Impressum
Aktuelles
Unternehmensprofil
Sicherheitsloesungen
Dienstleistungen
Trainings
Presse
Startseite
Aktuelles
Pressemeldungen
Veröffentlichungen
Advisories
Veranstaltungen
Newsletter

Mobile Endgeräte im Unternehmen – Risiken und Schutzmechanismen

Es gab eine Zeit, da wurde man staunend angesehen, wenn man ein Telefon mit sich trug. Wer seinen Computer beispielsweise zum Kunden mitnehmen wollte, der musste schwer tragen. Heute sind Mobiltelefone schon keine Telefone mehr, sondern gleichzeitig Digitalkamera, Terminkalender, Adressbuch, Spiele-Konsole und nebenbei natürlich immer noch Telefon. Dazu kommt, dass man in den schwarzen Ledertaschen von Managern heute immer mehr PDAs anstelle der früheren gebundenen Terminkalender oder Ordnungssysteme findet.

Diese Entwicklung wird sich sicherlich fortsetzen. Allerdings bereiten die kleinen elektronischen Begleiter den Sicherheitsverantwortlichen der Unternehmen zunehmend Bauchschmerzen, denn ein PDA hat heute schon mehr Rechenpower und Speicher, als ein PC in den frühen Jahren und ist oft mit aktuellster Kommunikations-Technologie wie Wireless LAN und Bluetooth ausgerüstet. Alle diese Features bringen Risiken mit sich, die den Besitzern oft nicht bewusst sind.

Alleine schon die Frage, wie viele PDAs und Smartphones im Unternehmen benutzt werden, lässt sich in den meisten Fällen nicht beantworten. Während Notebooks aufgrund ihres hohen Preises nach wie vor auf dem normalen Weg über das Unternehmen beschafft werden, betrachten viele Mitarbeiter einen PDA oder ein Smartphone eher als persönliches Gerät und beschaffen es selbst. Dennoch verwenden sie den PDA oder das Smartphone in der Regel auch geschäftlich und synchronisieren beispielsweise ihren Kalender, E-Mails oder einzelne Dateien auf das Gerät.

Diese Mischung aus privater und geschäftlicher Nutzung bringt noch weitere Effekte mit sich. Betrachtet man die Applikationen, die nach einiger Zeit auf einem typischen PDA installiert wurden, so findet man neben den vorinstallierten Programmen häufig Routenplaner, Wörterbücher, Spiele oder andere aus dem Internet herunter geladene Gimmicks. Da die Geräte als „persönlich“ betrachtet werden, nehmen die Mitarbeiter sie selbstverständlich mit nach Hause und laden dort meist ungeschützt Programme auf das Gerät. Um auch geschäftlich produktiv mit den Geräten arbeiten zu können, werden sie danach wieder zur Synchronisierung der Daten mit dem Firmen-Arbeitsplatz verbunden. Während man in den letzten Jahren gelernt hat, sehr vorsichtig mit Disketten oder Wechselplatten umzugehen, die eventuell von Viren befallen sein könnten und es oft verboten ist, einen privaten PC an das Firmennetz anzuschließen, werden PDAs, Smartphones und oft auch Notebooks unreflektiert gleichzeitig privat und im Büro genutzt. Bei der nächsten Synchronisation im Büro kommen die privat installierten Programme dann in direkten oder indirekten Kontakt mit dem Firmennetz.

Auch positive Eigenschaften mobiler Endgeräte können sich gegen den Besitzer wenden: Die PDAs und Smartphones sollen möglichst handlich sein, also nicht zu groß und vor allem leicht. Diese Eigenschaft führt aber dazu, dass sie besonders häufig verloren gehen oder unbemerkt gestohlen werden. Durch die geschäftliche Nutzung enthält ein verlorener PDA nicht selten neben Passwörtern und Kreditkartennummern des Benutzers auch E-Mails oder geheime Dokumente der Firma, für die der betroffene arbeitet. Festplatten-Verschlüsselungs-Produkte, wie man sie von den Notebooks kennt, gibt es zwar vereinzelt auch für PDAs und Smartphones, sie werden jedoch kaum eingesetzt.

Für den verschlüsselten Remote-Zugriff auf Firmennetze verwenden Unternehmen heute meist IPSEC zwischen den Notebooks und einem IPSEC-Gateway oder einer Firewall mit entsprechenden Funktionen am Internet-Zugang der Firma. Für die Authentisierung kommen Tokens, Smartcards oder USB-Dongles zum Einsatz.

Versucht man dieses klassische Szenario mit einem PDA oder Smartphone umzusetzen, so wird es häufig schon schwierig. Vollständige IPSEC Implementationen sind beispielsweise für viele Modelle nicht erhältlich und selbst wenn sie existieren sind es zusätzliche Investitionen. Um dennoch unterwegs vom PDA aus mit dem Firmennetz kommunizieren zu können, werden oft Spezial-Lösungen aufgebaut, bei denen die Funktionalität wichtiger ist als die Sicherheit. Auch die Authentisierung wird in solchen Fällen meist lockerer gehandhabt. Solche Lösungen untergraben nicht selten vorhandene Sicherheits­mechanismen und stellen ein hohes Risiko dar.

Besonders interessant werden die Probleme mit mobilen Endgeräten durch Wireless-LAN oder die Bluetooth-Funktionen. Viele moderne PDAs verfügen heute über Funknetz-Funktionen (WLAN), wodurch sie sich auch zum Surfen in der Flughafen-Lounge oder im Cafe eignen. Aber auch die Verbindung zum Arbeitsplatz-PC lässt sich sehr viel bequemer ohne Kabel herstellen, wenn der PDA über Bluetooth oder WLAN-Funktionen verfügt. Durch diese Möglichkeit wird aber der Firmen-Arbeitsplatz über Funksignale angreifbar. Das gleiche gilt für WLAN-Access-Points, die von „Laien“ am Arbeitsplatz installiert werden, um „flexibler“ arbeiten zu können.

Aber selbst wenn man es erfolgreich verhindern kann, dass die eigenen Manager Access-Points ans Netz oder Bluetooth-Adapter an den Arbeitsplatz anschließen, so bleibt eine ganz andere mobile Gefahrenquelle: die modernen Notebooks. Sie werden in der Regel mit eingebauten Funk-Adaptern für Wireless LAN oder für Bluetooth ausgeliefert und sind aufgrund der bereits genannten Gefahren verstärkt das Ziel von Angreifern. Eine falsche Konfiguration, versehentliches Aktivieren der WLAN-Funktion durch Tastendruck oder das vergessene Deaktivieren nach dem Surfen in der Flughafen-Lounge machen das Notebook zu einem leichten Opfer. Der Angreifer täuscht dazu entweder einen Access Point unter falschem Namen vor, mit dem sich das Notebook automatisch verbinden kann oder er verwendet die Funktionen zur direkten Rechnerkopplung über WLAN.

Ähnliche Möglichkeiten existieren bei Notebooks mit eingebauten Bluetooth-Funktionen. Erst kürzlich veröffentlichten die einschlägigen Mailing-Listen Meldungen über Puffer-Überläufe in der Bluetooth-Treiber-Software, die in der Mehrzahl aller Notebooks verwendet wird. Durch diese Verwundbarkeiten können Angreifer die Kontrolle über das betroffene Notebook erlangen. Im Gegensatz zur weit verbreiteten Meinung, dass Bluetooth nur im Umkreis von zehn Metern funktioniert, hat eine andere Hacker-Gruppe im August 2004 nachgewiesen, dass mit geeigneten Antennen ein Angriff sogar aus einer Entfernung von einem Kilometer durchgeführt werden kann. Sofern solche modernen Notebooks innerhalb eines Firmennetzes angeschlossen werden, können die Funk-Adapter zu einer Hintertüre in das Firmennetz werden. Das Notebook wird dabei zum Gateway zwischen den Funk-Signalen des Angreifers und dem normal verkabelten Firmennetz. Die klassischen Gegenmaßnahmen wie VPN-Verschlüsselung im WLAN und starke Authentisierung sind bei diesen Problemen nutzlos, da es sich nicht um Angriffe auf ein offiziell aufgebautes WLAN handelt, sondern um Angriffe über unbeabsichtigte Features in Notebooks.

Lösungen für die beschriebenen Probleme sind nicht einfach. Personal Firewalls, wie man sie bisher auf Privat-PCs gerne einsetzt, können nur einen Teil des Problems beheben. Für viele PDAs gibt es solche Programme jedoch gar nicht. Aber auch bei Notebooks sind die Sicherheit­sprogramme oft nicht in der Lage, die Bluetooth-Verbindung zu schützen.

Ein erster wichtiger Schritt wäre mit einem relativ primitiven Schutzmechanismus realisierbar. Ein Programm müsste nur dafür sorgen, dass niemals ein WLAN-Interface oder der Bluetooth Adapter gleichzeitig mit dem LAN Adapter aktiviert ist. Damit kann zumindest kein direkter Zugang über Funk zum LAN ausgenutzt werden während ein Notebook in der Firma angeschlossen ist. Doch schon eine so einfache Schutzfunktion ist bisher nur in den wenigsten Sicherheitsprogrammen vorhanden.

Eine Perspektive für Notebooks und PCs bieten die so genannten „hostbasierten Intrusion Prevention Systeme“ kurz Host IPS. Sie bieten Funktionen, die weit über den Umfang von Personal- oder Desktop-Firewalls hinausgehen. Zudem sind sie im Unternehmen zentral konfigurierbar und zu managen. Aber auch diese Techniken sind für PDAs oder Smartphones derzeit nicht verfügbar.

Einen anderen Weg gehen Systeme, die den „Luftraum“ am und über dem Firmengebäude oder Firmengelände überwachen und jegliche Risiken und Angriffe über Wireless LANs und Bluetooth bemerken. Illegale Aktivitäten, unerlaubte oder vorgetäuschte Access-Points oder andere Angriffe über Funk sind ebenso ersichtlich, wie die aktuellen erlaubten Funk-Verbindungen und der Status der einzelnen Stationen und Access-Points. Ebenso kann die Einhaltung von Security Policies kontrolliert werden oder die Verfügbarkeit gewährleistet werden. Bei erkannten Angriffen können sogar automatisch Gegenmaßnahmen eingeleitet werden.

Derartige Systeme schützen zwar die mobilen Endgeräte nicht während sie unterwegs sind, aber sie erkennen wenigsten einige der Risiken, die durch mobile Geräte entstehen, während sie lokal am Firmennetz angeschlossen sind.

Stefan Strobel, cirosec GmbH

zurück
Bild Veroeffentlichungen