Mobile Security: Interview mit Christian Funk, Kaspersky

Zugriffsberechtigungen sorgfältig lesen

Im Interview spricht Christian Funk, Senior Virus Analyst bei Kaspersky Lab, über zuverlässige Verschlüsselungen und gibt Tipps zur Absicherung mobiler Endgeräte.

Christian Funk, Senior Virus Analyst bei Kaspersky Lab, gibt Tipps zur Absicherung mobiler Endgeräte

Begriffe wie „Abhörskandal“, „Lauschangriff“ und „Datensicherheit“ dominieren seit Monaten in Presseberichten. Lässt sich bereits eine Änderung im Verhalten der Nutzer im Umgang mit persönlichen Daten auf mobilen Endgeräten beobachten?
Christian Funk:
Die breite Masse interessiert sich derzeit für das Thema IT-Sicherheit, wie es noch nie zuvor zu beobachten war. Eine kollektive Änderung im Verhalten lässt sich allerdings nur schwer ausmachen. Das Interesse bewirkt jedoch eine zusätzliche Portion Vorsicht im Umgang mit persönlichen Daten und welchen Diensten diese mitgeteilt werden. Das ist in jedem Fall ein Schritt in die richtige Richtung.

Sicherheitsanbieter machen sich die aktuelle Marktsituation als Geschäftschance zunutze und erweitern ihr Produktportfolio. Wie lässt sich aus der Fülle von Angeboten das Richtige herausfiltern?
Funk:
Unabhängige Testinstitute prüfen aktuelle IT-Sicherheits-Produkte auf ihre Effektivität, Benutzerfreundlichkeit und Performance. Deren Ergebnisse sind eine gute Anlaufstelle für Interessierte, um einen Marktüberblick zu erhalten.

Einige der Anti-Viren oder Internet-Security-Lösungen verlangen zahlreiche Zugriffsberechtigungen, hinzu kommt, dass bei der Installation über das Smartphone nur eine gekürzte Auflistung der geforderten Berechtigungen angezeigt wird, was missverständlich und undurchschaubar ist. Wie lässt sich dies im Sinne des Datenschutzes rechtfertigen?
Funk:
Die gekürzte Auflistung der Zugriffsberechtigungen ist betriebssystembedingt, die gesamte Liste lässt sich jedoch mit einem Klick anzeigen. Die Berechtigungen resultieren in unserem Fall aus den Schutzfunktionen. Beispielsweise wird Zugriff auf den GPS-Location-Dienst von Android verwendet, um das Gerät im Falle eines Verlusts oder Diebstahls orten zu können. Die Nutzung des Dienstes ist jedoch optional.


Wie können Nutzer sich vergewissern, dass derartige Software- Anwendungen nicht als Einfallstor für Cyberkriminelle oder abhörende Geheimdienste dienen?
Funk:
Absolute Gewissheit gibt es derzeitig nicht. Aus diesem Grund hat ein Zusammenschluss von unabhängigen Forschern und Instituten einen offenen Brief an Anbietern von IT-Sicherheitsprodukten gesendet. Auch Kaspersky Lab hat diesen Brief erhalten und öffentlich geantwortet.
 Jedoch gibt es eine Reihe von Anbietern, welche sich bis heute nicht dazu geäußert haben.

Bislang als vertrauenswürdig eingeschätzte Verschlüsselungsmethoden wie SSL- oder VPN-Verbindungen wurden geknackt – wie bedenklich schätzen Sie dies ein?
Funk:
Man muss klar unterscheiden zwischen „knacken“ und umgehen. In vielen Fällen wurden nach derzeitigem Erkenntnisstand der Enthüllungen gesicherte Verbindungen mit den privaten Schlüsseln der betreffenden Institutionen entschlüsselt oder vor beziehungsweise nach der Ver-/Entschlüsselung client- oder serverseitig abgefangen. Auf der anderen Seite werden oftmals noch Verschlüsselungen verwendet, die nach Art der Verschlüsselung zwar noch „state-of-the-art“ sind, jedoch die Stärke zu wünschen übrig lässt. Damit können mit gewissem Rechenaufwand die Schlüssel über Brute-Forcing errechnet werden.

Sogenannte Krypto-Apps sind – im Gegensatz zum Kanzler-Handy oder dem Blackphone – bezahlbare Möglichkeiten die Kommunikation übers Smartphone einigermaßen sicher zu machen. Allerdings muss der Empfänger die Gleiche App installiert haben, um die Verschlüsselung aufheben zu können. Wie praktikabel ist dies mit Blick auf die Menge der Angebote?
Funk:
Das ist natürlich in der Praxis ein großes Hindernis, jedoch existieren auch freie und standardisierte Krypto-Verfahren, die heutzutage komfortabel zu bedienen sind. Als Beispiel wäre hier PGP beziehungsweise GPG zu nennen, welches über Plugins in viele Mail-Clients integrierbar ist.

Welche Empfehlung können Sie an Unternehmen aussprechen, die überwiegend mit mobilen Endgeräten arbeiten?
Funk:
Mobile Endgeräte bedürfen wegen ihres Risikos, verloren zu gehen oder gestohlen zu werden, einen gesonderten Schutzbedarf. Ein lückenloser Schutz insbesondere hinsichtlich Remote-Block- und Remote-Wipe-Funktionen ist zu empfehlen. Darüber hinaus helfen Policies, welche unternehmensinterne Informationen hinsichtlich ihrer Sensibilität einstufen und regeln, inwiefern diese auf mobilen Endgeräten gespeichert oder verarbeitet werden dürfen.


Drei Tipps, zur Absicherung von mobilen Endgeräten

  1. Einsatz einer mobilen IT-Sicherheitslösung
  2. Lückenloser Schutz mit Remote-Block- /Wipe-Funktionen und Mobile Device Management (MDM)
  3. 
Inventur in bestimmten Intervallen: Welche Apps werden tatsächlich genutzt? Ungenutzte Apps entfernen, um so wenig persönliche Informationen wie möglich nach außen zu geben.



©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok