Mobile Security: Interview mit Frank Melber, TÜV Rheinland

Preisgünstige Sicherheitssoftware kritisch betrachten

Im Gespräch mit Frank Melber, Head of Business Development Security Solutions, TÜV Rheinland i-sec, über Verschlüsselungstechniken und kostenlose Antivirusprogramme

Frank Melber, TÜV Rheinland i-sec

Frank Melber, Head of Business Development Security Solutions, TÜV Rheinland i-sec

Herr Melber, Begriffe wie „Abhörskandal“, „Lauschangriff“ und „Datensicherheit“ dominierten Anfang des Jahres in Presseberichten. Wie reagieren Ihrer Meinung nach die Nutzer mobiler Geräte angemessen auf die Enthüllungen rund um NSA und andere Geheimdienste?
Frank Melber:
Indem sie alle Daten, sofern möglich, am besten mit starker Verschlüsselung schützen. Es ist davon auszugehen, dass auf alle Informationen, die das Gerät verlassen und an einem Ort landen, den man nicht selbst kontrollieren kann, potentiell auch Geheimdienste zugreifen können. Dies gilt auch für die Daten, die die Carrier erheben könnten (Bewegungsprofile etc.)

Lässt sich denn eine Änderung im Verhalten der Nutzer im Umgang mit persönlichen Daten beobachten?
Melber:
Das lässt sich so kaum bestätigen. Es herrscht zumindest in vielen Fällen im privaten Bereich noch die Meinung vor, dass „man nichts zu verbergen hat“. Tendenziell verfügen die meisten User nicht über das technische Hintergrundfachwissen, um die Möglichkeiten und daraus resultierenden Konsequenzen zu verstehen. So ist es mit Sicherheit möglich, aus den korrelierten Daten von Chats, Mails, sozialen Netzwerken, Surfverhalten, Kaufverhalten, Kommunikationsverhalten, Bewegungsprofilen, Essgewohnheiten etc. (Stichwort Big-Data) psychologische Profile zu erstellen und das Verhalten von Personen in bestimmten Situation vorhersagbar zu „berechnen“, d.h., die Person ist sehr genau psychologisch zu bewerten und einzuschätzen, weiß selbst aber nichts davon.

Sicherheitsanbieter machen sich die aktuelle Marktsituation als Geschäftschance zunutze und erweitern ihr Produktportfolio. Wie lässt sich aus der Fülle von Angeboten das Richtige herausfiltern?
Melber:
Man sollte bei der Produktauswahl von Sicherheitskomponenten die Thematik verstanden haben und wissen, was das Ziel ist. Oder sich einen entsprechenden Beratungspartner ins Haus holen, wie zum Beispiel die Spezialisten von TÜV Rheinland, die Unternehmen und Organisationen unterstützend zur Seite stehen. So lässt sich tatsächliche Innovation von Mogelpackungen trennen.

Einige der Anti-Viren oder Internet-Security-Lösungen verlangen zahlreiche Zugriffsberechtigungen, hinzu kommt, dass bei der Installation über das Smartphone nur eine gekürzte Auflistung der geforderten Berechtigungen angezeigt wird, was missverständlich und undurchschaubar ist. Wie lässt sich dies im Sinne des Datenschutzes rechtfertigen?
Melber:
Diese Situation ist nicht neu. Auch auf PC-Systemen benötigt entsprechende Sicherheitssoftware seit Jahrzehnten in der Regel Systemrechte (Kernel-Treiber, System-Services etc.). Von wenigen Ausnahmen abgesehen, lässt sich sagen, dass Sicherheitssoftware immer höhere Berechtigungen benötigt als andere Komponenten, da sie ja in der Lage sein muss, diese anderen Komponenten zu überwachen. Ein Betriebssystem ist eben konzeptionell undemokratisch.

Wie können Nutzer sich vergewissern, dass derartige Software- Anwendungen nicht als Einfallstor für Cyberkriminelle oder abhörende Geheimdienste dienen?
Melber:
Mangels detaillierten Fachwissens haben Nutzer selbst hier i.d.R kaum eine Chance. Wenn eine solche Anwendung einen ausnutzbaren Fehler oder eine „Backdoor“ enthält, kann sie auch als Einfallstor dienen. Auch dieses Problem ist nicht neu, sondern seit Jahrzehnten im PC-Bereich bekannt. Zertifizierungen sind hierbei zur Orientierung durchaus hilfreich. Man sollte aber darauf achten, dass auch die tatsächlich eingesetzte Produktversion mit einer entsprechenden Zertifizierung ausgestattet ist und nicht eine vor x Jahren veröffentlichte, veraltete Version.

Gibt es spezielle Zertifizierungen, die bei der Auswahl helfen?
Melber:
Es gibt Zertifizierungen nach FIPS, Common Criteria etc. Diese decken aber oft nicht das gesamte Produkt ab, sondern i.d.R. nur einen Teilaspekt wie z.B. einen kryptographischen Algorithmus. Man sollte also genau wissen, an welchen Stellen man besonderen Wert auf Sicherheit legt und dann das Produkt mit einer entsprechenden Zertifizierung auswählen – sofern es ein solches Produkt gibt.

Bislang als vertrauenswürdig eingeschätzte Verschlüsselungsmethoden wie SSL- oder VPN-Verbindungen wurden geknackt – wie bedenklich schätzen Sie dies ein?
Melber:
SSL/TLS/VPN pauschal als „geknackt“ zu bezeichnen, ist nicht korrekt. Die Verfahren sind in aktuellen Versionen durchaus sicher. Abgesehen von dem Verfahren an sich steht hinter jedem Produkt natürlich eine Implementierung des Verfahrens. Wenn also ein Produkt eingesetzt wird, das eine veraltete Version des Verfahrens nutzt oder einen bewusst oder unbewusst falsch genutzten oder implementierten Algorithmus, kann dies natürlich die Sicherheit des Produktes kompromittieren, ohne die Sicherheit des Verfahrens an sich in Frage zu stellen. Man sollte gerade im Rahmen der durchaus plakativen Enthüllungen der letzten Zeit Informationen genau durchlesen und bewerten. Letztendlich sind Aussagen von Snowden wie „…dass sorgfältig entwickelte Verschlüsselungstechnologien für die Geheimdienste weiterhin ein Problem darstellen“ nachvollziehbar logisch und korrekt. Das Verfahren ist sicher. Auf eine Kurzformel gebracht: SSL/TLS und VPN sind nach wie vor sicher, wenn es Lecks in der Implementierung bzw. in der Infrastruktur gibt, dann hilft die beste Verschlüsselung nichts.

Welche Verschlüsselungsmethoden lassen sich derzeit noch bedenkenlos verwenden?
Melber:
Begriffe wie „Verschlüsselung/Sicherheit“ und „bedenkenlos“ taugen kaum als Kombination. Ein Beispiel: Ein AES Algorithmus (Advanced Encryption Standard) im ECB-Mode (Electronic Code Book Mode) genutzt, ist nicht sicher im CBC-Mode (Cipher Block Chaining Mode), je nach Einsatzszenario aber schon. Dabei lässt sich erkennen, dass es i.d.R. auf genaue Kenntnisse der Materie ankommt. Letztendlich entscheidet neben der Methode und dem Verfahren auch die Implementierung einer Methode darüber, ob damit bearbeitete Daten sicher sind oder nicht. Das muss man je nach Fall entscheiden. Der User hat bei der Auswahl der richtigen Verschlüsselung nur zwei Möglichkeiten: Entweder hat er Ahnung oder er verlässt sich auf fachkundige Dritte, z.B. Experten von TÜV Rheinland.

Sogenannte Krypto-Apps sind – im Gegensatz zum Kanzler-Handy oder dem Blackphone – bezahlbare Möglichkeiten, die Kommunikation übers Smartphone einigermaßen sicher zu machen. Allerdings muss der Empfänger die gleiche App installiert haben, um die Verschlüsselung aufheben zu können. Wie praktikabel ist dies mit Blick auf die Menge der Angebote?
Melber:
Schwierig. Unserer Erfahrung nach ist die Mehrzahl der Kommunikationsanwendungen kostenlos. Natürlich haben die Anbieter neben den Entwicklungskosten für den Service bzw. die App auch Betriebskosten, die finanziert werden müssen. Es macht Sinn, sich darüber Gedanken zu machen, wie und womit diese Unternehmen ihr Geld verdienen und wie hoch das Interesse ist, die sichere Ende-zu-Ende-Verschlüsselung zu integrieren. Im Allgemeinen ist es sinnvoll, das Transportmedium (Email, Chat, App etc.) und die „Security“ zu trennen; d.h. im Idealfall nutzt man ein gängiges Public Key-Verfahren wie S/MIME oder OpenPGP. Dann ist man unabhängig vom Transportmedium oder der App. Leider gibt es auf Smartphones derzeit keine brauchbaren „Plugin“-Konzepte, so dass die User-Experience hier überschaubar bleibt.

Die beste Verschlüsselungsmethode ist demnach zwecklos, wenn die Kommunikationspartner keine Sicherheitsvorkehrungen treffen. Müssten an dieser Stelle nicht die Gerätehersteller eingreifen und Empfehlungen aussprechen oder eine vorinstallierte Auswahl treffen?

Melber:
Prinzipiell ist es erstrebenswert, Sicherheit bzw. Verschlüsselung schon beim Design von (Kommunikations-) Systemen zu berücksichtigen. Sich hier auf global geltende Standards und Verfahren zu einigen, ist aber schwierig, da diese konform zu den in den Ländern geltenden Gesetzesvorgaben oder Exportvorschriften sein müssen. Nicht jede Regierung priorisiert die Vertraulichkeit von Daten oder die Privatsphäre der Bürger, wie dies vielleicht wünschenswert wäre. Beispielsweise wurde ja vor Jahren der PGP Source-Code in Papierform in Länder „exportiert“, die keine starke Kryptographie in elektronischer Form verwenden sollten…

Welche Auswirkungen haben die jüngsten Vorkommnisse auf Unternehmen, die beispielsweise BYOD oder CYOD zulassen? Welche Maßnahmen sind im Rahmen einer Device-Management-Strategie zu ergreifen?

Melber:
Prinzipiell sollten die jüngsten Vorkommnisse darauf keinen großen Einfluss haben. Ein Unternehmen sollte bereits „vorher“ entschieden haben, welche Geräte, Verfahren, Applikationen, Betriebssysteme, -konzepte und Konfigurationen es im Rahmen des Schutzbedarfes der Unternehmensinformationen für sicher hält. Daneben sollte der Betrieb dafür Sorge tragen, dass nur sicher eingestufte Geräte Zugang zu Unternehmensdaten erhalten. Kontrollieren und durchsetzen kann man dies z.B. mit einem entsprechenden Mobile-Device-Management-, Mobile-Application-Management- oder Mobile-Content-Management-System.

Welche Empfehlung können Sie an Unternehmen aussprechen, die überwiegend mit mobilen Endgeräten arbeiten?
Melber:
Den Anspruch an die Sicherheit der Unternehmensdaten auf mobilen Geräten definieren und diese konsequent umsetzen. In vielen Fällen macht es Sinn, sich hier Unterstützung durch auf mobile Sicherheit spezialisierte neutrale Beratungshäuser bzw. Integratoren in das Unternehmen zu holen.

Wagen Sie eine Prognose für 2014: Wie werden Gerätehersteller und Software-Anbieter weiterhin reagieren (müssen)?
Melber:
Im Jahr 2013 wurden bereits viele sicherheitsrelevante Features in die Geräte oder Systeme integriert, auch wenn hier durchaus noch eine Menge Raum für weitere Verbesserungen bleibt. Prinzipiell ist dies aber eine Frage des Fokus: Hersteller, die konsumentenorientierte preisgünstige Geräte und Software herstellen, werden aller Voraussicht nach einen geringeren Wert auf Sicherheit legen als Hersteller bzw. Anbieter, die Unternehmenskunden ansprechen wollen.

Drei Tipps zur Absicherung von mobilen Endgeräten:

  1. Den Anspruch an die Sicherheit der Unternehmensdaten auf mobilen Geräten definieren. 

  2. Ein Mobile-Device-Management-, Mobile-Application-Management- oder Mobile-Content-Management-System nutzen, mit dem sich dieser Anspruch durchsetzen lässt. 

  3. Benutzer bzgl. Verwendung und Sicherheit von Apps und (Cloud) Services aufklären oder die Möglichkeiten stark einschränken.

 

 

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok