Mobile Computing

Allgemeines

Der Einsatz mobiler Endgeräte, insbesondere aus den Bereichen Smartphones und -pads, verzeichnen auch im Datennetz der Universität enorme Zuwachsraten. Obwohl diese Geräte vor allem für den Consumerbereich mit dem Einsatzszenario einer einfachen Handhabung entwickelt wurden, werden diese dennoch auch im Firmenumfeld zur Bearbeitung firmeninterner Unterlagen (Dokumente, Mails etc.) eingesetzt. Dabei treten sicherheitsrelevante Probleme zutage, welche von den Herstellern der Geräte bzw. der darauf laufenden Software zwar adressiert werden, aber derzeit als nicht ausreichend angesehen werden können, vor allem hinsichtlich des deutlich höheren Verlustrisikos dieser Geräte.

Problembereiche

Insbesondere treten aus Sicht der IT-Sicherheit folgende Mängel auf:

  • Mangelnder Zugangsschutz zu den Geräten
    Es werden keine Schutzmechanismen wie sichere Passwörter zum Entsperren der Geräte vorausgesetzt. Einfache Zugangskontrollen wie 4-stellige PIN-Codes oder optische Muster sind hier völlig unzureichend. Siehe dazu auch ein Beitrag zur PIN-Sicherheit eines iPhone.
  • Keine durchgängige und sichere Verschlüsselungsmöglichkeit für sensible Daten
    Dies wäre insbesondere im Firmenumfeld erforderlich. iPhone und iPad besitzen zwar eine Hardware-Verschlüsselung, diese wird aber nur wirksam wenn auch ein wirksamer Entsperrcode vorhanden ist bzw. ist bei (einfach möglicher) Umgehung des Entsperrcodes unwirksam. Unter Android wurde eine Verschlüsselung erst ab Version 3 eingeführt, diese ist aber derzeit (Januar 2012) noch kaum verbreitet.
  • Automatische Speicherung von Zugangsdaten
    Zum Zweck der vereinfachten Nutzung werden alle Zugangsdaten (Netz, Mail etc.) gespeichert und bei Aufruf des Dienstes automatisch übergeben. Ist das Gerät also einmal zugänglich kann jedermann diese Dienste unter dem Namen des Eigentümers nutzen oder diese Daten sind sogar im Klartext auslebar oder ermittelbar und können für den unerlaubten Dienst- oder Netzzugang genutzt werden.
  • Dienste sammeln vertrauliche Daten
    Die zumeist vorhandenen Lokalisierungsdienste (per GPS oder WLAN) erlauben die Erfassung kompletter Bewegungsprofile. Bei Fehlfunktion oder durch Einsatz bestimmer Programme können diese Daten auch in falsche Hände geraten.
  • "Entsperrung" der Geräte (Rooting, Jailbreaking)
    Durch die einfache Verfügbarkeit und Anwendungsmöglichkeit verschiedener frei verfügbarere Softwarepakete können die Zugangssperren zu einem Gerät komplett umgangen werden. Hier hilft letztlich nur eine komplette sichere Verschlüsselung aller Daten auf dem Gerät und deren Unterstützung durch die verwendeten Apps. Insbesondere unter iOS ist dies derzeit nicht gewährleistet.

Fazit

Die derzeitigen Plattformen Android (Google) und iOS (Apple) beiten sehr unterschiedliche Strategien zur Absicherung der Geräte. Aktuell (April 2012) bietet Android ab Version 3 den deutlich besseren Schutz der gespeicherten Daten bei Nutzung der Datenverschlüsselung. Durch die Verfügbarkeit einfach zu nutzender Tools zur Umgehung der Sicherheitsmechanismen unter iOS (Jailbreaking) ist es nicht ratsam, sensible Informationen auf iOS-Geräten abzulegen.

Es sind Regelungen seitens der relevanten Gremien zum Umgang mit dienstlichen Daten auf mobilen Endgeräten erforderlich.