DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Über­blick über Sicher­heits­funk­tionen aktu­eller Platt­formen

Die große Vielfalt an Smar­t­­phone-Plat­t­­formen und deren kon­stante Wei­ter­ent­wicklung erschwert Benut­ze­rinnen und Benutzern als auch IT-Admi­­nis­­tra­­to­­rinnen und Admi­nis­tra­toren den Über­blick  auf den ein­zelnen Platt­formen ange­bo­tenen Sicher­heits­funk­tionen zu behalten. A-SIT bietet mit einer neuen Studie einen Über­blick über Sicher­heits­funk­tionen von aktu­ellen Smar­t­­phone-Plat­t­­formen.

Sichere Spei­cherung von Daten am mobilen Gerät

Um auf  mobilen Geräten abge­legte Daten auch im Falle eines Dieb­stahls zu schützen, bieten mobile Platt­formen unter­schied­liche Mög­lich­keiten zur Daten­ver­schlüs­selung. Aktuelle Smar­t­­phone-Plat­t­­formen ver­fügen über Mecha­nismen zur Ver­schlüs­selung des gesamten Datei­systems, diese unter­scheiden sich jedoch zum Teil gra­vierend anhand ihrer Umsetzung.

Generell kann bei Datei­sys­tem­ver­schlüs­selung zwi­schen Sys­temen, die ein Hardware-Element zum Schutz des Schlüssels ver­wenden und soft­ware­ba­sierten Ver­schlüs­se­lungs­sys­temen unter­schieden werden. Bei Sys­temen mit Hardware-Element erfolgt die Erstellung der Ver­schlüs­se­lungs­schlüssel anhand eines in einem Hardware-Element sicher abge­legten geheimen Schlüssels. Diese Systeme bieten den Vorteil, dass eine Ent­schlüs­selung der Daten nur am Gerät erfolgen kann, da der Schlüssel nicht aus dem Hardware-Element extra­hiert werden kann. Aktuell ver­fügen iOS, Windows Phone 8 und Black­berry 10 über ein der­ar­tiges System.

Bei soft­ware­ba­sierten Ver­schlüs­se­lungs­sys­temen wird der Schlüssel über einen von der Benut­zerin bzw. vom Benutzer gewählten Passcode geschützt. Android stellt ein soft­ware­ba­siertes Ver­schlüs­se­lungs­system dar. Die Sicherheit der auf Android-Geräten abge­legten Daten ist somit haupt­sächlich von der Länge und Kom­ple­xität des gewählten Pass­codes abhängig. Laut der Autoren­gruppe um Teufl kann die Ver­schlüs­selung selbst unter Ver­wendung 8-stel­­liger nume­ri­scher Pass­wörter über ange­mietete Cloud-Instanzen innerhalb weniger Minuten geknackt werden (siehe Paper ).

Zwar bietet die aktuelle Android Version 4.4 Ver­bes­se­rungen bei der Ableitung des Schlüssels aus dem Passcode, jedoch laufen noch über 80% der Geräte mit älteren Ver­sionen (aktuelle Ver­teilung der Android Plattform-Ver­­­sionen).

Als wei­terer Aspekt muss der Zusam­menhang von Ver­schlüs­selung und Bild­schirm­sperre betrachtet werden. Mit Hilfe eines Jail­b­reaks kann bei­spiels­weise die Bild­schirm­sperre auf iOS-Geräten umgangen werden und Angreifer erhalten trotz aktiver Datei­sys­tem­ver­schlüs­selung Zugriff auf am Gerät abge­legte Daten. Dies wird ermög­licht, da keine Eingabe der Benut­zerin bzw. des Benutzers erfor­derlich ist. Um sen­sible Daten dennoch zu schützen, verfügt iOS über ein zusätz­liches Ver­schlüs­se­lungs­system von Appli­ka­ti­ons­daten. Dazu wird der von der Benut­zerin oder vom Benutzer gewählte Code zum Lösen der Bild­schirm­sperre in die Ableitung der kryp­to­gra­phi­schen Schlüssel mit­ein­be­zogen. Teufl  und weitere Autoren zeigen in einer detail­lierten Analyse weitere Schwach­stellen und Angriffe auf unter iOS ver­fügbare Ver­schlüs­se­lungs­systeme.

Bewusstsein für Sicherheit bei Ent­wicklern schaffen

Ob eine zusätz­liche Ver­schlüs­selung von Appli­ka­ti­ons­daten zum Einsatz kommt, ist sowohl bei iOS als auch bei anderen Platt­formen abhängig vom Ent­wickler. Es obliegt dem Ent­wickler ein­zelne Dateien über das zusätz­liche Ver­schlüs­se­lungs­system zu schützen, stan­dard­mäßig werden die Daten lediglich über die Datei­sys­tem­ver­schlüs­selung geschützt. Die Benut­zerin bzw. der Benutzer erhält keine Infor­mation, ob und wie eine Appli­kation Daten zusätzlich ver­schlüsselt.

Schutz oftmals nicht stan­dard­mäßig aktiv

Es ist anzu­merken, dass trotz Vor­han­densein von Mecha­nismen zur Datei­sys­tem­ver­schlüs­selung diese nicht bei allen Geräten stan­dard­mäßig aktiv sind. Bei iOS Geräten ist die Ver­schlüs­selung des Datei­systems stan­dard­mäßig aktiv, bei Android muss diese von der Benut­zerin bzw. vom Benutzer jedoch manuell akti­viert werden. Windows Phone 8 bietet Datei­sys­tem­ver­schlüs­selung nur im Rahmen von Mobile Device Management und damit nur für Unter­neh­mens­kunden. Black­berry hin­gegen bietet ein neu­ar­tiges System zur Trennung von per­sön­lichen und geschäft­lichen Daten auf Datei­sys­tem­ebene. Dabei ist die Datei­sys­tem­ver­schlüs­selung im geschäft­lichen Bereich stan­dard­mäßig aktiv, im per­sön­lichen Bereich kann diese manuell akti­viert werden.

Die Ver­schlüs­selung von Daten am Gerät stellt jedoch nur einen Aspekt zur Sicherung mobiler Geräte dar. In einer von A-SIT ver­öf­fent­lichten Studie werden weitere Sicher­heits­funk­tionen der Platt­formen iOS, Android, Windows Phone 8 und Black­berry 10 beschrieben und die genannten Platt­formen anhand der ange­bo­tenen Sicher­heits­me­cha­nismen ver­glichen. Die Studie sowie detail­lierte Ana­lysen der Ver­schlüs­se­lungs­systeme von iOS und Android sind öffentlich auf der Web­seite von A-SIT zugänglich.

Bild: Günther Menzl / Fotolia.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Sandra Kreuz­huber, TU Graz

Sandra Kreuz­huber ist seit 2012 an der TU Graz als Pro­jekt­mit­ar­bei­terin im Bereich IT-Sicherheit tätig. Im Zuge ihrer Akti­vi­täten unter­stützt sie unter anderem das Zentrum für Sichere Infor­ma­ti­ons­tech­no­logie — Austria (A-SIT) im Bereich Mobile Security. A-SIT ist ein gemein­nüt­ziger Verein, der den Gesetz­geber und Behörden zur Infor­ma­ti­ons­si­cherheit unter­stützt. Mit­glieder sind das Öster­rei­chische Bun­des­mi­nis­terium für Finanzen, die Oes­ter­rei­chische Natio­nalbank, die Bun­des­re­chen­zentrum GmbH und die TU Graz.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.

Neueste Kom­mentare