Mobile Security: Smartphones sicher im Firmennetzwerk
Smart Card in Form einer microSD
Der Beitrag zeigt eine Alternative, die Smartphones auch für hochsichere Anwendungen geeignet macht.
1. Neue Gefahren durch PDA und Co.
Es ist fast ein ehernes Gesetz in der IT-Sicherheit: Wenn es irgendwo eine Schwachstelle gibt, wird sie auch ausgenutzt.
Die Gefahr des Datenmissbrauchs wächst mit dem zunehmenden Einsatz von Smartphones: Weil sie so klein sind und überallhin mitgenommen werden, können sie auch schnell verloren gehen. Und weil wir häufig in unsicheren Umgebungen arbeiten, können sie leicht manipuliert werden.
Beides wäre nicht direkt unternehmenskritisch, wenn es nur den Verlust der Daten oder die Infektion des Smartphones selbst mit Schadsoftware beträfe. Aber das Smartphone wird, sobald es infiziert ist, zum Werkzeug in der Hand seines neuen, bösartigen Besitzers: Es öffnet ihm die Hintertür zum internen Firmennetz und Möglichkeiten, in das Netzwerk einzudringen.
Die winzige microSD-Karte von certgate ist die Basis der Sicherheitslösung
Die Mannigfaltigkeit der vorstellbaren Schäden reicht vom Diebstahl sensibler Daten über die Manipulation von Produktionsunterlagen und die Veränderung von Lieferdaten bis hin zum Absturz ganzer Business-Server. Die kleinen smarten Phones können unsere durch Firewalls, VPN und Hardwareverschlüsselung zu uneinnehmbaren Festungen gemachten Firmennetzwerke in Nullkommanichts in etwas verwandeln, das so löchrig ist wie ein Schweizer Käse.
2. Smartphones und die Sicherheitspolitik
Wie können Unternehmen sich vor dieser neuen Gefahr schützen? Verschiedene Szenarien sind denkbar:
Mobile Geräte sind im Unternehmensnetzwerk verboten. In der Tat gibt es einige Konzerne, die diese Politik betreiben. Die Nachteile sind offensichtlich: Die Unternehmen verzichten auf alle Vorteile, die Smartphones zu einem so effektiven Werkzeug machen. Damit koppeln sie sich vom Stand der Technik ab, was möglicherweise dem Image schadet, ganz sicher aber den Unmut der Mitarbeiter hervorruft. Und vor allem handeln sie sich Wettbewerbsnachteile ein. Daher ist fraglich, wie lange sie diese Politik aufrechterhalten können.
Eine andere Möglichkeit wäre es, anstelle gängiger Smartphones maßgefertigte Geräte mit integrierten Sicherheitsfunktionen einzusetzen. Dem amerikanischen Präsidenten wurde eine solche spionagesichere Spezialanfertigung verordnet. Allerdings hat das große, unhandliche Teil nichts „smartes“ mehr an sich und ist auch viel zu teuer, um unternehmensweit eingesetzt zu werden.
Als einzig praktikable und elegante Lösung bleibt also, die Sicherheitsmechanismen in die Seriengeräte hineinzubringen.
3. Lösungsansätze
Wie können wir die beliebten portablen Minicomputerhandys sicher machen?
Der einfachste Weg ist eine softwarebasierte Verschlüsselungslösung, die Zertifikate und Schlüssel auf dem Gerät selbst ablegt und seine Anmeldelogik nutzt. Der Nachteil ist – wie bei jeder softwarebasierten Lösung – der niedrige Sicherheitslevel: Wenn sich die geheimen Informationen („credentials“) in der Software verstecken, braucht es nur begrenzte Zeit und Aufwand, bis sie gefunden werden.
Ein hohes Sicherheitsniveau bieten dagegen Zusatzmodule der Hersteller: separate Lesegeräte mit Smart Card, USB-Sticks oder Bluetooth-Geräte. Solche Lösungen sind jedoch umständlich und verursachen hohe Zusatzkosten. Hohe Sicherheit, die gleichzeitig komfortabel ist, lässt sich nur erreichen, wenn die Sicherheitsfunktionalität auf eine Hardwarebasis gebracht wird, die direkt im Gerät genutzt werden kann. Im Fall des Smartphone bietet sich dafür die microSD-Karte an.
4. Protector: Smartphone mit sicherer microSD-Karte
Das Nürnberger Unternehmen certgate hat die weltweit erste Smart Card in Form einer microSD entwickelt und auf der Basis dieser Karte eine Hochsicherheits-Lösung unter dem Namen „certgate Protector“ auf den Markt gebracht.
Diese Lösung stellt den Nutzern eine komplette Absicherung ihrer mobilen Geräte zur Verfügung. Weil die privaten Schlüssel auf der kryptographischen Karte sicher abgelegt sind, ist ein Auslesen praktisch unmöglich. Bei Verlust oder Diebstahl des Gerätes sind die Daten auf dem Gerät und auf der Karte durch Verschlüsselung vor unberechtigtem Zugriff geschützt. Mit der sicheren hardwarebasierten Authentisierung können die Anwender sich am unternehmensinternen VPN anmelden. Eine sichere eMail-Verschlüsselung und elektronische Signaturen für weitere Anwendungen sind verfügbar.
In der Praxis werden die Sicherheitsmechanismen der Smartphones an das Niveau der jeweiligen Unternehmenspolitik angepasst. Das gesamte Betriebssystem ist geschützt, um seine Verwundbarkeit zu reduzieren. Die Anwender selbst dürfen keine Software installieren, damit der Sicherheitsschild nicht ausgehebelt wird. Benutzer werden nach dem Prinzip der Zwei-Faktor-Sicherheit – Besitz (Karte) und Wissen (PIN) – eindeutig identifiziert.
Durch die sichere elektronische Signatur ist die Authentisierung mithilfe der Smart Card microSD auch für Transaktionen im Hochsicherheitsmarkt geeignet. Sie kann rechtsgültig für mobiles Banking (HBCI) und sichere Finanztransaktionen mit EBICS eingesetzt werden sowie für den Datenaustausch im behördlichen und militärischen Bereich.
5. Anwendungsfälle
Unternehmen wie die DATEV nutzen die certgate Smart Card microSD zur Speicherung der hauseigenen Zertifikate, die für die Nutzung von PDAs und Smartphones vorgeschrieben sind. Sie sichern den Zugang zum Gerät, bauen den VPN-Tunnel über Funknetze auf und verschlüsseln gespeicherte und übertragene Daten. Alle sicherheitsrelevanten Schnittstellen der Geräte wie USB, Infrarot oder Bluetooth sind versiegelt, um einen ungesicherten Datenaustausch zu unterbinden.
Bei einem multinationalen Unternehmen der Kraftfahrzeugs- und Gebrauchsgüterindustrie werden die Mobile-Windows-Geräte der Management-Ebene durch die Smart Card microSD abgesichert. Ein deutschlandweit operierender Energiedienstleister nutzt die Karten für seine unternehmensweite PKI.
Interessante Anwendungen ergeben sich überall dort, wo Vorgänge lückenlos dokumentiert und die Dokumentation elektronisch signiert werden muss. Ein Beispiel ist die elektronische Abfallnachweisverordnung EANV, die 2010 in Kraft tritt und alle Vorgänge rund um die Abfallentsorgung betrifft.
Ähnlich sieht es bei Energiedienstleistern aus, die Zählerstände sicher übertragen müssen. Eine vergleichbare Situation findet sich auch in der Technikabteilung von Luftfahrtgesellschaften bezüglich der Wartungsarbeiten an Flugzeugen. Für alle wäre es eine enorme Arbeitserleichterung, die gesetzlich vorgeschriebenen Dokumentationen gleich vor Ort erstellen, signieren und verschlüsseln zu können.
6. Ausblick
Mobilität ist einer der Megatrends, und mobile Geräte sind die Zukunft im Geschäftsleben. Die Geräte werden dabei immer kleiner und leistungsfähiger. So macht es keinen Sinn, die Vorteile der Miniaturisierung durch aufwändige Zusatzgeräte wieder aufzuheben. Um trotzdem ein hohes Sicherheitsniveau zu gewährleisten, besteht die einzig effiziente Lösung darin, den Schutz in die kleinen, smarten Geräte hineinzubringen. Schutzmechanismen sollen so klein und elegant wie die mobilen Geräte und technisch sicher auf höchstem Niveau sein. Eine solche Lösung ist der certgate Protector auf der Basis der Smart Card microSD, der Smartphones ohne Risiko an das sichere Unternehmensnetz anbindet.
Artikel versenden
Druckversion
-
Mobile Unsicherheiten bewältigen - Was tun, wenn Mobile Security zum Thema wird?
Sind Mobiltelefone und andere schnurlose Geräte wirklich die neue Schwachstelle, wenn es um den... -
Mobile Security: Smartphones sicher im Firmennetzwerk
Smartphones sind ebenso effektive und komfortable Instrumente für Unified Messaging wie potentiell... -
Datendiebstahl immer einen Schritt voraus
Landeskriminalamt Saarland hat mobile Endgeräte mittels Device Management sicher im Griff. Daten... -
Auf dem Weg zu kollaborativen Arbeitsprozessen
Der Wettbewerbs- und Kostendruck sowie ein schnelllebiges Geschäft bringen es mit sich: Die... -
War-nibbling 2007
Vor einem Jahr stellten wir in einem Artikel über die Bluetooth-Technologie die Ergebnisse einer...
