Roadshow: Mit Sicherheit mobil

29. März 2011 von Daniel Hardt 0

Referenten: Matthias Kumm, Norman Wenk, Rolf Stodt und Frank von Eitzen (Foto: Daniel Hardt)

Referenten: Matthias Kumm, Norman Wenk, Rolf Stodt und Frank von Eitzen (Foto: Daniel Hardt)

Schöne neue mobile Welt. Die Verheißungen sind verlockend, Smartphones und Tablets werden zu Allzweckwaffen für Geschäftsbelange. Doch Skepsis schwingt mit: Können Daten bei der Übertragung abgefangen oder schädliche Codes in Backend eingeschleust werden? Was passiert bei Verlust oder Diebstahl des Smartphones?

Die diesjährige Roadshow des Security Solution Provider Integralis mit dem Motto „SAP, Microsoft, Oracle & Co. Business goes mobile!“ gab Antworten und zeigte Lösungswege auf. Bei der Nutzung mobiler Anwendungen, spricht Integralis von einer 3-Stufen-Sicherheitsarchitektur.

Diese besteht aus den Komponenten Endgerät, Nutzer und (IT-)Infrastruktur –  eine jede mit bestimmten Risikofaktoren. Anhand dieser Stufen wurde das Thema mobile Sicherheit erläutert. Zum ersten Mal nahmen zudem die Schwesterunternehmen itelligence und Cirquent an der Veranstaltung teil.

PIM, Mehrwert- und Unternehmens-Applikationen

Dr. Ralf Stodt von Integralis unterschied in seinem Vortrag zum Bereich „Endgeräte“ drei verschieden Anwendungsszenarien für Unternehmen: PIM-Synchronisation, Mehrwert-Applikationen und Enterprise-Applikationen. Die Synchronisation der persönlichen Informationsverwaltung (PIM) beinhaltet Push-Funktionen für E-Mail, Kontakte und Kalender und ist mit Groupwaresystemen wie Exchange oder Notes verbunden.

Unabhängig von der mobilen Plattform, ist Microsofts ActiveSync hierfür Standard. Mehrwert-Applikationen erfreuen sich auch im Consumer-Bereich großer Beliebtheit und decken Buchungen, Fahrpläne, Ticketkäufe und Navigation ab. Neben PIM sind Enterprise-Applikationen kritisch, da sie auf Daten aus dem ERP nutzen und den Zugriff aufs Backend ermöglichen.

Lesen Sie auf der nächsten Seite: Netz hacken in 30 Minuten

Frank von Eitzen demonstriert Point-of-Sale-Suche per Augmented Reality (Foto: Daniel Hardt)

Frank von Eitzen demonstriert Point-of-Sale-Suche per Augmented Reality (Foto: Daniel Hardt)

Erst denken, dann handeln

Integralis rät, eine Vorabstrategie zu erstellen, bevor man den mobilen Einsatz startet:  Wer im Unternehmen braucht Zugriff auf welche Daten? Handelt es sich um ein B2C-, B2B- oder B2E-Konzept? Zudem sollten die unternehmenseigenen Nutzungsrichtlinien überprüft und alle Prozesskomponenten berücksichtigt werden, ein Training für Anwender sei ebenfalls ratsam.

Um das Gerätemanagement zu überblicken, sollten nicht mehr als drei Typen eingesetzt werden, Smartphones mit Jailbreak – also gecrackter Firmensoftware – hingegen auf keinen Fall. Auch die Sperrung des Geräts bei falscher Passworteingabe – Device Wipe – gehöre zur Grundausstattung. Besonders wichtig sei, dass das Gerät „on the Air“ (OTA) gesteuert werden und die IT-Zentrale somit permanent zugreifen kann.

Denn der Trend weg vom Desktop-PC ist nicht aufzuhalten. Eine Gartnerstudie geht davon aus, dass bereits 2012 Smartphones klassische Handys und Laptops ablösen. 2014 sollen widerum erstmals mehr Tablet-PCs als Smartphones verkauft werden.

Mobilfunk-Netz in 30 Min. gehackt

Mobile Endgeräte haben Risikoaspekte. Neben unbefugten Zugriff, sind Schnittstellen und Datenübertragung zu nennen. Ob Bluetooth, WLAN, E-Mail, MMS, SMS, Downloads oder Sicherheistslücken im Programm-Code –schadhafte Software kann auf vielen Wegen verbreitet werden.

Auch der Zugriff aufs Firmennetzwerk oder das Abhören der Datenübertragung ist möglich, die Vernichtung von Datenrückständen auf Flashspeichern unsicher. Selbst Dialer, eigentlich ein Überbleibsel aus der Zeit vor der Internet-Flatrate, drohen aus Asien nach Europa und Amerika zu schwappen.

Stodt berichtet, dass GSM, die Basis für Mobilfunknetze, mit Hardware für 1.000 Euro und 30 Minuten Zeit geknackt werden kann. Für Android seien zwar weniger als 100 Formen von Malware bekannt, dies läge vor allem aber am geringen Informationsmaterial seitens Google und einem Mangel an Tools, die Malware ausfindig machen.

Dank detaillierten Berichten ist mehr Malware für Apples iOS bekannt. Besonders häufig treten Fälle nach dem Releasewechsel des Betriebssystems auf. Der Grund: Es werden die Verbesserungen des neuen und damit gleichzeitig die Schwächen des vorherigen Systems genannt, Nutzer nehmen Aktualisierungen jedoch nur zögerlich vor.

Dies ist einer der Punkte, wo sich der Faktor Mensch als Schwachstelle erweist. Auch werden private und dienstliche E-Mail-Accounts häufig im selben Menü geführt – schnell ist der brisante Inhalt an die falsche Adresse verschickt. Vom Verlust des Geräts in der Bahn oder Pizzeria ganz zu schweigen.

Lesen Sie auf der nächsten Seite: Mobile Device Management

Dr. Ralf Jodt zeigt Authentifizierung fürs iPhone (Foto: Daniel Hardt)

Dr. Ralf Stodt zeigt Authentifizierung fürs iPhone (Foto: Daniel Hardt)

Sicherheitskonzepte

Mobile Plattformen – egal ob Android, iOS, Symbian, RIM oder Windows Mobile – sind mit validen Sicherheitskonzepten ausgestattet. Dazu zählen:

  • Code Signing: digitale Signaturen, die garantieren sollen, dass ein bestimmter Code nicht verändert wurde
  • Sandboxing: Laufzeitumgebung einer Software. Diese wird vom Rest des Systems abgeschirmt und kann hinsichtlich ihrer Funktionsweise analysiert werden
  • Data Execution Prevention (DEP): Verhinderung der Ausführung einer Datei
  • Mandatory Acces Control: Kontrolle und Steuerung von Zugriffsrechten, die neben Identität des Akteurs und des Objektes weitere Informationen heranziehen
  • Lockdown: Abriegelung des Systems im Fall von Unstimmigkeiten

Die Konfigurationsmöglichkeiten hängen dabei von den Anbietern ab und variieren stark. Stodt nennt in seinem Vortrag drei Komponenten, die beim Thema Sicherheit ins Spiel kommen: ActiveSync, Mobile Device Management (MDM) und 3rd Party Client. Als Beispiel wurde Apples Betriebssystem iOS ausgewählt.

ActiveSync

ActiveSync besitzt verschiedene Sicherheitsfunktionen im Zusammenhang mit Microsofts Groupwaresystem Exchange ab der Version 2007. Dazu zählen eine verbesserte Passwortfunktion, ein Logout bei Inaktivität und die Deaktivierung von Kamera und Webbrowser. Remote Wipe erlaubt das Löschen aus der Ferne, HTTPS eine sicherere Datenübertragung.

Mit Outlook-Web-Access (OWA) ist Outlook überall verfügbar, im Ausland können Roamingkosten durch Abschaltung der Synchronisation vermieden werden. Exchange 2010 verfügt zudem über eine Quarantänefunktion.

Nachteile von ActiveSync sind die unvollständige Abdeckung von MDM-Funktionen und ein eingeschränktes Monitoring. Es fehlt zudem ein Devicelock wie eine Code-Löschung und die Mischung von privaten und geschäftlichen Daten wird nicht unterbunden. Ebenfalls können keine bereits entwickelten Anwendungen aufs Gerät gebracht werden. Für Stodt ist klar, dass ActiveSync  allein für den unternehmerischen Betrieb nicht ausreichend ist.

Mobile Device Management

Mit MDM lassen sich Geräte und Anwendungen zentral verwalten. Die Verwaltung läuft über einen MDM-Server, der von der eigenen IT oder einem anderem Anbieter gestellt wird. Für die Steuerung über OTA stehen auf den verschiedenen Plattformen Frameworks zur Verfügung, die festlegen, welche Funktionen mit MDM umgesetzt werden können.

Das Smartphone kommuniziert im Hintergrund mit dem Server, eine Interaktion mit dem Nutzer ist nicht zwingend erforderlich. Neben dem SAP-eigenen Unternehmen Sybase, zählen Good Technology, MobileIron und Airwatch zu den bekannten MDM-Anbietern.

In Kombination mit ActiveSync bietet MDM – je nach Plattform – folgende Mehrwerte:

  • Ein vollwertiges, zentrales Gerätemanagement
  • Monitoring- und Konfigurations-Management
  • User Self Service und Remote Support
  • Device Location
  • Jailbreak-Erkennung
  • Applikationsverteilung
  • Selektive Löschfunktionen

Risiken bestehen durch die Verwendung des nativen Client und der möglichen Vermischung des geschäftlichen und privaten Betriebs. Zudem sind nicht alle Funktionen für jedes mobile Betriebssystem verfügbar.

In den Pausen nutzten Teilnehmer den sonnigen Innenhof

Sonne tanken: In den Pausen zog es die Teilnehmer in den Innenhof (Foto: Daniel Hardt)

3rd Party Client

Am Beispiel der PIM-Funktionen kam ein weiteres Konzept zur Sprache: der 3rd Party Client. Dabei wird der häufig anzutreffenden Doppelnutzung Rechnung getragen: Privater und geschäftlicher Gebrauch bleiben stets voneinander getrennt. Die Endgeräte können weiter persönlich verwaltet werden, der Zugriff auf private Bilder, Anwendungen, etc. stellt kein Problem dar.

Alle PIM-Funktionen werden über einen verschlüsselten Container ausgeführt, der passwortgeschützt ist und die Verwaltung privater und geschäftlicher Email-Accounts über ein einziges Menü verhindert. Ein selektives Remote Wipe ist vorhanden.

Mit dem 3rd Party Client kann das OWA vom Internet entkoppelt und eine Authentifizierung direkt an der Appliaktion vorgenommen werden. Es besteht eine End2End-Verschlüsselung. Allerdings merkt Stodt an, dass dieses Konzept auf geringere Nutzerakzeptanz stoße, auch weil Anwender sich bei der Handhabung umstellen müssen.

Lesen Sie auf der nächsten Seite: Native und Player-Apps

(Screenshot: Integralis)

Sicherheitskonzepte im Vergleich (Screenshot: Integralis)

Native vs Player-App

Im zweiten Vortag zeigten  Matthias Kumm (itelligence) und Ralf Stodt (Integralis) wie Unternehmen passende Applikationen bereitstellen. Zwei Szenarien sind denkbar: die eigene Entwicklung einer nativen App und der Rückgriff auf ein Player-Konzept, bei dem vorkonfigurierte Inhalte eine zügigere Umsetzung versprechen. In den meisten Fällen sollten Unternehmen – je nach Zweck – beide Varianten in Erwägung ziehen.

Eine native App verbunden mit einer Datenbank ist komplex hinsichtlich der Programmierung, unter anderem müssen Kenntnisse der Programmiersprache, etwa xcode für iOS oder Java für Android vorhanden sein. Im Vergleich beider Plattformen zeigt iOS Vorteile in den Bereichen Vertrieb und Qualität, Android bietet freie Entwicklungs-Tools und vertraute Programmiersprachen.

Greift man auf das Player-Konzept zurück, sind Apps einfach ins Backend zu integrieren und Entwickler kommen ohne spezielle Programmierkenntnisse aus.

(Screenshot: Integralis)

Authentifizierungsebenen (Screenshot: Integralis)

Player-App für SAP

Für SAPs Programmiersprache ABAP, gibt es it.x-mobile von itelligence. Mit vorgeneriertem Content bietet das Tool „Self Services für die Westentasche“. Daten aus dem SAP werden über REST-basierte Services aufs Smartphone gebracht. Über die ABAP Development Workbench werden Voreinstellungen vorgenommen und anschließend innerhalb des Player-Konzeptes umgesetzt.

Sicherheit per Biometrie? Fehlanzeige!

Alle Gedankenspiele hinsichtlich Stimmerkennung, Iris-Scann oder Fingerabdrücke mangelt es laut Stodt an Marktreife und Umsetzbarkeit. Wichtiger sei die Sicherung per Passwort, wobei vier Authentifizierungsebenen unterschieden werden: Device, Applikation, Gateway und Portal.

Integralis empfiehlt alphanumerische Passwörter, die sich für die einzelnen Ebenen unterscheiden. Zugangsdaten sollten nicht auf dem Endgerät gespeichert werden. Als Alternativen kann auf Zertifikate, adaptive Authentifizierung und Einmalpasswörter (OTP) gesetzt werden.

Für die Adaptive Authentifizierung werden Nutzerbezogene Daten wie Ort, Zeit und Kanal des Logins gespeichert. Bei Auffälligkeiten startet eine zusätzliche Abfrage. OTPs sind hingegen nicht offline verwendbar, externe Zertifikate (Smartcards) können wegen fehlender Schnittstellen an vielen Geräten nicht eingesetzt werden.

Screenshots, Tastatureingaben und Daten  in anderen Apps wie Google Maps, bleiben aber Gefahren, die sich nicht vollends verhindern lassen.  Letztlich sei immer ein Kompromiss aus Nutzbarkeit und Sicherheit anzustreben.

Lesen Sie auf der nächsten Seite: Zugangsportal sichern

(Screenshot: itelligence)

Basis der App-Entwicklung: iOS und Android (Screenshot: itelligence)

(Screenshot: Integralis)

Der Weg zur sicheren Applikation (Screenshot: Integralis)

Unternehmens-Portal sichern

Norman Wenk, ebenfalls von Integralis, sprach die Gefahren für Web-Services und Unternehmens-Portale (Infrastruktur) an:

  • Cross Site Scripting (XSS): Angriff auf den Nutzer
  • Cross Site Request Forgery: Übernahme der Kommunikation
  • SQL Injection: Manipulation interner Daten
  • Directory Traversal: unauthorisierter Zugriff auf geschützte Bereiche
  • Parameter Tampering: Manipulaton interner Daten
  • Malicious File Execution: Manipulation interner Daten

Die zu treffenden Maßnahmen umfassen drei Schritte: Sichere Applikationsentwicklung, Web Application Firewall (WAF) und Bereitstellung von Applikationen sowie Management und Betrieb.

Die Applikationsentwicklung setzt sich aus den Phasen Entwicklungs-, Integrations- und Produktionsumgebung zusammen. Diese bilden den Software Development Lifecycle (SDLC) ab. In der Integrationsphase werden verschiedene Tests durchgeführt – vor allem die Überprüfung des Quell-Code auf Sicherheitslücken spielt hier eine Rolle. Speziell für SAP ABAP bietet das Unternehmen VirtualForge ein Analyse-Tool an.

Mit einer WAF werden illegale Anfragen und Antworten abgewehrt. Anhand der Signaturen-Datenbank wird eine Blacklist erstellt, die unterlaubte Zugriffe unterbindet. Beim Session Management wird eine Anfragefilterung vorgenommen, die auf einer nach Unternehmensrichtlinien festgelegten Whitelist beruht.

Als Zugangsportal steuert die Web Applications Firewall zudem die zentrale Autorisierung wie Authentisierung, Web Single Sign On und Massenauthentifizierung.  Der Application Manager sorgt gleichzeitig für eine hohe Verfügbarkeit und Performance der Applikationen.

Tags: , , ,

Leave a Reply