Loading
Datensicherheit für Anwendungen auf mobilen Geräten
"Im April 2016 wandte sich das FBI an eine spezialisierte Firma, um das iPhone von Syed Farook, einem der Attentäter von San Bernardino, zu hacken. Nach wochenlangem Ringen mit Apple um die Freischaltung des Smartphones verschaffte sich das FBI schliesslich auf anderem Wege Zugriff auf die verschlüsselten Daten."
Fälle wie dieser lösen nicht nur Debatten und Kontroversen über den Schutz der Privatsphäre und die Rechtmässigkeit solcher Methoden aus, sie zeigen auch, wie empfindlich die immer stärker in IT-Lösungen integrierten Smartphones und Tablets in Bezug auf Informationssicherheit sind.
Sicherheitsexperten arbeiten kontinuierlich daran, Firmendaten vor jeder Art von Angriff zu schützen und im Einsatz befindliche Systeme anzupassen, um stets den maximalen Datenschutz zu gewährleisten. Andererseits muss ein einfacher mobiler Zugriff auf Firmendaten, selbst bei schlechter Verbindung, gewährleistet sein. Die sensiblen Daten sind daher auf mobilen Geräten unmittelbaren Gefahren, wie z.B. Diebstahl, ausgesetzt.
Besondere Risiken bei mobilen Geräten
Durch denTrend, private Geräte auch beruflich zu nutzen ("Bring Your Own Device" - BYOD) wird das Problem der Datensicherheit noch komplexer; berufliche Anwendungen (Firmendaten) werden neben privaten Anwendungen (wie zum Beispiel Spiele) installiert. Letztere stammen nicht zwingend aus verlässlicher Quelle und können ohne Wissen des Anwenders mit dem Gerät interagieren.
Zum Beispiel registriert die Anwendung Facebook für Android den Empfang einer SMS und kann diese auch abfangen (sie lesen, die Informationen speichern und die SMS an eine andere Anwendung weiterleiten).
Dieser Punkt ist kritisch, da manche Onlinebanking-Systeme eine Authentifizierungsmethode anhand von SMS-Nachrichten verwenden. Nichts schützt diese Nachrichten davor, von Anwendungen wie Facebook abgefangen oder sogar in deren Datenbanken weitergeleitet und gespeichert zu werden. Was für Facebook möglich ist, ist auch für schädliche Anwendungen möglich, die beispielsweise in einem kostenlos auf das Smartphone geladenen Spiel verborgen sein könnten. Wurden die Berechtigungen einmal erteilt, kann die Anwendung unkontrolliert auf die auf dem Smartphone gespeicherten Informationen zugreifen. Mit der AndroidVersion 6 lassen sich Zugriffsrechte wie iOS einzeln verwalten. Allerdings ist die Anwendung nicht gezwungen, das neue System zu verwenden, da die Rückwärtskompatibilität gewährleistet werden muss.
Juan Avellan
General Manager Senthorus
Juan Avellan, SOC Experte