahl eines solchen Gerätes können rechtliche Konsequenzen erwachsen und dieser Aspekt wird bei der Nutzung mobiler Endgeräte im Ausland noch brisanter, sind dem Benutzer dort geltende Gesetze und Regelung oftmals nicht bekannt und die möglichen Konsequenzen weit unangenehmer.
Der Einsatz mobiler Endgräte im Unternehmen will wohl überlegt und gesteuert sein. Nur wenn auf allen mobilen Gerätetypen geeignete Schutzmaßnahmen, wie z.B. Verschlüsselung oder Zugriffskontrolle umgesetzt sind, kann zum Einsatz solcher Technologien geraten werden.

1. Mobile Endgeräte

1.1 Eigenschaften mobiler Endgeräte
Der Begriff „Mobile Endgeräte“ beschreibt eine Klasse von Systemen zur Datenspeicherung und Datenverarbeitung, die sich primär durch folgende Eigenschaften auszeichnet: Die Geräte sind klein, leicht, handlich, sehr leistungsfähig und multifunktional nutzbar. So können einige gleichzeitig als Mobiltelefon, Terminkalender, E-Mail-Client, Webbrowser, Textverarbeitungsprogramm, Diktiergerät oder Datenspeicher im Westentaschenformat benutzt werden. Rund um die Welt, an allen denkbaren Stellen. Leider vergessen Benutzer, dass es sich bei den „kleinen Helfern“ um EDV-Systeme handelt, die wie herkömmliche PCs einer Vielzahl von Gefahren ausgesetzt sind. Auf den mobilen Endgeräten werden jedoch oftmals keinerlei Schutzmaßnahmen ergriffen.

1.2 Typen mobiler Endgeräte
Grundsätzlich muss bei „mobilen Endgeräten“ zwischen Systemen die zur reinen Datenspeicherung dienen und Systemen, auf den Daten gespeichert und verarbeitet werden können unterschieden werden. Zur ersten Gruppen gehören einfache „USB-Speichersticks“, MP3-Player oder digitale Speicherkarten, wie sie z.B. in Digitalkameras zum Einsatz kommen. Auf diesen Speichern lassen sich heute mehrere Gigabyte Daten im handlichen Format transportieren.
Die zweite Gruppe der mobilen Endgeräte mit Funktionen zur Datenverarbeitung wächst momentan rapide und fast wöchentlich kommen neue Geräte auf den Markt. Zu dieser Gerätegruppe gehören vorne an mobile PCs, Laptops, PDAs, MDAs, „Smartphones“ oder „BlackBerry Devices“ in unzähligen Varianten und Ausprägungen. Sie besitzen leistungsfähige Prozessoren und ausreichend Speicherkapazitäten, um Daten direkt auf diesem Gerät zu verarbeiten. Die Betriebsysteme und die Anwendungen, die auf diesen Geräte installiert sind, sind sehr vielfältig nutzbar. Eine weitere Eigenschaft dieser Geräte sind die bereits integrierten Schnittstellen, wie z.B. WLAN, Bluetooth, UMTS oder GPRS für eine schnelle, drahtlose Kommunikation.

2. Gefahren und Bedrohungen durch mobile Endgeräte

2.1 Sensible Daten und mobile Geräte im grenzüberschreitenden Einsatz
Eines der größten Probleme in diesem Bereich ist der Einsatz privater, „unautorisierter“ Hardware durch Benutzer. Unternehmen können in vielen Fällen keine Aussagen treffen, welche mobile Endgeräte in welcher Form im Einsatz sind, da die technischen Kontrollinstanzen fehlen und sich mit Policies und Vorgaben viele Mitarbeiter nicht von deren (illegalen) Nutzung abhalten lassen. 
Mit der Größe der verfügbaren Speicherkapazität wächst meist auch die Zahl der Daten mit sensiblem Inhalt, wie personenbezogene oder unternehmenskritische Daten, auf den Endgeräten. Der Verlust eines solchen Datenspeichers, Diebstahl oder der illegale Zugriff Dritter über Netzwerkschnittstellen führen dazu, dass diese Einsicht und Zugriff auf solche sensiblen Daten erhalten. Mobile Datenspeicher werden zudem zunehmend für Datendiebstahl in Unternehmen missbraucht.
Die Nutzung und Speicherung von Daten wird in Deutschland durch gesetzliche Vorschriften wie z.B. das BDSG geregelt. Der Datenverarbeiter trägt die Verantwortung für die Absicherung der gespeicherten Daten. Verstöße gegen solche Gesetze ziehen entsprechende Konsequenzen nach sich. Diese Tatsache wird noch brisanter, wenn man durch die Nutzung mobiler Endgeräte im Ausland plötzlich gesetzlichen Vorgaben ausländischer Staaten unterliegt und sich strafbar macht, weil man gegen die dortigen Datenschutzbestimmungen verstößt. Paradoxerweise können neben dem fehlenden Schutz für sensible Daten im Ausland auch wirkungsvolle Schutzmechanismen wie z.B. Verschlüsselung von Daten zum Problem werden.

2.2 Mobile Geräte als Hintertür ins Unternehmensnetz
Durch die vielfältigen Kommunikationsschnittstellen ist es mit mobilen Endgeräten sehr einfach, sich mit fremden oder öffentlichen Netzen zu verbinden. Während der Dauer einer solchen Verbindung sind diese Geräte exakt denselben Gefahren ausgesetzt wie herkömmlichen PCs im Internet. So gibt es Anzeichen für erste Viren, Würmern oder Trojaner, die gezielt Schwachstellen dieser Betriebsysteme und Dienste zu nutzen versuchen. Das so infizierte Gerät wird später oftmals arglos wieder mit dem heimischen PC und LAN verbunden, was die Ausbreitung solcher Schädlinge ermöglicht.
Einen weiteren Einstiegspunkt bieten solche mobilen Geräte durch ungeschützte Netzwerkschnittstellen. So könnte ein Angreifer während einer bestehenden Verbindung über das mobile Endgerät auf das Firmennetz zugreifen, obwohl die Strecke zwischen mobilem Endgerät und LAN durch ein VPN geschützt ist. 

3. Lösungsansätze, Produktbereiche und Empfehlungen

Ein erster Schritt zur Lösung des Problemkomplexes „Mobile Endgeräte“ muss zunächst die Wahrnehmung des Problemfeldes, eine konzeptionelle Auseinandersetzung und die Aufstellung organisatorische Richtlinien sein, deren Umsetzung durch technische Hilfsmittel unterstützt wird.
Grundlegende Voraussetzung für die Absicherung mobiler Endgeräte ist der kontrollierte Einsatz solcher Systeme im Unternehmen. Nur autorisierte und inventarisierte Geräte dürfen mit dem Unternehmensnetz und firmeneigenen Systemen verbunden werden. Daten, die auf diesen Geräten gespeichert werden, müssen gegen unbefugte Dritte im Falle des Verlusts z.B. durch gängige Verschlüsselungsverfahren geschützt werden. Die Netzwerkschnittstellen müssen gegen Zugriffe von außen durch entsprechende Technologien abgesichert und die Betriebsystem gegen Schadensroutinen, wie Würmer oder Viren, geschützt werden. Geräte, die nicht geeignet gesichert werden können, dürfen schlicht nicht betrieben werden.
Der Markt für Sicherheitsprodukte im Bereich mobiler Endgeräte ist in den letzten Monaten stark in Bewegung gekommen. Neben Produkten, die rein auf die Datenverschlüsselung abzielen, werden immer mehr ganzheitliche, integrierte Lösungen angeboten, die alle zuvor beschriebenen Schutzaspekte adressieren.
Bevor mobile Endgeräte im Unternehmen eingesetzt werden, müssen geeignete, auf die individuellen Anforderungen abgestimmte Schutzmechanismen etabliert werden, die alle eingesetzten Gerätetypen adressieren. Vor ungeschützten mobilen Endgeräten kann heute nur eindringlich gewarnt und von deren Einsatz massiv abgeraten werden!

Literatur
[WWWDiv] Beispiele diverser Lösungsanbieter im WWW: www.credant.com, www.safeboot.com, www.securewave.com, www.utimaco.de, etc.

Christian Götz, Berater bei der cirosec GmbH

zurück
Bild Veroeffentlichungen