Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Überblick über Sicherheitsfunktionen aktueller Plattformen
Die große Vielfalt an Smartphone-Plattformen und deren konstante Weiterentwicklung erschwert Benutzerinnen und Benutzern als auch IT-Administratorinnen und Administratoren den Überblick auf den einzelnen Plattformen angebotenen Sicherheitsfunktionen zu behalten. A‑SIT bietet mit einer neuen Studie einen Überblick über Sicherheitsfunktionen von aktuellen Smartphone-Plattformen.
Sichere Speicherung von Daten am mobilen Gerät
Um auf mobilen Geräten abgelegte Daten auch im Falle eines Diebstahls zu schützen, bieten mobile Plattformen unterschiedliche Möglichkeiten zur Datenverschlüsselung. Aktuelle Smartphone-Plattformen verfügen über Mechanismen zur Verschlüsselung des gesamten Dateisystems, diese unterscheiden sich jedoch zum Teil gravierend anhand ihrer Umsetzung.
Generell kann bei Dateisystemverschlüsselung zwischen Systemen, die ein Hardware-Element zum Schutz des Schlüssels verwenden und softwarebasierten Verschlüsselungssystemen unterschieden werden. Bei Systemen mit Hardware-Element erfolgt die Erstellung der Verschlüsselungsschlüssel anhand eines in einem Hardware-Element sicher abgelegten geheimen Schlüssels. Diese Systeme bieten den Vorteil, dass eine Entschlüsselung der Daten nur am Gerät erfolgen kann, da der Schlüssel nicht aus dem Hardware-Element extrahiert werden kann. Aktuell verfügen iOS, Windows Phone 8 und Blackberry 10 über ein derartiges System.
Bei softwarebasierten Verschlüsselungssystemen wird der Schlüssel über einen von der Benutzerin bzw. vom Benutzer gewählten Passcode geschützt. Android stellt ein softwarebasiertes Verschlüsselungssystem dar. Die Sicherheit der auf Android-Geräten abgelegten Daten ist somit hauptsächlich von der Länge und Komplexität des gewählten Passcodes abhängig. Laut der Autorengruppe um Teufl kann die Verschlüsselung selbst unter Verwendung 8‑stelliger numerischer Passwörter über angemietete Cloud-Instanzen innerhalb weniger Minuten geknackt werden (siehe Paper ).
Zwar bietet die aktuelle Android Version 4.4 Verbesserungen bei der Ableitung des Schlüssels aus dem Passcode, jedoch laufen noch über 80% der Geräte mit älteren Versionen (aktuelle Verteilung der Android Plattform-Versionen).
Als weiterer Aspekt muss der Zusammenhang von Verschlüsselung und Bildschirmsperre betrachtet werden. Mit Hilfe eines Jailbreaks kann beispielsweise die Bildschirmsperre auf iOS-Geräten umgangen werden und Angreifer erhalten trotz aktiver Dateisystemverschlüsselung Zugriff auf am Gerät abgelegte Daten. Dies wird ermöglicht, da keine Eingabe der Benutzerin bzw. des Benutzers erforderlich ist. Um sensible Daten dennoch zu schützen, verfügt iOS über ein zusätzliches Verschlüsselungssystem von Applikationsdaten. Dazu wird der von der Benutzerin oder vom Benutzer gewählte Code zum Lösen der Bildschirmsperre in die Ableitung der kryptographischen Schlüssel miteinbezogen. Teufl und weitere Autoren zeigen in einer detaillierten Analyse weitere Schwachstellen und Angriffe auf unter iOS verfügbare Verschlüsselungssysteme.
Bewusstsein für Sicherheit bei Entwicklern schaffen
Ob eine zusätzliche Verschlüsselung von Applikationsdaten zum Einsatz kommt, ist sowohl bei iOS als auch bei anderen Plattformen abhängig vom Entwickler. Es obliegt dem Entwickler einzelne Dateien über das zusätzliche Verschlüsselungssystem zu schützen, standardmäßig werden die Daten lediglich über die Dateisystemverschlüsselung geschützt. Die Benutzerin bzw. der Benutzer erhält keine Information, ob und wie eine Applikation Daten zusätzlich verschlüsselt.
Schutz oftmals nicht standardmäßig aktiv
Es ist anzumerken, dass trotz Vorhandensein von Mechanismen zur Dateisystemverschlüsselung diese nicht bei allen Geräten standardmäßig aktiv sind. Bei iOS Geräten ist die Verschlüsselung des Dateisystems standardmäßig aktiv, bei Android muss diese von der Benutzerin bzw. vom Benutzer jedoch manuell aktiviert werden. Windows Phone 8 bietet Dateisystemverschlüsselung nur im Rahmen von Mobile Device Management und damit nur für Unternehmenskunden. Blackberry hingegen bietet ein neuartiges System zur Trennung von persönlichen und geschäftlichen Daten auf Dateisystemebene. Dabei ist die Dateisystemverschlüsselung im geschäftlichen Bereich standardmäßig aktiv, im persönlichen Bereich kann diese manuell aktiviert werden.
Die Verschlüsselung von Daten am Gerät stellt jedoch nur einen Aspekt zur Sicherung mobiler Geräte dar. In einer von A‑SIT veröffentlichten Studie werden weitere Sicherheitsfunktionen der Plattformen iOS, Android, Windows Phone 8 und Blackberry 10 beschrieben und die genannten Plattformen anhand der angebotenen Sicherheitsmechanismen verglichen. Die Studie sowie detaillierte Analysen der Verschlüsselungssysteme von iOS und Android sind öffentlich auf der Webseite von A‑SIT zugänglich.
Bild: Günther Menzl / Fotolia.com
Sandra Kreuzhuber ist seit 2012 an der TU Graz als Projektmitarbeiterin im Bereich IT-Sicherheit tätig. Im Zuge ihrer Aktivitäten unterstützt sie unter anderem das Zentrum für Sichere Informationstechnologie — Austria (A‑SIT) im Bereich Mobile Security. A‑SIT ist ein gemeinnütziger Verein, der den Gesetzgeber und Behörden zur Informationssicherheit unterstützt. Mitglieder sind das Österreichische Bundesministerium für Finanzen, die Oesterreichische Nationalbank, die Bundesrechenzentrum GmbH und die TU Graz.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare