Tablet-Sicherheit – ein Balanceakt

Virtualisierung, Secure-Container oder „Ein-Hersteller-Lösung“?

Erfolgreiche IT-Sicherheitskonzepte zur Einbindung von privat und geschäftlich genutzten Smartphones und Tablets in die Unternehmens-IT müssen die Erwartungen und Erfahrungen der Anwender berücksichtigen. Unser Beitrag stellt drei Möglichkeiten vor.

Die Nutzung von Smartphones und Tablets in Unternehmen und Behörden steigt enorm an. Aufgrund des kleineren Formfaktors und der offensichtlich erhöhten Mobilität, werden Unternehmen dadurch mit zunehmend größer wer­denden Risiken und mit neuen Bedrohungen konfrontiert. Aber anders als bei Laptops greifen bei Tablets und Smartphones die bekannten und etablierten Sicherheitskonzepte und -Strategien nicht mehr.

Ein Tablet, auch wenn es vom Unternehmen bereitgestellt wird, ist ein persönliches Gerät. Die Anwender ändern Hintergrund­bilder, laden Musik, Videos und verschiedenste Apps auf „ihre“ Ta­blets. Zudem nutzen immer mehr Menschen nur noch ein Gerät für private und dienstliche Zwecke. In einer kürzlich veröffentlichten Studie von Trend Micro [1] gaben 45 Prozent der Befragten an, dass ihr privates Smartphone gleichzeitig ihr dienstliches Gerät ist. Ein Indiz für den steigenden Trend, auf nur einem einzigen Gerät Video-Chat, Social Media und geschäftliche Anwendungen parallel zu verwenden. Die heutigen Funktionen und Formen von Smartphones und Tablets erfüllen inzwischen diese Erwartungen: integrierte Shops für Anwendungen und größere, bessere Displays. Der Wunsch, dass ein Gerät möglichst alles können soll, hat insbesondere Tablets zu einer attraktiven Alternative für Spiele, Präsentationen, dem Lesen von Dokumenten und der Bearbeitung komplexer Arbeitsprozesse gemacht.

Aufgrund dieser Entwicklungen sind IT-Abteilungen und Hersteller im eigenen Interesse gehalten, angemessene Lösungen zu finden, die es den Unternehmen ermöglichen, ihre Anforderungen an Sicherheit und Datenschutz auch bei diesen Geräten zu gewährleisten. Die Sperrung aller relevanten Funktionen auf einem mobilen Endgerät mag beispielsweise eine Lösung für dienstliche Geräte sein, die ausschließlich in einem engen Geschäftskontext genutzt werden. Aber dann ist zu erwarten, dass Anwender mehrere Geräte nutzen. Die privaten Geräte werden dann parallel für all jene Anwendungen eingesetzt, die die IT-Abteilung gesperrt hat, um das Sicherheitskonzept einzuhalten. Wenn diese Geräte nach und nach als primäres Gerät genutzt werden, besteht die Gefahr, dass die Anwender ihre Smartphones und Tablets.

in Eigeninitiative an das Unterneh­mensnetzwerk anschließen, um E-Mails, Kalender und Kontakte zu synchronisieren. Die hier zutage tretende Fehleinschätzung des Faktors Mensch lässt die meisten derzeitig gängigen mobilen Sicherheits- und Mobile-Device-Management-Strategien obsolet erscheinen.

Risiken bewerten und akzeptieren

Als Ergebnis dieser Entwicklungen lockern immer mehr Firmen und Behörden ihre Richtlinien. Sie arbeiten an holistischen Sicherheitskonzepten, die den privaten und dienstlichen Sicherheitsanforde­rungen Rechnung tragen, ohne das rechtlich schwierige Thema „Bring Your Own Device“ (BYOD) anwen­den zu müssen. Für Smartphones und Tablets basieren diese überwiegend auf drei Optionen:

1. Nutzung von virtuellen Maschinen und mehreren parallelen „compartments“ für unabhängige Instanzen eines Standard-Betriebssystems. Verwendung eines Mikrokernels, um die Isolation zwischen den virtuellen Maschinen und sicheren Anwendungen sicherzustellen [2]
2. Nutzung von Standard-Betriebssystemen und Speicherung aller schützenswerten Daten in einem „secure container“
3. Nutzung eines gehärteten Be­triebssystems, basierend auf einem Mikrokernel und Bereitstellung einer geeigneten Isolation für alle Aspekte des Systems — inklusive Dateisystem und Netzwerk-Zugang. [3]

Die Nutzung jeder dieser Strategien muss auf dem Schutzbedarf, den geschäftlichen Anforderungen und den Erwartungen und Erfahrungen der Anwender basieren. Das Hauptziel der meisten mobilen Umgebungen ist, möglichst effektiv und sicher zu kommunizieren und dabei sowohl die Produktivität als auch die Benutzerzufriedenheit zu steigern, ohne dass sich die Betriebskosten erhöhen. Den meisten IT-Experten und mobilen Anwendern ist bekannt, dass es keine Garantie für 100%ige Sicherheit gibt und dass überall Sicherheitsrisiken lauern können. Die Bedeutung des Sicherheitsniveaus für ein individuelles Tablet, oder jedes andere mobile Gerät, hängt stets vom Kontext ab, in dem es verwendet wird. So ist ein wesentlicher Bestandteil der allgemeinen Evaluierung einer mobilen Lösung der „Level of trust“ eines Gerätes, der bei der Absicherung des Tablets Auswirkungen auf den „Level of risk“ hat. Nur wenn wir Bedrohungen im Kontext betrachten und entsprechend kategorisieren, können wir die Risiken analysieren und darüber entscheiden, mit welchen Bedrohungen wir uns vordringlich befassen müssen. Auf der anderen Seite dürfen wir die Erwartungen der Firmen und Behörden sowie vor allem die der Anwender nicht vernachlässigen.

„User Experience“ –  der Schlüssel zu einer  erfolgreichen mobilen  Geräte-Strategie

Im Sinne der Anwender-Zufriedenheit, sollten IT Abteilungen ihren Blick in erster Linie auf das Thema „User Experience“ legen, dabei aber nicht die Aspekte ihrer Risikoanalyse aus den Augen verlieren. Der erste der oben genannten Ansätze nutzt eine Virtualisierungstechnologie, basierend auf einem Mikrokernel, um unabhängige und isolierte Betriebssysteme bereitzustellen. Solange die unteren Schichten im Modell, wie der Mikrokernel und die „Runtime“ als sicher angesehen werden können, bietet dieser Ansatz ein hohes Maß an Sicherheit. Zu beachten ist, dass die Trennung von Inhalt und Benutzeroberflächen die Akzeptanz des Gesamtsystems beeinflussen kann. So ist zum Beispiel das Wechseln zwischen privatem und geschäftlichem Kalender kompliziert, Benachrichtigungen über neue Nachrichten werden unter Umständen nicht in der parallelen Instanz angezeigt und die Erreichbarkeit per Telefon oder Video-Chat könnte nicht zu jedem Zeitpunkt gewährleistet sein. Abhängig vom Hardware-Support der Virtualisierung können zwei parallel laufende Betriebssysteme annähernd doppelten Energie-Verbrauch und damit eine deutlich reduzierte Batterielaufzeit bedeuten.

Damit ein modifizierter Kernel auf einem Gerät laufen darf, ist es entweder notwendig, dass das Tablet „gerootet“ wird oder der Hersteller das modifizierte System bereits werkseitig ausliefert. Die Begriffe „Jailbreaking“ oder „Rooting“ werden im Allgemeinen genutzt, um das Modifizieren der Software oder des Kernels eines Tablets zu beschreiben. Ziel sind erweiterte Zugriffe auf das System oder Anwendungen, die nicht offiziell vom Hersteller autorisiert oder vorgesehen sind. Daher steht diese Lösung nicht im Einklang mit der Definition von „Commercial-Off-The-Shelf“ (COTS) und widerspricht damit ebenfalls dem immer öfter genutzten Konzept von „Bring Your Own Device“ (BYOD) in Unternehmen.

Ein zweiter Ansatz ist, Drittanbieter-Software zu laden, die einen sicheren Daten-Container auf einem Standard-Betriebssystem bereitstellt. Dieser Ansatz ignoriert den allgemein gültigen Grundsatz, dass eine Lösung nur sicher ist, wenn sie auf einem sicheren Unterbau basiert. Sollte das zugrunde liegende Betriebssystem nicht vertrauenswürdig sicher sein und sollte es Beschränkungen im Hinblick auf erzwingbare Sicherheitsfunktionen geben, da die notwendigen Schnittstellen fehlen, könnte das Restrisiko für ein Unter-nehmen zu hoch sein. Wir sehen einen eingeschränkten Einsatz von anwendungsbasierten sicheren Container-Lösungen, wenn das zugrunde liegende Betriebssystem nicht dem notwendigen „Level of trust“ genügt. Sollte ein Angreifer „Root-Rechte“ erlangen, so kann er ebenfalls Zugriff auf die als sicher eingestuften Anwendungen erhalten: Sei es über Bildschirmkopien, dem Abhören des Datenverkehrs oder sogar dem Zugriff auf die gespeicherten Daten. Im schlimmsten Fall nistet sich Schadcode in die Dritt-Anwendung ein und hat somit permanenten Zugriff auf den sicheren Container des Tablets.

Die Verwendung von ab-geschotteten Container-Lösungen hat außerdem einen Einfluss auf die Benutzerfreundlichkeit. Erneut empfiehlt sich die Bewertung der „User Experience“ durch die IT-Abteilungen. Auch bei diesem Ansatz können Anwender gezwungen sein, separate Kalender und Adressbücher zu pflegen. Geschäftliche Kontakte sind gegebenenfalls nicht in die Telefonfunktion und den Video-Chat integriert, oder die Nachrichten-Funktion verhält sich anders als die Nachrichten-Anwendung des Betriebssystems. Auch wenn dieser Ansatz den Schutzbedarf eines Unternehmens erfüllt, kann die „User Experience“ einen Einfluss auf die Produktivität und Benutzerzufriedenheit haben und somit den Gesamtnutzen der Lösung beeinflussen.

Ein Hersteller, eine Plattform

Eine dritte Option nutzt ein einzelnes Mikrokernel-Betriebssystem, das von Grund auf die Isolation von geschäftlichen und privaten Inhalten und Anwendungen bietet. In diesem Fall kann das Produkt von einem einzelnen Hersteller entwickelt und vertrieben werden und damit die Konzepte von COTS und BYOD unterstützen. Eine „Ein-Hersteller-Lösung“, bei der der Hersteller sowohl die Hardware als auch die Software liefert, kann in der Kombination aus hardware- und softwarebasierten Schutzmechanismen widerstandsfähig und belastbar gegen Manipulation entwickelt werden. Das Tablet startet mit weniger Code im Mikrokernel, um Schwachstellen zu minimieren und Prüfungen zu erleichtern. Sollte die Integritäts-Kontrolle des Kernels einen Schaden feststellen, wird das Tablet nicht gestartet. Der Kernel kann Prozesse in einem eigenen Bereich isolieren und Technologien wie „Adaptive Partitioning“ [4] nutzen, um bei Überlastung des Systems gezielt Ressourcen für elementare Prozesse zu reservieren. Die Abschottung von Anwendungen („application sandboxing“) kann genutzt werden, um die Möglichkeiten und Rechte von Anwendungen auf dem Tablet zu separieren und einzuschränken. Neben der Isolation von Prozessen und dem Signieren von Programm-code („code signing”) helfen sichere Software Aktualisierung und privilegierte Zugriffe die Angriffsoberfläche zu minimieren.

Das Ergebnis ist eine integrierte Lösung, die nicht auf Drittanbieter-Anwendungen oder nachträglichen Modifikationen beruht. Die Lösung kann die Stärken des Betriebssystems und eine einheitliche Benutzeroberfläche nutzen, um ein nahtloses Arbeiten zu ermöglichen, das sowohl den privaten als auch den professionellen Anforderungen genügt und CIOs die innere Ruhe gibt, dass die Unternehmensdaten geschützt sind.

Balance als Treiber für mobile Geräte

Die Hauptaufgabe für IT-Sicherheitsbeauftragte ist heute nicht, Risiken zu entschärfen, sondern sie zu verwalten. Die erfolgreichste mobile Lösung in einem Unter-nehmen wird in Zukunft diejenige sein, die die beste Balance zwischen Sicherheits-Risikomanagement und gesteigerter Produktivität und Zufriedenheit der Mitarbeiter bietet. Einige der möglichen Lösungen, die sich bemühen, ein hohes Maß an Sicherheit zu gewährleisten, setzen eine Einschränkung der verfügbaren Funktionalitäten für den Anwender voraus — was sie in gewissem Maße unvollkommen macht.

Ein integrierter Ansatz über eine „Ein-Hersteller“ Strategie basiert im Wesentlichen auf Vertrauen. Die Entscheidung für eine Tablet-Lösung erfordert eine Kombination aus intrinsischem Vertrauen in einen Hersteller, der für die Entwicklung sicherer Lösungen bekannt ist, und extrinsischem Vertrauen in die erprobten und zertifizierten Komponenten, die der Hersteller nutzt. Die Lösung sollte einer Organisation ermöglichen, sich in der Evaluierung überwiegend auf die „User Experience” zu fokussieren, statt erheblichen Integrationsaufwand darauf zu verwenden, ein hohes Maß an Separierung der Daten zu erreichen.

Quellen

[1]        http://wwwtrendmicro.com/cloud-content/us/pdfs/about/wp_bring-em-on-the-consumeri-zation-of-ent-mobility.pdf

[2]        http://www.l4android.org/news/publications_assets/spsm_mlange.pdf

[3]        http://wwwqnx.com/products/neutrino-rtos/secure-kernel.html

[4]        http://wwwgnx.com/developers/docs/6.3.2/neutrino/sys_arch/adaptive.html

Erschienen in <kes> Special Mobile Security – Juni 2012, Seite 8ff.