Montag, 9. März 2009
Smartphones und die Sicherheit?
Ein Trend im Mobilfunkbereich der nächsten Jahre wird der Einsatz von SmartPhones sein. Kein Handy-Hersteller, der nicht solche Geräte im Portfolio hat. Als Betriebssysteme werden Windows Mobile, Palm OS (bzw. Web OS) und bei kommenden Produkten vor allem Android genannt. Gerade Android scheint als Betriebssystem für Viele seinen besonderen Charme zu haben. Wenn ich mir die Blog- und Zeitschriften Beiträge so ansehe, scheint da das "Ei des Columbus" ausgebrütet zu werden. In verschiedenen Blog-Beiträgen habe ich bereits gezeigt, wie Android als SmartPhone-Betriebssystem auf Netbooks gebracht werden kann und welche Unterschiede es zu anderen Linux-Betriebssystemen gibt.

Datenschleuder "mobile Geräte"

Von den Protagonisten der Technikhersteller wird das Zusammenwachsen von Handy (Telefonie), persönlichem Organisator (PDA) und mobilem Notebook (Netbook) propagiert, weil der Anwender überall auf seine Daten zugreifen können soll. Also ist es auch naheliegend, wenn auf allen diesen Geräten wichtige oder gar vertrauliche Daten abgelegt sind und untereinander ausgetauscht werden können.

Wenn man aber davon ausgeht, dass mobile Dienste von Handy und Notebooks zukünftig zusammen wachsen, kommt dem Datenaustausch eine Schlüsselrolle zu.

Microsoft hat den Trend erkannt und unternimmt große Anstrengungen, mobile Geräte als Plattform der Zukunft zu propagieren. Im Rahmen dieser Strategie hat der Hersteller bereits seit einiger Zeit mit ActiveSync eine eigene Anwendung samt Protokoll zum Datenabgleich zwischen Windows und mobilen Geräten wie PDAs oder Smartphones im Portfolio. Auch wenn Googles Android so etwas noch fehlt, dürfte es nur eine Frage der Zeit sein, bis entsprechende Pendants zur Verfügung stehen, um auch mit Windows Mobile-Geräten synchronisieren zu können.

Alternativ bietet es sich an, Daten direkt auf Server diverser Provider zu speichern und von dort die Synchronisierung vorzunehmen. Kern-und-Angelpunkt ist aber, dass den Datenaustausch und damit dem schnellen Zugriff auf alle Daten eine gravierende Bedeutung zukommt - sonst macht das Ganze für den Endanwender keinen Sinn.

Und wie hältst Du es mit der Sicherheit?

An diesem Punkt stellt sich mir die Frage, wie es eigentlich mit der Datensicherheit steht? Wenn ich einen Vorteil von dem ganzen Ansatz der vernetzten mobilen Geräte haben soll, funktioniert dies nur, wenn die Daten (auf einfache Weise) überall verfügbar sind. Also heißt dies, Datenaustausch über viele Schnittstellen und Gerätegrenzen hinweg.

Ein Blick auf die Faktenlage ist dann doch sehr ernüchternd.
  • In Android sind so einige Google-Dienste integriert und es ist das Ziel der Anbieter, möglichst viele Daten des Benutzers zur Erstellung von Data-Mining-Profilen zu generieren.
  • Ein Betriebssystem wie Android mit zig hundertausend Zeilen Code weist mit Sicherheit zahlreiche Sicherheitslücken auf.
  • Installierte Android-Anwendungen erhalten ggf. Zugriff auf alle Daten des Smartphones und können beliebige Daten abfischen und versenden.
Tauscht man den Begriff Android gegen Windows Mobile aus, fällt die Integration von Google-Diensten zwar weg. Die grundsätzlichen Fragen nach Sicherheitslücken und Sicherheit von Win Mobile-Anwendungen bleiben aber bestehen. Oder noch schärfer formuliert: Bedingt durch die Verwandschaft mit Microsoft Windows gelten Windows Mobile-Geräte schon jetzt als Malware- und Virenschleuder. Und es dürfte nur eine Frage der Zeit sein, bis dies auch für Google-Android-Anwendungen oder das Betriebssystem zutrifft.

Die Benutzer werkeln also mit einem Gerät, welches in Bezug auf Sicherheit löcherig wie ein Schweizer Käse daherkommt. Und der einzige Schutz ist momentan, dass es noch zu wenige Leute gibt, die wissen, wo der Käse "zu holen ist". Wenn man aber postuliert, dass es mit wachender Anzahl an Android-, Windows Mobile- bzw. Smartphone-Nutzern lukrativ wird, an deren Daten zu gelangen, werden früher oder später auch entsprechende Ansätze publik werden.

Wenn ich jetzt die Diskussion über die Abhörsicherheit von DECT-Telefonen verfolge, ist das nichts gegen die Sicherheitslücken, die sich auf SmartPhones auftun. Als für IT- oder Datensicherheit Verantwortlicher eines Unternehmens würden sich mir die Nackenhaare sträuben. Da unterbindet man den Austausch von Daten per USB-Stick - und durch die Hintertür kommen zu tausenden potentielle Spionagegeräte ins Unternehmen. Die Teile liegen in Besprechungen auf dem Tisch und warten nur darauf, dass Sprach- und Videofunktionen ferngesteuert werden. Vertrauliche Daten, Kennwörter, Zugänge für Homebanking & Co. können ggf. direkt in den (Android-)Anwendungen abgefischt werden. Und momentan gibt es noch nicht einmal eine Antiviren- oder Trojaner-Lösung, wie sie für jeden Windows-Rechner mittlerweile obligatorisch ist.

Geht man man mal davon aus, dass Windows Mobile-Geräte (als "Virenschleuder") über ActiveSync in den Datenaustausch zwischen diversen Geräten eingebunden werden, bleibt nur die Erkenntnis: Ein Schlaraffenland für Hacker, Spione und andere unliebsame Zeitgenossen. Eine Entwicklung, die für alle intelligenten Geräte bzw. SmartPhones gilt und eigentlich alle Alarmglocken klingeln lassen sollte.

Aber vielleicht sehe ich das alles wieder nur zu pessimistisch ...

... vielleicht aber doch Zeit, sich Gedanken über neue Geschäftsmodelle im Umfeld der Security-Beratung von Unternehmen zu machen. Denn das es da ein Geschäftsfeld geben wird, steht für mich außer Zweifel.

Link: Netter Zeit-Artikel zum Thema
(c) 2008 by Günter Born

Infos zum Eee PC finden Sie in meinen Windows XP. Literatur zu Netbooks mit Windows und Linux? Findet sich hier.

www.borncity.de
the source of fine computer books,
because technology counts!