30.04.2007 | Autor / Redakteur: Stefan Strobel / Stephan Augsten
Mobiltelefone sind keine reinen Kommunikationsgeräte mehr und PDAs haben längst mehr Rechenpower und Speicher, als ein PC in den frühen Jahren. Außerdem sind viele der kleinen Helfer mit aktuellster Kommunikations-Technologie wie Wireless LAN und Bluetooth ausgerüstet. Doch all diese nützlichen Features bergen für das Unternehmen enorme Risiken, die den Anwendern oft nicht bewusst sind.
Mobile Mitarbeiter und ihre portablen Geräte bringen eine Vielzahl von direkten und indirekten Sicherheitsproblemen mit sich. Einerseits liegt die Ursache in der Ortsunabhängigkeit, andererseits in den vielen Kommunikationsmöglichkeiten. Aber die Sicherheitsprobleme beginnen bereits im eigenen Firmennetz – denn um wichtige Daten zu synchronisieren und produktiv arbeiten zu können, werden die Geräte mit dem Arbeitsplatz-Rechner verbunden.
Jedem Anwender sollte mittlerweile bekannt sein, dass Disketten oder Wechselplatten eventuell von Viren befallen sein könnten oder dass der private PC nichts im Firmennetz zu suchen hat. Doch der Security-Lernprozess dauert nach wie vor an, und er wird wohl niemals ganz abgeschlossen sein: PDAs, Smartphones und Notebooks werden gerne als „persönliche Gegenstände“ betrachtet und sowohl privat als auch im Büro genutzt.
Neben Terminkalendern und Adresslisten findet man auf Handhelds meist auch Wörterbücher, Navigationssysteme oder Spiele, die ohne Virenschutz zu Hause aus dem Internet heruntergeladen und installiert werden. Bei der nächsten Synchronisation im Büro kommen diese Programme dann in direkten oder indirekten Kontakt mit dem Firmennetz.
Letztlich können sich auch andere, vermeintlich positive Eigenschaften mobiler Endgeräte gegen den Besitzer wenden: PDAs und Smartphones sollen möglichst handlich sein, also nicht zu groß und vor allem leicht – genau deshalb gehen sie schon mal verloren oder werden unter Umständen sogar gestohlen. Allzu oft enthält ein PDA wegen der geschäftlichen Nutzung nicht nur Passwörter und Kreditkartennummern, sondern mitunter auch E-Mails oder sensible Dokumente des Arbeitgebers. Festplatten-Verschlüsselungs-Produkte, wie man sie von den Notebooks kennt, gibt es zwar vereinzelt auch für PDAs und Smartphones – sie werden jedoch kaum eingesetzt.
Besonders interessant werden die Probleme mit mobilen Endgeräten durch Wireless-LAN oder die Bluetooth-Funktionen: Ohne Kabel lässt sich die Verbindung zum PC sehr viel bequemer herstellen, allerdings wird der Firmen-Arbeitsplatz über Funk-Signale angreifbar. Das gleiche gilt für WLAN-Access-Points, die von „Laien“ am Arbeitsplatz installiert werden, um „flexibler“ arbeiten zu können.
Selbst wenn erfolgreich verhindert wird, dass die Mitarbeiter Access-Points ans Netz oder Bluetooth-Adapter an den Arbeitsplatz anschließen, so bleibt immer noch eine weitere mobile Gefahrenquelle: Notebooks werden in der Regel mit eingebauten Funk-Adaptern für Wireless LAN oder für Bluetooth ausgeliefert und sind aufgrund der bereits genannten Gefahren verstärkt das Ziel von Angreifern.
Versehentliches Aktivieren der WLAN-Funktion durch Tastendruck oder das vergesse Abschalten nach dem Surfen in der Flughafen-Lounge und eine falsche Konfiguration machen das Notebook zu einem leichten Opfer. Der Angreifer täuscht dazu entweder einen Access Point unter falschem Namen vor, mit dem sich das Notebook automatisch verbinden kann, oder er verwendet die Funktionen zur direkten Rechnerkopplung über WLAN.
Ähnliche Möglichkeiten existieren bei Notebooks mit eingebauten Bluetooth-Funktionen. Meldungen über Puffer-Überläufe in der Bluetooth-Treiber-Software, die in der Mehrzahl aller Notebooks verwendet wird, sind mittlerweile bekannt. Durch diese Verwundbarkeiten können Angreifer die Kontrolle über das betroffene Notebook erlangen.
Mittlerweile herrscht die weit verbreitete Meinung, dass Bluetooth nur im Umkreis von zehn Metern funktioniert. Doch im August 2006 hat eine Hacker-Gruppe nachgewiesen, dass mit geeigneten Antennen ein Angriff sogar aus einer Entfernung von einem Kilometer durchgeführt werden kann. Sofern solche modernen Notebooks innerhalb eines Firmennetzes angeschlossen werden, können die Funk-Adapter zu einer Hintertür werden.
Dabei fungiert das Notebook als Gateway zwischen den Funk-Signalen des Angreifers und dem normal verkabelten Firmennetz. Die klassischen Gegenmaßnahmen wie VPN-Verschlüsselung im WLAN und starke Authentisierung sind in solch einem Fall nutzlos, da es ja nicht um Attacken auf ein offiziell aufgebautes WLAN geht, sondern um Angriffe über unbeabsichtigte Features in Notebooks.
Schon immer waren Geräte ein Knackpunkt, die gleichzeitig ans Firmennetz und an ein unsicheres Netz angeschlossen sind. Ein gängiges Beispiel ist das Notebook eines Außendienst-Mitarbeiters, der sich über das Internet und eine VPN-Verschlüsselung mit seinem Unternehmen verbindet, aber gleichzeitig im Internet angegriffen werden kann. Ein modernes Notebook, das ans Firmennetz angeschlossen ist und bei dem der Benutzer versehentlich über die Tastenkombination die WLAN-Funktion aktiviert, unterscheidet sich von der bekannten Variante nicht wesentlich.
Ein Hacker kann frei verfügbare Programme aus dem Internet verwenden, die bekannte und „sichere“ WLAN-Zugangspunkte simulieren. Sobald sich das Notebook im Firmennetz automatisch mit diesem vermeintlichen Zugangspunkt verbindet, stellt es unweigerlich eine Brücke zwischen dem Firmennetz und dem Hacker her.
Lösungen für dieses Problem sind nicht einfach zu finden. Personal Firewalls, wie gerne auf Privat-PCs eingesetzt, können nur einen Teil des Problems beheben. Für viele PDAs gibt es solche Programme aber erst gar nicht – und im Falle von Notebooks sind die Sicherheitsprogramme meist nicht in der Lage, die Bluetooth-Verbindung zu schützen.
Eine Perspektive für Notebooks und PCs bieten die so genannten „hostbasierten Intrusion Prevention Systeme“, kurz Host IPS. Sie bieten Funktionen, die weit über den Umfang von Personal- oder Desktop-Firewalls hinausgehen. Zudem sind sie im Unternehmen zentral konfigurierbar und zu managen.
Einen anderen Weg gehen Systeme, die den „Luftraum“ am und über dem Firmengebäude oder Firmengelände überwachen und jegliche Risiken und Angriffe über Wireless LANs und Bluetooth bemerken. Illegale Aktivitäten, unerlaubte oder vorgetäuschte Access-Points oder andere Angriffe über Funk sind ebenso ersichtlich, wie die aktuell zugelassene Verbindungen und der Status der einzelnen Stationen und Access-Points. Ebenso kann die Einhaltung von Security Policies kontrolliert oder die Verfügbarkeit gewährleistet werden, einige Systeme ergreifen bei erkannten Angriffen sogar automatisch Gegenmaßnahmen.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2004400)
