„Für BYOD würde ich auf iOS-Geräte setzen“

Chester Wisniewski ist Senior Security Advisor beim Schutzsoftware-Hersteller Sophos. Er verfasst regelmäßig Artikel für den preisgekrönten Naked Security Blog und produziert den wöchentlichen Podcast Sophos Security Chet Chat. Im Interview mit com! professional geht es um akute Sicherheitsprobleme beim Einsatz mobiler Geräte sowie bei Linux als Server-Betriebssystem.

com! professional: Worin unterscheiden sich iOS und Android bei Datenschutz und Sicherheit?

Chester Wisniewski: Wenn man sich die Details anschaut, nicht sehr stark. Apple beispielsweise verschlüsselt standardmäßig. Das ist hilfreich, aber das Betriebssystem bootet auf dem Gerät ohne Passwort des Nutzers. Das eröffnet eine kleine Lücke für Spionage, die vom Staat ausgeht. Bei Android dagegen wird nicht standardmäßig verschlüsselt, sondern Betriebssystem und Daten werden nur dann chiffriert, wenn die Funktion auch aktiviert ist. Weil es keinen Schlüssel gibt, hat ein Angreifer auch keine Möglichkeit, sich den Schlüssel für das Betriebssystem zu beschaffen und das Betriebssystem zu manipulieren. Aus praktischer Sicht würde ich beide Betriebssysteme als gleichwertig ansehen.

com! professional: Zu welchem Betriebssystem für Bring Your Own Device (BYOD) sollten Unternehmen ihren Mitarbeitern raten?

Wisniewski: Das ist eine schwierige Frage, aber ich denke, ich würde Telefone wählen, die auf iOS basieren. In einer BYOD-Umgebung ist es nämlich nicht einfach, den Sicherheitslevel von Android-Geräten zu beurteilen. In einer Choose-Your-Own-Device-Umgebung (CYOD) dagegen ist Android sehr attraktiv, da man dabei Geräte auswählen kann, die man kennt und unterstützen kann. So lässt sich eine deutliche Kostenersparnis erzielen.

com! professional: Und wie sehen Sie die übrigen mobilen Betriebssysteme?

Wisniewski: Windows-Telefone bieten ohne MDM/EMM-Lösungen überhaupt keine Verschlüsselung. Ich würde nicht empfehlen, ein Windows-Telefon ohne Managementplattform zur Absicherung des Geräts zu nutzen.

com! professional: Wie beurteilen Sie die Sicherheit von Wearables?

Wisniewski: Das ist ein Bereich, den wir bei Sophos künftig genauer unter die Lupe nehmen wollen. Viele dieser Geräte verwenden Bluetooth LE und einen äußerst unsicheren Pairing-Modus, zum Beispiel Fitbit. Bei anderen Geräten hingegen, etwa der Motorola Moto 360 oder der Apple iWatch, wird die Sicherheit etwas ernster genommen.

com! professional: Bedeutet mehr Sicherheit denn automatisch eine geringere Akkulaufzeit?

Wisniewski: Nein, aber weniger Komfort beim Einrichten der Geräte. Verschlüsselung verbraucht mittlerweile so wenig Energie, dass Stromverbrauch nicht mehr als Argument für die Nichtnutzung solcher Mechanismen akzeptiert werden kann. Bei Herzschrittmachern oder Insulinpumpen vielleicht, nicht aber bei Smartwatches oder Fitnessarmbändern.

com! professional: Welche unternehmensrelevanten Daten und Prozesse sollten denn verschlüsselt werden?

Wisniewski: Ohne Frage alles, was geschützt werden kann. Verschlüsselung mit Authentifizierung gelingt dann, wenn die Public-Key-Infrastruktur (PKI) nicht nur Schutz vor Überwachung, sondern auch vor Integritäts- und Authentizitätsverletzungen bietet. Da immer mehr Daten über mobile Geräte und in der Cloud verteilt sind, müssen alle Informationen als sensibel eingestuft werden und einen Mindestschutz vor Manipulationen haben.

com! professional: Sollten wir lernen, im Internet mehr zu lügen?

Wisniewski: Ja, denn wenn man nicht rechtlich verpflichtet ist, die Wahrheit zu sagen, kann eine „kleine Notlüge“ helfen, den Schutz seiner Privatsphäre aufrechtzuerhalten.

com! professional: Warum lohnt es sich inzwischen für Cyberkriminelle, auch Linux anzugreifen?

Wisniewski: Linux wird hauptsächlich als Server-Betriebssystem genutzt. Es ist deshalb hinsichtlich Leistung oder Bandbreite stets verfügbar und wird oft in Verbindung mit hochleistungsfähiger Hardware eingesetzt. Zudem sind Linux-Server nicht zureichend geschützt. Sie nutzen meist keine Antiviren-Lösung oder nur unsachgemäß konfigurierte Firewalls und können über einen längeren Zeitraum angegriffen werden, bevor sich überhaupt feststellen lässt, dass sie kompromittiert wurden.

com! professional: Welche Auswirkungen hat das für die Firmen?

Wisniewski: Kompromittierte Linux-Server werden meist auf zwei Wegen missbraucht. Einerseits um bösartige Webseiten zu verteilen oder zu hosten und so Mac-, Windows- und Android-Nutzer zu infizieren. Zum anderen als Angriffsplattform für fortgeschrittene Attacken etwa mit Trojanern. Sie befinden sich dann im Netzwerk, haben alle möglichen Angriffs-Tools installiert und werden als vertrauenswürdig eingestuft. Sie stellen somit eine gute Plattform dar, um kompromittierte Netzwerke zu untersuchen und weiter zu durchdringen.