DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Kennwort-Ein­­gaben am Smart­phone nerven!

Smart­phones sind eine tolle Sache. E‑Mails abrufen, im Internet surfen und natürlich immer erreichbar. Im beruf­lichen Bereich sollte dabei eines­zwingend gewähr­leistet sein: IT-Sicherheit. Warum und wie, ver­mittelt eine neue Bei­trags­serie.

 

 

Wir starten mit einer grund­le­genden Vor­aus­setzung:  Der zwei­fachen Authen­ti­fi­zierung.

„Warum muss ich ständig irgend­welche PINs und Kenn­wörter am Smart­phone ein­geben?“ – Bernd ist beim Stellen dieser Frage sehr auf­geregt. Er ver­steht nicht, warum er nun das Smart­phone jedes Mal durch einen Code ent­sperren muss, wenn er nur mal schnell seine E‑Mails checken möchte. Bevor er die Anbindung an das Unter­nehmen auf seinem Smart­phone ein­ge­richtet hat, war das nicht not­wendig.  „Außerdem muss ich irgend so eine “sichere” Ver­bindung auf­bauen und wieder ein Kennwort ein­geben, bevor ich meine E‑Mails aus der Firma abrufen kann! Das brauche ich doch für meine pri­vaten E‑Mail Post­fächer auch nicht!“

Meine spontane Antwort: „Weil man dich im Unter­nehmen sicher authen­ti­fi­zieren muss“ hat Bernd nur noch mehr auf­geregt.  Dabei fiel mir ein, dass ich per­sönlich oft auch nur mein Gerät und die Apps sehe, die ich bediene. Außerdem möchte ich, dass die Bedienung einfach bleibt und Spaß macht. Kennwort-Ein­­ga­­be­­felder emp­finde ich spontan als lästig, sie stören mein Erlebnis am Gerät.

Dabei ver­gesse ich selbst oft, dass die Authen­ti­fi­zierung des Benutzers, zum Bei­spiel durch Kenn­wort­ein­gaben, ein sehr wich­tiger Teil der Sicher­heits­kette der mobilen Kom­mu­ni­kation ist. Zur Sicherung der Kom­mu­ni­kation über das Internet gehört ja viel mehr als nur das Smartphone/Tablet und die Apps, die ich benutze.

Es fängt beim Internet-Zugangs­­­punkt im Unter­nehmen an. Dieser Punkt muss geschützt werden. Sonst kann jeder auf die Unter­neh­mens­in­fra­struktur zugreifen und sen­sible Daten ent­wenden. Ein Zugriff darf nur auto­ri­sierten Benutzern gewährt werden. Der Internet-Zugangs­­­punkt muss also beim Aufbau einer Ver­bindung eine Authen­ti­fi­zierung des Benutzers durch­führen. Dafür benötigt man unter anderem ein System, um Benutzer und Zugriffs­rechte defi­nieren und admi­nis­trieren zu können.

Ein wich­tiger Aspekt dabei ist die Stärke der Authen­ti­fi­zierung, die über Kenn­wörter, Besitz­kom­po­nenten (Smart­cards, OTP-Token etc.) oder zum Bei­spiel Bio­metrie durch­ge­führt werden kann. Benutzt man mehrere dieser Kom­po­nenten, so ist ein Angriff viel schwie­riger durch­zu­führen.

„Diese Authen­ti­fi­zierung nervt trotzdem! Was kann schon pas­sieren?“. Bernd war immer noch nicht über­zeugt, dass eine starke Authen­ti­fi­zierung sinnvoll ist. Ich habe ihm dann über den Fall des Wired-Jour­­na­­listen Matt Honan berichtet. Betrügern ist es 2012 gelungen, seine kom­plette digitale Iden­tität zu löschen. Der Grund dafür: Dem Angreifer gefiel der Twitter-Name des Jour­na­listen und wollte ihn haben.  Es war nichts per­sön­liches, der Angreifer wusste gar nicht, dass Matt Honan sehr bekannt ist.

Für den Angriff ver­schaffte sich der Angreifer über Social Engi­neering Infor­ma­tionen über Honan. Zum Bei­spiel seine Adresse und die letzten vier Zahlen seiner Kre­dit­karte. Dem Apple-Support genügten diese Infor­ma­tionen um den Angreifer tele­fo­nisch als Honan zu authen­ti­fi­zieren und setzte ein neues Kennwort für Honans me.com Account an.  Durch die Kon­trolle über die Apple E‑Mail-Adresse konnte der Angreifer auch das Google-E-Mail Kennwort ändern und die Kon­trolle über seinen Google Account erlangen. So konnte der Angreifer den Twitter-Account über­nehmen. Damit Honan seinen Twitter-Account nicht zurück­be­kommen kann, wurde sein Google Account gelöscht und alle seine Apple Geräte (MacBook, iPad und iPhone) zurück­ge­setzt. Dabei gingen neben anderen wert­vollen Daten auch private Bilder ver­loren!

Die Frage „Was kann schon pas­sieren?“ kann man also mit „Jede Menge.“ beant­worten.

Matt Honan schreibt in seinem aus­führ­lichen Bericht zum Vorfall, dass eine Ein­stellung das alles hätte ver­meiden können: Die Absi­cherung seines Google-Accounts mit einer zwei­fachen Authen­ti­fi­zierung.

Eine zwei­fache Authen­ti­fi­zierung, zum Bei­spiel durch Wissen und Besitz ist auch beim Zugriff aus dem Internet auf Unter­neh­mens­netz­werke sehr zu emp­fehlen. Eine der wich­tigsten Eigen­schaften der Besitz­kom­po­nente muss sein, dass diese nicht dupli­ziert werden kann. Will sich ein Angreifer eine fremde Iden­tität besorgen, muss er die Besitz­kom­po­nente ent­wenden, eine Kopie ist nicht möglich. Dabei bemerkt das Opfer, dass die Kom­po­nente fehlt und lässt den Zugang sperren.

Ein sehr bekanntes Bei­spiel für Wissen und Besitz ist die Smartcard. Das Wissen ist die Smartcard-PIN und die Besitz­kom­po­nente ist die Smartcard selbst. Nur wer beides besitzt, kann die Smartcard ein­setzen, um einen Zugriff auf Unter­­nehmens-Res­­sourcen zu erhalten.

Leider lässt sich eine Smartcard nicht so einfach (oder gar nicht) an Smart­phones und Tablets benutzen, da benö­tigte Schnitt­stellen (noch) fehlen. Oft werden in diesem Bereich OTP-Token Gene­ra­toren oder SIM-Karten ein­ge­setzt, denn diese lassen sich auch nicht dupli­zieren. In beiden Fällen muss der Benutzer etwas ein­geben: eine durch den OTP-Token gene­rierte Zahl oder eine über SMS emp­fangene Zahl. Durch die Eingabe dieser Zahl während der Authen­ti­fi­zierung, beweist der Benutzer, dass er im Besitz der Kom­po­nente ist.

Bernd emp­findet die Eingabe der Kenn­wörter immer noch als benut­zer­un­freundlich. Aber er regt sich dabei min­destens nicht mehr auf. Und das ist schon mal eine kleine Erhöhung der Qua­lität der Arbeit am Smart­phone.

Hier gehts zu den wei­teren Teilen der Serie “Mobile Kom­mu­ni­kation und Sicherheit”:

2. Teil “…denn sie wissen nicht, was sie tun

3. Teil “Mobile Device Management — Kon­trolle über die mobilen End­geräte

4. Teil “Sicher­heits­richt­linien am Smart­phone und Tablet

Bild:  © Viktor Mil­den­berger / pixelio.de

 

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Adrian Andro­nache; DATEV eG

Dr. Adrian Andro­nache beschäftigt sich seit 2009 im Bereich der sicheren mobilen Kom­mu­ni­kation bei der DATEV. Schwer­punkte seines Stu­diums der Infor­matik in Trier und der Pro­motion in Luxemburg waren Kom­mu­ni­ka­ti­ons­pro­to­kolle für peer-to-peer, mobile ad-hoc und hybride Netz­werke.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.