Sicherheitsprobleme bremsen mobiles Business

Die Mobilkommunikationsbranche boomt, und die kommenden Technologien sollen die Stimmung anheizen. Dem stehen allerdings einige Sicherheitsprobleme gegenüber.

Artikel erschienen in Swiss IT Magazine 2004/10

     

Mobilen Anwendungen werden rosige Zeiten prognostiziert: Als eine der Killer-Applikationen für breitbandige Mobilfunknetze wie UMTS gilt der «Multimedia Messaging Service» (MMS), der als Nachfolger der erfolgreichen SMS Text-, Grafik- und Audioinhalte in einer Kurzmitteilung kombiniert. Damit sollen sich neue Dimensionen in privater, aber auch beruflicher mobiler Kommunikation eröffnen.
Besondere Hoffnung wecken auch die sogenannten «Location-based Services» (LBS). Darunter werden Anwendungen verstanden, die dem Kunden standortbezogene Informationen oder Dienste anbieten.
Die dritte Hoffnungssäule zukünftiger Mobilkommunikation bilden die Mobile Business Solutions (MBS), zu denen das Mobile Marketing mit LBS wie auch Mobile Customer Relationship Management (mCRM) zählen. Einer Studie von Berlecon Research zufolge wird das Marktvolumen dieser Lösungen bis 2005 auf 1,5 Milliarden Euro steigen und bis zum Jahr 2006 allen deutschen Grossunternehmern den mobilen Zugriff auf ihre IT-Systeme ermöglichen.



Diesen euphorischen Erwartungen stehen heute jedoch einige rechtliche, gesellschaftliche und technische Probleme gegenüber. So sind Location-based Services, welche die Informationen an den Kunden ohne direkte Aufforderung liefern, rechtlich nur dann zulässig, wenn dieser seine Einwilligung dazu erteilt hat. Um ortsabhängig einen Dienst anbieten zu können, ist eine kontinuierliche Bestimmung des Aufenthaltsorts eines Kunden notwendig. Lokalisierungstechnologien, welche mit grösserer Genauigkeit arbeiten als zellbasierte Lösungen, wie sie heute für die Mobiltelefonie im Einsatz sind, bilden die Grundvoraussetzung für LBS. Gleichzeitig ermöglichen diese aber auch die Erstellung von Bewegungsprofilen der Kunden, was nicht nur rechtliche Probleme bezüglich des Datenschutzes und des Schutzes der Privatsphäre aufwirft, sondern auch auf Akzeptanzprobleme bei Benutzern stösst.





Die Sicherheitstechnik spielt deshalb eine zentrale Rolle bei der Etablierung, Akzeptanz und damit auch für den wirtschaftlichen Erfolg von mobilen Geschäftsprozessen. Für eine sichere mobile Kommunikation mit Kunden, Geschäftspartnern und dem eigenen Firmennetz ist eine mehrseitig sichere End-zu-End-Kommunikation erforderlich, welche Authentizität, Integrität, Vertraulichkeit, Verbindlichkeit und Verfügbarkeit garantiert. Dies ist keineswegs eine leichte Aufgabe.


Sicherheit der Kommunikationsnetze

Standards für die mobile und drahtlose Kommunikation wie GSM, GPRS, UMTS, Wireless LAN (WLAN) oder Bluetooth weisen heutzutage noch gravierende Sicherheitslücken und damit Angriffspunkte auf. Die Sicherheitsdienste der Mobilfunknetze beziehen sich lediglich auf den Schutz der Daten während ihrer Übertragung über die Luftschnittstelle. Deren Weiterleitung ins Festnetz oder über andere Netze erfolgt demgegenüber ohne jede Absicherung das heisst, dass keine sichere End-to-End-Verbindung zwischen den Kommunikationspartnern aufgebaut wird. Zudem weisen die bei GSM respektive GPRS verwendeten kryptografischen Verfahren und Sicherheitsdienste Schwächen auf, die wiederholt bereits für Angriffe (beispielsweise das Knacken von Schlüsseln, die Veränderung von Daten oder das Unterwandern von Accounting- und Billing-Massnahmen durch Vortäuschen einer falschen Identität) ausgenutzt wurden. Ausserdem muss man sich darüber im Klaren sein, dass die beliebten SMS-Nachrichten ausnahmslos unverschlüsselt über den Äther gehen.




Bei der Konzeption der Sicherheitsarchitektur von UMTS wurden zwar die Sicherheitslücken und -probleme von GSM/GPRS behoben, aber eine End-to-End-Sicherheit wird auch hier nicht geboten, so dass nach wie vor zusätzliche Massnahmen wie der Aufbau einer VPN-Verbindung zur tatsächlichen Absicherung der Daten notwendig sind.
Immer beliebter wird der je nach Anbieter kostenpflichtige oder kostenlose breitbandige Zugang zum Internet über WLAN- Hotspots. Betrachtet man die Sicherheit von WLAN, so muss man feststellen, dass auch hier ohne Zusatzaufwand keine sichere Kommunikation möglich ist.





Die Sicherheit von WLAN basiert auf drei Merkmalen: der Verwendung von Server Set Identifier (SSID), einer MAC-Adressfilterung und dem Wireless-Equivalent-Privacy-Protokoll (WEP). Die SSID, die als gemeinsames Geheimnis nur den berechtigten Netznutzern bekannt sein sollte, wird über die Luft unverschlüsselt übertragen und ist damit mit herkömmlicher, in vielen Geräten standardmässig vorhandener Hardware sowie mit frei verfügbaren Sniffertools äusserst einfach abhörbar. Die MAC-Adressen eines Geräts können ohne grossen Aufwand gefälscht werden, und das WEP-Protokoll weist verschiedene gravierende Sicherheitslücken auf, die es Angreifern ermöglichen, Schlüssel zu knacken, eine vertrauliche Kommunikation zu entschlüsseln, Daten zu manipulieren oder auch sich für jemanden anderen auszugeben. Aufgrund der gravierenden Sicherheitsmängel des WEP-Protokolls wird es in Insiderkreisen auch zynisch als Wireless-Encryption-Placebo bezeichnet. Auch bei der Nutzung von WLAN gilt, dass Endbenutzer ihre Systeme selber mit zusätzlicher Software ausstatten müssen (etwa durch die Nutzung von EAP/TLS), um eine sichere Kommunikation beispielsweise für einen sicheren breitbandigen Zugriff auf Unternehmensdaten zu ermöglichen.




Bluetooth wurde ursprünglich für den Kabelersatz zwischen Geräten mit nur wenigen Metern Distanz entwickelt. Daher wurde bei der Spezifikation der Sicherheitsmerkmale besondere Rücksicht auf Endgeräte mit geringen Ressourcen genommen. Abhängig von Anwendung und vorhandenen Ressourcen stehen in Bluetooth drei Sicherheitsstufen zur Verfügung: keine, niedrige und hohe Sicherheit. Die Sicherheit beruht auf einem gemeinsamen Geheimnis, der PIN. Diese ist vom Benutzer am Gerät einzugeben, wodurch naheliegenderweise aus pragmatischen Gründen in den seltensten Fällen die maximale Länge von 16 Ziffern (wer kann sich schon so lange Passworte merken?) ausgenutzt wird. Geräte ohne Eingabemöglichkeit initialisieren die PIN mit «0000». Da die in den Sicherheitsprotokollen verwendeten kryptografischen Schlüssel von der PIN abgeleitet werden, können diese nur so stark sein wie die verwendete PIN.


Sicherheit mobiler Endgeräte

Mobile Endgeräte wie Mobiltelefone oder PDAs weisen eine Reihe von zum Teil gravierenden Schwachstellen auf. Dass die vielgepriesene Sicherheit von Mobiltelefonen mit Skepsis betrachtet werden muss, wird an den immer wiederkehrenden erfolgreichen Angriffen auf das Sicherheitsmodul SIM (Subscriber Identity Module) deutlich. Geglückte Attacken auf diese Chipkarte ermöglichen das Auslesen der sensitiven Daten, die die Grundlage der eindeutigen Identifizierung des Teilnehmers und der sicheren Kommunikation bei GSM/GPRS bilden.




Im Gegensatz zu Mobiltelefonen, die immerhin einen PIN-basierten Schutz gegen unberechtigten Zugriff auf die Daten auf der SIM-Karte bieten, fehlt es in den aktuell verwendeten PDA-Betriebssystemen häufig noch an einem geeigneten Zugriffsschutz für die gespeicherten Daten, und eine sichere Kommunikation wird gar nicht oder nur unzureichend unterstützt. Um zumindest einen dringend notwendigen Grundschutz zu garantieren, muss sich ein Endanwender noch selber aus der Flut an Zusatzprodukten für die Sicherheit die für ihn geeigneten auswählen, installieren und konfigurieren. Neben der für den normalen Anwender kaum beurteilbaren Qualität der Produkte, besteht ein grosses Problem in der aufwendigen Installation zusätzlicher, miteinander häufig nicht verträglicher Soft- und Hardware.





Bisher nur an einer Hand abzuzählen sind demgegenüber Probleme durch Viren und Würmer für Mobiltelefone und PDAs Beispiele sind Vapor, Palm.Phage.A und Liberty Crack für Palms oder der Timofonica Virus für Handys, doch werden diese mit der Ausweitung der Funktionalität der Geräte man denke hier nur an die Java-fähigen Mobiltelefone sowie der steigenden Kommunikationsbandbreite zunehmend eine Gefahr (beispielsweise durch den Download von E-Mails mit Attachment auch auf mobile Endgeräte).
Wie dieser kurze Einblick in die Sicherheitsproblematik mobiler Systeme zeigt, ist zur Zeit der Endanwender noch selber in der Pflicht, seine mobilen Geräte mit geeigneten Massnahmen abzusichern, um eine sichere mobile End-to-End-Kommunikation zu ermöglichen. Nur so kann aber die Grundlage für den zukünftigen Erfolg von Mobile Business Solutions geschaffen werden.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
GOLD SPONSOREN
SPONSOREN & PARTNER