Mobile Security: Interview mit Rolf Haas, McAfee

Trotz verschlüsselter Sprachverbindung ist SIM-Karten-Lokalisierung möglich

Im Gespräch erklärt Rolf Haas, Principal Security Engineer bei McAfee, warum auch die beste Sicherheitssoftware keinen Schutz ermöglicht, solange sie auf einer unsicheren Plattform basiert.

Rolf Haas, McAfee

Rolf Haas, Principal Security Engineer bei McAfee

Begriffe wie „Abhörskandal“, „Lauschangriff“ und „Datensicherheit“ dominierten Anfang dieses Jahres die  Presseberichte. Wie reagieren Ihrer Meinung nach die Nutzer mobiler Geräte angemessen auf die Enthüllungen rund um NSA und andere Geheimdienste?
Rolf Haas:
Durch die Presse findet eine sehr hohe Sensibilisierung der Nutzer statt. Viele Nischenanbieter von mobilen Geräten fokussieren sich derzeit darauf, auf neue Märkte abhörsichere und bessere Geräte auf den Markt zu bringen, welche nicht den großen Riesen wie Microsoft, Apple & Co. nahe stehen. Ein Beispiel: www.blackphone.com

Lässt sich bereits eine Änderung im Verhalten der Nutzer im Umgang mit persönlichen Daten beobachten?
Haas:
Das Umdenken findet nicht nur bei Benutzern statt, sondern vielmehr auch schon in vielen Firmen. Proof of Concepts versuchen heute auszuschließen das Daten von Systemen abwandern. Oftmals ist dies ein Kriterium bei Ausschreibungen geworden. Im privaten Umfeld ist dies auch eine Geldfrage, sich neue Technologien oder andere Produkte anzuschaffen. Ich denke dieser Prozess wird noch eine Weile dauern.

Sicherheitsanbieter machen sich die aktuelle Marktsituation als Geschäftschance zunutze und erweitern ihr Produktportfolio. Wie lässt sich aus der Fülle von Angeboten das Richtige herausfiltern?
Haas:
Man sollte genau hinsehen, wie diese Produkte arbeiten. Viele Anbieter haben letztlich Produkte, die auf unsicheren Plattformen laufen. Da hilft es wenig wenn man ein Sicherheitsprodukt vermeintlich installiert, welches nach wie vor auf einer abhörfähigen Basistechnologie basiert (z.B. in diversen Cloud-Diensten).

Einige der Anti-Viren oder Internet-Security-Lösungen verlangen zahlreiche Zugriffsberechtigungen, hinzu kommt, dass bei der Installation über das Smartphone nur eine gekürzte Auflistung der geforderten Berechtigungen angezeigt wird, was missverständlich und undurchschaubar ist. Wie lässt sich dies im Sinne des Datenschutzes rechtfertigen?
Haas:
Dies hängt häuft von der Technologie und den APIs der Smartphones ab. Bei Android sind grundsätzlich Zugriffsrechte zu anderen Apps möglich, welche bei iOS (nicht gejailbreakt) nicht möglich sind. Für Android hat z.B. McAfee eine Security Software, welche alle Arten von Verbindungen zwischen Apps und dem Internet aufzeigt und dem Nutzer die Möglichkeit diese freizugeben/zu sperren.

Wie können Nutzer sich vergewissern, dass derartige Software- Anwendungen nicht als Einfallstor für Cyberkriminelle oder abhörende Geheimdienste dienen?
Haas:
Davor können sich Nutzer kaum schützen. Das Einfallstor ist weniger die Standardsoftware als vielmehr die Basis-Technologie (Cloud, Betriebssystem, Hardware).

Gibt es spezielle Zertifizierungen, die bei der Auswahl helfen?
Haas:
Nein

Bislang als vertrauenswürdig eingeschätzte Verschlüsselungsmethoden wie SSL- oder VPN-Verbindungen wurden geknackt – wie bedenklich schätzen Sie dies ein?
Haas:
Viele dieser Technologien sind entweder Schwach in der Verschlüsselung oder beinhalten Fehler, die gezielt nicht behoben wurde. Man muss jedoch auch wissen, dass diverse Geheimdienstorganisationen durchaus Rechenleistung liefern, welche auch starke Verschlüsselung in relativ kurzer Zeit knacken können. Für das Homebanking ist hier sicher keine Gefahr. Die Gefahr besteht eher darin, dass Geheimdienste hinter dem SSL/VPN Kanal eingreifen und erst gar keine Decryption anwenden müssen.

Welche Verschlüsselungsmethoden lassen sich derzeit noch bedenkenlos verwenden?
Haas:
Für den Privatanwender sind alle 256bit AES- Verschlüsselungstechniken ausreichend. Für die kommerzielle Nutzung im hochsensiblen Bereich rate ich zu eigen-entwickelten Algorithmen. Diverse Firmen in der Schweiz haben sich international darauf spezialisiert.
 
Welche Maßnahmen ergreifen Sie als Anbieter um Ihre Produkte bzw. Verschlüsselungsverfahren auf den neuesten Stand gegen Spionage zu halten?
Haas:
Wir setzen immer die neusten Verfahren ein um einen höchstmöglichen Schutz zu bieten. Dazu zählt auch das wir als Hersteller selbst sehr kritisch unter die Lupe genommen werden.

Sogenannte Krypto-Apps sind – im Gegensatz zum Kanzler-Handy oder dem Blackphone – bezahlbare Möglichkeiten die Kommunikation übers Smartphone einigermaßen sicher zu machen. Allerdings muss der Empfänger die Gleiche App installiert haben, um die Verschlüsselung aufheben zu können. Wie praktikabel ist dies mit Blick auf die Menge der Angebote?
Haas:
Sie stellt sicher eine verschlüsselte Sprachverbindung her. Trotzdem können auch Geheimdienste durch die Lokation der SIM-Karte in der Basisstation das Gerät orten und die Person identifizieren, wenngleich die Daten sicher (verschlüsselt) sind bei der Übertragung.

Welche Auswirkungen haben die jüngsten Vorkommnisse auf Unternehmen die beispielsweise BYOD oder CYOD zulassen? Was für Maßnahmen müssen im Rahmen einer Device-Management-Strategie ergriffen werden?
Haas:
Im Unternehmen sind eher unternehmenskritische Daten zu schützen. BYOD bringt dem Unternehmen diverse Möglichkeiten das Telefon zu verschlüsseln, sperren oder Remote zu löschen bei einem zentralen Device-Management. Diese Trends haben eher wenig Auswirkung auf geheimdienstliche Arbeiten.

Welche Empfehlung können Sie an Unternehmen aussprechen, die überwiegend mit mobilen Endgeräten arbeiten?
Haas:
Ein zentrales Device-Management ist notwendig, die Einschränkung von Apps insbesondere bei Android ein Muss. Ebenso der Einsatz von Verschlüsselung für Daten und Sprache eine zentrale Komponente sich weitestgehend zu schützen. Insbesondere bei Auslandsreisen von Mitarbeitern innovativer Technologien ist dies ein zwingendes Muss.

Wagen Sie eine Prognose für 2014: Wie werden Gerätehersteller und Software-Anbieter weiterhin reagieren (müssen)?
Haas:
Sobald mehr Alternativ-Anbieter wie Blackphone auf den Markt kommen werden sich auch etablierte Hersteller was einfallen lassen müssen. Ich sehe da nicht vor 2015 einen Trendwechsel.

Auf welche Art müsste hier die Regierung, die ja jüngst selbst zum „Abhör-Opfer“ wurde, reglementierend eingreifen? Ist eine Art „Bürgerpflicht zur Verschlüsselung“ denkbar?
Haas:
Ich denke nicht, dass dies umsetzbar ist. In vielen Bereichen wird Verschlüsselung schon heute eingesetzt (DE-Mail). Eine generelle Bürgerpflicht würde die Bundesregierung selbst ins „aus“ schießen, im eigenen Land abzuhören.

Geben Sie drei Tipps, zur Absicherung von mobilen Endgeräten:

  • Keine Cloud-Dienste
  • 
Verschlüsselung
  • 
Keine vertraulichen Daten auf Geräten speichern

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok