D/EU: Ein verlorenes Smartphone als Einfallstor ins Unternehmen
Rubrik: NachrichtenF. Fiesel - 2B Advice GmbH - the privacy benchmark
Es ist inzwischen allgemein bekannt, dass Smartphones wie zum Beispiel das iPhone zusätzlich zur Tastensperre mit einem Entsperrcode zu sichern sind, damit bei einem Verlust des Gerätes keine Daten von Unbefugten eingesehen werden können. Forscher des Fraunhofer-Institut für Sichere Informationstechnologie (SIT) haben nachgewiesen (siehe Link), dass dieser Entsperrcode im Falle des iPhones keine 100%ige Sicherheit bietet, da über einfache Modifikationen mit frei verfügbaren Programmen aus dem Internet zumindest einige Passwörter ausgelesen werden können, die nicht bzw. unzureichend verschlüsselt auf dem iPhone abgelegt sind.
Da nicht alle Passwörter ausgelesen werden können, erscheint die Sicherheitsbedrohung durch diese Meldung zunächst recht gering. Viele Anwender verwenden jedoch dasselbe Passwort für mehrere Dienste, wie zum Beispiel E-Mail Accounts oder Social Networks, so dass auch nur ein ausgelesenes Passwort bereits zu einer Kompromittierung mehrerer Accounts eines Benutzers führen kann.
Die Forscher beschreiben in ihrem Whitepaper, dass Passwörter für VPN-Zugänge aus dem iPhone ausgelesen werden können. Ein Problem, welches hierdurch auftreten könnte wird durch das sogenannte Single-SignOn ermöglicht. Oftmals wird für den VPN-Zugang eine bereits vorhandene Single-SignOn Lösung verwendet. Das Auslesen der VPN-Zugangsdaten erlaubt dann möglicherweise nicht nur den VPN-Zugang zum Firmennetzwerk, sondern ermöglicht zusätzlich, dass auf Firmenressourcen zugegriffen werden kann.
Das Problem besteht nicht nur für iPhones. Auch für alle anderen Smartphones sind ähnliche Maßnahmen denkbar. Zum aktuellen Zeitpunkt existiert kein Update, welches dafür sorgt, dass alle Passwörter bei Sperre des iPhones verschlüsselt werden.
Bei Verlust eines Smartphones sollten daher organisatorische Maßnahmen greifen, die einen möglichen Schaden reduzieren. Zunächst sollten alle Zugänge, welche auf dem Gerät gespeichert sind mit einem neuen Passwort versehen werden. Auch Dienste, die nicht im Smartphone gespeichert sind, aber über ein im Smartphone gespeichertes Passwort gesichert sind sollten mit einem neuen Passwort gesichert werden. Weiterhin sollte die Fernlöschung des Gerätes eingeleitet werden. Dies ist jedoch alleine keine Garantie, dass die Daten nicht schon bereits ausgelesen wurden. Aus Sicherheitsgründen sollte der VPN-Zugang zum Firmennetzwerk umgehend gesperrt werden.
Mitarbeiter sollten daher sensibilisiert werden, dass sie ihre dienstlichen Geräte niemals öffentlich liegenlassen. Sollte dennoch ein Verlust auftreten, so muss dieser umgehend gemeldet werden.
Link: www.sit.fraunhofer.de/Images/sc_iPhone%20Passwords_tcm501-80443.pdf
(918 mal gelesen)
