MDM-Essen­ti­als — Ist Mobi­le Device Manage­ment (MDM) aus den USA sicher?

In den letz­ten Tagen haben uns vie­le Anfra­gen mit genau die­ser Fra­ge erreicht. Die meis­ten Fra­ge­stel­ler ken­nen die kor­rek­te Ant­wort instink­tiv und erwar­ten nur eine Bestä­ti­gung ihrer begrün­de­ten Ver­mu­tung. Die Ant­wort ist ganz ein­fach: Nein! Kei­ne Soft­ware aus den USA, die siche­re Ver­schlüs­se­lung > 56 Bit ent­hält, ist sicher. Das ist kein böser Wil­le der Her­stel­ler, das ist die Geset­zes­la­ge im Land der unbe­grenz­ten Mög­lich­kei­ten Spio­na­ge.

Schon vor über einem Jahr haben wir auf die­ses Pro­blem im Bei­trag MDM Essen­ti­als — Siche­res Mobi­le Device Manage­ment vor dem Hin­ter­grund des Patri­ot Act hin­ge­wie­sen. Im Bei­trag Mobi­le Device Manage­ment (MDM) — Sicher­heit und Ver­schlüs­se­lung habe ich auf die Sicher­heits­pro­ble­ma­ti­ken in Bezug auf den Export ame­ri­ka­ni­scher Ver­schlüs­se­lungs­tech­no­lo­gien hin­ge­wie­sen, deren Rah­men­be­din­gun­gen im Elec­tro­nic Code of Federal Regu­la­ti­ons (eCFR) fest­ge­legt sind.

Alle Güter, die der Export­kon­trol­le unter­lie­gen sind in soge­nann­ten Com­mer­ce Con­trol Lists (CCL) zusam­men­ge­fasst, deren Basis im Rah­men der Export Admi­nis­tra­ti­on Regu­la­ti­ons (EAR) vom Bureau of Indus­try and Secu­ri­ty (BIS), einer Unter­ab­tei­lung des Han­dels­mi­nis­te­ri­ums, fest­ge­legt wird. In den EAR gibt es eine Kate­go­rie Cate­go­ry 5 Part 2 — Infor­ma­ti­on Secu­ri­ty die die Export­be­schrän­kun­gen für Ver­schlüs­se­lungs­tech­no­lo­gien regelt. Hier kön­nen Sie selbst nach­le­sen wie detail­i­iert die Ame­ri­ka­ner den Export von Pro­duk­ten und Tech­no­lo­gien mit Ver­schlüs­se­lung regeln — auf Sei­te 4 des zuletzt am 20.06.13 aktua­li­sier­ten Doku­men­tes fin­den Sie unter a.1.a die Regu­lie­rung des Exports von Ver­schlüs­se­lung > 56 Bit.

Inso­fern kann jeder Sicher­heits­ver­ant­wort­li­che in Deutsch­land pro­blem­los erken­nen, dass der Ein­satz ame­ri­ka­ni­scher Tech­no­lo­gie, die Ver­schlüs­se­lungs­funk­tio­nen ent­hält, immer bedeu­tet, dass man kom­pro­mit­tier­te Tech­no­lo­gie ein­setzt. Vor dem Hin­ter­grund unse­res gest­ri­gen Bei­tra­ges Bound­less Infor­mant — Deutsch­land zählt zu den zwölf mei­st­über­wach­ten Län­dern der Welt durch die USA mit der NSA! ver­bie­tet sich der ein­satz ame­ri­ka­ni­scher Pro­duk­te, die Ver­schlüs­se­lungs­tech­no­lo­gien nut­zen, für jeden intel­li­gen­ten Ver­ant­wort­li­chen. Deren Ein­satz ist nicht nur unsi­cher — er ist schlicht ver­ant­wor­tungs­los.

Noch gefähr­li­cher für die Anwen­der von Sicher­heits­tech­no­lo­gien ist aller­dings, dass mitt­ler­wei­le vie­le Markt­teil­neh­mer damit wer­ben, dass sie deut­sche oder euro­päi­sche Unter­neh­men sei­en. Dies ist bewusst irre­füh­rend, denn sehr vie­le die­ser Anbie­ter unter­hal­ten Nie­der­las­sun­gen in den USA und unter­lie­gen damit unein­ge­schränkt ame­ri­ka­ni­schem Recht und ame­ri­ka­ni­schen Beschrän­kun­gen. Dies wird von die­sen Anbie­tern gern ver­schwie­gen, was in man­chen Situa­tio­nen auch die Gren­ze von der Irre­füh­rung zum Betrug über­schrei­ten kann.

Doch es gibt noch rein deut­sche oder rein euro­päi­sche Anbie­ter — selbst für US-Cloud­freie mana­ged Ser­vices. Man muss sie nur suchen.

Wenn Sie ernst­haft an IT-Sicher­heit inter­es­siert sind, machen Sie es wie vie­le ande­re Fir­men und Orga­ni­sa­tio­nen und las­sen sich von uns bera­ten. Denn unab­hän­gi­gen Rat fin­den Sie in Deutsch­land nur noch sehr sel­ten, auch häu­fig nicht in Fach­ma­ga­zi­nen zum The­ma, die in vie­len Fäl­len nur die Musik ihrer Inse­ren­ten spie­len. Unab­hän­gi­gen und her­stel­ler­frei­en IT-Jour­na­lis­mus kön­nen Sie in Deutsch­land mitt­ler­wei­le mit der Lupe suchen. Las­sen Sie auch Ihre Goog­le-Kon­tak­te, Twit­ter-Fol­lower und Face­book-Freun­de die­sen Bei­trag ken­nen­ler­nen und emp­feh­len Sie ihn bit­te wei­ter — wenigs­tens zur Ver­brei­tung von Fak­ten und der Wahr­heit kann man die ame­ri­ka­ni­schen Sys­te­me nut­zen!


Ande­re inter­es­san­te Bei­trä­ge:
Vor­trag Best Prac­ti­ce: How-To für die Ein­füh­rung von MDM
Dies ist nun der zwei­te Vor­trag, den ich auf dem Mobi­le Busi­ness Solu­ti­ons Forum wäh­rend der CeBIT 2013 gehal­ten habe. Wir hat­ten die Vor­trä­ge unmit­tel­bar nach der CeBIT 2013 im Bei­trag Unse­re Vor­träge zu Mobi­lity Stra­te­gie, Mobi­le Device Manage­ment und BYOD auf der CeBIT 2013 zum Do…
Mobi­le Device Manage­ment (MDM) und siche­rer Zugriff auf Doku­men­te mit iCloud? Und was ist bei BYOD-Kon­zep­ten?
Heu­te hat­te ich eine lan­ge Dis­kus­si­on mit einem Con­sul­tant eines gro­ßen IT-Con­sul­ters. Ich glau­be, dass das Gespräch von all­ge­mei­nem Inter­es­se ist. Aus­gangs­punkt war, dass er auf­grund mei­nes Arti­kels über Online-Spei­cher-Diens­te mir erklä­ren woll­te, dass es für Fir­men wich­tig sei, App­les iCloud in d…
Citrix über­nimmt Zen­pri­se — Gart­ners Magic Qua­drant für MDM in Auf­lö­sung
Heu­te gaben Citrix und Zen­pri­se bekannt, dass Citrix Zen­pri­se über­neh­men wird. Was für eine schö­ne Nach­richt für uns als Her­stel­ler von datomo Mobi­le Device Manage­ment! Der Gart­ner Magic Qua­drant, aus unse­rer Sicht sowie­so eine der bedeu­tungs­lo­se­ren Ana­ly­sen in der IT, befin­det sich in kom­plet­ter Au…
datomo Mobi­le Device Manage­ment (MDM) — Neu­ig­kei­ten zur CeBIT 2013
Die CeBIT 2013 steht vor der Tür und wir haben in unser CeBIT-Update von datomo Mobi­le Device Manage­ment eine Fül­le neu­er Fea­tures und Funk­tio­nen gela­den. Für jeden, der uns auf der CeBIT 2013 an unse­rem Stand im Pla­net Resel­ler in Hal­le 15 D71 besucht, haben wir eine Über­ra­schung im Gepäck — neben …
Android in Unter­neh­men — Da hal­ten wir den Deckel drauf, das füh­ren wird nicht ein …
… schall­te es mir heu­te bei einem unse­rer Ham­bur­ger Kun­den ent­ge­gen. Wir waren zu einem Kurz­work­shop zum The­ma App-Stra­te­gie für iOS zusam­men­ge­kom­men und mir saß das ver­sam­mel­te Mobi­li­ty-Know­how die­ses Kun­den gegen­über. Das Unter­neh­men erwei­tert der­zeit eine vie­le Jah­re gut gema­nag­te Black­Ber­ry-Lö…

2 Kommentare

Schreibe einen Kommentar»
  1. […] Blog nach­ge­le­sen wer­den. Start­punkt für wei­tere Infor­ma­tio­nen kann der Bei­trag MDM-​Es­sen­ti­als — Ist Mobi­le Device Manage­ment (MDM) aus den USA sicher? […]

  2. […] > 56 Bit vor­schreibt, das zugrun­de­lie­gende Pro­blem haben wir zuletzt im Bei­trag MDM-​Es­sen­ti­als — Ist Mobi­le Device Manage­ment (MDM) aus den USA sicher? erläu­tert. Hier der auch Black­Berry betref­fende […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.