Mobil, Netzwerk oder Cloud: Plattformsicherheit auf dem Prüfstand

CloudSicherheitSicherheitsmanagement

Kaum ein Unternehmen legt sich heutzutage noch auf eine einzige IT-Plattform fest. Vor diesem Hintergrund interpretiert Sophos-CTO Gerhard Eschelbeck für ITespresso anhand des »Security Threat Reports 2012« seines Unternehmens die Sicherheitsrisiken, die mobile und traditionelle IT-Plattformen sowie die Cloud mit sich bringen.

Windows mag das am häufigsten von Angriffen betroffene Betriebssystem sein. Die beliebtesten Angriffskanäle für Hacks von Windows-Systemen waren im vergangenen Jahr jedoch PDF und Flash. Trotz regelmäßiger Microsoft-Updates zum Schließen von Schwachstellen im Windows-Betriebssystem bleiben Systeme zur Inhaltsübermittlung daher die größten Schwachpunkte eines jeden Betriebssystems.

Leider hinken Software-Unternehmen Cyberkriminellen nicht selten hinterher, wenn es darum geht, Zero-Day-Attacken auf bisher noch unbekannte Schwachstellen zu vereiteln. Sicherheitsexperten haben Softwareentwickler und -Anbieter deshalb immer wieder dazu aufgefordert, den Sicherheitsaspekt in ihren Entwicklungslebenszyklus zu integrieren. Zum Beispiel sollten Scans auf häufige Codefehler im Frühstadium der Entwicklung stattfinden, anstatt Prüfungen auf potenzielle Sicherheitsprobleme erst kurz vor der Markteinführung vorzunehmen. Leider ist der überwiegende Anteil aller Sicherheitsanfälligkeiten in Internet-Anwendungen jedoch immer noch auf grundlegende Schwachstellen wie SQL-Injection und Cross-Site Scripting zurückzuführen.

Sicherheit für mobile Betriebssysteme

Eine Aussage darüber zu treffen, welches mobile Betriebssystem das sicherste ist, ist schwierig. Alle haben Vorteile gegenüber dem stationären PC, verfügen jedoch gleichzeitig über eigene Anfälligkeiten.

Der Blackberry von Research In Motion (RIM) ist aufgrund seiner im Vergleich zu anderen Herstellern umfangreichen Sicherheitseigenschaften in vielen Unternehmen nach wie vor das Smartphone der Wahl. RIM kontrolliert sämtliche Software und Updates von zentraler Stelle und verfügt über einen äußerst strengen Prozess zur Qualitätssicherung. Apple bedient sich ähnlicher Sicherheitsprotokolle. Beispielsweise wird das iOS-Betriebssystem für iPhones, iPods und iPads von zentraler Stelle aktualisiert, für die Herstellung von iPhones gelten engmaschige Kontrollen.

Zudem prüft Apple Apps in seinem Online-Store auf Grundlage äußerst strenger Richtlinien. Doch auch im Apple App Store tauchten bereits Schad-Apps auf und warfen die Frage auf, ob Apples Prozess zur Sicherheitsprüfung wirklich so gut funktioniert, wie behauptet wird. Außerdem zeigen auch eine ganze Reihe von Kennwort-/Verschlüsselungsangriffen, dass Apples Sicherheitssystem nicht lückenlos ist.

Google Android ist das beliebteste mobile Betriebssystem, Tendenz steigend. Mit diesem Tempo kann die Sicherheit nicht mithalten. Der Schutz von Android-Mobilgeräten gestaltet sich aufgrund des offenen Plattform-Charakters sowie der Verfügbarkeit alternativer App-Märkte relativ schwierig. Als Folge hat sich Android zum beliebtesten Ziel für Malware-Angriffe entwickelt und Symbian von Platz 1 verdrängt.

Microsoft Windows Phone 7.5 ist etwas sicherer als Android. Microsoft provozierte Google jüngst mit einer Kampagne auf Twitter, die Android-User dazu ermutigte, ihre Erfahrungen mit schädlichen Apps unter dem Hashtag Droidrage zu twittern. Allerdings hat auch Microsoft keine mit RIM oder Apple vergleichbare Einsicht in die Sicherheit. Zwar kontrolliert Microsoft die Distribution von Updates für seine Plattform. Windows Phones werden jedoch von mehreren Herstellern produziert und von zahlreichen Netzwerkbetreibern angeboten, wodurch das Risiko für Sicherheitsanfälligkeiten steigt.

Unsicherheit in der Wolke

Einige in den Medien verschiedentlich aufbereitete Vorfälle des letzten Jahres bewiesen, dass auch eine Speicherung von Daten in der Cloud sicherheits- und compliancetechnische Tücken haben kann. Für zusätzliche Unsicherheit sorgt die Tatsache, dass Unternehmen und Privatpersonen befürchten müssen, dass auf ihre Cloud-Daten im Rahmen des so genannten US-Gesetzes »Patriot Act« zugegriffen wird. Dieses Gesetz erlaubt US-Behörden ein Abfangen und Prüfen von Daten, die von einem Unternehmen mit Sitz in den USA vorgehalten, gespeichert oder verarbeitet werden.

Microsoft gestand im Juni 2011 ein, im Zweifelsfall zur Herausgabe von Daten an US-Behörden verpflichtet zu sein, ohne seine Kunden über diesen Vorgang zu unterrichten – selbst, wenn die betroffenen Daten in der Europäischen Union gespeichert würden. Dieser Vorfall veranlasste viele europäische Unternehmen und Gesetzgeber dazu, ihre Bedenken gegenüber dem US-Patriot Act zu äußern, der im krassen Gegensatz zur Datenschutzrichtlinie der Europäischen Union aus dem Jahr 1995 steht, welche eine Benachrichtigung von Kunden nach Weitergabe ihrer persönlichen Daten vorschreibt.
Das Ziel: Komplettschutz
Die plattformspezifischen Sicherheitsprobleme schreien für Unternehmen förmlich danach, aktuelle, meist separat angelegte Sicherheitsmaßnahmen zugunsten einer »Complete Security«-Strategie zu überdenken. Letztere sollte leicht anzuwenden sein und aus einem umfassenden Sicherheitskonzept bestehen, das genau dort für Schutz sorgt, wo dieser benötigt wird: auf Computern, Laptops, virtuellen Desktops und Servern, mobilen Geräten, auf Netzwerkebene oder am Internet- und E-Mail-Gateway. Klingt simpel, ist jedoch in den wenigsten Unternehmen bislang Realität.