MDM Essen­ti­als — Siche­res Mobi­le Device Manage­ment vor dem Hin­ter­grund des Patri­ot Act

Ich habe schon in meh­re­ren Bei­trä­gen die­ses The­ma behan­delt, unter ande­rem auch im Bei­trag Mobi­le Device Manage­ment (MDM) – Sicher­heit kann nur aus Euro­pa kom­men. Erfreu­li­cher­wei­se wird die­ses The­ma in den letz­ten Wochen ver­mehrt dis­ku­tiert, bei­spiels­wei­se in dem guten Bei­trag Ärger um den Patri­ot Act auf com​pu​ter​wo​che​.de von Joa­chim Hack­mann. Auch diver­se Anfra­gen von Lesern des Blogs ver­an­las­sen mich die­ses The­ma noch ein­mal als MDM-Essen­ti­al zu ver­tie­fen, denn hier­bei han­delt es sich wirk­lich um ein sehr grund­sätz­li­ches The­ma, bei dem sehr vie­le fal­sche Infor­ma­tio­nen gezielt ver­brei­tet wer­den.

Zur Ein­lei­tung für die­je­ni­gen, die nicht wis­sen, was der Patri­ot Act ist, habe ich den ent­spre­chen­den Arti­kel auf Wiki­pe­dia ver­linkt. Kurz gesagt: Der Patri­ot Act wur­de unter dem Schock des 11. Sep­tem­ber 2001 durch den Kon­gress geprü­gelt und hat sich zu einer brei­ten Samm­lung von Geset­zen und Ver­ord­nun­gen ent­wi­ckelt. Nie zuvor hat es in den USA eine der­ar­tig weit­ge­hen­de und tief­grei­fen­de Aus­he­be­lung der Bür­ger­rech­te gege­ben. Der Patri­ot Act hat die Bür­ger­rech­te in den USA in vie­len Berei­chen auf den in einer Bana­nen­re­pu­blik übli­chen Level redu­ziert, inso­fern ist der ame­ri­ka­ni­sche Impe­tus der Welt Demo­kra­tie erklä­ren zu wol­len spä­tes­tens mit dem Patri­ot Act obso­let gewor­den. Unter­stützt wur­de die­se Ent­wick­lung will­fäh­rig von deut­schen und euro­päi­schen Poli­ti­kern, besi­pi­els­wei­se im Zuge der Flug­gast­da­ten­über­mitt­lung.

Der Wiki­pe­dia-Arti­kel weist auf einen für die IT beson­ders gra­vie­ren­den Sach­ver­halt hin:

Die Erfor­der­nis, Rich­ter bei Tele­fon- oder Inter­net­über­wa­chung als Kon­troll­in­stanz ein­zu­set­zen, wur­de weit­ge­hend auf­ge­ho­ben, dadurch wer­den die Abhör­rech­te des FBI deut­lich erwei­tert. Der zustän­di­ge Rich­ter muss zwar von einer Über­wa­chung infor­miert wer­den, die­ser ist jedoch ver­pflich­tet, die ent­spre­chen­de Abhör­ak­ti­on zu geneh­mi­gen. Tele­fon­ge­sell­schaf­ten und Inter­net­pro­vi­der müs­sen ihre Daten offen­le­gen.

Glei­ches gilt für mit Bezug auf die Patri­ot-Act-Gesetz­ge­bung ange­ord­ne­te Über­wa­chun­gen, die nicht nur mit tech­ni­schen Mit­teln durch­ge­führt wer­den kön­nen. Wenn die CIA oder das FBI zur Auf­fas­sung gelan­gen, dass sie Infor­ma­tio­nen über eine Per­son oder ein Unter­neh­men in Deutsch­land oder Euro­pa benö­ti­gen, muss jede Per­son oder Fir­ma im Ein­fluss­be­reich ame­ri­ka­ni­schen Rechts unein­ge­schränkt mit­wir­ken und unter­liegt bezüg­lich die­ser Mit­wir­kung der strik­ten Geheim­hal­tung. Micro­soft hat die­sen Sach­ver­halt erfreu­lich klar und deut­lich bei der Ein­füh­rung von Office 365 zuge­ge­ben:

Fra­ge an Gor­don Fra­zer, Geschäfts­füh­rer Micro­soft UK:

Can Micro­soft gua­ran­tee that EU-stored data, held in EU based dat­a­cen­ters, will not lea­ve the European Eco­no­mic Area under any cir­cum­s­tan­ces — even under a request by the Patri­ot Act?” …

Micro­soft can­not pro­vi­de tho­se gua­ran­tees. Neit­her can any other com­pa­ny.” …

Any data which is housed, stored or pro­ces­sed by a com­pa­ny, which is a U.S. based com­pa­ny or is whol­ly owned by a U.S. parent com­pa­ny, is vul­nera­ble to inter­cep­ti­on and inspec­tion by U.S. aut­ho­ri­ties.

Über­setzt heisst dies:

Kann Micro­soft garan­tie­ren, dass in Euro­pa gespei­cher­te Daten, die in euro­päi­schen Rechen­zen­tren vor­ge­hal­ten wer­den, den Ein­fluss­be­reich der EU unter kei­ner­lei Umstän­den ver­las­sen — selbst im Fal­le einer auf dem Patri­ot Act basie­ren­den Anfor­de­rung?”

Micro­soft kann die­se Garan­tie genau­so wenig wie jede ande­re Fir­ma geben.”

Sämt­li­che Daten, die von einer in Ame­ri­ka ange­sie­del­ten!!! Fir­ma oder einer Toch­ter­fir­ma einer ame­ri­ka­ni­schen Fir­ma bereit­ge­stellt (housed), gespei­chert (stored) oder ver­ar­bei­tet (pro­ces­sed) wer­den, sind durch Abhö­ren und Unter­su­chung durch ame­ri­ka­ni­sche Behör­den gefähr­det.

Dies bedeu­tet ganz expli­zit, dass auch deut­sche und /​oder euro­päi­sche Fir­men, die Töch­ter und /​oder Nie­der­las­sun­gen in den USA unter­hal­ten, unein­ge­schränkt dem Patri­ot Act unter­lie­gen! Inso­fern sind die Aus­füh­run­gen zur „Deut­schen Cloud” im o.a. Arti­kel von com​pu​ter​wo​che​.de nichts als unse­riö­ses Mar­ke­ting. Kei­ner der gro­ßen inter­na­tio­na­len Anbie­ter — von IBM bis Tele­kom — kann ein Ange­bot unter­brei­ten, dass qua­si „USA-frei” ist. Spe­zi­ell das Ange­bot von T‑Systems wirkt auf mich — wie das meis­te von der Tele­kom — wenig seri­ös. T‑Systems wirbt in den USA rie­sen­groß mit Cloud 7.0 und die Aus­sa­ge von Rein­hard Cle­mens, CEO von T‑Systems:

Wir agie­ren im euro­päi­schen Rechts­raum, und die US-Behör­den kön­nen nicht ein­fach auf Daten unse­rer Kun­den zugrei­fen.”

ist — freund­lich for­mu­liert — natür­lich nur eines: Falsch. Die US-Behör­den kön­nen über T‑Systems USA auf alle Daten zugrei­fen, die für T‑Systems USA zugäng­lich sind. Das ist Fakt. Dar­über hin­aus muss man bei der Tele­kom noch dar­auf hin­wei­sen, dass die­se Fir­ma tie­fer als vie­le ande­re Unter­neh­men in den USA ein­ge­bun­den ist durch ihren Besitz des viert­größ­ten Car­ri­ers, T‑Mobile USA. Um Miss­ver­ständ­nis­se zu ver­mei­den: Die Tele­kom ist hier nicht die Aus­nah­me son­dern bestä­tigt die Regel — es gibt ver­mut­lich kei­ne gro­ße Fir­ma, die nicht in irgend­ei­ner Wei­se dem Patri­ot Act unter­wor­fen ist.

Kar­di­nal­feh­ler der Dis­kus­si­on zum Patri­ot Act ist, dass das The­ma auf den Cloud-Bereich ver­engt wird. Rich­tig ist, dass die­ser Bereich am augen­fäl­ligs­ten vom Patri­ot Act betrof­fen ist, weil es für ame­ri­ka­ni­sche Behör­den bei Cloud Lösun­gen aus­ge­spro­chen ein­fach ist, Daten aus­zu­spä­hen. Die win­del­wei­che Stel­lung­nah­me von Bit­kom im Com­pu­ter­wo­che-Arti­kel hilft auch, das The­ma wei­ter nur auf den Sach­ver­halt „Cloud” ein­zu­en­gen.

In Bezug auf Mobi­le Device Manage­ment greift die­ser Ansatz aber viel zu kurz. Natür­lich kann man bei sin­gu­lä­rer Betrach­tung des The­mas „Cloud” schon ein­mal fast alle MDM-Ange­bo­te in der Cloud von der Lis­te siche­rer Ange­bo­te strei­chen. Das Pro­blem liegt aber viel tie­fer. Im Bei­trag Mobi­le Device Manage­ment (MDM) – Sicher­heit und Ver­schlüs­se­lung habe ich das eigent­li­che Pro­blem erläu­tert:

Der Export von Ver­schlüs­se­lung grö­ßer 56-bit ist trotz die­ser Libe­ra­li­sie­rung wei­ter geneh­mi­gungs­pflich­tig. Zustän­di­ge für der­ar­ti­ge Export-Geneh­mi­gun­gen ist das US-Han­dels­mi­nis­te­ri­um, die feder­füh­ren­de Insti­tu­ti­on im Hin­ter­grund ist aber die Natio­nal Secu­ri­ty Agen­cy (NSA). Die­se hat in ers­ter Linie die Auf­ga­be, Nach­rich­ten abzu­hö­ren, die für die Sicher­heit der USA bedeu­tend sind. Pro­duk­te mit star­ker Ver­schlüs­se­lung (> 56 bit) erhal­ten zwar eine Export­ge­neh­mi­gung, aller­dings erst nach dem “Tech­ni­cal Review” durch das US-Han­dels­mi­nis­te­ri­um. Die Ver­mu­tung liegt nahe, dass der “Tech­ni­cal Review” nur dazu dient, das Vor­han­den­sein geeig­ne­ter Key-Reco­very-Mecha­nis­men (Anmer­kung: dies bedeu­tet Ent­schlüs­se­lungs­tech­no­lo­gi­en)zu über­prü­fen.

Im Klar­text bedeu­tet dies, dass Soft­ware aus den USA, die mit Ver­schlüs­se­lungs­tech­no­lo­gi­en arbei­tet — und MDM tut dies ganz beson­ders — kei­ne siche­re Ver­schlüs­se­lung bie­ten kann. Des­halb ist eine sol­che Lösung weder gut noch schlecht — es ist schlicht ein Fak­tum, wel­ches man ken­nen muss. Die­ses Fak­tum gilt auch für euro­päi­sche Anbie­ter, die in den USA mit eige­nen Struk­tu­ren tätig sind — unein­ge­schränkt. Deren ame­ri­ka­ni­sche Fir­men /​Nie­der­las­sun­gen sind unein­ge­schränkt zur Zusam­men­ar­beit ver­pflich­tet und fal­len auto­ma­tisch unter die ame­ri­ka­ni­sche Inter­pre­ta­ti­on von Export, wenn ihr Sys­tem von einem ame­ri­ka­ni­schen Kun­den ein­ge­setzt wird und des­sen Anwen­der das Land mit der instal­lier­ten Lösung ver­las­sen, was bei mobi­len End­ge­rä­ten als Regel­fall anzu­neh­men ist.

Ein ande­res Pro­blem wird in die­sem Zusam­men­hang eben­falls noch viel zu sel­ten erwähnt. Bei allen ame­ri­ka­ni­schen Anbie­tern von MDM-Sys­te­men ist der Second- und /​oder Third-Level Sup­port regel­mä­ßig in den USA ange­sie­delt. Dies bedeu­tet, dass man im Sup­port­fall einem Sup­por­ter aus den USA und /​oder aus der Infra­struk­tur eines ame­ri­ka­ni­schen Unter­neh­mens Zugang auf das MDM-Sys­tem und ggf. wei­te­re Sys­te­me in der Unter­neh­mensin­fra­struk­tur geben muss. Vor die­sem Hin­ter­grund muss man beach­ten, dass es im Fal­le einer Patri­ot-Act-Ermitt­lung für ame­ri­ka­ni­sche Behör­den sehr ein­fach ist, sämt­li­che Arbeits­plät­ze der Mit­ar­bei­ter eines Unter­neh­mens zu über­wa­chen — lücken­los und unun­ter­bro­chen.

Wir wis­sen nicht, ob nicht vor­sorg­lich ame­ri­ka­ni­sche MDM-Anbie­ter lücken­los über­wacht wer­den — der Daten­fun­dus, der über sie zugäng­lich wird, legt aller­dings die­se Ver­mu­tung nahe. Mein Gespräch mit Rick Segal, dem CEO von Fix­mo, das ich im Bei­trag Mobi­le Device Manage­ment (MDM) – Sicher­heit und Ver­schlüs­se­lung the­ma­ti­siert habe, lässt mich dies ver­mu­ten, da er es andeu­te­te — die Über­wa­chung durch die NSA wird in den USA von nicht weni­gen als nor­mal und selbst­ver­ständ­lich, teil­wei­se sogar als gut ange­se­hen. Man darf auch nie ver­ges­sen, dass Spio­na­ge eine zen­tra­le Auf­ga­be der ame­ri­ka­ni­schen Geheim­diens­te ist, die vom Patri­ot Act mas­siv begüns­tigt wer­den.

Ob vor die­sem Hin­ter­grund die Anwen­dung eines MDM-Sys­tems eines ame­ri­ka­ni­schen Anbie­ters oder eines Anbie­ters mit eige­nen Akti­vi­tä­ten in den USA dem eige­nen Sicher­heits­be­dürf­nis ent­spricht, muss jeder Anwen­der für sich selbst ent­schei­den. Ich mei­ne, dass die­se Sys­te­me für jeden, der Wert auf Daten­schutz legt, kom­plett aus­schei­den. Wenn Sie wei­te­re Fra­gen zu die­sem The­ma haben, zögern Sie bit­te nicht uns anzu­spre­chen — wir haben die Ant­wort. Garan­tiert!


Ande­re inter­es­san­te Bei­trä­ge:
datomo Mobi­le Device Manage­ment— App­Che­cker vom TÜV TRUST IT welt­weit erst­ma­lig in ein MDM-Sys­tem inte­griert
datomo Mobi­le Device Manage­ment bie­tet TÜV-garan­tier­te Sicher­heit und Daten­schutz mobi­ler Appli­ka­tio­nen und ein­zig­ar­ti­ges, siche­res App Manage­ment auf mobi­len End­ge­rä­ten mit datomo MDM Seit unse­rer ers­ten Mel­dung über die Inte­gra­ti­on des App­Che­ckers in datomo Mobi­le Device Manage­ment haben wir viel…
Mobi­le Device Manage­ment – Über­sicht über unse­re aktu­el­len White­pa­per und Han­douts zum The­ma MDM
Bei Pre­tio­so haben wir den Fokus, unse­re White­pa­per und Pro­dukt­in­for­ma­tio­nen zum The­ma datomo Mobi­le Device Manage­ment lau­fend zu aktua­li­sie­ren. Weil wir nah am Markt sind, unse­re Lösung sich durch extrem kur­ze Inno­va­ti­ons­zy­klen aus­zeich­net und wir nicht nur mit unse­rer MDM-Lösung son­dern auch mit d…
Mobi­le Device Manage­ment (MDM) in siche­rer Aus­füh­rung mit siche­rer Ver­schlüs­se­lung — in den USA sehr gefragt!
Ich bin heu­te den letz­ten Tag in Deutsch­land, mor­gen geht es für 10 Tage in die USA. War­um? Ich wer­de dort unser Geschäft ver­tie­fen, ver­brei­tern und aus­bau­en. Wir haben in den letz­ten Mona­ten gelernt, dass es in den USA einen inter­es­san­ten Markt für euro­päi­sches Mobi­le Device Manage­ment (MDM) gibt. …
datomo Mobi­le Device Manage­ment (MDM) 3.14.1 mit Web­root Secu­re Brow­ser
Vor 3 Tagen haben wir erst das neue Major Release 3.14 von datomo Mobi­le Device Manage­ment ver­öf­fent­licht und schon kommt die nächs­te Ver­si­on von datomo MDM, die neue Ver­si­on 3.14.1. Dies ist bereits das sieb­te Update im Jahr 2014, was bedeu­tet, dass wir im Schnitt alle 12 Tage ein Update ver­öf­fent…
datomo MDM — neu­es Major Release 3.24 mit vie­len neu­en Sicher­heits­funk­tio­nen für alle mobi­len Platt­for­men
Wir haben das neue Major Release datomo MDM 3.24 ver­öf­fent­licht. Und wie immer bringt es zahl­rei­che Neue­run­gen, die­se betref­fen vor allem tie­fer­ge­hen­de Sicher­heits­funk­tio­nen und wei­te­re Opti­mie­run­gen für alle mobi­len Platt­for­men: Sper­ren oder erlau­ben Sie zum Bei­spiel gezielt Anwen­dun­gen auf iOS …

4 Kommentare

Schreibe einen Kommentar»
  1. […] geneh­mi­gen las­sen. Wer mehr hier­zu wis­sen möch­te, kann den Bei­trag MDM Essen­ti­als — Siche­res Mobi­le Device Manage­ment vor dem Hin­ter­grund des Patri­ot Act als Start­punkt […]

  2. […] vor über einem Jahr haben wir auf die­ses Pro­blem im Bei­trag MDM Essen­ti­als — Siche­res Mobi­le Device Manage­ment vor dem Hin­ter­grund des Patri­ot Act…hin­ge­wie­sen. Im Bei­trag Mobi­le Device Manage­ment (MDM) — Sicher­heit und […]

  3. […] vor über einem Jahr haben wir auf die­ses Pro­blem im Bei­trag MDM Essen­ti­als — Siche­res Mobi­le Device Manage­ment vor dem Hin­ter­grund des Patri­ot Act…hin­ge­wie­sen. Im Bei­trag Mobi­le Device Manage­ment (MDM) — Sicher­heit und […]

  4. […] Auf­fäl­lig ist, dass sich Gart­ner in sei­nen MDM-Unter­su­chun­gen nie­mals mit den impli­zi­ten Sicher­heits­ri­si­ken ame­ri­ka­ni­scher Ange­bo­te vor dem Hin­ter­grund des Patri­ot Act aus­ein­an­der­setzt. Ver­mut­lich kann man das von einem ame­ri­ka­ni­schen Unter­neh­men auch nicht erwar­ten, es rela­ti­viert aber den Wert der “Unter­su­chun­gen” bis zur Bedeu­tungs­lo­sig­keit. Denn wenn Gart­ner die­sen Aspekt mit beleuch­ten wür­de, wür­de kei­ne ame­ri­ka­ni­sche Lösung die Auf­nah­me ins Panel der Unter­su­chung schaf­fen. Mehr zum The­ma Patri­ot Act fin­den Sie in die­sem Bei­trag. […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.