Mobi­le Device Manage­ment (MDM) von Voda­fone & Tele­kom-Anbie­tern? Bes­ser nicht zeigt der aktu­el­le Datendiebstahl

Voda­fone hat am Don­ners­tag mit­ge­teilt, dass 2 Mil­lio­nen Kun­den­da­ten gestoh­len wur­den und hat dafür eine eige­ne Web­sei­te ein­ge­rich­tet: Voda­fone Deutsch­land Ziel eines Angriffs auf einen sei­ner Ser­ver. Na sowas! Da wer­den die Ser­ver von Voda­fone von bösen Cyber-Kri­mi­nel­len ange­grif­fen! Wer rech­net denn mit so etwas?

Voda­fone ver­sucht auf der o.a. Web­sei­te den Vor­fall zu erklären:

Die­ser Angriff war nur mit hoher kri­mi­nel­ler Ener­gie sowie Insi­der­wis­sen mög­lich und fand tief ver­steckt in der IT-Infra­struk­tur des Unter­neh­mens statt.

Kri­mi­na­li­tät ist immer mit kri­mi­nel­ler Ener­gie ver­bun­den, wie hoch das ein­ge­setz­te Mass hier­bei ist, spielt für die betrof­fe­nen Kun­den über­haupt kei­ne Rol­le. Genau­so­we­nig ist rele­vant ob hier­für Insi­der­wis­sen erfor­der­lich war oder ob der Angriff ‘tief ver­steckt’ erfolg­te. All dies ist für den Kun­den unbe­deu­tend und stellt ledig­lich Nebel­ker­zen von Voda­fone dar.

Der Angriff wur­de von Voda­fone ent­deckt, gestoppt und unver­züg­lich zur Anzei­ge gebracht.

Sofern ein von Voda­fone bestrit­te­nes am Frei­tag auf­ge­tauch­tes Beken­ner­schrei­ben stimmt, wur­de der Angriff nicht von Voda­fone ent­deckt son­dern Voda­fone per Mail mitgeteilt.

Sämt­li­che Zugän­ge, die der Täter genutzt hat­te, wur­den sicher verschlossen.

Sicher ver­schlos­sen? Von Voda­fone? Wie konn­te denn dann bei die­sen Voll­pro­fis der ers­te Angriff erfol­gen? Die nächs­te Nebelkerze:

Von Voda­fone ein­ge­schal­te­te unab­hän­gi­ge Sicher­heits­ex­per­ten bestä­ti­gen: Es ist für den Täter kaum mög­lich, mit den gestoh­le­nen Daten direkt auf die Bank­kon­ten der Betrof­fe­nen zuzugreifen.

Welch Sicher­heit für die Kun­den! Kaum mög­lich! Der Umkehr­schluss bringt die Wahr­heit an den Tag — kaum mög­lich ist nicht ausgeschlossen!

Über sein eige­nes Secu­ri­ty Ope­ra­ti­on Cen­ter wird Voda­fone beson­de­res Augen­merk auf auf­fäl­li­ge Ent­wick­lun­gen im Netz legen und unver­züg­lich ent­spre­chen­de Schrit­te einleiten.

Das klingt ja ein­mal rich­tig gut! Das sind die Pro­fis, die den ers­ten Ein­bruch auch nicht ver­hin­dert haben. Da fühlt man sich gleich viel sicherer!

Die Sicher­heit von Daten hat für Voda­fone höchs­te Priorität.

Aha! Der Dieb­stahl zeigt dum­mer­wei­se das Gegenteil.

Das Unter­neh­men ver­fügt über IT-Sys­te­me, die den höchst­mög­li­chen Stan­dards ent­spre­chen. Die­se wer­den regel­mä­ßig aktua­li­siert und erweitert.

Inter­es­sant! Erfreu­li­cher­wei­se wird nicht mit­ge­teilt mit wel­chen Sicher­heits­stan­dards hier gemes­sen wird. Afgha­ni­stan? Ande­ren­falls wäre es wohl kaum zu die­sem Dieb­stahl gekommen.

Voda­fone unter­nimmt alle not­wen­di­gen Schrit­te, um die Sicher­heit der Sys­te­me wei­ter zu ver­bes­sern und die­se vor zukünf­ti­gen kri­mi­nel­len Atta­cken zu schützen.

Ah ja! Voda­fone fängt nun also mit Sicher­heit an — denn viel war da ja bis­her erkenn­bar nicht. Vor dem Hin­ter­grund lang­jäh­ri­ger Erfah­rung mit Voda­fone gehe ich aller­dings nicht davon aus, dass dies von Erfolg gekrönt sein wird.

Um Miss­ver­ständ­nis­se zu ver­mei­den — die­ses Pro­blem hat nicht nur Voda­fone. Alle Netz­be­trei­ber waren in den letz­ten Jah­ren immer wie­der von gra­vie­ren­den Daten­pan­nen und Daten­schutz­ver­stö­ßen betrof­fen. Weit häu­fi­ger als jeder ande­re Indus­trie­zweig haben die Netz­be­trei­ber bewie­sen, dass sie nicht zuver­läs­sig mit Daten umge­hen können.

Vor die­sem Hin­ter­grund kann es für sämt­li­che IT-Dienst­leis­tun­gen wie Mobi­le Device Manage­ment (MDM) und ande­re Mana­ged Ser­vices und ande­re IT-Dienst­leis­tun­gen des­halb nur eine Emp­feh­lung geben. Nut­zen Sie hier­für nie­mals einen Netz­be­trei­ber. Die Netz­be­trei­ber haben oft genug unter Beweis gestellt, dass sie nicht ver­ant­wor­tungs­voll mit per­so­nen­be­zo­ge­nen Daten umge­hen (kön­nen), der aktu­el­le Vor­fall ist nur ein wei­te­rer Mosa­ik­stein in einem gro­ßen Puzzle.

Wer schon nicht die Daten der eige­nen Kun­den ange­mes­sen schüt­zen kann bie­tet kei­nen Anlass zu der Annah­me, dass er dies mit per­so­nen­be­zo­ge­nen Daten Drit­ter bes­ser beherrscht. Und genau dar­um geht es beim The­ma Mobi­le Device Manage­ment, wenn MDM als Mana­ged Ser­vice erbracht wird — der Dienst­leis­ter hän­delt eine gro­ße Zahl per­so­nen­be­zo­ge­ner Daten des beauf­tra­gen­den Unter­neh­mens in Bezug auf die Mobi­li­ty. Inso­fern gibt es beim The­ma MDM und Dienst­leis­tungs­er­brin­gung in Form von gehos­te­ten Ange­bo­ten und Mana­ged Ser­vices nur einen sinn­vol­len Rat: Beauf­tra­gen Sie Exper­ten — Netz­be­trei­ber sind dies regel­mä­ßig nicht.

Ihre feh­len­de Kom­pe­tenz unter­mau­ern die Netz­be­trei­ber durch zwei wei­te­re Fakten.

Die Qua­li­tät der Net­ze unter­schrei­tet in Deutsch­land mitt­ler­wei­le flä­chen­de­ckend sta­bil die Qua­li­tät aller umlie­gen­den Län­der. Ich bin immer froh, wenn ich in Polen, Tsche­chi­en, Öster­reich oder der Schweiz bin — dort funk­tio­niert Mobil­funk auch nicht per­fekt, aber wesent­lich bes­ser als hier­zu­lan­de. Inso­fern soll­ten die deut­schen Netz­be­trei­ber erst ein­mal Zeit und Gele­gen­heit haben ihre Net­ze in Ord­nung zu brin­gen. Wenn sie dann ver­stan­den haben, wie man qua­li­ta­tiv ein­wand­freie Dienst­leis­tun­gen erbringt, kön­nen sie ja noch ein­mal über ande­re The­men nachdenken.

Der zwei­te Aspekt, der gegen Netz­be­trei­ber spricht, ist deren (angeb­lich unge­woll­te!) tie­fe Ver­stri­ckung in den Data­ga­te-Skan­dal um NSA und GCHQ, von dem Voda­fone noch mehr als alle ande­ren Netz­be­trei­ber betrof­fen ist. Offen­kun­dig ist, dass die Netz­be­trei­ber inten­siv mit den Fein­den der Frei­heit von NSA, GCHQ & Co zusam­men­ar­bei­ten. Ob dies qua Gesetz erzwun­gen wird oder frei­wil­lig erfolgt ist im Kern unbe­deu­tend, die Schluß­fol­ge­rung hier­aus ist das Entscheidende:

Es ver­bie­tet sich Unter­neh­men mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu betrau­en, die offen zuge­ben, dass sie mit Geheim­diens­ten zusam­men­ar­bei­ten (müs­sen). Wir tun das nicht, wer­den das nie tun und wür­den uns, wenn jemals ver­sucht wer­den soll­te uns zu kom­pro­mit­tie­ren, wie Lava­bit ver­hal­ten, die der NSA wider­stan­den haben, mehr hier­zu im Bei­trag NSA zwingt ame­ri­ka­ni­sche Sicher­heits­an­bie­ter zur Geschäfts­auf­ga­be. Des­halb ent­schei­den sich immer mehr sicher­hei­t­ori­en­tier­te Anwen­der für unse­re Ser­vices. Viel­leicht auch bald Sie!


Ande­re inter­es­san­te Beiträge:
datomo Mobi­le Device Manage­ment (MDM) — Jail­b­reak-Erken­nung für evasi0n — iOS 6.0 und 6.1 auf iPho­ne 4S, iPho­ne 5 und allen ande­ren iOS-Gerä…
Wir wer­den immer wie­der gefragt wie eine Jail­b­reak-Erken­nung in einem MDM-Sys­tem aus­sieht. Hier zei­gen wir Ihnen die Jail­b­reak-Erken­nung in datomo Mobi­le Device Manage­ment, die in der­sel­ben Art auch in datomo Mobi­le Iden­ti­ty Manage­ment ent­hal­ten ist. Wir haben die letz­ten bei­den Tage und Näch­te seh…
MDM-Essen­ti­als — Mobi­le Device Manage­ment: Ist alles aus einer Hand der rich­ti­ge Weg?
Regel­mä­ßi­ge Leser(innen) wis­sen, dass vie­le Bei­trä­ge hier im Pre­tio­so Blog aus mei­nem All­tag ent­ste­hen und die­ser Bei­trag ist wie­der ein sol­cher. Heu­te war ich bei einem der gro­ßen deut­schen Mit­tel­ständ­ler mit hohem Mil­li­ar­den­um­satz und habe dort ein initia­les Mobi­li­ty-Con­sul­ting durch­ge­führt. Neben…
Secu­re­View — schon wie­der ein neu­es Fea­ture für unse­re Lösung zum Mobi­le Device Manage­ment (MDM) von datomo
Heu­te haben wir ein wei­te­res mäch­ti­ges Fea­ture für datomo Device Manage­ment, unse­re viel­sei­ti­ge MDM-Lösung frei­ge­ge­ben und dazu auch eine Pres­se­mit­tei­lung ver­öf­fent­licht in unse­rer Pres­se­box. Was bringt dem Anwen­der Secu­re­View? Secu­re­View stellt sicher, dass Doku­men­te auf mobi­len End­ge­rä­ten sicher …
Podi­ums­dis­kus­si­on zu Bring Your Own Device (BYOD) – Fluch oder Segen für die Unter­neh­mens IT?
Auf der CeBIT 2013 wur­den zwei Podi­ums­dis­kus­sio­nen zum The­ma Bring Your Own Device (BYOD) auf dem Mobi­le Busi­ness Solu­ti­ons Forum durch­ge­führt, heu­te zei­gen wir Ihnen die ers­te vom 05. März 2013. Unter der sou­ve­rä­nen Lei­tung von Franz Hasl­beck von der m‑Academy dis­ku­tier­te ich mit Patrick Blit…
datomo Mobi­le Device Manage­ment (MDM) 3.11.3 — Unter­stüt­zung für Android 4.2
Smart­pho­nes und Tablets mit Android gewin­nen von Monat zu Monat mehr Bedeu­tung im Enter­pri­se-Markt, wozu nicht zuletzt die offen­kun­dig bevor­ste­hen­de Zulas­sung von iOS-Gerä­ten durch das ame­ri­ka­ni­sche Ver­tei­di­gungs­mi­nis­te­ri­um bei sicher­heits­ori­en­tier­ten Anwen­dern führt. Denn dies bedeu­tet mit höchster…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.