BSI-Tipps im Überblick

Neuer Sicherheitsratgeber für Smartphones

19.09.2011 von Thomas Pelkmann

Unternehmen und Anwender sollten sich im Klaren darüber sein, dass Smartphones noch nicht so gut abgesichert werden können wie PCs und Laptops, warnt das BSI.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt in einer Broschüre praktische Tipps zur Sicherheit mobiler Geräte.
Foto: BSI

"Was sind Smartphones und was können sie?" Mit dieser sehr grundsätzlichen Frage startet das Überblickspapier Smartphones, das das Bundesamt für Sicherheit in der Informationstechnik (BSI) jetzt veröffentlicht hat. Für den, der es noch nicht weiß: "Smartphones sind Mobiltelefone mit zahlreichen Zusatzfunktionen", die - anders als etwa Laptops - "mit einer Hand bedient" werden können.

Das klingt zugegebenermaßen sehr allgemein, aber spannend und praktisch wird es, wenn es konkret um die Gefährdungen geht, denen die Benutzer von Smartphones ausgesetzt sind. "Auf der Sicherheit der Smartphones und Applikationen liegt (...) nicht immer die höchste Priorität", bemängeln die Sicherheitsexperten des BSI den hohen Innovationsdruck auf die Hersteller in einem umkämpften Markt.

Aus Sicherheitsgründen ist aber auch die zunehmende Vielseitigkeit und Verbreitung der Geräte kritisch zu bewerten: "Smartphones sind (...) höchst attraktive Angriffsziele", weil die Benutzer immer häufiger online sind und mobil auf Unternehmens- und Behördennetze zugreifen.

Einige aus Sicht des BSI typischen Gefährdungen sind:

Das geringe Gewicht und die kleinen Abmessungen der Geräte, die dadurch drohen, verloren zu gehen oder geklaut zu werden. Geklaute Smartphones zurück zu bekommen, ist aufgrund des hohen Wiederverkaufswerts ebenso wahrscheinlich wie das Wiederfinden verlorener Geräte.

Die Gefahr des Datenverlusts. Die acht GByte Speicher - für moderne Geräte eher durchschnittlich - reichen aus, um Projektdaten wie Ausschreibungen und Preiskalkulationen sowie E-Mails "von vielen Jahren" zu speichern. Zudem seien auf Smartphones oft Zugangsdaten zu Firmennetzen oder zum Online-Banking gespeichert.
Ungesicherte Schnittstellen wie WLAN, Bluetooth oder USB laden zum Datendiebstahl ein.
Eine tendenziell wachsende Menge von Schadsoftware für mobile Geräte. Die Malware, schreibt das BSI, ähnelt der für PCs, hat aber tendenziell andere Aufgaben. So kann ein Trojaner etwa im Hintergrund teure Mehrwertnummern wählen, die dem Benutzer teure Telefonrechnungen und damit einen wirtschaftlichen Schaden verursachen. Ebenso kann ein Smartphone als "Gesprächsvermittler" fungieren, dass unerwünschte Werbe- und Betrugsanrufe oder verseuchte Links weiterleitet. Infizierte Smartphones können auch für Denial-of-Service-Attacken (DoS) missbraucht werden, um Webseiten oder ganze Computernetze lahm zu legen. "Dass solche Angriffe grundsätzlich funktionieren könnten, zeigt sich, wenn zu Neujahr viele Nutzer gleichzeitig Neujahrswünsche über das Mobiltelefon ausrichten wollen", schreibt das BSI.
Schließlich könnten manipulierte Smartphones auch zum Abhören kompromittierender Gespräche genutzt werden. Die Mitschnitte könnten direkt über die Telefonleitung oder später als Datei versendet werden.

Mobile Geräte unbedingt gegen Zugriffe von außen schützen

Die Liste des BSI umfasst noch weitere Punkte, die in der Summe eine einzige Aufforderung sind, seine Geräte gegen unbefugten Zugriff und gegen Schadsoftware zu schützen. "Bei dienstliche genutzten Smartphones", rät daher das BSI kategorisch, "sollten Sicherheitseinstellungen, so weit wie möglich, zentral vorgegeben werden".

Leider, das schreibt das BSI allerdings nicht, mangelt es derzeit bei populären Smartphones wie dem iPhone noch an zentralen Verwaltungs-Tools, die solche Sicherheitseinstellungen ermöglichen. Zudem, so das BSI, werde es immer wieder Sicherheitsvorkehrungen geben, die vom Benutzer selber umgesetzt werden müssten. Verantwortliche in Unternehmen und Behörden sollten daher im Klaren darüber sein, "dass derzeit Smartphones nicht so gut abgesichert werden können wie etwa PCs oder Laptops".

Konsumerisierung bringt zusätzliche Probleme

Außerdem würden diese Geräte häufig privat, also außerhalb des Unternehmens eingesetzt, was zusätzliche Sicherheitsprobleme mit sich bringt. Es sei zwar möglich, die Verwendung solcher Geräte für Unternehmenszwecke zu untersagen. Das sei aber meist nicht praktikabel und zudem eine Einladung an technisch versierte Anwender, nicht freigegebene Anwendungen dennoch zu nutzen oder andere Sicherheitsmaßnahmen zu umgehen ("Jailbreaking").

"Weil dabei praktisch alle Sicherheitsmaßnahmen des Herstellers ausgehebelt werden", so das BSI, "muss dies einerseits den Mitarbeitern untersagt werden, aber andererseits sollte die Motivation, Jailbreaking zu nutzen, möglichst gering sein." Die Trennung zwischen privater und dienstlicher Nutzung von Smartphones stelle vor diesem Hintergrund eine große Herausforderung dar, bemerkt das BSI zu Recht.

Für den Umgang mit Smartphones in Unternehmen rät das BSI unter anderem:

Den Einsatz von privaten Smartphones am Arbeitsplatz mit Policies eindeutig zu regeln. "Die Sicherheitsstrategie für Smartphones muss ein integraler Bestandteil der generellen Sicherheitsstrategie der Institution sein und in deren Sicherheitskonzept passen."
Bei der Auswahl von Geräten bereits an die Sicherheit denken. Wichtig sei es zu prüfen, ob sich die Geräte zentral administrieren und in existierende Administrations- und Sicherheitsregeln einbinden lassen. Da nicht alle aktuellen Smartphones diese Anforderung erfüllen, sollten Unternehmen nach Lösungen von Drittanbietern schauen.

Möglichst nur einen Typ von Geräten einsetzen, der den Sicherheitsanforderungen genügt. Wo das nicht geht, ist es wichtig, eine komplette Übersicht über alle in der Institution verwendeten Smartphones, inklusive der darauf möglichen Sicherheitsfunktionen vorzuhalten.
Alle Verbindungen von Smartphones mit der Institution etwa zum Zwecke des Daten- oder E-Mail-Austausches zu verschlüsseln.

Auch die Benutzer sind für die Sicherheit verantwortlich

Da viele Sicherheitsmaßnahmen nicht von den Policies und der Administration der Unternehmen abhängen, sondern vom Benutzer, gibt das BSI auch Empfehlungen für die Anwender. Dazu gehört zum Beispiel, die Eingabe von Passwörtern und PINs am Smartphone möglichst unbeobachtet vorzunehmen, Smartphones nicht unbeobachtet lassen und nicht auszuleihen. Zudem sollten Bildschirm- und Tastatursperren eingerichtet werden, die bei Diebstahl oder Verlust des Geräts die enthaltenen Daten schützen. Moderne Geräte erlauben sämtlich einen Fernzugriff auf Anwendungen und Daten, um im Falle des Verlusts vor unbefugtem Zugriff zu bewahren.

Das gesamte Überblickspapier Smartphones gibt es beim BSI kostenlos als PDF unter diesem Link.