Sicherheit von Mobilgeräten Was bringt die Zukunft?

Transkript

1 Sicherheit von Mobilgeräten Was bringt die Zukunft? Mobilgeräte stellen eine der bahnbrechendsten Entwicklungen im IT-Bereich seit der Umstellung von den Großrechnern auf PCs vor 20 Jahren dar. Die Handhelds überzeugen durch universelle Anschlussmöglichkeiten und ununterbrochenen Zugang auf das Wissen der Menschheit und bieten mehr Rechenleistung als die Steuerzentrale der NASA bei der ersten Mondlandung. Doch was bringt die Zukunft? Und welche Herausforderungen stellen sich für die Sicherheit? Sicherheit von Mobilgeräten Was bringt die Zukunft? 1

2 Ihr Mobilgerät kennt Ihren aktuellen Standort, Ihr Ziel und Ihre gewünschten Gesprächspartner. In Sekundenschnelle können wir die Vorzüge der digitalen Welt im realen Leben nutzen und etwa Tickets buchen, Geschäftsdaten austauschen oder uns mit Freunden treffen, die gerade in der Nähe sind. Mobilgeräte entwickeln sich rapide weiter. Schon jetzt ermöglichen sie es Geschäftsleuten und Privatanwendern, von unterwegs Geschäften nachzukommen und ihr Leben zu planen. Zudem sind mit Mobilgeräten völlig neue Geschäftsmodelle und Dienstleistungen entstanden. Es ist davon auszugehen, dass sich Mobilgeräte in Zukunft nachhaltig auf das Wirtschaftswachstum auswirken. Die moderne Technik ist faszinierend. Doch welche Haupttechnologien treiben Mobilgeräte voran, was bringt die Zukunft und welche Herausforderungen stellen sich für die IT-Sicherheit? Neue Technologien, neue Sicherheitsrisiken Es ist absehbar, dass Mobilgeräte mit zunehmendem Leistungsvermögen einen immer größeren Stellenwert im Privat- und Arbeitsleben einnehmen werden. Dank gesteigerter Rechenleistung und Kompaktheit können die Geräte PCs zunehmend ersetzen und nicht nur ergänzen. Viele User nutzen die Geräte bereits täglich intensiv. Wir erwarten zudem eine breitere Designvielfalt: Der Tablet verzeichnet große Erfolge, es werden jedoch mit Sicherheit neue Konkurrenzprodukte auf den Markt kommen. Aufgrund der neuen Designvielfalt werden die Grenzen zwischen PC und Handy noch mehr schwinden. Viele von uns befürchten traditionelle Übergriffe, wie Malware oder Phishing, auf den neuen Geräten (zu Recht). Die neuen Funktionen bringen jedoch auch neue Gefahren mit sich. Neue Funktionen, wie die erweiterte Realität, Gesichtserkennung und integrierte soziale Medien setzen User ganz neuen Risiken aus. Bei der erweiterten Realität wird etwa der Standort eines Users mit dem seiner Freunde in sozialen Netzwerken abgeglichen. So lässt sich feststellen, ob sich digitale Kontakte gerade in der Nähe befinden. Häufig sind Menschen bei der Wahl ihrer realen Freunde kritischer als bei Kontakten in der digitalen Welt. Dies schafft neue Angriffsmöglichkeiten für Social Engineering. Einbrecher können so etwa herausfinden, ob ein Haus leer steht (Websites, wie PleaseRobMe.com, widmen sich ganz diesem Zweck). Auch die Gesichtserkennung und das Markieren von Usern auf Fotos auf Social-Media-Websites lassen die Grenzen zwischen Berufs- und Privatleben weiter schwinden. Polizisten wurden beispielsweise bereits kritisiert, weil ihre Identität durch soziale Medien und Gesichtserkennungstechnologien preisgegeben wurde. Eine weitere innovative Technologie, die Usern den Alltag erleichtern soll, ist NFC (Near Field Contact). NFC birgt jedoch auch neue Herausforderungen für Sicherheitsbeauftragte. Mobilgeräte werden von Kriminellen immer häufiger zur finanziellen Bereicherung zweckentfremdet. Nun soll die NFC- Technologie auch in Mobilgeräte integriert werden: User müssen dann ihr Mobilgerät lediglich über 2

3 ein Lesegerät ziehen und können so Zahlungen tätigen oder persönliche Daten weitergeben. Das Mobilgerät wird so immer mehr zum zentralen Dreh- und Angelpunkt und deckt fast alle Lebensbereiche ab. In den Augen von Cyberkriminellen steigt die Attraktivität der Geräte folglich noch. Je mehr Daten sich auf den Mobilgeräten befinden, desto kreativer werden Kriminelle in der Ausarbeitung von Übergriffen auf Privatleben, Geschäfte und Finanzen der Opfer. Und je mehr Anwendungen und neue Funktionen wir nutzen, desto mehr Angriffsflächen bieten wir. Nicht nur die Sicherheit, sondern auch unsere Privatsphäre ist gefährdet. Mit zunehmender Anzahl an Technologien steigt auch die Überwachung unseres Lebens, da auf Mobilgeräten Kennwörter, persönliche Daten und soziale Kontakte gespeichert werden. Neue Einstellung Mit dem dramatischen Wandel der Technologien hat sich auch die Einstellung der Unternehmen geändert. Noch vor wenigen Jahren wurden Social-Media-Websites und unverwaltete Geräte in Unternehmen in der Regel blockiert. Heute werden solche Technologien ganz bewusst eingesetzt. Mitunter befassen sich sogar ganze Abteilungen in Unternehmen nur mit der Markterschließung über soziale Medien. Dies steht in starkem Kontrast zu den Vorjahren. Der technologische und geschäftliche Wandel zwingt auch die IT- Sicherheitsbranche zum Umdenken. Wer sich nicht anpasst, bleibt auf der Strecke. Dieser Paradigmenwechsel wirkt sich in Zukunft auch auf die Sicherheit von Mobilgeräten und deren Anwendungen aus: So werden neue Technologien künftig wohl erstmal eher abgelehnt als willkommen geheißen. Anwendungen für Mobilgeräte, Browser und Fat Clients Mobilgeräte haben Technologien zur Entwicklung neuer Anwendungen beträchtlich beeinflusst. In den vergangenen Jahren haben Anwendungen auf Browserbasis herkömmliche Fat Clients stark beansprucht. Dies liegt vor allem an der Kompatibilität mit mehreren Plattformen sowie an der Tatsache, dass von überall (und allen Geräten) darauf zugegriffen werden kann. Die Anzahl an lokalen Mobilanwendungen ist nicht zuletzt aufgrund der Webframeworks für die schnelle Anwendungsentwicklung stark angestiegen. Da sich Anwendungen einfach entwickeln lassen, gibt es bereits Anwendungen für alle Lebenslagen. Solche Anwendungen weisen mitunter Sicherheitslücken auf. Zudem werden häufig selbst grundlegende Sicherheitsvorkehrungen missachtet und Kennwörter und Benutzerdaten werden beispielsweise gar nicht oder nur rudimentär verschlüsselt. Zwar bieten Fat Clients und Browser Clients sichere Programmierschnittstellen und Dienste, doch werden diese noch immer nicht flächendeckend genutzt. Auch die Betriebssysteme von Mobilgeräten verfügen in zunehmenden Maße über solche Sicherheitsvorkehrungen. Dennoch greifen noch nicht alle Entwickler darauf zurück. Aufgrund mangelnder Transparenz ist unklar, wie umfassend Qualitätsprüfungen von Firmen wie Apple sind. 3

4 Das so genannte Walled Garden - Prinzip verspricht, unsichere Anwendungen auszugrenzen. In vielen Fällen scheint die Anwendungssicherheit jedoch nicht an erster Stelle zu stehen. Es ist absehbar, dass sich neue Herausforderungen auf Anwendungsebene stellen werden. Neue Zeiten, neue Architektur Bei Mobilgeräten handelt es sich keineswegs nur um platzsparende PCs, auch wenn sich der Funktionsumfang zunehmend angleicht. Die Betriebssysteme wie Android oder ios unterscheiden sich grundlegend von den Betriebssystemen von PCs, da Entwickler auf jahrelanger Erfahrung mit herkömmlichen Betriebssystemen aufbauen konnten. Moderne Mobilplattformen umfassen etwa Sandbox-Technologien zum Isolieren von Anwendungen. Auch Zugriffskontrolle und Berechtigungssysteme gängiger Betriebssysteme wurden grundlegend überarbeitet. Berechtigungen basieren nun nicht mehr auf dem Zugriff auf willkürliche Objekte, wie Registrierungsschlüssel, sondern vielmehr auf menschlichem Zugriff. So wird beispielsweise entschieden, ob eine Anwendung auf Ihren Standort oder Ihre SMS-Nachrichten zugreifen muss. Die Funktionen stimmen mit Hinblick auf sicherere Betriebssysteme durchaus zuversichtlich, sind jedoch noch nicht voll ausgereift. Solche Elemente verfügen vielfach noch nicht über intelligente und sichere Standardmechanismen. Auch müssen mitunter Rechte an installierten Anwendungen geändert werden eine Herausforderung, der nicht alle User gewachsen sind: Die Tendenz mancher Anwender, einfach auf OK zu klicken, ist nur allzu bekannt. Im Allgemeinen sind die Funktionen jedoch zu begrüßen, da Sicherheitsanbieter sie verwalten und so die Gerätesicherheit erhöhen können. Bemerkenswert ist ferner, dass die Architektur von Mobilgeräten die moderne Arbeitswelt nachbildet. BlackBerry hat beispielsweise eine neue Funktion zur Aufteilung von persönlichen und professionellen Daten in zwei isolierte Arbeitsumgebungen eingeführt. User können also bedenkenlos ihrer Arbeit nachgehen, ohne dabei auf Spiele und Unterhaltung verzichten zu müssen. Zwar sind die Funktionen In Kombination mit dem Angebot der Sicherheitsanbieter können User auf vielseitige und sicherere Geräte gespannt sein. Malware, Hacking und Phishing Gewiss sind bereits diverse mobile Plattformen zum Angriffsziel von Schadcode geworden, das Ausmaß hält sich im Vergleich zu herkömmlichen PCs jedoch in Grenzen. Vor allem Android wurde aufgrund des relativ offenen Anwendungsmarkts vermehrt angegriffen. Selbst BlackBerrys, die als extrem sicher gelten, wurden bereits Opfer von Malware-Angriffen. So gestalten sich Angriffe auf Mobilgeräte zwar anders, sind jedoch nicht unmöglich. Bisher wurden beispielsweise vermeintliche Online-Banking- Anwendungen zum Diebstahl von Benutzerdaten und Geld festgestellt. In anderen Fällen wurden Authentifizierungsdaten von Usern per SMS von einer Bank verschickt. User, die noch keine Erfahrungen mit Malware gemacht haben, wiegen sich in Sicherheit. Zudem befanden sich bis vor kurzem kaum wertvolle Daten auf solchen Geräten. Je mehr sich Mobilgeräte als PC-Ersatz etablieren, desto interessanter werden sie für Cyberkriminelle. In den kommenden Jahren werden Malware-Übergriffe auf Mobilgeräte aller Wahrscheinlichkeit nach drastisch ansteigen. Zwar wird hierbei der Virenschutz auch eine zentrale Rolle einnehmen, doch werden vermutlich Reputation und Verhaltensanalyse im Vordergrund stehen. 4

5 Regulierungsbehörden, Compliance und Mobile Devices Compliance-Vorschriften (etwa in Zusammenhang mit vollständiger Festplattenverschlüsselung) wurden unlängst aussagekräftiger gestaltet und verschärft. Dabei wurden auch den Kontrollbehörden mehr Rechte eingeräumt. Das Hauptaugenmerk lag bei dieser Reform auf PCs, da diese nach wie vor weiter verbreitet sind und den Hauptvektor für Datenverluste darstellen. Die Richtlinien und Gesetze sind jedoch allgemein gehalten und lassen sich auch auf Mobilgeräte anwenden. Mit zunehmenden Datenlecks rücken Mobilgeräten mit Sicherheit ins Visier der Aufsichtsbehörden und werden entsprechend reglementiert. Trotz mangelnder Compliance-Standards können Mobilgeräte die gleichen Datenschutzrisiken bergen wie PCs. Der Bedarf an Kontrollen und Richtlinien steht PCs in nichts nach, die Unterschiede liegen lediglich in der Umsetzung. Entwicklungstempo und Innovation Die Absicherung von Mobilgeräten gestaltet sich vor allem aufgrund ihrer rasanten Entwicklung schwierig. Herkömmliche Computer entwickeln sich in der Regel maximal alle 18 bis 24 Monate weiter, Mobilgeräte hingegen erfahren in nur wenigen Monaten oft drastische Änderungen. Daher nutzen viele User neue Anwendungen und Methoden zum Datenaustausch meist bereits vor der genauen Analyse und Prüfung durch die Sicherheits- Community. Sicherheitsanbieter müssen Geräte und Anwendungen stets auf Neue untersuchen und neue Risiken erkennen. Flexible Sicherheitslösungen, die schnell an neue Probleme angepasst werden können, sind gefragt. Die IT- Sicherheitsbranche muss sich quasi ständig neu erfinden. Ein weiterer wichtiger Aspekt sind Updates: Anwendungen und Dienste auf den Geräten werden meist automatisch upgedatet. Betriebssystems-Updates sind jedoch nur mit Kabelverbindung oder Benutzereingriff möglich. Dies wirft erhebliche Risiken auf, da Sicherheitslücken auf den Geräten ohne Updates nicht eliminiert werden können. iphones mit Jailbreak sind beispielsweise ein leichtes Angriffsziel. Mit Hilfe von Jailbreaks können User ihre Geräte in nicht von Apple vorgesehenem Maße personalisieren und illegal erworbene Anwendungen ausführen eine durchaus gängige Praxis. Die Sicherheitslücken können jedoch auch von Malware- Autoren ausgenutzt werden. Die Infrastruktur zu Updates und Patches für Mobilgeräte sollte dem Vorbild der traditionellen Computerbranche nachgebildet werden. Aus den Erfahrungen, die beispielsweise Microsoft in der Vergangenheit machen musste, lassen sich gewiss lehrreiche Schlüsse ziehen. 5

6 Aufklärungsbedarf Smartphones haben sich etabliert: User kaufen Anwendungen und Musik und erledigen gar ihr Online-Banking auf diesem Wege. Interessanterweise scheint die Sicherheit von Mobilgeräten Usern kein Kopfzerbrechen zu bereiten sie fühlen sich immun. Womöglich liegt das daran, dass User auf PCs bereits Opfer von Scams oder Malware geworden sind, solche Erfahrungen hingegen noch nicht in Zusammenhang mit Mobilgeräten machen mussten. User wiegen sich in Sicherheit, doch ist es nur eine Frage der Zeit, bis Cyberkriminelle Mobilgeräten mehr Aufmerksamkeit schenken. Wenn es soweit ist, sind User möglicherweise noch nicht über die Risiken informiert. Viele Unternehmen haben Computernutzungs- und Datenschutzrichtlinien eingeführt und informieren ihre Mitarbeiter in Schulungen über Rechte und Pflichten. Mobilgeräten wird hierbei allerdings oft keine Beachtung geschenkt. Es empfiehlt sich, Schulungsinhalte schon jetzt um Mobilgeräte zu erweitern und Mitarbeiter über die Gefahren aufzuklären. IPv6 und Netzwerke Die Verbindungsmöglichktein von Mobilgeräten haben sich mehrfach geändert: von GSM über 1G, 2G, 3G, 3.5G bis hin zu 4G. Momentan werden Mobilnetzwerke weltweit upgegradet, um schnellere Internetverbindungen für Mobilgeräte zu ermöglichen. Roaming-Benutzer (mittlerweile fast eine Norm in Unternehmen) begrüßen diese Neuerung. Mit diesen Innovationen gehen aber auch neue Herausforderungen für die IT-Sicherheit einher. Die universelle Verbindungskapazität von Mobilgeräten kann etwa von Botnet- Steuerzentralen ausgenutzt werden. Anbieter von Mobilgeräten und Telekommunikationsdienstleistungen zählen zu den Hauptkunden von IPv6, einem zukunftsweisenden Internetprotokoll für Netzwerk- und Internetverbindungen. (Details zu IPv6 entnehmen Sie bitte unserem Whitepaper unter com/de-de/security-news-trends/ security-trends/why-switchto-ipv6.) Der rasante Zuwachs an Mobilgeräten erschwert die Skalierbarkeit für Anbieter von Telekommunikationsdienstleistungen. IPv6 bietet nicht nur mehr Performance, sondern auch neue Mobil- und Sicherheitsfunktionen. Dank Funktionen wie Mobile IP erleichtert IPv6 Mobilgeräten unter Aufrechterhaltung einer mobilen IP-Adresse den Netzwerkwechsel (beispielsweise von Wi-Fi zu 3G). Dies sorgt für unterbrechungsfreie Verbindungen und Netzwerkabdeckung und effiziente Datenübertragung. Auch im Sicherheitsbereich bringt IPv6 zahlreiche Vorteile. An dieser Stelle sei angemerkt, dass in Zusammenhang mit IPv6 IPSec, der Branchenstandard für sichere VPN-Verbindungen, entwickelt und als obligatorische und native Komponente integriert wurde. Auch wenn Mobilgeräte Netzwerkverbindungen revolutionieren könnten, verlangen sie der IT- Sicherheitsbranche doch mehr Wissen ab. IPv6 setzt sich langsam als Netzwerkstandard für Mobilgeräte und Tablets durch. Wer nicht nachzieht, muss mit Sicherheitslücken rechnen. Aus Fehlern lernen Die IT-Branche hat viel über die Entwicklung von Software mit sicheren Standardeinstellungen gelernt und hat ein Arbeitsumfeld geschaffen, in dem Hersteller von Sicherheitslösungen sichere Lösungen auf den Markt bringen können. Die Zusammenarbeit zwischen Betriebsystemherstellern und Softwareanbietern ist zwar ausbaufähig, gestaltete sich doch bisher meist positiv, so dass die erforderlichen Schutzmechanismen implementiert werden konnten. 6

7 Momentan findet sich ein neues Branchenportal (unter Beteiligung von Apple Google und vielen mehr) im Aufbau. Alle Beteiligten müssen auf den Erfahrungen mit Desktops aufbauen, anstatt Mobilgeräte auf den Entwicklungsstand der 90er Jahre zu zurückzuversetzen. In vielen Fällen geriet die Sicherheit von Mobilgeräten aufgrund des Mangels an sicheren Programmierschnittstellen oder anderer Prioritäten der Anbieter ins Hintertreffen. Es liegt an uns allen, intelligente und sichere Standards von dem neuen Branchenportal einzufordern und darauf zu beharren, dass Sicherheitsvorkehrungen in die Liste der Mindestanforderungen eines Geräts aufgenommen werden. Die Sicherheits-Tools der Zukunft Sicherheitslösungen für Mobilgeräte der Zukunft müssen Geräte-, Betriebssystems- und Herstellerkomponenten in einer Lösung vereinen. Manche Komponenten werden von der Hardware (z.b. vollständige Festplattenverschlüsselung) oder vom Betriebssystem (z.b. Sandboxing) bereitgestellt, jedoch von den Sicherheitsanbietern verwaltet und von Reports erfasst. Der Bedarf an Malware-Schutz wird steigen, auch wenn er sich in der Ausführung von PCs unterscheiden wird. Von Interesse ist besonders der Datenschutzbereich (DLP): Hierbei gilt es, zu verhindern, dass s versehentlich weitergeleitet werden können und dafür zu sorgen, dass zwischen Mobilgeräten, PCs und sonstigen Geräten ausgetauschte Daten unterbrechungsfrei verschlüsselt werden. Die Schutzmechanismen werden im Laufe der Zeit genau wie beim PC erweitert werden. Die Umsetzung erfolgt dabei allerdings nicht im Netzwerk, sondern auf Datenebene. Strategien zur Sicherung Ihrer Daten Trotz vereinzelter düsterer Vorhersagen im Bereich Sicherheit von Mobilgeräten wurde die Thematik in den letzten Jahren kaum angesprochen. Aktuelle Ereignisse und technologische Änderungen lassen jedoch erahnen, dass mit mehr und differenzierteren Bedrohungen zu rechnen ist. Wir müssen uns darauf einstellen. Alles in allem ist der Sicherheitsmarkt für Mobilgeräte noch nicht sonderlich ausgereift, und es besteht noch Handlungsbedarf bei der Entwicklung der richtigen Schutzmechanismen. Natürlich bietet sich an, an den gängigen Schutzmechanismen von Desktops anzusetzen (Virenschutz, DLP, HIPS, Verschlüsselung, Application Control und so weiter). Diese Komponenten sind allerdings noch nicht flächendeckend verfügbar. 7

8 Das Hauptaugenmerk sollte also auf den Basisfunktionen liegen. Die meisten Sicherheitslecks sind nämlich darauf zurückzuführen, dass die Grundlagen missachtet werden: Schwache Kennwörter, keine Verschlüsselung, fehlende Patches und Social Engineering. Unter sophos.de erfahren Sie, wie sie Ihre Geräte schützen können. Die Bedrohungslandschaft wird sich weiterhin verändern. Sophos wird Kunden stets relevante, aktuelle Mechanismen anbieten. Langfristige Strategie zum Umgang mit Mobilgeräten 1. Eine zentrale Rolle bei der Ausarbeitung einer langfristigen Strategie spielen Updates. Mobilgeräte und -technologien entwickeln sich rasant weiter. Die herkömmlichen, auf 3 bis 5 Jahre angelegten Strategien bieten sich hier nicht an. Wir empfehlen flexible 6-Monats-Strategien, die stets an den technologischen Wandel und neue Risiken angepasst werden. 2. Nehmen Sie Mobilgeräte in Ihre Compliance-Richtlinien auf. 3. Achten Sie darauf, dass Ihre Lösungen (wie etwa Gerätesteuerung) möglichst viele Gerätearten und Betriebssysteme abdecken. Beliebte Geräte entwickeln sich schnell weiter: Sicherheitsfunktionen sollten daher so zukunftssicher wie möglich sein. Je mehr Gerätearten Sie einführen, desto größer der finanzielle und verwaltungstechnische Aufwand Anbieter von Sicherheitslösungen müssen dieses Problem durch Erweiterung der Plattformkompatiblität beheben. 4. Behalten Sie die Kombination aus geschäftlichen und privaten Daten auf Mobilgeräten genau im Auge. Häufig werden Kontakte, s und Daten in einer Oberfläche zusammengefasst, was die Differenzierung erschwert. Dieser Trend wird sich vermutlich fortsetzen und sollte daher auch in der Strategie berücksichtigt werden. Ihre Prozesse, Richtlinien und Praxistipps sollten den Usern bei der Vermeidung von Fehlern helfen, die das Unternehmen in Misskredit bringen können. 5. Informieren Sie Ihre Mitarbeiter über die Sicherheit von Mobilgeräten. Usern muss vor Augen geführt werden, dass (private und geschäftliche) Daten auf Mobilgeräten von großem Wert sind und die Sicherheit nicht einfach so gewährleistet ist. So sind Sie auf potenzielle Angriffe bestens vorbereitet. 6. Gehen Sie bei der Definition von Mobilgeräten nicht zu sehr ins Detail, da das Design einem ständigen Wandel unterliegt und die Strategie Tablets, Smartphones und sonstige beliebte Geräte abdecken muss. Es empfiehlt sich dennoch, zulässige Geräte genau zu definieren: Manche Unternehmen erlauben etwa nur bestimmte Betriebssystemversionen, die den Sicherheitsstandards gerecht werden. Je ausgereifter die Geräte werden, desto umfassender wird Ihre Geräteliste. 7. Wer sich nicht anpasst, bleibt auf der Strecke. Unternehmen können sich dem Trend nicht ganz widersetzen und müssen Mobilgeräte einführen. Wenn Sie bestimmte Geräte, wie etwa ipads, zulassen, können Sie risikoreichere Technologien umgehen. 8. Sophos wird in Einklang mit dem technologischen Fortschritt neue Schutzmechanismen für Mobilgeräte anbieten. Unsere Sicherheitslösungen sind flexibel und werden stets an aktuelle Trends angepasst. James Lyne, Director of Technology Strategy, Sophos Boston, USA Oxford, UK Copyright Sophos Ltd. Alle Rechte vorbehalten. Alle Marken sind Eigentum ihres jeweiligen Inhabers.