Aktuelles

Smartphones Sicherheitsstudie

Eine Studie im Auftrag des Bundeskanzleramts untersuchte die Sicherheitsmerkmale des BlackBerry OS 5.

IT-Security Studie 2010

Die Ende Juni 2010 veröffentlichte Information Security & Compliance Trend Studiy 2010 von nCircle zeigt, dass die Einhaltung von Security Compliance 2010 eines der größten Themen für Unternehmen ist.

Bankomaten live gehackt

Mittels eigens entwickelter 'Dillinger'-Software und eines, im Internet erhältlichen, Generalschlüssel regnete es bei der diesjährigen Black-Hat-Konfernez sprichwörtlich Geld.

Sicherheitsstudie: Smartphones

Smartphones, wie BlackBerry oder iPhones, finden immer öfters ihre Verwendung in Unternehmen. Mobilität und multifunktionale Verwendungsmöglichkeiten sprechen zweifelsfrei für ihren Einsatz. Gleichzeitig stellen Smartphones eine neue und vor allem unterschätzte Sicherheitsbedrohung für Firmen dar. A-SIT, Zentrum für sichere Informationstechnologie, untersuchte im Auftrag des Bundeskanzleramts die Sicherheitsmerkmale des BlackBerry OS 5.

Ein wesentliches Anliegen der Studie, ist der Umstand, dass die unkontrollierte Verwendung von Smartphones ein potentielles Sicherheitsrisiko für Unternehmen darstellt. Durch unzureichende Schutzstrukturen bieten Smartphones einfache Zugänge für Hacker zum Unternehmensnetzwerk. Die im April 2010 veröffentlichte Untersuchung weist auf die potentiellen Schwachstellen von BlackBerry hin und bietet entsprechende Maßnahmenvorschläge zur Verbesserung der Sicherheit.

Zentraler Kritikpunkt der Untersuchung ist der Umstand, dass Smartphone-Betriebssysteme an die herkömmlichen PC-Betriebssysteme der großen Hersteller angelehnt sind, jedoch nicht über die gleichen Schutzstrukturen, wie Firewall, Anti-Spam etc. verfügen. Ein Umstand, der die Verwendung von Smartphones zu einem riskanten Faktor macht.

Weitere zentrale Ergebnisse der Untersuchung sind:

Komponente	Schwachstelle	Maßnahme
Application Store
Application Store/Installation von Applikationen	Gezieltes Einschleusen von bösartigen Applikationen in die BlackBerry App World durch Angreifer. Installation von bösartigen Applikationen direkt über ein externe URL ohne Freigabeprozess. Applikationen für Angriffe durch Fehlfunktionalität.	BES Policies zur Regulierung der Installation und Verwendung von Applikationen. Anpassung der Infrastruktur an potentielle Sicherheitslücken.
Applikationen
Browser	Potentielle Sicherheitslücken im Browser. Phishing Einsatz von HTTP, wodurch Daten unverschlüsselt übertragen werden.	BES Policies zur Einschränkung der Funktionalitäten je nach Sicherheitsbedarf. Einsatz von VPN zur sicheren und verschlüsselten Datenübertragung. Einsatz von HTTPS zur sicheren Datenübertragung. Steigerung der User-Awareness in Bezug auf potentielle Gefahren, vertrauenswürdige Seiten und Fremdnetzwerke.
Mail	‚Mitlesen‘ oder Abhören von Kommunikation. Datenverlust durch Diebstahl oder Verlust. Zugang zu User- oder Firmendaten.	Absicherung des BlackBerry mittels Kennwort zum Entsperren und Verwenden von Applikationen. Auswahl von SSL/ TLS Ciphersuites.
Andere Applikationen	Übermittlung von Daten an unbefugte Dritte durch die Installation und Verwendung bösartiger Applikationen. Ausnutzung von Applikationsfehlern durch Angreifer.	Download nur über Blackberry Appl World inkl. Freigabeprozess und Vermeidung von direkten Downloadlinks.
Sensoren
A-GPS/Kompass	Ungewolltes Tracking des Users. Fälschung der Positionsdaten.	BES-Policies zur Einschränkung der Funktionalität je nach Sicherheitsbedarf. Schärfung der User-Awareness.
Mikrophon	Mithören von Telefonaten. Mithören und Aufzeichnung von anderen Gesprächen.	Schulung der User und Awareness-Steigerung. Einschränkung der Funktionalitäten je nach Sicherheitsbedarf.
Kamera	Unerlaubtes Aufzeichnen von Informationen.	Schulung der Benutzer und Awareness-Steigerung. BES Policy: Einschränkung der Funktionalität je nach Sicherheitsbedarf. Einschränkungen für die Benutzung in bestimmten Räumen.
Betriebssystem
Betriebssystem	Bufferoverflow / unerlaubter Ressourcenzugriff	Code Signing Datenverschlüsselung BES Policies
Kommunikation
WLAN	Verwendung als Angriffstool zur Informationssammlung. Bösartige WLAN Access Points zur Aufzeichnung von Kommunikation. Für Man-In-The-Middle-Angriffe (z.B. Fälschung von DNS Informationen) Ausnützung von Schwachstellen um Kontrolle über das Smartphone zu erhalten.	Einrichtung eigener WLAN für Smartphones, da nur die notwendigsten Dienste bereitstellt. BES Policies zur Regelung der Verwendung von WLAN. User-Schulung und Steigerung der Awareness.
Bluetooth	Generelle Gefahren, die mit Bluetooth auftreten.	Generelle Deaktivierung von Bluetooth. BES Policies zur Definition von nur absolut limitierter Bluetooth-Verwendung.
VPN		Eigenes VPN Netzwerk für Smartphones. Keine Speicherung der Zugangsdaten am Smartphone. Erhöhung der Smartphone-Sicherheit durch VPN: Schutzfunktionen der internen Firewall. Sichere Kommunikation in fremden Netzwerken.
Mobilkunknetzwerk
Internet	Permanente Internetverbindung	User-Schulung und Steigerung der Awareness. Definition entsprechender BES Policies.
Telefon	Unbefugter Zugriff auf Gesprächsdaten durch parallele Dienste. Fehler im Kommunikationsprozess (Telefon, SMS, MMS, Datendienste).	User-Schulungen und Steigerung der Awareness. Definition entsprechender BES-Policies.

Informieren Sie sich über unsere