Tages­the­men zei­gen: Daten­dieb­stahl auf Smart­pho­nes — Ohne Mobi­le Device Manage­ment (MDM) und bei Bring Your Own Device (BYOD) kein Problem!

Vor­ges­tern abend sah ich mir die Tages­the­men im Fern­se­hen an. Dort wur­de ein bemer­kens­wer­ter Bei­trag über den mög­li­chen Daten­dieb­stahl durch Apps auf Smart­pho­nes gebracht, der sehr gut recher­chiert ist und das Pro­blem auch für Lai­en sehr anschau­lich darstellt:

Bes­ser kann man die Pro­ble­ma­tik von Smart­pho­nes und Apps in Kür­ze nicht dar­stel­len, so dass mein Ent­schluss fest­stand, anknüp­fend an die­sen Bei­trag einen Arti­kel zu schrei­ben. Noch bevor ich die­sen geschrie­ben hat­te erreich­te mich fol­gen­de Nach­richt von einem unse­rer Kunden:

Ken­nen Sie den bereits den Bericht der Tages­schau zu dem The­ma? Die­ser Bericht hat hier doch eini­gen die „Rea­li­tät“ näher gebracht. Sicher­lich auch, da der Tages­schau in Sachen Bericht­erstat­tung mehr Ver­trau­en geschenkt wird als irgend­wel­chen Com­pu­ter Zeitschriften.

Ja, das stimmt. Die Glaub­wür­dig­keit der Tages­schau und Tages­the­men ist sehr hoch und es ist gut, dass sich die ARD die­sem The­ma wid­met. Ich sprach heu­te mit einem ande­ren Kun­den, der den Bei­trag auch gese­hen hat­te und abwie­gel­te, Lena sei ja nur eine Schü­le­rin, sei­ne Mit­ar­bei­ter sei­en ja gut trai­niert und ein­ge­wie­sen. Ich sag­te ihm gera­de her­aus, dass ich diver­se sei­ner Mit­ar­bei­ter für weni­ger schlau als Lena hal­te und bot ihm eine Wet­te an, dass ich bei 10 mir per­sön­lich bekann­ten Mit­ar­bei­tern wenigs­tens 5 mit frag­wür­di­ger Soft­ware auf den Smart­pho­nes fin­den wür­de. Das woll­te er dann doch auch nicht … Aber wir reden jetzt nächs­te Woche end­lich über eine Ein­füh­rung von Mobi­le Device Management.

Für Unter­neh­men und Unter­neh­mer hat der Bei­trag gleich zwei Lerneffekte:

  • Schäd­li­che Apps und Soft­ware kann man nur wirk­sam auf Gerä­ten des Unter­neh­mens unter­bin­den, wenn die Gerä­te mit einer Lösung für Mobi­le Device Manage­ment (MDM) sicher gema­na­ged werden.
  • Bring your own Device (BYOD) — die neue Phi­lo­so­phie, die Mit­ar­bei­ter ihre eige­nen Tele­fo­ne für die Fir­ma benut­zen zu las­sen — wird auch für den Lai­en erkenn­bar zum unwäg­ba­ren Risi­ko — selbst wenn die Gerä­te mit einer MDM-Lösung gema­na­ged werden.

Ein­fa­ches Bei­spiel: Ein Mit­ar­bei­ter kommt mit einem ger­oo­te­ten (gehack­ten) Gerät in die Fir­ma, auf dem 1500 Apps instal­liert sind, davon 50 aus dem Dunst­kreis der Mal­wa­re und Spy­wa­re. Gibt’s nicht? Oh, doch! Gibt’s recht oft! Selbst mit einer per­fek­ten MDM-Stra­te­gie kann in einem sol­chen Fall nie­mand sicher­stel­len, dass bestimm­te Apps Mal­wa­re im Netz­werk des Unter­neh­mens plat­zie­ren. Ich beschrei­be an die­ser Stel­le aus gutem Grund nicht die mög­li­chen Sze­na­ri­en. Es gibt in der ein­schlä­gi­gen Sze­ne mitt­ler­wei­le kom­plet­te Kits, die die Kom­pro­mit­tie­rung eines (Unternehmens)-Netzwerkes kin­der­leicht gestal­ten — jeder Laie, der eine Web­sei­te lesen und ver­ste­hen kann, kann sein Gerät so aus- und aufrüsten.

Wer nun glaubt, dass er mit einem nicht gehack­ten Gerät sicher unter­wegs ist, irrt. Das Gegen­teil ist der Fall! Im App Store von Apple gibt es deut­lich mehr Apps, die heim­lich Daten „nach Hau­se” über­tra­gen als im Ange­bot für gehack­te iPho­nes, wel­ches sich Cydia nennt. For­scher der TU Wien (A), vom Insti­tu­te Eure­com Sophia Anto­po­lis (F), der Uni­ver­si­ty of Cali­for­nia, San­ta Bar­ba­ra (USA) und der Nor­the­as­tern Uni­ver­si­ty, Bos­ton (USA) haben 2011 in einer unter ande­rem von der EU unter­stütz­ten Arbeit das Tool PiOS ent­wi­ckelt, das dem Auf­de­cken von Daten­über­tra­gun­gen durch Appli­ka­tio­nen (im Hin­ter­grund) ohne Wis­sen des Anwen­ders dient. Der Titel der Arbeit lautet

PiOS — Detec­ting Pri­va­cy Leaks in iOS Applications

Das Lesen die­ser exzel­len­ten Arbeit kann auch weni­ger tech­nisch Bewan­der­ten hel­fen, die für Android- und iOS-Prgram­mie­rung gel­ten­den Grund­la­gen und Risi­ken bes­ser zu ver­ste­hen und ein­zu­ord­nen. An die­ser Stel­le will ich nur auf den im letz­ten Absatz bezo­ge­nen Sach­ver­halt ein­ge­hen. Die For­scher haben PiOS mit 1407 kos­ten­lo­sen Apps getes­tet — 825 aus Apple’s App Store und 582 aus dem Big Boss Repo­si­to­ry, wel­ches als „App Store” für Cydia vor­ein­ge­stellt ist.

Die Ergeb­nis­se sind erschre­ckend. 21 % der unter­such­ten Anwen­dun­gen aus dem App Store über­tra­gen heim­lich die UDID nach Hau­se (Iden­ti­tät des iPho­nes, die ein­ma­lig ist), aber nur 4 % der über Cydia bezo­ge­nen Apps. 35 der App Store Apps (4 %) über­tra­gen heim­lich die GPS-Daten, bei Cydia war es nur eine (0,2 %). Und das Adress­buch wur­de von 4 App Store Apps und einer Cydia App über­tra­gen. In der Unter­su­chung sind noch vie­le wei­te­re inter­es­san­te und teil­wei­se erschre­cken­de Fak­ten nachzulesen.

Hier­aus nun abzu­lei­ten, dass Jail­b­rea­ken oder Roo­ten gut ist, weil die Soft­ware weni­ger miss­bräuch­lich agiert, die über Cydia erhält­lich ist, ist falsch. Zum einen kann die Unter­su­chung nur ein Schlag­licht wer­fen. Sie ist auf­grund der Stich­pro­ben­grö­ße sta­tis­tisch rele­vant, muss aber nicht zwin­gend reprä­sen­ta­tiv sein. Zum ande­ren gibt es auf Cydia und in den anschließ­ba­ren Repo­si­to­ries sehr vie­le schäd­li­che Pro­gram­me bzw. Apps, mit denen gro­ßer Scha­den ange­rich­tet wer­den kann und die daher — zumin­dest in einem Unter­neh­mens­netz­werk — aus­ge­schlos­sen wer­den müssen.

Eben­so falsch ist aller­dings auch anzu­neh­men, dass die­ses Pro­blem nur mit kos­ten­lo­ser Soft­ware ein­her­geht. Die glei­chen Pro­ble­me bestehen auch mit bezahl­ter Soft­ware, teil­wei­se in noch kras­se­rer Form! Der im Febru­ar 2012 hoch­ge­schäum­te Skan­dal um Path, einer Social App, die — genau genom­men — nie­mand braucht, brach­te auch kos­ten­pflich­ti­ge Apps in Miss­kre­dit. Path über­trug im Hin­ter­grund — heim­lich ohne Zustim­mung des Nut­zers — das Adress­buch. Whats­App, einer der belieb­tes­ten Mes­sen­ger tut dies auch — nur mit Zustim­mung des Anwen­ders, wobei sich vie­le Anwen­der ver­mut­lich nicht über die Kon­se­quen­zen klar sind. Die Zustim­mung, die man so erteilt ist ganz sicher nicht im Sin­ne vie­ler, die man im Adress­buch gelis­tet hat. Durch sol­che Zustim­mun­gen wird es bei­spiels­wei­se mög­lich, dass man auf Platt­for­men wie Face­book kommt, wo ich sämt­li­che Daten gesperrt habe. Trotz­dem erhal­te ich hun­der­te „Freundschafts”-Vorschläge die mitt­ler­wei­le fast alle mir wirk­lich bekannt sind. Logisch, wenn die Leu­te ihr Adress­buch frei­ge­ben, wo auch ich drin stehe!

Was pri­vat schon als sehr frag­wür­dig erscheint, ist für den Unter­neh­mens­ein­satz natür­lich erst Recht ein völ­li­ges „No Go”. Vor die­sem Hin­ter­grund gewin­nen Bedro­hun­gen aus BYOD-Stra­te­gien zusätz­li­ches Gefah­ren­po­ten­ti­al — wie soll ein Unter­neh­men bei den mitt­ler­wei­le über 1 Mil­li­on Apps in App Store und Android Mar­ket über­haupt noch die Ori­en­tie­rung bewah­ren? Restrik­ti­on ist das Gebot der Stun­de. Unser Kun­de frag­te mich daher auch:

Ken­nen Sie „Labors“ die man beauf­tra­gen kann Appli­ka­tio­nen nach deren Kom­mu­ni­ka­ti­ons­ver­hal­ten zu untersuchen?

Ja, ken­nen wir. 🙂 Wir machen so etwas tag­täg­lich. Wir nen­nen dies App­Au­dit. Wobei ich gera­de fest­stel­len muss­te, dass es gar nicht im Bereich „Mobi­li­ty” der Web­sei­te steht. Das wird geändert!


Ande­re inter­es­san­te Beiträge:
MDM Essen­ti­als — Was unter­schei­det Mobi­le Device Manage­ment von Mobi­le Iden­ti­ty Manage­ment?
Die häu­figs­te Fra­ge, die uns auf der it-sa 2012 gestellt wur­de, war, was Mobi­le Iden­ti­ty Manage­ment (MIM) von Mobi­le Device Manage­ment (MDM) unter­schei­det. Die Ant­wort könn­te von Radio Eri­wan kom­men: „Im Prin­zip nichts, aber …” datomo Mobi­le Device Manage­ment (MDM) und datomo Mobi­le Iden­ti­ty Mana…
MDM Essen­ti­als — Mobi­le Device Manage­ment ohne Sup­port geht nicht!
Manch ein Leser wird die Über­schrift die­ses Arti­kels für eine Bin­se hal­ten. Das ist sie aber nicht, ganz im Gegen­teil! Wir waren frü­her immer wie­der erstaunt, wenn Anwen­der einer unse­rer Test­stel­lun­gen begeis­tert waren, wie wir in die Bedie­nung ein­füh­ren und Sup­port geben. Am letz­ten Frei­tag sag­te e…
Neue Updates für das Release 3.17 in datomo MDM mit Ver­bes­se­run­gen für den Android Base Agent und für iOS 8
Die siche­re, deut­sche MDM Lösung datomo Mobi­le Device Manage­ment zeich­net sich durch extrem kur­ze Inno­va­ti­ons­zy­klen aus, die ihres­glei­chen sucht. Im fol­gen­den Bei­trag stel­len wir wei­te­re klei­ne­re Ver­bes­se­run­gen durch die Relea­ses datomo MDM 3.17.1, 3.17.2 und 3.17.3 vor. Release datomo MDM 3.17.1 …
Mobi­le Device Manage­ment (MDM) in siche­rer Aus­füh­rung mit siche­rer Ver­schlüs­se­lung — in den USA sehr gefragt!
Ich bin heu­te den letz­ten Tag in Deutsch­land, mor­gen geht es für 10 Tage in die USA. War­um? Ich wer­de dort unser Geschäft ver­tie­fen, ver­brei­tern und aus­bau­en. Wir haben in den letz­ten Mona­ten gelernt, dass es in den USA einen inter­es­san­ten Markt für euro­päi­sches Mobi­le Device Manage­ment (MDM) gibt. …
Bring Your Own Device (BYOD) — Ein Erleb­nis auf einer Bahn­fahrt mit einem Con­tai­ner
Letz­te Woche im ICE von Ham­burg nach Ber­lin. Am Tisch neben mir ver­zwei­fel­te ein Mit­rei­sen­der erkenn­bar an sei­nem iPad und kur­ze Zeit spä­ter an sei­nem iPho­ne. Er tele­fo­nier­te mit sei­nem Hel­pdesk. Ein­mal, zwei­mal, drei­mal. Er gab immer wie­der sei­ne Zugangs­da­ten ein, woll­te die­se sogar mit dem Helpdes…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.