CIO.de: Smartphones sind nicht nur in aller Munde, sondern fast auch schon in jeder Hand. Kommen Sie sich nicht manchmal wie eine Spaßbremse vor, weil sie dauernd vor den Gefahren mobiler Kommunikation warnen?
Joachim Opfer: Nein. Jeder Nutzer muss ja selber verantwortlich mit solchen Geräten umgehen. Die Rolle des BSI ist es, Sicherheitsrisiken aufzudecken und zu kommunizieren. Es ist wichtiger zu wissen, was man tut, als sich unwissend den Risiken auszusetzen.
CIO.de: Schon jetzt gibt es reichlich solcher Risiken in Verbindung mit Smartphones. Stehen uns die richtigen Probleme aber erst noch bevor, wenn wirklich jeder solche Geräte hat?
Opfer: Einerseits ja, weil es erst dann zu einem echten Massenproblem wird. Andererseits werden die Sicherheitsprobleme dadurch auch bewusster. Je weiter verbreitet diese Geräte sind, desto besser lassen sich auch Sicherheitsmaßnahmen entwickeln, weil Sicherheitslösungen keine teuren Exoten mehr sind. Wir bauen darauf, dass Sicherheit bald standardmäßig in die Geräte eingebaut ist. Insofern ist die zunehmende Verbreitung auch eine Chance.
CIO.de: Es gibt Warnungen, in sensiblen Bereichen überhaupt Smartphones einzusetzen. Was empfiehlt das BSI?
Opfer: Seitens des BSI gibt es derzeit keine konkrete Warnung vor dem Einsatz von Smartphones. Wir sprechen aber Handlungsempfehlungen aus, die auf der Tatsache beruhen, dass Mobiltelefone oftmals in einer relativ ungeschützten Umgebung betrieben werden und das Risiko von Verlust, Diebstahl oder einem kurzzeitigen Kontrollverlust bei mobilen Endgeräten naturgemäß sehr hoch ist.
Bei vertraulichen Besprechungen: Handy draußen lassen
Hintergrund ist zum Beispiel, dass man ein unwissentlich manipuliertes Gerät untergeschoben bekommt und damit dann ein erhebliches Sicherheitsrisiko in der Tasche mit sich herumträgt. Unsere Empfehlung lautet in diesem Fall: Lassen Sie in Besprechungen mit vertraulichem Inhalt das Handy einfach mal draußen.
CIO.de: Es gibt also vom BSI keine Warnungen vor dem Gebrauch, sondern allenfalls situationsbedingte Hinweise über die Gefahren?
Opfer: Man muss da mit Augenmaß herangehen und den Nutzer selber mit in die Verantwortung nehmen. Aber der Benutzer muss eben wissen, dass es solche Gefahren gibt und wie er sich dagegen wappnen kann.
CIO.de: Wie können Unternehmen den Grundschutz für wenigstens relativ sichere Kommunikation organisieren?
Opfer: Es gibt vom BSI einen Grundschutzkatalog, der unter anderem auch Bausteine mit Sicherheitsmaßnahmen und Verhaltensregeln für die Mobilkommunikation enthält. Bei allen organisatorischen und technischen Schutzmaßnahmen muss aber immer auch der Nutzer zum sicherheitsbewussten Umgang mit der Technik angehalten werden. Der will aber eigentlich nur telefonieren oder E-Mails schreiben und möchte nicht permanent an Sicherheitsvorkehrungen denken.
Idealerweise wären die notwendigen Sicherheitsfunktionen in die Geräte eingebaut, so dass sich der Nutzer um solche Maßnahmen gar nicht mehr kümmern muss.
Aus dieser Motivation heraus sind Kriterien für sichere Smartphones entstanden, die den Nutzer von einzelnen Sicherheitsfunktionen weitgehend entlasten.
1 . Zum einen sollte sich eine Verschlüsselungs-Software auf dem Gerät befinden, so dass Mails und Daten für Angreifer oder Finder nicht im Klartext lesbar sind.
Verschlüsselung, Authentifizierung, Virenschutz
2. Auch die Zugangsdaten fürs Firmennetz, mit dem ich mein mobiles Endgerät synchronisiere, sollten verschlüsselt sein. Der Zugang sollte nur für autorisierte Benutzer möglich sein, über eine PIN oder Smartcard.
3. Mobile Geräte benötigen einen Virenschutz, um die Gefahr von Manipulationen zu minimieren.
4. Schließlich sollten die Benutzer darauf achten, das Gerät niemals aus den Augen zu lassen. Die Chance für einen Angreifer wäre sonst relativ groß, in kurzer Zeit Schadsoftware aufzuspielen. Das kann eine Reihe von Konsequenzen haben, zum Beispiel, dass das Gerät als Abhöranlage missbraucht wird oder dass Trojaner ins Unternehmensnetz eindringen.
5. In diesem Zusammenhang beurteilen wir auch die eingebauten GPS-Empfänger sehr kritisch, weil es damit einfach ist, ein manipuliertes Gerät jederzeit gezielt zu orten. Damit entsteht für akut gefährdete Personen ein großes Risiko.
CIO.de: Sie plädieren für einen möglichst automatischen Schutz mobiler Endgeräte. Gerade da schwächeln aktuelle Geräte bei dem Wunsch, solche Mechanismen firmenweit zu verwalten, auszurollen oder zu kontrollieren. Gibt es aus Ihrer Sicht Geräte, die das gewährleisten?
Simko 2 von T-Systems - das einzig sichere Gerät
Opfer: Im Bereich der sicheren mobilen E-Mail-Kommunikation besitzt derzeit nur eine einzige Lösung eine Einsatzempfehlung des BSI für den Geheimhaltungsgrad VS-NfD: das Simko 2 von T-Systems, das nach dem Anforderungskatalog des BSI entwickelt worden ist. Wir haben zudem die Entwicklung kritisch begleitet und das Endergebnis evaluiert, um den Nachweis zu erbringen, dass die von uns geforderten Sicherheitsfunktionen auch tatsächlich funktionieren.
Für die verschlüsselte Sprachkommunikation über das klassische Handy gibt es im Moment zwei Geräte, die vom BSI eine Zulassung für den Einsatz in der Bundesverwaltung erhalten haben: das Topsec Mobile von Rohde&Schwarz und das Secuvoice von Secusmart.
CIO.de: Heißt das im Umkehrschluss, Sie raten vor dem Gebrauch etwa von Blackberry und iPhone ab?
Opfer: Für den konkreten Einsatz in der Bundesverwaltung lehnen wir diese Geräte ab, da sie nicht den Sicherheitsanforderungen des BSI genügen. Hinsichtlich der Öffentlichkeit hat das BSI auf Grundlage des Paragraph 7 des BSI-Gesetzes die Möglichkeit, Warnhinweise zu geben. So haben wir beispielsweise kürzlich auf eine Sicherheitslücke im Apple-Betriebssystem iOS hingewiesen, für die mittlerweile ein Sicherheitsupdate zur Verfügung steht.
CIO.de: Sehen Sie Bewegung bei den Herstellern, mit den Sicherheitsbedenken von BSI und Unternehmen ernster umzugehen als früher?
Opfer: Wir sehen eine zunehmende Bedeutung der IT-Sicherheit, denn sie ist ja auch ein Verkaufsargument für die Geräte. Aber ob sich wirklich etwas bewegt und zunehmend sichere Produkte auf den Markt kommen, ist damit noch nicht gesagt. Der Weg von der Anforderung zu entsprechend sicheren Produkten ist in der Regel längerfristig. Im Moment gibt es aus unserer Sicht nur die drei genannten Produkte, die unsere Anforderungen erfüllen.
Private und geschäftliche Daten trennen
CIO.de: Ein anderes Sicherheitsproblem ist das Mischen privater und geschäftlicher Daten in einem Gerät. Wie beurteilt das BSI dieses Problem?
Opfer: Das ist letztendlich eine Entscheidung der Sicherheitsverantwortlichen in den Unternehmen. Wenn es konkrete Bedenken gibt, dass sich private und Firmendaten mischen, dann sollte man das durch entsprechende technische Vorkehrungen trennen.
CIO.de: Wie wichtig sind, neben technischen Vorkehrungen, Regelwerke, um den Verlust von Firmendaten oder Datenklau zu verhindern?
Opfer: Grundsätzlich sind IT-Sicherheitsrichtlinien in Unternehmen wichtig. Hier liefert das IT-Grundschutzhandbuch des BSI eine fundierte Unterstützungshilfe. Konkret sollten Sicherheits-Policies einerseits die konkreten Verhaltensregeln umfassen. Sie beziehen sich aber auch auf technische Vorkehrungen bei Endgeräten. Über Policies kann ich zum Beispiel einstellen, welche Dienste zugelassen oder gesperrt werden, welche Funktionen man öffnet, welche man verbirgt.
Wichtig wäre es, solche Policies durch technische Unterstützung direkt auf den Geräten um- und durchsetzen zu können. Es nützt nichts, wenn der Administrator Einschränkungen vornimmt, und der Benutzer sie nach Belieben wieder verändern kann.
CIO.de: Das ist natürlich schwer durchzusetzen, wenn Mitarbeiter ihre privaten Geräte mit in die Firma nehmen, auf die ein Administrator nur begrenzt Zugang hat.
Opfer: Deshalb gibt es grundsätzlich in Behörden die Anweisung, dass private Informationstechnik gar nicht mit in die Behörde gebracht werden darf. Wo Sicherheit eine Rolle spielt, hat private IT nichts zu suchen, weil man das prinzipiell nur sehr schwer in den Griff kriegen kann.
CIO.de: Der Erfolg von Smartphones hängt auch von sinnvollen Anwendungen fürs Business und für Administratoren ab. Können Sie aus Ihrer Sicht Apps zum Beispiel für Disaster Recovery, die Fernwartung von IT-Systemen oder für die Netzwerkkontrolle empfehlen?
Opfer: Die Administration einzelner Endgeräte für das Disaster Recovery ist dann in Ordnung, wenn nur der Administrator die alleinige Kontrolle über die Prozesse hat.
Keine IT-Administration über Smartphones
Ich halte es im Übrigen für sehr bedenklich, Netzwerke per Fernzugriff über Smartphones zu administrieren. Gerade kritische Administrationsvorgänge sollte man ausschließlich in einer geschützten Umgebung erledigen, damit niemand unberechtigterweise Manipulationen vornehmen kann. Für die Administration von Netzwerken per Fernzugriff über Smartphones sehe ich zudem keine zwingende Notwendigkeit.
Vielen Dank für das Gespräch.