MDM Essen­ti­als — Gefahr für Bring Your Own Device (BYOD) und Con­tai­ner-Kon­zep­te durch Key­log­ger am Bei­spiel von iKey­Mo­ni­tor

Ich habe lan­ge über­legt, ob ich die­sen Arti­kel schrei­ben soll. Ich bin zu der Auf­fas­sung gekom­men, dass die Gefahr, die vom Unwis­sen über die heu­te tech­ni­schen Mög­lich­kei­ten auf Smart­pho­nes aus­geht deut­lich grö­ßer ist, als die Gefahr, die durch Key­log­ger ent­steht oder ent­ste­hen kann. Im Gegen­teil, es gibt sogar aus­rei­chend vie­le Sze­na­ri­en im Com­pli­an­ce-Umfeld, wo ein Key­log­ger sicher und seri­ös ein­ge­setzt wer­den kann.

Mich stört mitt­ler­wei­le nach­hal­tig, dass Con­tai­ner-Kon­zep­te bei der BYOD-Dis­kus­si­on als die neu­en Heils­brin­ger von man­cher Sei­te gefei­ert wer­den. Genau das sind sie nicht. Denn ein Con­tai­ner ist nur dann sicher, wenn das Gerät, auf dem er betrie­ben wird, eng und sicher gema­nagt wird. Genau dies wider­spricht dem BYOD-Kon­zept, denn das Gerät gehört ja dem Mit­ar­bei­ter, der nur im Fal­le völ­li­ger Demenz einem Manage­ment sei­nes per­sön­li­chen Gerä­tes zustim­men wird. Inso­fern ist ein pri­va­tes Gerät nor­ma­ler­wei­se nie gema­nagt und ein Con­tai­ner auf die­sem daher nie­mals sicher.

Vor­be­mer­kung zum Key­log­ging: Der Ein­satz eines Key­log­gers ist per se weder ille­gal noch gut oder böse. Ein Key­log­ger ist ein Stück Soft­ware, das erst durch sei­nen kon­kre­ten Ein­satz legal oder ille­gal bzw. gut oder böse wird.

Key­log­ging oder der Ein­satz eines Key­log­gers ohne Wis­sen des Besit­zers und /​oder Benut­zers ist in Deutsch­land und vie­len ande­ren euro­päi­schen Län­dern ver­bo­ten und stellt in fast allen Fäl­len der Anwen­dung eine Straf­tat dar. Die in die­sem Arti­kel bespro­che­ne Soft­ware darf nur mit Ein­ver­ständ­nis des Gerä­te­be­sit­zers /​Gerä­t­ebe­nut­zers ein­ge­setzt wer­den, ein heim­li­cher Ein­satz ist immer ver­bo­ten. Die Aus­füh­run­gen die­ses Arti­kels die­nen dazu, dem Leser zu ver­deut­li­chen, dass Con­tai­ner in einem BYOD-Kon­zept kei­ne Sicher­heit erzeu­gen kön­nen und daher ein unse­riö­ser Ansatz ver­meint­li­cher Sicher­heit sind. Sie stel­len kei­ne Auf­for­de­rung zum Ein­satz die­ser Tech­ni­ken dar, spe­zi­ell nicht, wenn dies dann auch noch ohne Ein­ver­ständ­nis des Gerä­te­be­sit­zers oder -benut­zers erfol­gen soll­te.

Es gibt unzäh­li­ge Key­log­ger auf dem Markt und in der Sze­ne (das ist ein Unter­schied!). Ich habe mich ent­schie­den, hier eines der Ange­bo­te zu bespre­chen, das ohne Auf­wand auf dem Markt für jeden User ohne Spe­zi­al­kennt­nis­se zu errei­chen ist, um mich nicht dem Vor­wurf aus­zu­set­zen, dass die Soft­ware ja für die meis­ten nicht erreich­bar ist. Wobei klar sein muss, dass Angrif­fe auf Smart­pho­nes und Tablets von begehr­ten Ziel­per­so­nen nicht durch Ama­teu­re und Script-Kid­dies erfol­gen.

iKey­Mo­ni­tor ist ein Key­log­ger aus den USA, der über eine pro­fes­sio­nell auf­ge­mach­te Web­sei­te ver­kauft wird. Ein­zi­ge Vor­aus­set­zung für die Instal­la­ti­on ist ein gejail­b­re­ak­tes iPho­ne oder iPad. An die­ser Stel­le noch­mals der Hin­weis, den ich schon oft gab. Jail­b­rea­ken von iPho­nes und iPads ist nicht ille­gal, auch wenn dies häu­fig behaup­tet wird. Es führt maxi­mal zum Erlö­schen der Garan­tie, wobei wir in den letz­ten Jah­ren es sehr oft gese­hen haben, dass gejail­b­re­ak­te Gerä­te im Garan­tie­fall pro­blem­los getauscht wur­den. Ich sel­ber benut­ze seit nun­mehr fast 5 Jah­ren, dem ers­ten iPho­ne, nur gejail­b­re­ak­te Gerä­te, weil man damit siche­rer arbei­ten kann und weil es sehr gute Soft­ware oft lei­der nur für gejail­b­re­ak­te Gerä­te gibt.

Der Jail­b­reak an sich ist mitt­ler­wei­le so kom­for­ta­bel, dass er pro­blem­los von einem Zehn­jäh­ri­gen bewerk­stel­ligt wer­den kann, Anlei­tun­gen auf You­tube machen es zum Kin­der­spiel. Inso­fern kann iKey­mo­ni­tor auf jedem iOS-Gerät von jeder­mann in weni­gen Minu­ten instal­liert wer­den. Was bie­tet ein Key­log­ger nach der Instal­la­ti­on? iKey­Mo­ni­tor bie­tet eine Men­ge, wofür mit der ein­gangs des Arti­kels abge­bil­de­ten Fea­ture-Lis­te gewor­ben wird (und ande­re Tools, die ich bewusst nicht bespre­che, bie­ten durch­aus noch mehr!). Im ein­zel­nen sind dies:

  • Auf­zeich­nung aller Pass­wort­ein­ga­ben
  • Auf­zeich­nung aller Tas­ta­tur­ein­ga­ben
  • Auf­zeich­nung kopier­ten Tex­tes
  • Auf­zeich­nung aller gesen­de­ten und emp­fan­ge­nen SMS
  • Auf­zeich­nung aller besuch­ten Web­sei­ten
  • Erstel­lung von Screen­shots in belie­bi­gen Zeit­ab­stän­den (bis zu jeder Sekun­de)
  • Ver­sand der Daten per Email und FTP-Upload in belie­big kon­fi­gu­rier­ba­ren Inter­val­len
  • Ste­alth-Mode bie­tet nicht ent­deck­ba­re Instal­la­ti­on (auch für Exper­ten nur mit gro­ßem Auf­wand beweis­bar)
  • Akti­vie­rung und Deak­ti­vie­rung remo­te mög­lich
  • Pass­wort­ge­schützt

Wer weiss, dass es die­se Tech­nik gibt, hört sofort auf dar­an zu glau­ben, dass man einen Con­tai­ner und ein BYOD-Kon­zept sicher betrei­ben kann, denn iKey­Mo­ni­tor ist eine sehr mäch­ti­ge Lösung für Ama­teu­re, die sicher schon man­chen Men­schen in Ver­su­chung geführt hat, Frau, Mann oder Kin­der heim­lich zu kon­trol­lie­ren. Pro­fi-Tech­nik kann noch ein­mal deut­lich mehr. Die­se zeich­net die Screen­shots bei Bedarf mit deut­lich erhöh­ter Kom­pri­mie­rung auf (sw oder grau) und kann so die Bil­der einer Minu­te auf rund 20 KB kom­pri­mie­ren. Eine Stun­de ist dann mal gera­de ein MB. Und mit pro­fes­sio­nel­ler Tech­nik kann ich mir auch den Ver­sand ggf. spa­ren, da ich mich remo­te auf das Gerät auf­schal­ten kann und mir gezielt anse­hen oder her­un­ter­la­den kann, was mich inter­es­siert.

Geht nicht” ruft jetzt schon wie­der man­cher! Klar geht das, auch für Ama­teu­re! Veen­cy heisst eine der Lösun­gen von Jay Free­man seit den ers­ten Tagen des iPho­nes, ein VNC-Ser­ver für das iPho­ne, auf den man sich unbe­merkt auf­schal­ten kann — ohne jede Sicher­heits­ab­fra­ge. Hof­fent­lich glau­ben Sie mir jetzt, dass es durch­aus ele­gan­te­re pro­fes­sio­nel­le Tools gibt.

Was bedeu­tet das von mir gezeig­te Bei­spiel aus der Kom­bi­na­ti­on von iKey­Mo­ni­tor und Veen­cy nun für den Anwen­der eines BYOD-Kon­zep­tes? Ich hof­fe jeder Leser hat nun erkannt, dass es nicht wirk­lich schwer ist, Gerä­te mit die­ser Soft­ware aus­zu­stat­ten. Wer nun ein­wen­det, dass es dafür eines Jail­b­reaks bedarf und man dies ja über­wa­chen kön­ne ver­gisst, dass man dies auf einem Gerät, dass einem nicht gehört weder ver­bie­ten noch dau­er­haft aus­schlie­ßen kann.

Aber selbst, wenn dies gelän­ge, es wäre kei­ne Pro­blem­lö­sung. Kein MDM-Her­stel­ler der Welt kann garan­tie­ren, dass er mit dem Erschei­nen einer neu­en Firm­ware oder neu­er Gerä­te eine sicher funk­tio­nie­ren­de Jail­b­reak-bzw. Roo­ting-Erken­nung lie­fern kann und man­che Her­stel­ler haben die­se noch nicht ein­mal heu­te an Bord! Dar­über hin­aus muss man wis­sen, dass es mitt­ler­wei­le Tech­ni­ken gibt Jail­b­reak und Roo­ting so gut zu ver­schlei­ern, dass eine Erken­nung in die­sen Fäl­len nicht sicher garan­tiert wer­den kann. Genau des­halb emp­feh­len wir unse­ren Anwen­dern tag­täg­lich aufs neue mög­lichst alle Gerä­te wei­ter­hin über die IT-Abtei­lung zu bestel­len und über die­se auf­be­rei­ten und aus­ge­ben zu las­sen. Die­ser klas­si­sche Weg stellt von Anfang an sicher, dass kei­ne kom­pro­mit­tier­ten Gerä­te ins Netz­werk gelan­gen kön­nen.

Wenn Sie wei­te­re Fra­gen zu Jail­b­rea­king, Roo­ting, Mobi­le Device Manage­ment und Bring Your Own Device haben, fra­gen Sie uns bit­te. Wir haben die Ant­wort — Garan­tiert! Und wenn Ihnen die­ser Bei­trag gefal­len hat und wert­vol­le Infor­ma­tio­nen für Sie bie­tet, dürf­te dies auch für ande­re Men­schen so sein, die sich dann freu­en, wenn sie von Ihnen über Goog­le, Face­book oder Twit­ter dar­auf hin­ge­wie­sen wer­den. Und uns freut dies auch!

Nach­satz: Um Miss­ver­ständ­nis­se zu ver­mei­den — Key­log­ging geht auf jeder Platt­form, auf Andro­id ganz beson­ders gut und aus­ge­feilt! Ich habe Key­log­ging am Bei­spiel von iOS bespro­chen, weil dies aktu­ell die Platt­form mit der größ­ten Busi­ness-Bedeu­tung ist.


Ande­re inter­es­san­te Bei­trä­ge:
Andro­id in Unter­neh­men — Da hal­ten wir den Deckel drauf, das füh­ren wird nicht ein …
… schall­te es mir heu­te bei einem unse­rer Ham­bur­ger Kun­den ent­ge­gen. Wir waren zu einem Kurz­work­shop zum The­ma App-Stra­te­gie für iOS zusam­men­ge­kom­men und mir saß das ver­sam­mel­te Mobi­li­ty-Know­how die­ses Kun­den gegen­über. Das Unter­neh­men erwei­tert der­zeit eine vie­le Jah­re gut gema­nag­te Black­Ber­ry-Lö…
Apple’s Enter­pri­se App Store (Volu­me Purcha­se Pro­gram — VPP) in Deutsch­land ver­füg­bar
Lang erwar­tet, heiss ersehnt: Das Volu­me Purcha­se Pro­gram (VPP) hat end­lich Deutsch­land erreicht und datomo Mobi­le Device Manage­ment kann natür­lich damit schon umge­hen und Unter­neh­men bei der Ver­wal­tung, Zuord­nung und Ver­tei­lung der von ihnen erwor­be­nen Lizen­zen und der dazu­ge­hö­ri­gen Soft­ware effekt…
datomo Mobi­le Device Manage­ment (MDM) 3.9.1 — Funk­ti­ons­er­wei­te­rung am HTTP-Pro­xy für iOS 6
Noch kei­ne zwei Wochen ist es her, dass wir das bis­her mäch­tigs­te Update für datomo Mobi­le Device Manage­ment ver­öf­fent­licht haben, die Fea­tures fin­den Sie im Bei­trag datomo Mobi­le Device Manage­ment (MDM) 3.9 — Mehr neue Funk­tio­nen als je zuvor für Andro­id und iOS. Aber wir haben uns nicht zurückg…
datomo Mobi­le Device Manage­ment (MDM) – Funk­tio­na­li­tä­ten von datomo MDM auf Sam­sung Andro­id-Gerä­ten
Andro­id ist nicht gleich Andro­id und wenn ein MDM-Her­stel­ler erklärt, er unter­stützt gene­rell alle Andro­id-Gerä­te, dann soll­ten Sie hier hell­hö­rig wer­den, sich aus­führ­lich infor­mie­ren und auch die Funk­tio­na­li­tä­ten auf den Devices im Detail tes­ten. Denn wie wir schon u.a. in dem Arti­kel MDM-​Es­sen­tia…
datomo MDM 3.31 – Neu­es Update mit inte­grier­ter Goog­le Play Store Ver­wal­tung und Unter­stüt­zung vom Apple Busi­ness Mana­ger
Das neue Release 3.31 von datomo MDM zeich­net u.a. durch die Unter­stüt­zung des Apple Busi­ness Mana­gers sowie des Goog­le Enter­pri­se Device Owner mit ver­wal­te­ten Goog­le Play Store und Goog­le COPE Modell aus. Dar­über hin­aus ermög­licht die neue menü­ge­führ­te Gerä­te­re­gis­trie­rung über Hash­tag, NFC und Q…

4 Kommentare

Schreibe einen Kommentar»
  1. Inter­es­san­te app, aber es funk­tio­niert auch auf Andro­id-Han­dys?

  2. War­um soll­te ein Mit­ar­bei­ter etwas dage­gen haben sein Gerät vom Unter­neh­men dar­auf prü­fen zu las­sen?

    Mei­ne Sie die Fra­ge ernst? Weil es SEIN Gerät ist!!! Ich ken­ne kaum jeman­den, der ernst­haft iOS ein­setzt, kom­pe­tent ist und sein iOS-Gerät nicht gejail­b­re­akt hat!

    Kom­fort von Geschäfts­da­ten auf dem Pri­vat­ge­rät

    Wovon reden Sie? Ich ken­ne eigent­lich nie­man­den, der nicht sagt, dass die Fir­ma doch bit­te sehr die Arbeits­mit­tel bereit­zu­stel­len hat. Das recht­lich durch­aus auch kom­pli­zier­te PUOCE (Pri­va­te Use of Com­pa­ny Equip­ment) ist def­in­tiv der rich­ti­ge Weg — soll doch die Fir­ma ggf. die Pri­vat­nut­zung zulas­sen!

    Nur wenn z.B. PIM-Daten in einer eigens ver­schlüs­sel­ten und mit getrenn­tem Kenn­wort ver­se­he­nen Con­tai­ner-App befin­den, las­sen sich die Geschäfts­da­ten auch effek­tiv schüt­zen.

    Nein! Denn dafür ist — wie Sie völ­lig rich­tig aus­füh­ren — eine lücken­lo­se Roo­ting- und Jail­b­reak-Erken­nung not­wen­dig. Und damit haben Sie sich erkenn­bar noch nicht aus­rei­chend beschäf­tigt. Tes­ten Sie ein­fach ein­mal die Roo­ting- und Jail­b­reak-Erken­nung der Lösun­gen, die Sie tes­ten. Mit allen rele­van­ten Gerä­ten, Firm­ware­stän­den und den ent­spre­chen­den Jail­b­reak- und Roo­ting-Tech­ni­ken, die teil­wei­se sehr unter­schied­li­che Ergeb­nis­se her­vor­brin­gen. Sie wer­den sehr inter­es­san­te Ergeb­nis­se fin­den — ver­spro­chen!

    Das The­ma Roo­ting und Jail­b­reak ist nicht damit abge­han­delt zwei But­tons in der Soft­ware anzu­bie­ten, die sug­ge­rie­ren, dass Kom­pro­mit­tie­rung erkannt wird. Tes­ten Sie — selbst wenn Sie von Roo­ting und Jail­b­reak noch nicht sehr viel wis­sen. Sie wer­den inter­es­san­te Arti­kel schrei­ben kön­nen!

    Glau­ben Sie mir bit­te, wir wis­sen wovon wir reden! Wir haben iPho­nes 2007 in Stück­zah­len aus den USA hier­her gebracht, auf Kun­den­wunsch gejail­b­re­akt, siche­rer gemacht und die­se Sze­ne jetzt über fünf Jah­re beglei­tet. 90 % der MDM-Her­stel­ler haben kein ver­gleich­ba­res Know­how, was Jail­b­reak und Roo­ting betrifft. Wenn Sie per­sön­lich das MDM-The­ma ver­tie­fen wol­len — star­ten Sie hier. Denn ohne die­ses Know­how hier kann man kein MDM-Sys­tem zuver­läs­sig beur­tei­len.

    Dies ist kei­ne Kri­tik, son­dern ein freund­li­cher Hin­weis! 🙂

  3. … Con­tai­ner ist nur dann sicher, wenn das Gerät, auf dem er betrie­ben wird, eng und sicher gema­nagt wird. Genau dies wider­spricht dem BYOD-​Kon­zept, denn das Gerät gehört ja dem Mit­ar­bei­ter, der nur im Fal­le völ­li­ger Demenz einem Manage­ment sei­nes per­sön­li­chen Gerä­tes zustim­men wird. Inso­fern ist ein pri­va­tes Gerät nor­ma­ler­weise nie gema­nagt und ein Con­tai­ner auf die­sem daher nie­mals sicher.

    Rich­tig ist, daß auch eine Con­tai­ner-Lösung nur auf Gerä­ten betrie­ben wer­den soll­te, deren Sicher­heits­sta­tus nicht durch Jailbreak/​Rooting unter­gra­ben ist. Aber: War­um soll­te ein Mit­ar­bei­ter etwas dage­gen haben sein Gerät vom Unter­neh­men dar­auf prü­fen zu las­sen? Der Deal ist den Kom­fort von Geschäfts­da­ten auf dem Pri­vat­ge­rät nur dann zu haben, wenn gewis­se Regeln ein­ge­hal­ten wer­den. Ver­stösst der Mit­ar­bei­ter gegen die­se Regeln (was er auf sei­nem eige­nen Gerät darf!), wird ihm tech­nisch der Zugriff auf die Geschäfts­da­ten ent­zo­gen, die der Unter­neh­mens­ho­heit unter­lie­gen.

    Stand heu­te: Nur wenn z.B. PIM-Daten in einer eigens ver­schlüs­sel­ten und mit getrenn­tem Kenn­wort ver­se­he­nen Con­tai­ner-App befin­den, las­sen sich die Geschäfts­da­ten auch effek­tiv schüt­zen. iOS, Andro­id und Win­dows Pho­ne bie­ten hier­zu von Haus aus kei­ne Mecha­nis­men.

    Lösun­gen, die die­ses Kon­zept tech­nisch umset­zen, bie­ten den not­wen­di­gen Grund­stock um eine BYOD-Sze­na­rio zu rea­li­sie­ren. Ob sich BYOD für ein Unter­neh­men über­haupt mone­tär, zur „Mit­ar­bei­ter­mo­ti­va­ti­on” oder aus ande­ren Grün­den anbie­tet, ist indi­vi­du­ell zu prü­fen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.