Sicherung und Verwaltung von mobilen Endgeräten im Unternehmenseinsatz

	Fallstudienarbeit
Hochschule:	Hochschule für Oekonomie & Management
Standort:	Berlin
Studiengang:	Bachelor Wirtschaftsinformatik
Veranstaltung:	Fallstudie / Wissenschaftliches Arbeiten
Betreuer:	Prof. Dr. Ralf Hötling
Typ:	Fallstudienarbeit
Themengebiet:	Sicherung und Verwaltung von mobilen Endgeräten im Unternehmenseinsatz
Autor(en):	Sandy Hübschke, Norman Sturm, Philipp Kleine, Jens Meibohm
Studienzeitmodell:	Abendstudium
Semesterbezeichnung:
Studiensemester:	4
Bearbeitungsstatus:	in Arbeit
Prüfungstermin:
Abgabetermin:	28.02.2011

Aus Winfwiki

Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

1 Abkürzungsverzeichnis
2 Tabellenverzeichnis
3 Abbildungsverzeichnis
4 Einleitung
- 4.1 Problemstellung
- 4.2 Systemauswahl
5 Verschlüsselung
- 5.1 Kryptographie : Die Wissenschaft der Verschlüsselung
- 5.2 Anwendungen / Systeme
  - 5.2.1 BlackBerry
    - 5.2.1.1 Standardisierte Verschlüsselungsverfahren
    - 5.2.1.2 Erweiterte Nachrichtensicherheit für BlackBerry
      - 5.2.1.2.1 PGP Technologie
      - 5.2.1.2.2 S/MIME Technologie
  - 5.2.2 Windows Mobile
6 Gerätesicherheit
- 6.1 Geräteabsicherung
- 6.2 Übertragungskanäle
7 Verbindungssicherheit
8 Verwaltung von Geräten
9 Nutzen-/Kosten Vergleich
- 9.1 Nutzenbetrachtung
- 9.2 Kostenbetrachtung
10 Fazit / Ausblick
11 Quellenverzeichnis
12 Literaturverzeichnis
13 Anhang
- 13.1 Anhang 1 : DES - Data Encryption Standard

1 Abkürzungsverzeichnis

3GPP: 3rd Generation Partnership Project
AES: Advanced Encryption Standard
AKA: Authentication and Key Agreement
AMR-W: Adaptive Multirate Wideband Codec
BB: BlackBerry
BES: BlackBerry Enterprise Server
bzw.: beziehungsweise
CAL: Client Access License
d. h.: das heißt
DES: Data Encryption Standard
DMZ: Demilitarisierte Zone
DoS-Attacke: Denial-of-service Attacke
EDR: En-hanced Data Rate
ETSI: European Telecommunications Standards Institute
GEA: GPRS Encryption Algorithm
GPRS: General Packet Radio Service
GPS: Global Positioning System
IDEA: International Data Encryption Standard
IMEI: International Mobile Equipment Identity
LTE: Long Term Evolution
NIST: National Institute of Standards and Technologie
OS: Operating System
PC: Personal Computer
PGP: Pretty Good Privacy
RFID: Radio-frequency identification
ROM: Read Only Memory
SCMDM: System Center Mobile Device Manager
SD: Secure Digital
SIM: Subscriber Identity Module
S/MIME: Secure / Multipurpose Internet Mail Extensions
SQL: Structured Query Language
Stk.: Stück
UMTS: Universal Mobile Telecommunications System
usw.: und so weiter
VPN: Virtual Private Network
vs.: versus
WLAN: Wireles Local Area Network
z. B.: zum Beispiel

2 Tabellenverzeichnis

Nr.	Titel	Quelle
1	Durch das BSI empfohlene PIN-Längen bei vorgegebenem Zeichensatz	Entnommen aus https://www.bsi.bund.de/cae/servlet/contentblob/487520/publicationFile/30774/oefmobil_pdf.pdf Seite 118
2	Nutzwert der Verbindungssicherheiten	Eigene Zusammenstellung aus dem Punkt Verbindungssicherheit
3	Windows Mobile Kosten	Werte aus http://www.microsoft.com/systemcenter/mobile/howtobuy/default.mspx (abgerufen Jan 2011)
4	BlackBerry Kosten	Werte aus http://de.blackberry.com/services/server/5/upgrade.jsp (abgerufen am Jan 2011)
5	Berechnung für Windows Mobile	Berechnung aus Werten von Tabelle 3
6	Berechnung für BlackBerry 1	Berechnung aus Werten von Tabelle 4
7	Berechnung für BlackBerry 2	Berechnung aus Werten von Tabelle 4

3 Abbildungsverzeichnis

Nr.	Titel	Quelle
1	Themengebiete	Eigene Darstellung
2	symmetrsiche Verschlüsselung	Hoppe,G., Prieß,A. (2003)
3	Ver - und Entschlüsselung	http://hp.kairaven.de/pgp/gpgbilder/pgpsym.png abgerufen 21.02.2011
4	asymmetrsiche Verschlüsselung	http://www.philipphauer.de/info/info/asymmetrische-verschluesselung abgerufen 22.02.2011
5	Piconetz	http://www.internet-sicherheit.de
6	Einbettung des GPRS-Teilsystems in GSM-Netz (vereinfachte Darstellung)	Eigene Darstellung
7	Aufbau der UMTS-Netzarchitektur eingebettet im GSM-Netz (vereinfachte Darstellung)	Eigene Darstellung
8	Virtual Private Network	Eigene Darstellung
9	Demilitarisierte Zone	Eigene Darstellung
10	Zentrale Verwaltung	Eigene Darstellung
11	Dezentrale Verwaltung	Eigene Darstellung
12	BlackBerry Architektur	http://de.blackberry.com/ataglance/security/features.jsp abgerufen 11.01.2011
13	Microsoft System Center Mobile Device Manager Architektur	http://technet.microsoft.com/en-us/library/dd261798.aspx abgerufen 11.01.2011
14	Startseite des Blackberry Verwaltungsportals	http://www.novell.com/connectionmagazine/2010/10/img/blackberry3.jpg (10.02.2011)
15	Konsolenansicht des System Center Mobile Device Manager (SCMDM)	http://www.5dmail.net/pic/2008/5/23/1200413.gif (10.02.2011)
16	Schematische Darstellung Ablauf DES	Spektrum der Wissenschaft - Kryptographie (2001)

4 Einleitung

Für den Unternehmenseinsatz gewinnen mobile Endgeräte immer weiter an Bedeutung. Nicht nur mobile Arbeitsrechner, sondern auch Handys sind ein zentrales Werkzeug für Mitarbeiter geworden. Durch technische Weiterentwicklung werden die Geräte immer kleiner und leistungsfähiger. So dass die heutigen Smartphones den generellen Funktionen eines Notebooks in fast nichts mehr nachstehen und mit Ihnen Dokumente und Daten unterwegs bearbeitet werden können. Umso wichtiger ist die Absicherung solcher mobilen Geräte, um zum einen die Daten vor einem unbefugten Zugriff zu schützen, aber auch um eine Verfälschung der Daten zu verhindern. Diese Facharbeit beschäftigt sich mit den verschiedenen Aspekten von Sicherheit für mobile Geräte. Analysiert werden verschiedene Methoden, die zur Sicherheit beitragen können. Anhand von zwei mobilen Betriebssystemen werden die Absicherungsmöglichkeiten dargestellt und miteinander verglichen.

4.1 Problemstellung

Abb.1 Themengebiete

Im November 2010 veröffentlicht Gartner die Studie: "Weltweiter Handy-Umsatz stieg im dritten Quartal 2010 um 35%; Smartphone Umsatz 96% im Vergleich zu 3Q. 2009"^[1] Im Januar 2011 eine weitere: "Weltweiter Verkauf von mobile Apps wird 2011 um 117% ansteigen"^[2] Daran lässt sich erkennen, das Smartphones stets an Bedeutung und Akzeptanz gewinnen. Nicht nur in den privaten Haushalten sondern vor allem auch in Unternehmen entsteht der Bedarf an Smartphones und deren Einsatzmöglichkeiten. Die vorherrschenden Geräte und Lösungen sollen möglichst abgelöst und mit den neuen Funktionen und Smartphones abgelöst werden. Die neue Lösung soll die Funktionen und Flexibilität der Technologie unterstützen. Termine, Kontaktdaten, e-Mails und Dokumente sollen möglichst immer verfügbar und jederzeit abgleichbar sein. Da es sich hierbei um vertrauliche Daten, handelt sollte zunächst eine Sicherheitsbedarfsanalyse durchgeführt werden.

Diese Analyse ist abhängig von der Sensibilität der Daten und der Art der Daten, welche mobil verfügbar gemacht werden sollen. Diese Analyse soll nicht Bestandteil der Fallstudie sein, da sie zum einen von dem Unternehmen und zum anderen aber auch von der verfolgten Sicherheitspolitik des Unternehmens abhängig ist. Weil sich jedoch gewisse Anforderungen aus ihr ergeben werden nun die Ergebnisse einer fiktiven Analyse vorgestellt.

- Die Geräte sind entsprechend Ihres Einsatzes zu schützen und zu sichern. Dies sollte möglichst über eine gewisse Gerätesicherheit erreicht und überwacht werden. - Um Ausfälle der Funkverbindung zu überbrücken müssen die Daten auf dem Gerät für eine gewisse Zeit gespeichert werden, so dass dafür eine geeignete Verschlüsselung zu wählen ist. - Vermisste oder gestohlene Geräte sind durch Mechanismen vor Datenklau zu schützen. - Damit die Daten unterwegs abgeglichen und aktuell gehalten werden können, ist eine geschützte und verschlüsselte Verbindung zu unternehmenseigenen Datenservern herzustellen. - Die Verbindung muss sowohl Autorisierungs- als auch Authentifizierungsmechanismen aufweisen, um einen unerlaubten Zugriff zu unterbinden. - Die Geräte sollen möglichst zentral verwaltet werden und mit bestimmter Software ausgestattet werden können.

Ausgehend von diesen Punkten wurden gewisse Schwerpunkte gesetzt, die in dieser Fallstudie genauer betrachtet werden sollen.

Zuerst wird das Thema Verschlüsselung betrachtet, weil es in sämtlichen anderen Themenbereichen wieder auftaucht und verwendet wird. Es ist Basis für andere Teilbereiche und somit für das Grundverständnis der weiteren Punkte nötig. Danach wird genauer auf die Gerätesicherheit eingegangen und die grundlegenden Mechanismen erklärt. Diese dienen vorrangig der Absicherung des Gerätes. Die Absicherung der Verbindung wird im Bereich Verbindungssicherheit eingehend erklärt. Dabei wird auch auf Autentifzierungs- und Berechtigungsmechanismen eingegangen. Nachdem die drei grundlegenden Bereiche betrachtet wurden, soll noch ein kleiner Ausblick in die Verwaltung von Geräten gemacht werden. Diese ist zwar für jedes Betriebssystem unterschiedlich, jedoch gibt es einige generelle Aspekte, die bei fast allen gleich sind.

4.2 Systemauswahl

In dieser Fallstudie wird sich mit den Betriebssystemen BlackBerry und Windows Mobile befasst. Die Auswahl dieser Systeme wurde mit Hilfe eines Brainstormings der Gruppe vor der Material- und Quellensammlung getroffen. Da sich die Fallstudie zentral mit den Mechanismen und den Anforderungen an Absicherung von mobilen Geräten beschäftigt, ist die Auswahl der Betriebssysteme auch nur zweitrangig und soll nur für eine beispielhafte Darstellung dienen. Es wird keine Bewertung der Systeme erfolgen sondern nur Vorschläge zur möglichen Absicherung mit diesen Systemen. Es ist daher möglich, die gewonnenen Erkenntnisse aus dieser Fallstudie auf jedes beliebige mobile Betriebssystem zu übertragen.

Die derzeit verfügbaren Betriebssystemversionen sind:

BlackBerry: 6.0 ^[3]
Windows Mobile 6.5 ^[4](Windows Phone 7 noch nicht für Business Gebrauch geeignet)^[5]

5 Verschlüsselung

5.1 Kryptographie : Die Wissenschaft der Verschlüsselung

Aus dem griechischen übersetzt bedeutet Kryptographie „verborgen schreiben“. Genauer genommen die Wissenschaft der Verschlüsselung und Entschlüsselung von Daten. Die Menschen sind täglich von der geheimen Kommunikation umgeben. Praxisnahe Anwendungen sind z.B. die ec-Karte, Kreditkarte, Handys und vieles mehr. Ziel ist es zum Einen Nachrichten geheimzuhalten und zum Anderen die Echtheit der Nachrichten zu gewährleisten (Authentifikation) und sicherzustellen, dass die Informationen unverändert vom Sender an den Empfänger gelangen. Schematisch lässt sich folgendes darstellen: Die Verschlüsselung einer Nachricht berührt drei Personen, wovon Person A eine Nachricht an Person B versenden will. Um den Empfang der unveränderten und korrekten Nachrichten seitens Person B sicher zu stellen, muss dafür Sorge getragen werden, dass der Angreifer X keine Daten vorzeitig abgreifen kann und diesem lesbar zur Verfügung steht.^[6]

Informationen, welche zunehmend in elektrischer Form übertragen werden, erhalten eine immer größere Rolle in der heutigen Zeitrechnung. Wie schon in der Einführung erläutert wächst die Anzahl der Mobilfunknutzer rasant. Zusammenhängend damit ist die zunehmende Inanspruchnahme von Datenübertragungen, Abrufen und Internetaufrufen. Da immer mehr Informationen auf mobilen Endgeräten gespeichert werden, entstehen technische Schutzmaßnahmen, um das unerlaubte und unerwünschte Lesen bzw. Abhören von Telefonaten zu unterbinden. Grundlage hierfür bildet die Kryptographie, welche sich grob in zwei Bereiche einteilen lässt. Ein großer Komplex beschreibt die symmetrische Kryptographie, deren Methoden funktionieren, indem die Teilnehmer über den gleichen Schlüssel verfügen. Gegenteilig basiert das asymmetrische Verfahren auf unterschiedliche Schlüssel.^[7] Wenn es zur Mischung beider Formen kommt, wird dies als Hybridverschlüsselung bezeichnet. Ziel des ersten Kapitels besteht darin, ein grundsätzliches Verständnis für die Verschlüsselungsmethoden aufzubauen, diese abzuwägen und Bewertungen nachzuvollziehen. Weitere Punkte verlassen den theoretischen Pfad und beschreiben die Anwendungsmöglichkeiten beim BlackBerry und Windows Mobile.

5.1.1 Symmetrische Verschlüsselungsverfahren

Diese Verschlüsselungsmethode ist einer der ältesten Disziplinen Nachrichten mittels verschiedener Codes geheim zu halten. Das Prinzip setzt voraus, dass der Sender und der Empfänger einer Nachricht einen gemeinsamen Schlüssel besitzen.^[8] Daher auch der Begriff Ein-Schlüssel-Verfahren^[9] und Secret-Key-Verfahren.^[10]

Abb. 2 symmetrsiche Verschlüsselung

Vorstellbar ist das Verfahren folgendermaßen: Der Sender legt seine Nachricht in einen „Tresor“, welchen er mit Hilfe eines Schlüssels abschließt. Daraufhin wird der Tresor mit dem gesamten Inhalt der Nachricht an den Empfänger geschickt. Dieser hat einen Zweitschlüssel, um den Tresor zu öffnen und die Nachricht zu lesen. Demzufolge besteht ein symmetrischer Verschlüsselungsalgorithmus aus einer Funktion f mit zwei Eingabewerten (Sender), dem Schlüssel k und dem Klartext m. Die Ausgabe, die sich aus k und m ergeben stellt der Geheimtext c dar. Dieser Vorgang beschreibt die Verschlüsselung. Wendet man die Umkehrfunktion von f an, so kann der Empfänger mit Hilfe des geheimen Schlüssels k und dem Geheimtext c den Klartext verschlüsseln.^[11]

Abb. 3 Ver - und Entschlüsselung

Die meist verbreitesten Verschlüsselungsverfahren sind der Data Encryption Standard (DES) und die Erweiterung Triple-DES. Dessen Nachfolger ist Advanced Encryption Standard (AES) sowie IDEA, RC4 und RC5.^[12] Der DES, entwickelt von IBM, wurde 1977 vom amerikanischen National Institute of Standards and Technologie (NIST) veröffentlicht und als standardisiertes Verschlüsselungsverfahren definiert.^[13] Er besteht aus einer festen Blocklänge und gehört zur Gruppe der Blockchiffren. Die Blockgröße (Klartext) beträgt 64 Bit und die Schlüssellänge 56 Bit mit zusätzlichen 8 Bit, welche die Paritätsbit darstellen. Der Algorithmus stützt auf das Prinzip der Permutation, Substitution und Kombination der permutierten Schlüssel und Blöcke. Bei Permutationen geht es darum, alle Elemente einer Ausgangsmenge in eine bestimmte Reihenfolge zu bringen. Dadurch kommt es zu Änderungen der Anordnungen durch vertauschen der Elemente. Weitere Informationen können dem Anhang 1 entnommen werden.

Triple-DES, auch TDES und 3 DES genannt, ist eine modifizierte DES-Verschlüsselung durch aufeinanderfolgenden dreifachen Aufruf des DES-Algorithmus. Die grundlegende Idee besteht darin, dass der Klartextblock dreimal mit zwei unterschiedlichen Schlüsseln (1 oder 3) verschlüsselt wird. Im Vergleich zum DES enthält der Schlüssel 112 bzw. 168 Bit.

Der Nachfolger AES auch Advanced Encryption Standard genannt ist ebenfalls ein Blockalgorithmus. Im Gegensatz zum DES kann die Blocklänge und die Schlüssellänge variabel sein, denn diese stellen Vielfache on 32 Bit da.^[14] Mit Hilfe der Schlüssellänge wird zwischen den drei AES-Varianten AES-128, AES-192 und AES-256 unterschieden. Die Sicherheit wird wie auch beim DES durch Substitutionen und Permutationen gegeben. Die Schlüssellänge spielt in diesem Zusammenhang jedoch auch eine große Rolle. Die Arbeitsweise wird im Folgenden kurz beschrieben : Jeder Block wird zunächst in eine zweidimensionale Tabelle mit vier Zeilen geschrieben, dessen Zellen ein Byte groß sind. Die Anzahl der Spalten variiert je nach Blockgröße von 4 (128 Bit) bis 8 (256 Bit). Jeder Block wird nun nacheinander bestimmten Transformationen unterzogen. Aber anstatt jeden Block einmal mit dem Schlüssel zu Chiffrieren, wendet AES verschiedene Teile des Schlüssels nacheinander auf den Klartext-Block an. Die Anzahl dieser Runden variiert und ist von Schlüssellänge und Blockgröße abhängig.^[15]Je öfter die Transformationen miteinander durchgeführt werden, je weniger kann von außen nachvollzogen werden, welcher Schlüssel und welcher Blocktext dahinter steht.

5.1.2 Asymmetrische Verschlüsselungsverfahren

Jahrtausendelang wurde vorausgesetzt, dass der Sender den gleichen und geheimen Schlüssel benötigt wie der Empfänger. Dies ging bis zum Jahre 1976, denn es erschien ein Artikel „New Directions in Cryptography“ von W.Diffie und M.Hellmann ^[16] , der das Public-Key-Verfahren einleitete. Bei dem Verfahren werden im Gegensatz zu den symmetrischen Verschlüsselungsverfahren zur Verschlüsselung und Entschlüsselung unterschiedliche Schlüssel verwendet. Schematisch kann das asymmetrische Verschlüsselungsverfahren wie folgt beschrieben werden : Jeder kann dem Empfänger eine Nachricht übermitteln. Der Sender wirft nun einen Brief in den Briefkasten. Aber nur der Empfänger kennt den geheimen Schlüssel, sodass nur dieser den Briefkasten öffnen und die Nachricht lesen kann.^[17]

Abb. 4 asymmetrsiche Verschlüsselung

Es beschreibt zum Einen den Public Key, welcher zur Verschlüsselung verwendet wird und gleichzeitig öffentlich ist und zum Anderen den Private Key, welcher der dazugehörige Schlüssel für die Datenentschlüsselung darstellt.^[18] Das neue Verfahren beruht im Vergleich zu symmetrischen Verschlüsselungen nicht mehr auf Permutation und Substitution sondern auf mathematische Funktionen und Probleme, die überwunden werden müssen. Public Key und Private Key stellen ein Schlüsselpaar dar und bilden Variablen innerhalb einer mathematischen Funktion, auch Einwegfunktion genannt. Die Funktion hat die Eigenschaft, in der einen Richtung leicht berechenbar und in der anderen Richtung praktisch nicht berechenbar zu sein. Einfach erklärt am Beispiel vom Telefonbuch: Die Funktion lautet, dass ein Name eine entsprechende Telefonnummer zugeordnet bekommt. Diese Zuordnung ist leicht, da die Namen alphabetisch sortiert. Schwer ist allerdings die Zuordnung einer Telefonnummer zu dem dazugehörigen Namen. Daher ist es praktisch unmöglich, an den geheimen Schlüssel zu gelangen auch wenn der öffentliche Schlüssel bekannt ist. Die Schlüssellängen befinden sich in einem Bereich von 512 Bit bis 2048 Bit. Die folgende Abbildung soll das Verständnis für das soeben beschriebene unterstützen.

Nachdem eine Eingliederung der asymmetrischen Verschlüsselungsverfahren gegeben wurde, folgt im nächsten Teil die kurze Vorstellung der bekanntesten Algorithmen RSA- und Diffie-Hellmann-Verfahren. Den Namen hat das RSA - Verfahren von Ronald Rivest, Adi Shamir und Leonard Adleman den drei Männern, die es 1977 erfunden haben. Die Bildung der Schlüssel wird aus Primzahlen generiert. Weiterhin geht in das Verfahren auch noch die Modulo-Rechnung mit ein. Um die beiden Schlüssel zu erzeugen, wählt man zwei große Primzahlen, die anschließend multipliziert werden. Das entstehende Produkt und eine weitere beliebig wählbare Zahl (muss teilerfremd zum Produkt sein) bilden den Public Key.^[19] Mit Hilfe eines erweiterten euklidischen Algorithmus wird eine weitere Zahl berechnet, welche zusammen mit dem zuvor berechneten Produkt den geheimen Schlüssel bildet.^[20] Die zu tragen kommende Einwegfunktion macht deutlich, dass es leicht ist, zwei große Zahlen zu multiplizieren, aber praktisch unmöglich, das Produkt wieder in Ihre Primfaktoren zu zerlegen. Dies bietet dem Verfahren eine erhöhte Sicherheit, da es schwieriger ist, eine Entschlüsselungsfunktion anzuwenden.

Der Diffie-Hellmann-Algorithmus beruht ebenfalls auf einem mathematischen Problem und verwenden eine Schlüssellänge von 512 Bit bis 2048 Bit. Dies besteht in dem diskreten Logarithmus modulo einer großen Primzahl und der angewandten Einwegfunktion.^[21] Der Empfänger und der Sender sind an der Erzeugung des geheimen Schlüssels beteiligt. Dies begründet sich wie folgt : Beide Teilnehmer wählen eine geheime Zahl, welche potenziert werden und der Modulo Rechnung unterzogen. Die berechneten Zahlen werden untereinander ausgetauscht. Daraufhin potenziert jeder den erhaltenen Wert mit der zuerst erstellen Geheimzahl. Dadurch ist die Erstellung eines geheimen Schlüssels gewährleistet und niemand außer die beteiligten Personen können diesen berechnen.^[22]

5.1.3 Vor - und Nachteile

Die symmetrische Verschlüsselung hat den klaren Vorteil, dass ein einfaches Schlüsselmanagement vorliegt, da nur ein Schlüssel zu verwalten ist. Weiterhin wird dieser Algorithmus aufgrund der hohen Geschwindigkeit für die Ent- und Verschlüsselung geschätzt. ^[23] Der DES Algorithmus ist aufgrund der geringen Bitanzahl des Schlüssels nicht sicher. Generell lässt sich auch bestimmen, je länger ein Schlüssel ist und je mehr Permutationen, Substitutionen durchgeführt werden, je sicherer ist der Algorithmus und demnach der zu verschlüsselnde Klartext. Daher wird meist des Triple-DES verwendet, da die Schlüssellänge im Vergleich zum DES das dreifache ist. Widerum ist der AES Algorithmus mit den benannten 256 Bit am sichersten und kann somit vor Angriffen schützen. Die Gefahr des Verfahren liegt allerdings darin, dass der Schlüssel nicht in unbefugte Hände gelangen darf. Es ist der sichere Austausch notwendig, da sonst die Daten abgefangen werden können und von unbefugten Personen gelesen werden können. Weiterhin steigt auch die Anzahl der erzeugten Schlüssel, da diese Abhängig sind von den Anzahl der Teilnehmern. Da diese aufbewahrt werden, erfordert dies eine gute Verwaltung der Schlüssel. Dies widerum fordert Speicherplatz.

Demgegenüber stehen die asymmetrischen Verschlüsselungsverfahren. Ein großer Vorteil liegt in der hohen Sicherheit, welches sich wie folgt erklärt. Durch die Verwendung eines Private Key trägt nur eine Person den Schlüssel und somit die zu verschlüsselnden Daten. Die Schlüsselverteilung ist ebenfalls problemlos, da kein sicherer Austausch notwendig ist. Der Schlüssel hilft Angreifern nicht weiter. Positiv ist jedoch auch, dass die Schlüsselanzahl linear zur Teilnehmerzahl wächst. ^[24] Demnach werden weniger Schlüssel benötigt und verwaltet als bei der symmetrischen Verschlüsselung. Die asymmetrischen Verfahren bieten allerdings auch negative Aspekte. Zum Beispiel birgt die hohe Rechenzeit durch die aufwendigen Operationen und Funktionen eine sehr viel langsamere Verschlüsselung. Es besteht zusätzlich auch ein erhöhter Aufwand bei mehreren Empfängern, da die Nachricht für jeden Empfänger mit dem individuellen Public Key einzeln verschlüsselt wird.^[25] Die Lösung bietet demnach ein Verfahren, welches die Vorteile der Verfahren kombiniert. Dies bietet der Einsatz der hybriden Verschlüsselungsverfahren, da es zur Kombination aus symmetrischen und asymmetrischen Verfahren kommt. Im Folgenden Abschnitt wird dies genauer erörtert.

5.1.4 Hybride Verschlüsselungsverfahren

Werden symmetrische und asymmetrische Verschlüsselungsverfahren für die Kommunikation miteinander kombiniert, erhält man die Hybridverschlüsselung. Bei dieser Verschlüsselung werden die Nutzdaten symmetrisch verschlüsselt. Dieser wird auch als Session Key bezeichnet, da dieser nur für die aktuelle Kommunikationssitzung generiert wird. Der Session Key wird asymmetrisch mit dem öffentlichen Schlüssel des Partners verschlüsselt. Die symmetrisch verschlüsselte Daten sowie der asymmetrische verschlüsselte Sitzungsschlüssel werden an den Empfänger übermittelt. Daraufhin kann der Empfänger mit Hilfe seines privaten Schlüssels zuerst den Sitzungsschlüssel entschlüsseln. Folgend werden mit diesem die Nutzdaten entschlüsselt.^[26] Beispiel hierfür ist die digitale Signatur mit den dazugehörigen Zertifikaten. Eine weitere Anwendung lässt sich durch sichere E-Mail Verschlüsselungstechnologien wie z.B. PGP - Pretty Good Privacy und S/MIME darstellen.

Eine digitale Signatur oder auch elektronische Unterschrift stellt eine handschriftliche Unterschrift in digitaler Form dar. Diese lassen sich grundsätzlich durch folgende Eigenschaften unterteilen:^[27]

Echtheitseigenschaft: Sicherstellung, dass das Dokument wirklich vom unterschreibenden stammt. Bedingung dafür ist, dass die Unterschrift und die unterschriebene Erklärung auf einem Blatt stehen.

Identitätseigenschaft: Eine digitale Signatur kann nur von einem Menschen ausgestellt werden und ist demnach schwer zu fälschen.

Abschlusseigenschaft: Die Unterschrift befindet sich am Ende der Erklärung und signalisiert die Vollendung der Erklärung.

Verifiaktionseigenschaft: Durch einen Unterschriftenvergleich kann ein Empfänger einer Nachricht mit einer Unterschrift diese Echtheit überprüfen.Dies passiert durch eine Prüfsumme, welche auch Signaturwert bezeichnet wird.

Bewiesen wird demnach durch eine digitale Signatur, dass dem Unterzeichner die Daten vorgelegen haben und dass diese nachträglich nicht mehr angepasst wurden. Um eine digitale Signatur zu erstellen, muss der Unterzeichner den Private Key durch die asymmetrische Verschlüsselung auf die zu signierenden Daten anwenden. In der Regel wird aber nicht der Klartext signiert sondern eine Prüfsumme. Diese kommt durch ein Hashverfahren durch die Anwendung auf Daten zustande. Die angewandte Hashfunktion definiert sich als mathematische Funktion, die variable Eingabewerte beliebiger Länge in einen Ausgabewert fixer Länge, den so genannten Hashwert, überführen.^[28] Die benannte Prüfsumme muss also eine feste Länge bezogen auf den zugrunde liegenden Eingangswert. Falls es zu Änderungen der Daten oder Dateien kommt, wird auch die Prüfsumme verändert. Um die digitale Signatur zu verifizieren, wird auf der Empfängerseite erneut eine Prüfsumme berechnet und mit der originalen verglichen. Wenn diese demnach übereinstimmen, bezieht sich die digitale Signatur auf die vorliegenden Daten. Außerdem sind diese seit der Signierung nicht verändert worden.Um volle Sicherheit zu erlangen und die Daten auch vor Dritten zu schützen, ist eine doppelte Anwendung der asymmetrischen Verschlüsselung erforderlich, in dem abschließend erneut mit dem Public Key des Empfängers verschlüsselt wird. Zusätzlich spielen jedoch auch Zertifikate eine große Rolle. Begründen lässt sich dies durch die Beschreibung im deutschen Signaturgesetz, dass nur die digitale Signaturen rechtskräftig sind, wobei eine Bescheinigung über die Zuordnung eines öffentlichen Signaturschlüssels zu einer natürlichen Person gegeben ist. Diese digitale Bescheinigung, auch Signaturschlüssel-Zertifikat genannt, wird von anerkannten Zertifizierungsstellen ( meist Trust Center genannt ) ausgestellt. Das Zertifikat enthält u.a. die Identität des Schlüsselinhabers, den zugehörigen öffentlichen Schlüssel und der angewandte Schlüsselalgorithmus.^[29]

der öffentliche Schlüssel des Absenders
das Zertifikat
die öffentlichen Schlüssel der Zertifizierungsstellen

In erster Linie wird geprüft, ob der öffentliche Schlüssel auch mit der Identität der Person/Hardwareeinheit mit den Angaben auf dem Zertifikat übereinstimmen. Weiterhin ist es genauso wichtig die Gültigkeit des Zertifikats zu kontrollieren, um Missbrauch zu verhindern. Abschließend wird die digitale Signatur der Zertifizierungsstelle überprüft. Nach den geprüften Prozessen kann sichergestellt werden, ob eine Fälschung der digitalen Signatur vorliegt. Dadurch werden die eingangs benannten Merkmale unterstrichen und die Echtheit der Datenübermittlung bewiesen.
Um zu verhindern, dass Emails mitgelesen werden, müssen diese wie schon eingangs erwähnt, geschützt auf dem Weg gebracht werden. Um dies zu realisieren wird ein bekanntes Programm mit der Bezeichnung PGP, kurz Pretty Good Privacy, verwendet. 1991 wurde ein System entwickelt, welche kryptographische Methoden verwendet, um die Email Sicherung zu erhöhen. PGP unterstützt derzeit RSA und ElGamal als asymmetrische Verfahren. Für die Verwendung von symmetrischen Methoden werden IDEA, 3DES und CAST gebraucht. Um eine Nachricht zu verschlüsseln, wird diese mit dem Sitzungsschlüssel (vom PGP-System generiert) symmetrisch verschlüsselt. Dieser wird dann mit dem öffentlichen Schlüssel des Empfängers asymmetrisch verschlüsselt und zusammen mit der Nachricht an den Empfänger geschickt. Daraufhin kann der Empfänger den Sitzungsschlüssel mit seinem privaten Schlüssel entschlüsseln und anschließend die Nachricht entschlüsseln. ^[30] Signiert wird bei PGP mit einer Web of Trust Signatur. Das heißt, die Authentisierung basiert auf die gegenseitige Bestätigung der beteiligten Partner. Es kommt zur Anerkennung der Richtigkeit der Schlüsselinhaber. S/MIME, bezeichnet als Secure Multipurpose Mail Extension beschreibt ähnlich die Email Verschlüsselung wie PGP. Beide haben den gleichen technischen Hintergrund und die Schlüsselerzeugung und Übergabe erfolgt nach gleichem Schema. Jedoch besteht folgender Unterschied: Es kommt nicht zur Anwendung des Web of Trust Verfahrens. Im Gegensatz dazu werden die öffentlichen Schlüssel durch öffentliche Zertifizierungsstellen bereitgestellt. Daher ist es von großer Bedeutung, die angegebenen Zertifizierungsstellen von den Mailclients als vertrauenswürdig einzustufen. ^[31] S/MIME benutzt folglich das Verfahren der kostenpflichtigen Zertifikate.

Abschließend ist gegenüber zu stellen, dass PGP kein Zertifikat im Vergleich zum S/MIME benötigt. Weiterhin ist das PGP Programm kostenlos und nur zu installieren und zu handhaben. Um das S/MIME anzuwenden werden keine zusätzliche Programme benötigt. Dafür müssen anerkannte Zertifikate bei den sogenannten Trust Centern beantragt werden. Dieser Prozess birgt jedoch Kosten und ist nachteilig dem PGP Verfahren. Beide Verfahren bieten jedoch durch die Verwendung von extrem großen Schlüssellängen einen guten Sicherheitsschutz und sind beide erfolgreich einsetzbar.

5.2 Anwendungen / Systeme

5.2.1 BlackBerry

Die Sicherheitsmerkmale einer BlackBerry (BB) Enterprise Solution, bestehend aus einem BlackBerry Gerät, der BlackBerry Software und dem BlackBerry Enterprise Server (BES), sollen im Folgenden näher erörtert werden. Augemerk wird verstärkt auf den Gesamtsicherheitsaspekt der BB Enterprise Solution gelegt. In diesem Punkt kommt es nicht zur Erläuterung der einzelnen technischen Komponenten der BB Enterprise Solution, sondern vielmehr wird die Gesamtheit der Sicherheitsmerkmale betrachtet. In diesem Rahmen bietet die BB Enterprise Solution mit Hilfe symmetrischer Schlüssel Vertraulichkeit, Integrität und Authentizität. Das Konzept der Vertraulichkeit sorgt dafür, dass nur der Empfänger der Nachricht den Inhalt der Nachricht anzeigen kann. Dies wird im BB durch eine basierende Verschlüsselung geregelt. Integrität beschreibt die Originalität der Nachricht. Der Empfänger der Nachricht kann erkennen, ob die Informationen während der Übertragung durch einen Dritten verändert wurden. Somit ist eine Verfälschung ausgeschlossen. Um dies zu gewährleisten, wird der Nachrichtenschlüssel und der Hauptverschlüsselungsschlüssel verwendet. Der letzte Punkt für die Sicherheit steht für die Authentizität und überprüft die Vertraulichkeit des Absenders. ^[32] Die BB Enterprise Solution bietet Hauptverschlüsselungsschlüssel, Nachrichtenschlüssel, Inhaltsschlüssel und General-Hauptschlüssel. Diese dienen alle der Einhaltung der Sicherheitsaspekte und werden im nächsten Schritt voneinander abgegrenzt. Der Hauptverschlüsselungsschlüssel ist eindeutig für das BB Gerät bestimmt. Um die Übertragung und den Empfang einer Nachricht zu ermöglichen muss dieser Schlüssel im BES und dem BB Gerät übereinstimmen. Falls dies nicht gewährleistet wird, können die Daten nicht entschlüsselt werden und die empfangenen Nachrichten werden zurück gewiesen. Der Nachrichtenschlüssel dient der Datenintegrität aller gesendeten Nachrichten. Wenn Nachrichten mehrere Datenpakete enthalten und größer als 2 Kilobyte sind, erstellen BES und BB Gerät für jedes Datenpaket einen eindeutigen Schlüssel. Der Nachrichtenschlüssel ist demnach ein Sitzungsschlüssel, da dieser nicht dauerhaft gespeichert ist und nur für die aktuelle Kommunikation gilt. Der Inhaltsschlüssel widerum sorgt dafür, dass die Benutzerdatendaten auf dem BB Gerät verschlüsselt sind, wenn das Gerät gesperrt ist. Der General – Hauptschlüssel sorgt für die Verschlüsselung der Hauptverschlüsselungsschlüssel, die auf dem Gerät gespeichert sind. Wenn das gesperrte BB Gerät Daten mit einem Hauptverschlüsselungsschlüssel empfängt, verwendet es den General – Hauptschlüssel, um den erforderlichen Hauptschlüssel zu entschlüsseln und die Daten zu empfangen. ^[33]

5.2.1.1 Standardisierte Verschlüsselungsverfahren

Die BB Enterprise Solution verwendet einen Verschlüsselungsalgorithmus mit symmetrischen Schlüsseln, um alle Daten zu schützen, die zwischen dem BB Gerät und dem BES übertragen und vom BB Gerät gesendet oder empfangen werden. Diese Standardverschlüsselung bietet ein hohes Maß an Sicherheit. Für diese wird entweder der Triple-DES oder der AES Algorithmus verwendet. Standardmäßig ist der BES so eingerichtet, dass der stärkste gemeinsame Verschlüsselungsalgorithmus mit symmetrischen Schlüsseln verwendet wird. Der Triple-DES führt den DES-Algorithmus mit zwei 56-Bit Schlüsseln dreimal aus, um im Endeffekt eine Gesamtschlüssellänge von 112 Bit zu erhalten. Dieser Triple-DES arbeitet mit zwei Schlüsseln, wobei der erste die Daten verschlüsselt und der zweite diese entschlüsselt. Abschließend werden die Daten erneut vom ersten Schlüssel verschlüsselt. Der AES Algorithmus wird mit 256-Bit Schlüsseln verwendet. Dies erhöht aufgrund der Schlüssellänge gegenüber Triple-DES die Sicherheit und gewährleistet demnach die zuverlässige Übertragung der Daten zwischen BB Gerät und BES. Angewandt werden die benannten Verfahren auf den Nachrichtenschlüssel und den Hauptverschlüsselungsschlüssel. Der Inhaltsschlüssel und der General – Hauptschlüssel wird standardmäßig mit der 256-Bit AES Verschlüsselung codiert. ^[34]

5.2.1.2 Erweiterte Nachrichtensicherheit für BlackBerry

Zusätzlich zur Standardverschlüsselung kann der Administrator vom BES die S/MIME oder PGP-Technologie aktivieren, um eine verstärkte Sicherheitsebene zwischen Absender und Empfänger einer Email oder Nachricht zu erhalten.

5.2.1.2.1 PGP Technologie

Das PGP Support Package wurde für die Unterstützung der Nachrichtenformate OpenPGP und PGP/MIME auf dem BB Gerät entwickelt. Dies ermöglicht den Benutzern PGP geschützte Nachrichten in diesen Formaten zu senden und zu empfangen. Das Package umfasst Tools zum Abrufen und Übertragen der PGP Schlüssel auf das BB Gerät. Dies ermöglicht den Benutzern, PGP geschützte Nachrichten digital zu signieren, verschlüsseln und zu senden. Die PGP Technologie gewährleistet die Vertraulichkeit der Nachrichten und zusätzlich die Authentifizierung zwischen Sender und Empfänger. Diese Technologie stütz sich auf die Hybridverschlüsselung. Für die Kryptografie werden die folgenden Schlüssel verwendet. Zum einen der öffentliche Schlüssel. Das Gerät verwendet öffentlichen PGP Schlüssel des Empfängers, um ausgehende Email Nachrichten zu verschlüsseln. Um die empfangenen Nachrichten hinsichtlich der digitalen Signaturen zu prüfen wird der öffentliche PGP Schlüssel des Absenders verwendet. Der private PGP Schlüssel ist nur dem Schlüsselinhaber bekannt und wird verwendet, um ausgehende Email Nachrichten digital zu signieren und empfangene zu entschlüsseln. Der Administrator vom BES kann das Verfahren so einstellen, dass PGP Nachrichten mit AES 128,192 oder 256 Bit oder mit Triple-DES 168 Bit verschlüsselt werden. Standardmäßig wird die Nachricht mit Triple-DES verschlüsselt, ist jedoch abhängig von dem Verschlüsselungsverfahren des Empfängers. ^[35]

5.2.1.2.2 S/MIME Technologie

Das S/MIME Support Package für BB Geräte arbeitet mit S/MIME Email Clients wie z.B. Microsoft Outlook und Microsoft Outlook Express. Das Paket ermöglicht das Abrufen und Übertragen von Zertifikaten auf das BB Gerät. Demnach können BB Geräte Nachrichten entschlüsseln, die mit S/MIME Verschlüsselung codiert sind und die Daten können gelesen werden. Die Benutzer können zusätzlich S/MIME Nachrichten von dem Gerät aus signieren, verschlüsseln und senden. Der Administrator kann auch in diesem Fall entscheiden, welcher Verschlüsselungsalgorithmus verwendet werden soll. In Frage kommen die bekannten AES 128,192 oder 256 Bit, Triple-DES 168 Bit oder RC2 128 Bit (Gruppe der asymmetrischen Schlüssel, eher selten verwendet). Ähnlich der PGP Technologie wird die Verschlüsselung der Nachricht standardmäßig mit Triple-DES durchgeführt, wenn die Entschlüsselungsfunktion des Empfängers nicht bekannt ist. Sofern eine Nachricht vom Empfänger eingegangen ist, merkt sich das BB Gerät das Verschlüsselungsverfahren. Wenn der Benutzer eine verschlüsselte Nachricht vom BB Gerät sendet, wird das S/MIME Zertifikat des Empfängers genutzt, um die Nachricht zu entschlüsseln. Wenn allerdings der Benutzer eine signierte Nachricht erhält, wird das Zertifikat des Absenders verwendet, um die Signatur der Nachricht zu bestätigen.^[36]

5.2.2 Windows Mobile

Die Kryptographie in Windows basierten Geräten beinhaltet Kryptografie-API-Set (CryptoAPI). Diese stellt Dienste bereit, die Anwendungsentwicklern die Verschlüsselung und Entschlüsselung von Daten hinzufügen können. Die CryptoAPI arbeitet mit Providern wie Microsoft RSA Base Provider, Microsoft Enhanced Cryptographic Provider und den Microsoft Diffie-Hellman-Cryptographic Provider zusammen. Diese enthalten die Grundfunktion der Kryptografie und führen diese aus. Durch die modulare Architektur der CryptoAPI werden in Abhängigkeit der angewandten Service Provider verschiedene Kombinationen von Algorithmen benutzt. Wie schon teilweise die Service Provider andeuten, kommt es bei Windows Mobile zur Anwendung von symmetrischer und asymmetrischer Verschlüsselung. Detaillierter wird dies in den Ausführungen der Provider stattfinden.

Der RSA Base Provider ermöglicht folgende Algorithmen :

RSA Public Key mit einer Schlüssellänge von 512 Bit
RC2 und RC4 Block mit einer Schlüssellänge von 40 Bit

Microsoft Enhanced Cryptographic Provider bietet :

AES-128 Bit
AES-192 Bit
AES-256 Bit
RSA Public Key mit einer Schlüssellänge von 1.024 Bit
RC4 mit 128 Bit
DES mit 112 Bit
3DES mit 168 Bit

Microsoft Diffie-Hellman-Cryptgraphic Provider :

RC4 mit 128 Bit
DES 168 Bit ^[37]

Für die Schlüsselbildung der digitalen Signaturen wird der Public Key Algorithmus RSA mit 1024 Bit verwendet. Windows Mobile bietet demnach zahlreiche Funktionen und Möglichkeiten zur Verschlüsselung, welche sich positiv auf den Sicherheitsaspekt auswirken.

6 Gerätesicherheit

Gerätesicherheit wird in Unternehmen groß geschrieben. Datenklau oder sogar freie Herausgabe von Firmeninterna kann man im Moment bestens am Beispiel „Wikileaks“ sehen. Mitarbeiter großer und mittelständischer Unternehmen laden auf der Webseite anonym Dokumente, Informationen besonderer Geheimhaltungsstufe hoch. Diese werden aufgearbeitet und dann veröffentlicht, ein neuer Weg der Publikation. Gleichzeitig können diese Informationen auch bei Verlust oder Diebstahl an die Öffentlichkeit kommen. Umso wichtiger ist es, Daten, Kontakte und andere wichtige Informationen zu sichern.

6.1 Geräteabsicherung

6.1.1 Automatische Sperrung des Telefons

Telefone müssen nach einer bestimmten Zeit des nicht aktiven Betriebes gesperrt werden. Tastensperre sowie eine PIN-Sperre dürfen nicht frei durch den Anwender konfigurierbar fest eingestellt sein. Diese Einstellungen werden durch das Unternehmen vorgenommen, auf Servern gespeichert und müssen automatisch auf die mobilen Endgeräte verteilt werden.

6.1.2 Geräte Pin

6.1.2.1 Komplexität

PIN-Sperren dürfen vom Nutzer frei gewählt und nur durch die Komplexitätsregeln eingeschränkt werden. PINs sollten alphanumerisch aus einem oder sogar mehreren Sonderzeichen bestehen. Diese PIN darf nicht dokumentiert oder an Dritte weitergegeben werden.

6.1.2.2 Verwendungsdauer

Die Dauer der Gültigkeit eines PINs wird ähnlich wie die Komplexität vom Unternehmen vorgegeben. Regeln werden global auf den Firmenservern gespeichert und automatisch an das Endgerät übermittelt. Sollte man an das Ende eines Lebenszyklus für den PIN kommen, so wird man vorher hingewiesen und nach Ablauf aufgefordert den PIN zu ändern. Sollte die Änderung nicht in einem bestimmten Zeitraum vollzogen werden, so wird das Gerät gänzlich gesperrt oder von der Änderung oder dem Login ausgesperrt.

6.1.2.3 Wiederholung

Eine Wiederverwendbarkeit von PINs sollte ausgeschlossen werden oder erst nach einer langen Zwischenzeit wieder zugelassen werden um wichtige Daten ausreichend zu schützen. Viele Passwörter werden sowohl im privaten als auch geschäftlichen Bereich verwendet. Nutzen beispielsweise zwei Personen den gleichen Mail-Zugang und die Person verwendet zu einem späteren Zeitpunkt den PIN wieder, so könnte die zweite Person auf sensible Daten Zugriff erhalten.

6.1.3 Wipen

Zur Verhinderung der Rekonstruktion von bereits gelöschten Daten durch forensische Analyse, wird wipen als besondere Sicherheitsvorkehrung angewandt. Bei diesem Verfahren werden Daten auf den Smartphone mehrfach mit speziellen Bit-Mustern oder Zufallsdaten überschrieben. Durch wipen dauert das Löschen der Datenträger aufgrund des mehrfachen Überschreibens allerdings länger. Diese Möglichkeit des Zurücksetzens zum Schutz empfindlicher und geheimer Daten wird sowohl von BlackBerry als auch Windows Mobile unterstützt. Zur Durchführung des wipens wird in Einstellungen der Geräte festgelegt, unter welchen Bedingungen dieses Verfahren umgesetzt werden soll. Somit wird es möglich die Falscheingabe des PINs zu begrenzen und nach Ablauf das Gerät zu wipen.

6.1.4 Kamera Sperrung

Kameras sind in vielen großen und oder weltweit agierenden Unternehmen verboten. Beispiele gibt es z.B. hier: Unternehmen wie Intel, Samsung oder Oracle haben Kamera-handys vom Firmengelände verbannt, um Spionage zu verhindern. Vor allem in den USA hat sich dieser Trend schon lange durchgesetzt, aber auch Deutschen Unternehmen wie die Bundesdruckerei, SAP und DaimlerChrysler springen auf diesen Zug auf. Daher haben Netzbetreiber und Hersteller bereits auf die neuen Bedürfnisse reagiert und bieten für Geschäftskunden Smartphones und Mobiltelefone ohne Kamera an. Das größte Sicherheitsbedürfnis ist in den empfindlichen Bereichen der Entwicklung oder die Design-Abteilung vorhanden. In diesen Bereichen des Unternehmens ist das Fotografieren aber ohnehin generell nicht erlaubt, sogar das Telefonieren mit dem Mobiltelefon wurde untersagt. Eine besondere Einschränkung für Kamera-Handys muss trotzdem getroffen werden, weil ein genereller Missbrauch nicht ausgeschlossen ist. Sollte der Fall eintreten, dass in Firmen zukünftig ein generelles Verbot von Kamera-Handys existiert, ist BlackBerry bestens gerüstet, da insbesondere BlackBerry sowohl eine Vielzahl von Geräten ohne Kamera führt als auch in Zukunft Mobiltelefone ohne Kamerafunktion entwickeln wird. Sollte in einem speziellen Modell doch mal eine Kamera verbaut sein, so ist es möglich diese softwaretechnisch zu sperren. Windows Mobile entwickelt selbst keine Geräte, zugleich gibt es auch hier verschiedene Möglichkeiten die Kamerafunktion zu unterbinden.

6.1.5 Installation von Apps

Moderne Smartphone sind eine Kombination aus Mobiltelefon und Personal Digital Assistant. Durch diese Kombination ergeben sich ganz neue Möglichkeiten und Funktionen, die vor allem für die geschäftliche Nutzung interessant sind, im Vergleich zu gewöhnlichen Handys. Mit einem Smartphone können Nutzer nicht nur telefonieren, sondern zum Beispiel auch E-Mails abrufen und schreiben, ihre Termine koordinieren oder bestimmte Programme ausführen.

In fast allen Fällen ist es möglich Software nachträglich zu installieren, diese ist fast ausschließlich aus dem Internet zu beziehen, für den Privatgebrauch super. Doch mit jeder Installation auf dem Smartphone steigt das Risiko sich einen Virus oder Trojaner mit auf das Smartphone zu holen. Diese können dann persönliche oder geschäftliche Daten ausspähen. Sollte ein Trojaner darauf angesetzt sein, ist es sogar möglich, Kameras am Telefon und Mikrofone einzuschalten und die gesammelten Daten zu übertragen, wie neueste Ereignisse zeigen. Die Möglichkeit der sogenannten App-Installation kann bei Blackberry und Windows Mobile betriebenen Geräten unterbunden werden. Dabei ist es bei Blackberry möglich, einen eigenen App-Server anzubinden, über den dann nur Software gekauft und installiert werden darf, die vom Unternehmen oder Administrator freigegeben wurde. Durch diesen Schritt wird ein großer Teil an Sicherheit gewährleistet und das Unternehmen vor Spionage geschützt.

6.2 Übertragungskanäle

Mobile Endgeräte verfügen heutzutage über unterschiedliche Schnittstellen und Möglichkeiten, um Peripheriegeräte anzuschließen und somit die Kommunikation mit anderen Geräten zu ermöglichen.

6.2.1 WLAN

Der wohl bekannteste und weit verbreitetste Übertragungskanal ist WLAN, diesen gibt es in verschiedenen Frequenzen und Übertragungsraten. Die erste Version des WLAN Standards wurde 1997 verabschiedet und konnte Brutto 2MBit/s übertragen. Die Datenübertragung findet auf dem lizenfreien ISM-Band bei 2,4GHz statt. Weite Verbreitung durch das lizenzfreie Frequenzband haben Produkte nach dem Standard 802.11b/g gefunden. WLAN ist in privaten Haushalten wesentlich öfter anzutreffen als in Firmen, da von Ihnen ein zu hohes Risiko ausgeht. Funkübertragungen egal mit welcher Verschlüsselung können geknackt werden. Auch wenn es bereits Möglichkeiten der Verschlüsslung gibt, wie aktuell über WPA2 das mit dem Verschlüsselungsalgorithmus AES (Advanced Encryption Standard mit Schlüssellängen von 256 Bit) arbeitet und in neueren Geräten meist unterstützt wird. Durch Austausch der Firmware mit WPA2-Unterstützung lassen sich einige Geräte nachrüsten. Nach einen Firmwareupdate findet die Verschlüsselung meist ohne Hardwarebeschleunigung statt. Der Zugewinn an Sicherheit wird somit durch eine starke Einbuße an Übertragungsrate erkauft. Dieser gilt zurzeit als nicht entschlüsselbar. Voraussetzung ist, dass keine trivialen Passwörter verwendet werden, die über eine Wörterbuch-Attacke zu entschlüsseln sind. Ganz im Gegenteil der erste Standard, die WEB – Verschlüsselung. Diese bietet praktisch keine Sicherheit, da diese Schlüssel in Sekunden geknackt werden können. Sowohl auf dem BlackBerry und Windows Mobile Phones gibt es softwaretechnisch die Möglichkeit Verbindungen über diesen WLAN-Kanal herzustellen. Einschränkungen können auch hier vom BlackBerry Server oder in der Windows Mobile Konfiguration vorgenommen werden.

6.2.2 Bluetooth

Abb. 5 Piconetz

Bluetooth ist ein Funkstandard, der zur Verbindung von mobilen Geräten dient. Er liegt mittlerweile in Version 4.0 + EDR(En-hanced Data Rate) vor und kann Verbindungen bis zu einer Entfernung von 100m aufrecht halten. In diesem Standard kommt eine verbesserte Fehlerkorrektur zum Einsatz, um die zu übertragenden Daten zu schützen werden sie mit der AES-Verschlüsselung mit 128 Bit Übertragen. Verabschiedet wurde der Standard Dezember 2009 und wird 2011 in Endgerät implementiert. Der im Moment weit verbreitetste Übertragungsstandard bei Bluetooth ist die Version 2.0, hier werden Daten mit einer Geschwindigkeit von bis zu 2,1 Mbit/s durch EDR. Bluetooth ist eine gern Verwendetes Medium in den Unternehmen wenn es darum geht Kontaktdaten so genannte Visitenkarten zu tauschen oder um ein Headset zum Telefonieren zu verwenden. Ganz anders der Fall in privaten Gebrauch, hier werden Bilder, Musik und Spiele übertragen und gelten der Unterhaltung innerhalb von 10m.

„Der große Vorteil der Bluetooth-Kommunikation liegt im Aufbau eines Ad-hoc Netzwerkes. Zwei oder mehr Endgeräte können, ohne vorher konfiguriert zu werden, miteinander kommunizieren. Diese Kommunikationsumgebung wird Piconetz (siehe Abbildung) genannt und kann bis zu acht aktive Teilnehmer haben. Die Grundlage für eine einfache Kommunikation ist mit Bluetooth-Technologie erreicht.“^[38]

Grundsätzlich bietet ein Mobiltelefon drei verschiedene Bluetooth-Modi:

Bluetooth an, Gerät sichtbar
Bluetooth an, Gerät nicht sichtbar
Bluetooth aus

Beim Verbindungsaufbau wird eine einseitige Authentifizierung verwendet, weshalb die Durchführung einer Man-In-The-Middle-Attacke möglich ist. Nur durch Verschlüsslungen kann eine sichere Verbindung aufgebaut werden. Diese Funktionalität ist optional und muss von einem der Teilnehmer angefordert werden. Über einen Kombinationsschlüssel oder Geräteschlüssel erfolgt die verschlüsselte Verbindung. Nicht empfehlenswert ist die Verschlüsselung über den statischen Geräteschlüssel. Bei Bluetooth ist die Komplexität des PINs maßgeblich. Bei der Anforderung von Combination Keys durch Bluetooth-Teilnehmer sollten Sie , aber wenig komplexe PINs verwenden, da auch hier ein Abfangen der Kommunikation möglich ist. So können beim Verbindungsaufbau diese PINs durch Mitschnitt erraten werden. Für 7-stellige Ziffernkombinationen ist dies innerhalb von 77 Sekunden möglich.

Tabelle 1: Durch das BSI empfohlene PIN-Längen bei vorgegebenem Zeichensatz
Verwendete Zeichen	Min. empfohlene PIN-Länge	Minimale PIN-Länge
0-9 (10 Zeichen)	19 Stellen ( = 63 Bit)	12 Stellen ( = 40 Bit)
0-9, A-Z (36 Zeichen)	12 Stellen ( = 62 Bit)	8 Stellen ( = 41 Bit)
0-9, A-Z, a-z (62 Zeichen)	11 Stellen ( = 65 Bit)	7 Stellen ( = 42 Bit)
(druckbares) ASCII (95 Zeichen)	10 Stellen ( = 66 Bit)	6 Stellen ( = 39 Bit)

Eine weitete gefährliche Attacke ist das Bluetooth-Hacking mit Hilfe von Software. Das Bluetooth-Hacking kann von verschiedensten Plattformen wie einem Computer der mit einem Linux läuft und mit leistungsstarken Empfangseinheiten zur Verwendung für Massen-Hacks oder direkt von einem anderen Handy mit einem installierten Java-Applet ausgeführt werden. Die Verwundbarkeit ist stark abhängig von der Bluetooth-Version des Endgerätes. Somit sind Geräte der älteren Generation einfach zu Hacken als aktuellere Modelle. „Die Möglichkeiten der verschiedenen Programme sind z. B.:

Lahmlegen des Endgeräts (DoS-Attacke)

Auslesen und Modifizieren von Daten im Gerätespeicher (z. B. Telefonbuch, SMS-Speicher, E-Mail-Speicher, Daten auf der Speicherkarte usw.)

Konfiguration des Endgeräts (Lautlosschalten, Rufannahme, Weiterleitung, An-rufe tätigen, zu einer Telefonkonferenz einladen usw.) „^[39]

Der Angreifer kann das gehackte Mobiltelefon komplett konfigurieren und fernsteuern. Die bei diesem Angriff gewonnen Daten und möglichen Modifikationen im Smartphone erlauben es dem Angreifer ebenfalls, später erneut eine Verbindung mit einem anderen Geräten automatisch über die Bluetooth-Verbindung aufzubauen. Ebenfalls können so Datenverbindungen und die dazu nötigen Verbindungsdaten geändert werden, um z. B. über einen vom Angreifer kontrollierten Proxy umzuleiten, auf diesem können dann alle übertragenen Daten gespeichert und später vom Angreifer für andere Zwecke missbraucht werden. „Ein Bluetooth-fähiges BlackBerry-Gerät kann mithilfe von IT-Richtlinien verwaltet werden. Standardmäßig enthält ein Bluetooth-fähiges BlackBerry-Gerät, das auf dem BlackBerry® Desktop Software Version 4.0 oder höher ausgeführt wird, die folgenden Sicherheitsmaßnahmen:

Sie oder ein Benutzer können die drahtlose Bluetooth-Technologie für das BlackBerry-Gerät deaktivieren.

Der Benutzer muss auf dem BlackBerry-Gerät eine Verbindung oder Kopplung mit einem anderen Bluetooth-Gerät anfordern und einen Kennschlüssel (auch als gemeinsam verwendeter geheimer Schlüssel bekannt) eingeben, um die Kopplung einzurichten.

Der Benutzer kann angeben, ob Daten, die über eine Bluetooth-Verbindung an das und vom BlackBerry-Gerät gesendet werden, verschlüsselt werden sollen. Die BlackBerry® Enterprise Solution verwendet den Kennschlüssel, um Verschlüsselungsschlüssel zu erstellen.

Das BlackBerry-Gerät zeigt dem Benutzer jedes Mal eine Aufforderung an, wenn ein Bluetooth-Gerät versucht, eine Verbindung mit dem BlackBerry-Gerät herzustellen.„ ^[40]^[41]

6.2.3 GPRS/UMTS

Abb. 6 Einbettung des GPRS-Teilsystems in GSM-Netz (vereinfachte Darstellung)^[42]

Der paketvermittelnde Dienst, General Packet Radio Service (GPRS) dient der Datenübertragung über GSM-Verbindungen. Erstmalig durch das European Telecommunications Standards Institute (ETSI) wurde GPRS standardisiert und in das GSM Release 97 integriert. Die Weiterführung übernahm später das 3rd Generation Partnership Project (3GPP). Das GPRS-Netz ist als Parallelnetz zum leitungsvermittelten Teil des GSM-Netzes zu sehen. Somit erweist sich das GPRS als wirksam, für Dienste, wie beispielsweise Push Mail, Internet Browsing, Instant Messaging usw. Es erfolgt eine Authentisierung analog zur Vorgehensweise innerhalb GSM-Netzen gegenüber dem Dienstanbieter. Gleichzeitig findet eine Verschlüsselung der Kommunikation unter Verwendung des GEA (GPRS Encryption Algorithm) statt.

Die dritte Generation mobiler Kommunikationssysteme (3G), wird durch das Universal Mobile Telecommunication System (UMTS) dargestellt.

Abb. 7 Aufbau der UMTS-Netzarchitektur eingebettet im GSM-Netz (vereinfachte Darstellung)^[43]

Die Basis für breitbandige multimediale Kommunikations- und Informationsdienste wird durch Übertragungsgeschwindigkeiten im Bereich von 144 kbit/s bis zu 384 kbit/s ermöglicht. Der Aufbau der UMTS-Netzarchitektur ist dem Aufbau von GSM/GPRS Netzen zunächst sehr ähnlich. Die Darstellung in der Abbildung verdeutlicht die Ähnlichkeit des Aufbaus. Durch das 3GPP-Forum wurde zur Codierung von Sprachdaten unter UMTS der Adaptive Multirate Wideband Codec (AMR-W) vorgeschlagen. Sie ermöglicht eine höhere Bandbreite des codierten Sprachsignals von 50Hz bis 7kHz des auch schon unter GSM einsetzbaren AMR (bisher 300Hz bis 3,4kHz). Zur Stabilisierung der Sprachqualität passt sich der adaptive Codec innerhalb der verfügbaren Datenrate an und fügt bei höherer Fehlerrate Redundanzinformationen hinzu. In der Regel wird bisher auf AMR zurückgegriffen, bei einigen Anbietern ist AMR-W bereits in der Erprobungsphase. Eine deutlich höherer Datenübertragung sind mit LTE, UMTS, aber auch mit GPRS und EDGE verbunden.

Um die Sicherheit der Verbindung via UMTS wahren verfügt diese über eine verbesserte Authentication and Key Agreement (AKA) Mechanismus. Die Kompatibilität zu GSM muss bei der Implementierung gewahrt werden. Dabei muss die Migration von GSM zu UMTS so einfach wie möglich gehalten sein.

6.2.4 LTE

Als die nächste Ausbaustufe der mobilen Datenübertragung wird LTE (Long Term Evolution) auch 4G genannt erwartet. Dabei steht die signifikante Steigerung der Datenraten und Verbesserung der Latenzzeiten im Mittelpunkt. Auch die sogenannten weißen Flecken, die ländlichen Regionen in Deutschland die noch nicht an die Breitbandversorgung angeschlossen sind, sollen damit erschlossen werden und somit auch jedem Bürger eine schnelle Datenverbindung ermöglichen. Erst im Jahr 2010 wurden die Frequenzen versteigert und werden nun von den Providern ausgebaut. ^[44] ^[45] ^[46]

6.2.5 Kabelgebunden

Aktuelle Verfahren des Abgleichens von Daten setzen auf Funk, aber auch über Kabel, wie Beispielsweise das Synchronisieren welches bei Microsofts Client ActivSync für Outlook zum übertragen von Kontakten, Terminen und Notizen zum Einsatz kommt. Dabei ist es von wesentlichem Vorteil eine Verbindung über ein Kabel herzustellen. Eine Kabelverbindung ist nur schlecht auszuspionieren. Die Blackberry Systeme sind sowohl über Funk als auch über Kabel abzugleichen. Da man mit den Systemen aber fast dauerhaft online ist, wird in den meisten Fällen die Übertragung ohne Kabel bevorzugt, dies ist auch für den Anwender komfortabler und von jedem Standort aus machbar.

7 Verbindungssicherheit

Das mobile Endgerät kann über Gerätesicherheiten oder verschiedene Verschlüsselungen gesichert werden, aber auch die Kommunikation zu anderen Geräten sollte nicht außer Acht gelassen werden. Die nachfolgenden Punkte zeigen auf, wie eine sichere Verbindung vom mobilen Endgerät zu einem Unternehmensnetzwerk hergestellt werden kann, welche Möglichkeiten das Unternehmen zur Absicherung von sensiblen Daten hat und was das Unternehmen tun kann, wenn das Gerät abhanden kommt.

7.1 Zugriff auf Unternehmensdaten

Mitarbeiter eines Unternehmens, die unterwegs sind und daher nicht die Unternehmensdaten verwenden können, haben oft das Verlangen, auf diese Daten zuzugreifen. Neben dem Abrufen täglicher Unternehmens-Mails als Grund für die permanente Erreichbarkeit können die Vorbereitung einer Unternehmenspräsentation, fehlende Daten, um eine Mail zu beantworten oder die Recherche von bereits vorhandenem Material weitere Gründe sein. Der Verbindungsweg von dem Mitarbeiter zum Unternehmen birgt jedoch viele Gefahren. Daher können bei unsachgemäßer Anwendung Unternehmensdaten ausspioniert oder gar entwendet werden. Die nachfolgenden Punkte beschreiben den Aufbau einer Verbindung von dem Endanwender zum Unternehmen und die Möglichkeiten für eine sichere Datenübertragung.

7.1.1 Synchronisation vs. Anzeige (Streamen) von Daten

Bevor eine Verbindung vom mobilen Endgerät zum Unternehmen erfolgen kann, ist es zunächst wichtig, die Möglichkeiten des Datenaustausches zu ermitteln. Im Wesentlichen gibt es neben der klassischen Datenübertragung (Daten von A nach B übertragen) zwei Möglichkeiten, sich Daten aus dem Unternehmen darstellen und übertragen zu lassen, die Synchronisation und die Anzeige durch das Streamen von Daten. Bei der Synchronisation werden zuvor konfigurierte Datenbereiche, wie Mails, Kontakte, Termine oder Aufgaben synchronisiert. D. h. die Daten werden von einem Server im Unternehmen bereitgestellt. Sobald ein mobiles Endgerät eine Verbindung mit diesem Server herstellt, werden die Daten auf das Endgerät repliziert, so dass die Daten redundant vorhanden sind. So muss der Mitarbeiter seine Mails z. B. nur mit dem Server synchronisieren und hat diese jederzeit auf seinem Endgerät zur Verfügung. Nach der Synchronisation spielt es hier keine Rolle, ob eine weitere Verbindung zu dem Unternehmen besteht oder nicht, die synchronisierten Daten sind jederzeit lokal verfügbar.^[47] Anders läuft es bei dem Streaming ab. Hier muss für ein reibungsloses Anzeigen eine kontinuierliche Verbindung zum Unternehmen bestehen. Im Einzelnen funktioniert das Streaming so, dass die Daten in kleine Datenpakete aufgeteilt und jedes für sich nacheinander und fortlaufend übertragen wird. Dabei ist der Startpunkt der Übertragungsdatei irrelevant. Ein klassisches Beispiel für diese Technik ist die Anzeige eines Videos. Durch das Streaming kann das Video von jeder beliebigen Position des Videolaufs angeschaut werden. Das Video muss also nicht zuvor komplett übertragen werden, sondern nur die gewünschten Datenpakete.^[48] Sowohl Windows Mobile 6.5, als auch BlackBerry bieten die Möglichkeit, Daten anzuzeigen und zu synchronisieren.^[49] Daher sind beide Betriebssysteme für den Einsatz geeignet.

7.1.2 Verschlüsselung

Um sicherzustellen, dass übertragene Daten ohne Manipulation den Empfänger erreichen können oder dass keine dritte Person auf die Daten Zugriff hat, können Daten verschlüsselt werden. Wie bereits im Punkt Verschlüsselung beschrieben gibt es für die Verschlüsselung mehrere Methoden. Diese Methoden können genutzt werden, um einzelne Daten lokal auf dem mobilen Endgerät zu verschlüsseln und sie somit vor dem Zugriff durch Dritte zu schützen. Auch können verschlüsselte Daten an andere Geräte gesendet werden, damit diese während der Übertragung oder beim Verlorengehen nicht eingesehen werden können. Windows Mobile 6.5 und BlackBerry bieten beide die Möglichkeit, Daten zu verschlüsseln und somit eine Sicherung zu gewährleisten.^[50] Damit eignen sich beide Betriebssysteme für den Einsatz.

7.1.3 VPN

Abb. 8 Virtual Private Network

Durch die alleinige Verbindung zum Unternehmen sind synchronisierte oder gestreamte Daten jedoch noch nicht gesichert. Mittels der VPN wird die Datenverbindung mit der Verschlüsselung kombiniert. Damit hat der Mitarbeiter eines Unternehmens die Chance, von Außerhalb auf Unternehmensdaten gesichert zuzugreifen.^[51] Dabei wird das Netzwerk des mobilen Endgerätes mit dem des Unternehmens verbunden. Über ein Handy kann der Mitarbeiter so auf die Daten im Unternehmensnetzwerk zugreifen , als ob er am PC in der Firma sitzt. Einzelne Daten werden mittels Software in Datenpakete zusammengefasst. Diese wiederum werden separat nach einem Verschlüsselungsverfahren, wie im Punkt Verschlüsselung beschrieben, verschlüsselt und entsprechend adressiert. Da die Adresse und der genaue Weg zum Ziel bereits über die Software bekannt sind, finden die verschlüsselten Datenpakete direkt ihren Weg zum Ziel. Durch die genaue Adressierung und die Zielfindung wird dies auch als direkte Tunnelverbindung bezeichnet.^[52] Abbildung 8 zeigt ein Beispiel für solch eine Tunnelverbindung. In der Abbildung ist das mobile Endgerät per VPN über das öffentliche Netzwerk, auch als Internet bekannt, mit dem Unternehmensnetzwerk verbunden. Somit können bei bestehender Verbindung die Daten sicher ausgetauscht werden. Eine Firewall, welche in der Abbildung als Wand dargestellt ist, dient dabei als Trennung vom öffentlichen zum Unternehmensnetzwerk. Die Firewall überprüft dabei jedes ausgetauschte Datenpaket auf Angriffsversuche. Dies wird mittels festgesetzter Regeln gesteuert, damit ein unerlaubter Zugriff unterbunden wird. Eine VPN Verbindung wird nicht physikalisch aufgebaut und benötigt daher immer entsprechende Software. Sowohl Windows Mobile 6.5, als auch BlackBerry bieten eine VPN Software auf den mobilen Endgeräten an.^[53] Daher haben Mitarbeiter des Unternehmens mit beiden Betriebssystemen die Möglichkeit eine VPN Verbindung zum Unternehmensnetzwerk aufzubauen.

7.1.4 Aktualität der Daten

Durch den mobilen Einsatz von Geräten ist eine ununterbrochene Verbindung zum Unternehmen oft nicht gegeben. Dies resultiert aus der nicht ausreichenden Netzabdeckung in Deutschland. Sendemasten, welche für eine Netzabdeckung sorgen, werden aus wirtschaftlicher Sicht vorrangig da aufgestellt, wo eine hohe Populationsrate ist. Das bedeutet, dass an Eisenbahngleisen z. B. kein Empfang ist, da hier oft auch keine Sendemasten in der Nähe sind. So kann es vorkommen, dass die Daten auf dem mobilen Gerät nicht den aktuellsten Stand haben. Für Mitarbeiter kann es ärgerlich sein, wenn nicht die aktuellen Daten, wie z. B. Mails auf dem Gerät zur Verfügung stehen. Unternehmen sehen dies jedoch aus einer anderen Perspektive. Wenn die Software auf den mobilen Endgeräten nicht regelmäßig aktualisiert wird, können durch potenzielle Angreifer Sicherheitslücken in der Software ausgenutzt werden. So kann es passieren, dass die Angreifer die Sicherheitslücke nutzen, sobald das mobile Endgerät mit dem öffentlichen Netz verbunden ist. Mit dem Windows Mobile 6.5 und auch mit dem BlackBerry ist es möglich, über das öffentliche Netz Softwareaktualisierungen durchzuführen und damit die Sicherheitslücken entsprechend zu schließen.^[54] Für den Unternehmenseinsatz sind hier beide Betriebssysteme geeignet.

7.1.5 Varianten des externen Zugriffs

Abb. 9 Demilitarisierte Zone

Eine Verbindung zum Unternehmen reicht für den Datenaustausch allein nicht aus. Das Unternehmen muss noch die entsprechenden Freigaben für die mobilen Endgeräte geben. Dabei gibt es mehrere Möglichkeiten, von Extern auf die Daten zuzugreifen. In der ersten Variante kann eine direkte Verbindung zum Unternehmensnetzwerk hergestellt werden. Mittels Berechtigungen kann dann der Zugriff auf die Daten gesteuert werden. Dies birgt für potenzielle Angreifer eine größere Angriffsfläche, da nur der Zugriff zum Netzwerk überwunden werden muss. Danach sind alle Daten für Angreifer offen zugänglich. In der zweiten Variante wird zwischen dem öffentlichen Netzwerk und dem Unternehmensnetzwerk eine DMZ geschaltet. In Abbildung 9 wird der Einsatz einer DMZ dargestellt. Ist ein Zugriff von Extern gestattet, wird von einem mobilen Endgerät, wie z. B. einem Notebook oder einem Handy , auf das Netzwerk im DMZ Bereich zugegriffen. Gesteuert werden die Zugriffe über eine Firewall. In der DMZ sind dann alle Server aufgestellt, die die Daten für den externen Zugriff bereitstellen. Im Einzelnen können dies Webserver, Datenserver und Mailserver sein. Dieses Netzwerk ist wiederum durch eine Firewall zum eigentlichen Unternehmensnetzwerk getrennt, so dass die Daten im Unternehmen für externe Nutzer im Verborgenen bleiben. Auf diese Weise ist für potenzielle Angreifer die Angriffsfläche eingeschränkt. Auch kann das Unternehmen in der DMZ nur die nötigen Daten, welche für den externen Zugriff notwendig sind, bereitstellen.^[55]

Neben den zwei genannten Varianten hat das Unternehmen auch noch die Möglichkeit, den externen Zugriff im eigentlichen Netzwerk zu steuern. Entweder kann sich der externe Nutzer mit den regulären Daten anmelden und somit auf die für ihn gewöhnlichen Daten zugreifen oder der externe Nutzer bekommt einen separaten Zugriff, welcher nur für die externe Nutzung geeignet ist. So kann über die entsprechenden Berechtigungen z. B. nur lesend auf ausgewählte Daten zugegriffen werden. Im Wesentlichen liegt die Entscheidung, an welche Unternehmensdaten das mobile Endgerät von Extern kommen soll, bei dem Unternehmen. Daher genügt es an dieser Stelle zu sagen, dass die Betriebssysteme Windows Mobile 6.5 und Blackberry den Datenzugriff von Extern unterstützen und sich damit beide für den Einsatz im Unternehmen eignen.

7.1.6 Sicherstellung der Zugriffsberechtigung

Sofern eine gesicherte Verbindung besteht und die Daten bereit sind, ausgetauscht zu werden, ist es für das Unternehmen ebenfalls wichtig, genau zu bestimmen, wer auf die Daten zugreifen darf. Aus diesem Grund gibt es die Authentifikation. Bei der Authentifikation gibt es mehrere Methoden, die von einem einfachen Passwort bis hin zu biometrischen Verfahren reichen. Mit der Authentifikation soll erreicht werden , dass die Person, welche auf die Daten zugreifen möchte, einen Nachweis erbringt. Nur so entsteht die Zugriffsberechtigung auf die Daten. Für den mobilen Einsatz ist es zunächst bei Handys üblich, dass der Benutzer sich über eine PIN zu erkennen gibt, um das Gerät freizuschalten und deren Funktionen nutzen zu können. Wenn das Gerät entsperrt ist, kann mittels Software eine Verbindung per VPN zu dem Unternehmensnetzwerk hergestellt werden. Hier kommen zunächst Zertifikate zum Einsatz, welche das Unternehmen selbst erstellen kann. Für eine Kommunikation mit anderen Unternehmen sollte bei den Zertifikaten auf die Gültigkeit geachtet werden. TrustCenter stellen daher die Glaubwürdigkeit und auch die Gültigkeit von Zertifikaten sicher. In den selbst erstellten Zertifikaten müssen alle relevanten Daten für die Unternehmenszugehörigkeit gespeichert werden.^[56] Wenn der Mitarbeiter nun erfolgreich eine VPN Verbindung aufgebaut hat, kann die nächste Authentifikationshürde die Anmeldung an dem Unternehmensnetzwerk sein. Mit diesem Nachweis, welcher einen Benutzernamen und ein Passwort beinhaltet, werden in Unternehmen oft die entsprechenden Rechte, welche über ein Rollenkonzept definiert sind, vergeben. Mit den Rechten kann sich der Mitarbeiter nun im Netzwerk bewegen und auch Daten entsprechend der Berechtigungen manipulieren. Das Unternehmen muss immer davon ausgehen, dass wenn die entsprechenden digitalen Nachweise erbracht sind, auch der entsprechende Benutzer sich dahinter befindet. Sollte der Benutzer die Daten verlieren oder werden die Daten durch Sicherheitslücken von Dritten ausgelesen, kann das Unternehmen keinen Nachweis über den tatsächlichen Nutzer erhalten. Windows Mobile 6.5 und BlackBerry unterstützen beide die gängigen Authentifikationsverfahren.^[57] Daher sind hier beide Betriebssysteme für den Unternehmenseinsatz geeignet. Durch die Authentifikation kann das Unternehmen nachverfolgen, ob der jeweilige Mitarbeiter arbeitet oder nicht. Ein klassisches Beispiel hierfür ist der Status. Wenn der Mitarbeiter eingeloggt ist, arbeitet er und wenn er nicht eingeloggt ist, dann arbeitet er nicht. Aus diesem Grund muss hier noch das Datenschutzgesetz beachtet werden.

7.2 Handlungsmöglichkeiten bei Verlust/Diebstahl

Der Verlust oder auch der Diebstahl von mobilen Endgeräten ist für die jeweils betroffene Person immer eine emotionale Herausforderung. Unabhängig davon ist auch das Unternehmen davon betroffen. Das Unternehmen interessiert sich an der Stelle mehr für den möglichen Verlust der Daten und der damit verbundenen Möglichkeit, Dritten auf die sensiblen Unternehmensdaten ungewollten Zugriff zu gewähren. Damit das Unternehmen beim Verlust oder auch beim Diebstahl keine Sorge hat, bedarf es entsprechender Sicherheitsvorkehrungen. Die nachfolgenden Sicherheitsmaßnahmen sind einfach zu realisierende Präventionen und dienen dem Schutz der Unternehmensdaten.

7.2.1 Sperren

Durch den Verlust soll es anderen Teilnehmern unmöglich gemacht werden, auf sensible Unternehmensdaten zuzugreifen. Eine Möglichkeit ist das Sperren eines mobilen Endgerätes. Dazu wird in dem Gerät ein frei wählbares Passwort vergeben, welches gespeichert wird. Sobald das Gerät gesperrt ist, bedarf es der Eingabe dieses Passwortes, um das Gerät im vollen Umfang zu nutzen und die Sperre bis zur nächsten Sperrung aufzuheben. Um ein Gerät zu sperren gibt es im Wesentlichen zwei Möglichkeiten. Bei der ersten Variante muss eine manuelle Sperrung erfolgen. Dies birgt allerdings den großen Nachteil, dass wenn eine manuelle Sperrung nicht erfolgt und das Gerät verloren gegangen ist, jeder auf das Gerät zugreifen kann. Die zweite Variante ist die am häufigsten verwendete Variante . Hier erfolgt eine automatische Sperrung des Gerätes, sobald es für ein bestimmtes Zeitintervall nicht genutzt wird. Windows Mobile 6.5 und Blackberry bieten beide die Möglichkeit, das Gerät manuell und auch automatisch zu sperren. Für den Unternehmenseinsatzes sind daher beide Betriebssysteme geeignet.

7.2.2 Wipen

Wie bereits im Punkt Wipen beschrieben, kann eine komplette Löschung der Gerätedaten bei einem Missbrauchsverdacht erfolgen. Neben dieser Variante, bei der die Sicherheitsoptionen bereits definiert sind, kann eine manuelle Löschung durchgeführt werden. Dies wird auch als Wipen bezeichnet. Bei der manuellen Löschung der Gerätedaten wird vom zuständigen Sachbearbeiter (oft Administrator genannt) der Auftrag zur Löschung über eine entsprechende Unternehmenssoftware, welche auf Servern im Unternehmen laufen, erteilt. Sobald sich das mobile Gerät mit dem Unternehmensserver verbindet und versucht, Daten zu synchronisieren oder anzuzeigen, wird der Löschauftrag bearbeitet und die Löschung der Daten erfolgt per Remote.^[58] Neben der Softwarelösung über die Unternehmensserver bieten immer mehr Mobilfunkanbieter den Dienst des Wipens über ein Onlineportal an. Aus der zuvor genannten Vorgehensweise bei diesem Verfahren wird deutlich , dass als Voraussetzung für diese Art des Wipens eine Verbindung zum Unternehmen bestehen muss, damit die Löschung durchgeführt werden kann. Sobald also das mobile Endgerät von Dritten gefunden wird und diese die SIM-Karte entfernen, kann keine Verbindung mehr hergestellt werden und das Wipen ist nicht mehr möglich. Dadurch besteht die Gefahr, dass Daten, welche sich lokal auf dem Gerät befinden, trotz Sicherheitsmechanismen gelesen werden können. Über die Administration vom Microsoft Exchange Server lässt sich das Wipen für Microsoft Mobile 6.5 steuern.^[59] Beim BlackBerry wird der Befehl für das Löschen der Daten über den Fernzugriff über den Black Berry Enterprise Server gegeben. Auch wenn die Umsetzung unterschiedlich ist, bieten beide Betriebssysteme die Möglichkeit des Wipens und sind so für den Einsatz geeignet.

7.2.3 Orten des Gerätes

Alle mobilen Geräte mit einer Netzverbindung (Telefon oder Internet) können geortet werden. Der Vorteil liegt schnell auf der Hand. Beim Verlust des Gerätes kann der Mitarbeiter oder das Unternehmen per Ortungssoftware das fehlende Gerät schnell wieder auffinden. Dazu muss dieses jedoch zum Suchzeitpunkt in Betrieb sein und sich mit dem Netz verbunden haben. Bei Handys besteht eine dauerhafte Verbindung, da es immer mit nahe liegenden Sendemasten kommuniziert. Davon ausgenommen sind Funklöcher, die entstehen, wenn kein Sendemast in der Nähe ist. Anhand der Informationen zu einem solchen Sendemast kann hier der ungefähre Aufenthalt des Gerätes bestimmt werden.^[60] Viele Mobilfunkanbieter bieten den Dienst des Ortens über Onlineportale an, worüber der Kunde in Erfahrung bringen kann, wo sich sein mobiles Endgerät befindet. Bei der Ortung des Gerätes spielt das Betriebssystem keine Rolle, daher ist eine Ortung mit Windows Mobile 6.5 und BlackBerry möglich. Für den Unternehmenseinsatzes muss hier noch beachtet werden, dass die Ortung eines Gerätes die Persönlichkeitsrechte des Mitarbeiters verletzten kann. Daher sollte sich das Unternehmen vor dem Einsatz der Ortungsmöglichkeit mit dem Bundesdatenschutz befassen.

All die aufgezeigten Möglichkeiten der Verbindungssicherheiten bieten dem Unternehmen eine gewisse Kontrolle über die Daten. Jedoch sind die Verbindungssicherheiten auch begrenzt. So kann es z. B. vorkommen, dass ein Handy, ein Notebook oder ein anderes mobiles Endgerät vollständig vor einem missbräuchlichen Zugriff gesichert ist. Doch nützt dieser Schutz nichts, wenn der Benutzer des Gerätes damit unachtsam umgeht. Ein Beispiel dafür ist das Arbeiten am Notebook im Flugzeug oder in der Bahn. Menschen, die einen Platz neben oder hinter dem Benutzer des Notebooks haben, können ohne weiteres auf die Daten schauen, obwohl eine entsprechende Sicherheit der Datenübertragung gegeben ist. Für solche Szenarien müssen die Benutzer sensibilisiert werden, doch gibt es keine genaue Kontrolle dafür.

7.3 Nutzwert der Verbindungssicherheiten

In den vorherigen Punkten wurden die beiden Betriebssysteme Windows Mobile 6.5 und BlackBerry unter verschiedenen Gesichtspunkten verglichen. Im Folgenden werden in der Übersicht die vergleichenden Punkte nochmals dargestellt, um so aufzuzeigen, welches der beiden Betriebssysteme die bessere Wahl im Bereich der Verbindungssicherheiten ist:

Tabelle 2: Nutzwert der Verbindungssicherheiten
		BlackBerry	Windows Mobile 6.5
mobiler Zugriff auf Daten	Daten synchronisieren / anzeigen (streamen)	X	X
	Verschlüsselung	X	X
	VPN	X	X
	Aktualität der Daten	X	X
	externer Zugriff auf Daten	X	X
	Authentifizierung	X	X
Verlust / Diebstahl	Sperren	X	X
	Wipen	X	X
	Orten des Gerätes	X	X

Wie zu erkennen ist, bieten beide Betriebssysteme die gewünschten Verbindungssicherheiten. Aus diesem Grund wurde auf eine weitere Nutzwertanalyse mit einer entsprechenden Gewichtung der einzelnen Punkte, welche in der vertikalen Achse aufgelistet sind, verzichtet.

Damit sind beide Betriebssysteme geeignet die sensiblen Unternehmensdaten angemessen zu sichern und können somit ohne Bedenken in der Praxis für diesen Zweck verwendet werden.

8 Verwaltung von Geräten

8.1 Ziel / Aufgabe

Es besteht für Unternehmen eine Inventarisierungspflicht für geringwertige Wirtschaftsgüter laut Einkommenssteuergesetz:

"Wirtschaftsgüter im Sinne des Satzes 1, deren Wert 150 Euro übersteigt, sind unter Angabe des Tages der Anschaffung, Herstellung oder Einlage des Wirtschaftsguts oder der Eröffnung des Betriebs und der Anschaffungs- oder Herstellungskosten oder des nach Absatz 1 Nummer 5 bis 6 an deren Stelle tretenden Werts in ein besonderes, laufend zu führendes Verzeichnis aufzunehmen." (§ 6 Abs. 2 Satz 4 EStG) ^[61]

Somit ist mindestens eine geführte Auflistung der mobilen Geräte notwendig. Jedoch ist auch die Organisation der Geräte ein Hauptziel der Verwaltung. Diese Anforderung kann aus verschiedenen Bereichen des Unternehmens hervorgehen. Sollte beispielsweise die IT ausschließlich für die Geräte verantwortlich sein, so ist es nötig, eine genaue Auflistung der verschiedenen Modelle und den zugehörigen Benutzern zur Verfügung zu stellen. Schnittstellen könnten beispielsweise für den Helpdesk zur Verfügung gestellt werden, so dass dieser bei einem auftretendem Problem sofort Informationen über Hersteller, Modell, ROM-Version, Kaufdatum u.v.m. einsehen können. Dies sind Daten, welche für Problemlösungen oder Herstelleranfragen meist benötigt werden. Mögliche Sicherheitslücken im ROM der mobilen Geräte oder der installierten Applikationen sollten stets behoben und gepached werden. Um sicherzustellen, ob die eingesetzten Geräte von einer bekannten Sicherheitslücke betroffen sind, bedarf es ebenfalls einer Auflistung der verwendeten Geräte sowie deren ROM-Version und installierten Applikationen. Eine weitere Abteilung, welche Interesse an den Geräteinformationen haben könnte wäre der Einkauf. Soweit es sich um Firmenhandys handelt, werden auch die Handyverträge über das Unternehmen laufen. Renommierte Provider bieten für einzelne Verträge und Handymodelle neben den für das Unternehmen ausgehandelten Konditionen noch weitere Vergünstigungen. Um für diese Verhandlungen Anzahl und Alter der verwendeten mobilen Geräte stets aktuell zu haben, ist auch für diesen Einsatz eine Verwaltung der Geräte notwendig. Doch auch Themen wie Reparaturanfragen und Garantiefälle benötigen für die Auslösung meist mehr Daten des Gerätes als nur die Modellbezeichnung. Abschießend sind für Versicherungsfälle z.B. bei Raub oder Verlust dem Versicherungsunternehmen Daten wie IMEI und Seriennummer zu nennen. Im Falle einer polizeilichen Anzeige sind diese Daten ebenfalls zu nennen um ggf. wieder auftauchende oder weiterverkaufte Handys zu identifizieren.

8.2 Standort der Verwaltung

Die Standortwahl für die Verwaltung hängt zum einen von der Unterstützung der Software und zum anderen vom Aufbau des Unternehmens ab. Sie kann sowohl zentral als auch dezentral organisiert werden. Im folgenden werden die beiden Möglichkeiten vorgestellt und abschießend miteinander verglichen.

Abb. 10 Zentrale Verwaltung

8.2.1 Zentrale Verwaltung

Bei der Zentralen Verwaltung werden alle mobilen Geräte von einem Standort aus administriert. Die Änderungen der Richtlinien müssen nur einmal zentral angepasst werden. Zusätzlich kann eine Auflistung aller verwendeten mobilen Geräte jederzeit erfolgen. Bei der kabelgebundenen Gerätekonfiguration ergibt sich jedoch ein Nachteil, weil die Änderung der Richtlinie noch nicht auf dem Rechner an dem das Gerät angeschlossen ist angekommen ist. Es bedarf einer gewissen Zeit, bis alle Rechner von der neuen Richtlinie erfahren haben. Es handelt sich jedoch hierbei um Zeiten von max. 10 Min. so das dies als kleiner Nachteil zu bewerten ist. Stärker fällt jedoch die eingeschränkte Individualisierung der Richtlinien ins Gewicht. Wenn beispielsweise SD-Karten in den mobilen Geräten in der einen Filiale erlaubt sein sollen, und in anderen Filialen nicht, so sind hierfür zwei separate Richtlinien im System zu erstellen und zu verteilen. Dies erhöht den Verwaltungsaufwand in der Zentrale, da nur dort diese Einstellungen getätigt werden können.

8.2.2 Dezentrale Verwaltung

Abb. 11 Dezentrale Verwaltung

Bei der dezentralen Verwaltung der mobilen Geräten sind die Filialen des Unternehmens jeweils selbst zuständig für Ihre Geräte. Sie besitzen jeder einen Manage Server für die mobilen Geräte. Dadurch ist eine schnellere Reaktion auf Richtlinien Änderung möglich. Auch können für jede Filiale individuelle Richtlinien erstellt werden, da jedes System nur für die eigenen mobilen Geräte zuständig ist. Nachteile gegenüber der zentralen Verwaltung sind jedoch, dass keine bzw. kaum eine gesamte Liste bzw. Verwaltung der Geräte ermöglicht werden kann. Bei möglichen Updates der mobilen Gerätesoftware müsste jeder Verwaltungspunkt für sich eingerichtet werden. Zudem wird bei den meisten Herstellern die Lizenzierung über die installierten Server gesteuert. So wäre für jede Installation eine explizite Lizenz zu erwerben.

8.2.3 Umsetzung in Bespielsystemen

Abb. 12 BlackBerry Architektur

In diesem Abschnitt soll kurz auf die Umsetzung der vorher genannten Anforderungen in den beiden Beispiel-Systemen eingegangen werden.

Die Linke Abbildung zeigt die Architektur von BlackBerry. Rechts im Bild sind die Geräte, welche sich über eine Funkverbindung (WLAN/GSM/UMTS) mit dem Internet verbunden sind abgebildet. Der linke Bereich zeigt die benötigte Serverinfrastruktur.Die Geräte bauen über die Internetverbindung eine verschlüsselte Verbindung mit dem BlackBerry Enterprise Server auf. An den Schlüssel/Schloss Zeichen ist zu erkennen, dass es sich hierbei um eine Punkt zu Punkt Verbindung handelt. Auf dem BES wird nun die Identität des Gerätes geprüft. Anhand der eingerichteten Berechtigungen für das Gerät erhält der Nutzer dann Zugriff auf die angeforderten Ressourcen. Dies zeigt, dass es sich hier um eine zentrale Verwaltung handelt. Es ist jedoch auch möglich diese Struktur in jeder Filiale einzeln aufzusetzen, die ist jedoch nicht üblich. Der BES enthält sämtliche Informationen und stellt diese über ein Web-Front-End Berechtigten Benutzern zur Verfügung. So ist es beispielsweise möglich, dem Einkauf lesenden Zugriff auf die Geräteliste zu geben. Der IT Helpdesk hingegen kann über diese Schnittstelle weitere Informationen einsehen und ggf. einstellen. Warum sich Blackberry für eine Web-Lösung für die Konsole entschieden hat lässt sich an der "Self-Service Funktion" erklären. Sollte der Fall eintreten, dass ein Gerät verloren wird, so kann der Besitzer über ein Web-Portal diese Konsole aufrufen und das Gerät als verloren melden, sowie ggf. einen Wipe-Befehl auslösen. Dies erleichtert die Absicherung des Gerätes, weil in solchen Fällen nicht der Helpdesk kontaktiert werden muss, der zunächst die Authentifizierung des Handybesitzers sicherstellen müsste, bevor der Wipe-Befehl abgeschickt wird.

Abb. 13 Microsoft System Center Mobile Device Manager Architektur

Das rechte Bild zeigt die Architektur der Microsoft Mobile Device Management (MDM) Lösung. Links im Bild ist ein konfiguriertes Gerät zu sehen, welches über die gleichen Wege wie BlackBerry Geräte eine Verbindung zum Internet aufbauen können. Microsoft setzt bei der Verbindung ins Unternehmen auf die VPN-Architektur. Managed Geräte besitzen ein Zertifikat, welches vom MDM Gateway geprüft wird. Hier wird eine erste Auswahl getroffen, ob das Gerät änderungen an der Konfiguration abruft, oder ob Daten vom Unternehmen geladen werden sollen. Je nach Ziel der Anfrage leitet das Gateway diese an die zuständigen Server weiter. Zentrale Verwaltungseinheit ist in dieser Architektur ist der MDM Device Management Server. Er kann über eine Konsole angesprochen werden, welche die Geräteinformationen aus der Datenbank grafisch aufbereitet und anzeigt. Somit wäre hierbei eine Berechtigungsstruktur nötig, um dem Einkauf nur Lesenden Zugriff auf diese Daten gewähren zu können. Außerdem müsste auf jedem Rechner die Konsole installiert werden, welche sich zum MDM DM verbindet. Das neu Konfigurieren von mobilen Geräten übernimmt ein extra Server, der sog. MDM Enrollment Server. Dieser benötigt Zugang zu einem Zertifikats-Service um das vorher genannte Zertifikat für jedes Gerät bei der Einrichtung anfordern zu können. Die Zuordnung zum Handybesitzer wird über den Domain Controller realisiert. Somit entfallen zusätzliche Benutzerstrukturen, und das Handy bekommt automatisch die Datei-/Verzeichnisrechte des zugeordneten Besitzers. Damit ist sichergestellt, das der Handybesitzer über das Handy die gleichen Rechte wie auf seinem Unternehmensrechner besitzt. Über die Konsole können bspw. der IT-Helpdesk die Reglementierung der Geräte vornehmen. Auch der Wipe-Befehl kann über die Konsole abgesetzt werden.

8.3 Organisation

Inhomogene Infrastrukturen erschweren die Organisation und Verwaltung in einem hohen Maße. Wenn die IT mobile Geräte in die Unternehmensstruktur aufnehmen will, so sollte sie die verschiedenen Hersteller und die Modellvielfalt berücksichtigen. Die beiden Beispiel-Systeme können nur Geräte mit dem Hersteller Betriebssystem (OS) managen und Absichern. In diesem Punkt unterscheiden sich die vorgestellten Systeme deutlich. BlackBerry vertreibt Mobilgeräte mit Ihrem OS, Microsoft hingegen vertreibt keine Geräte, sondern stellt das OS verschiedenen Handyherstellern zur Verfügung (z.B. HTC, LG, Samsung, uvm.). Daher ist die Breite der zur Verfügung stehenden Handymodelle bei Blackberry stark eingeschränkt. Dafür können Reglementierungen, die speziell auf das OS zugeschnitten sind vorgenommen werden, wohingegen Microsoft eher allgemeine Reglementierungen zulässt. Vor Einführung von mobilen Geräten ist daher zu prüfen, welche Geräte genutzt werden sollen. Es gibt inzwischen Software und Systemlösungen, welche eine OS übergreifende Reglementierung ermöglichen, so das auch inhomogene Handyinfrastrukturen verwaltet werden können. Diese wurden jedoch nicht in dieser Fallstudie betrachtet.

8.3.1 Steuerung der Richtlinien

Für die Reglementierung hat sich die Rechteverwaltung mit Benutzergruppen bewährt, so dass sie in den meisten Systemen zum Einsatz kommt. Dabei werden einzelne Benutzer angelegt, denen Eigenschaften, und Geräte zugeordnet werden können. Parallel dazu können Richtlinienkataloge erstellt werden, und einer Gruppe zugeordnet werden. Diese Struktur ermöglicht eine dynamische Zuordnung einzelnen Benutzer und Richtlinien, durch einfaches aufnehmen in eine Gruppe. Alle Handys des zugeordneten Benutzers erhalten somit die Richtlinien in denen sich der Benutzer befindet. Bei BlackBerry muss diese Struktur neu aufgebaut werden, in der Microsoft Umgebung wird hierbei auf die in Microsoft-Netzwerken schon vorhandene Domainstruktur zurückgegriffen. Diese enthält bereits Benutzer und Gruppen, somit wird diese Struktur nur noch um die Richtlinien erweitert.

8.3.2 Software

Abb. 14 Startseite des Blackberry Verwaltungsportals

Abb. 15 Konsolenansicht des System Center Mobile Device Manager (SCMDM)

Wie in den vorherigen Punkten immer wieder erwähnt gibt es sog. Konsolen um die Geräte zu managen. Diese vom Hersteller mitgebrachte Software dient zum einen der Organisation und zum anderen der Verwaltung der Geräte. Wie bereits im Punkt 8.2.3 erwähnt, setzt BlackBerry hierbei auf eine Weblösung, Microsoft hingegen auf eine native Konsole, die auf dem Rechner installiert, bzw. auf dem Server geöffnet werden muss. Links ist die Startseite des BlackBerry Portals zu sehen, welche nach Einrichtung des Servers für Konfigurationen zur Verfügung steht. Der Vorteil liegt hierbei dass rechnerunabhängig auf dieses Portal zugegriffen werden kann. Es ist keine Installation von Software nötig, weil das Management über einen beliebigen Browser getätigt werden kann. Im linken Bereich sind die einzelnen Bereiche zur Konfiguration aufgelistet. Es kann dadurch mit wenigen Klicks der gewünschte Bereich erreicht und Einstellungen getätigt werden. Nachteilig ist, das dieses Portal vor unbefugtem Zugriff geschützt werden muss. Dies gilt sowohl für den Zugriff außerhalb des Unternehmens, als auch für den Zugriff innerhalb der Unternehmensinfrastruktur. Die vorher erwähnte Benutzersteuerung unterstützt diese Reglementierung, so dass die erfassten Benutzer nur das sehen, was ihr mobiles Gerät betrifft. Administratoren hingegen können übergreifende Einstellungen tätigen, sowie die Rechteverwaltung der einzelnen Benutzer steuern.

Bei der Microsoft Lösung ist eine Installation der Managementkonsole nötig, um mit dem MDM kommunizieren zu können. Diese Konsole ist vorrangig für den Administrativen eingriff gedacht, somit entfällt die bei BlackBerry genannte Authentifizierung des Benutzers. Microsoft verfolgt den Ansatz, dass mobile Geräte einmal eingerichtet werden, und danach nur noch selten Konfigurationsänderungen erhalten. Somit wird kein Benutzerportal benötigt. Nachteilig ist hierbei z.B. das Absetzen eines Wipe-Befehls. Dies kann nur der Administrator, so dass es vorab einer Benutzerauthentifizierung bedarf. Wenn sich beispielsweise ein Mitarbeiter auf einer Dienstreise befindet und dem Helpdesk telefonisch sein Handy als vermisst meldet, so muss dieser zunächst sicherstellen, dass es sich wirklich um den Handybesitzer handelt. Wie bei BlackBerry ist die Konsole auch mit einer Leiste ausgestattet, welche schnelles erreichen der gewünschten Bereiche ermöglicht. Zusätzlich existiert ein rechter Steuerbereich, der die gängigsten Funktionen per einfachem Klick ausführen lässt. Um Verwaltungs-/Gerätedaten anderen Unternehmensbereichen zur Verfügung zu stellen bedarf es zum einen Kenntnis des Systemaufbaus sowie Zugriff auf die Datenbank. Die verwalteten Daten liegen in einer SQL-Datenbank, und können von dort aus beliebig exportiert werden. Von einer externen Veränderung der Daten rät Microsoft jedoch strickt ab, um eine Inkonsistenz der Daten zu vermeiden.

9 Nutzen-/Kosten Vergleich

Tabelle 3: Windows Mobile Kosten
Windows Mobile
Server	2.149,00 $
Server + SQL	3.041,00 $
Gerät (CAL)	57,00 $

Tabelle 4: BlackBerry Kosten
BlackBerry
Server	3.999,00 $	Srv+20 CAL
Server	2.999,00 $	Srv+1 CAL
Gerät	80,00 $	1 CAL
	350,00 $	5 CAL
	570,00 $	10 CAL
	2.800,00 $	50 CAL
	5.000,00 $	100 CAL

9.1 Nutzenbetrachtung

Wie bereits in der Nutzwertanalyse zu erkennen ist, unterscheiden sich die betrachteten Systeme bezüglich Ihrer zur Verfügung gestellten Funktionen kaum voneinander. Somit gestaltet sich die Bewertung des Nutzens von mobilen Geräten als ebenfalls sehr schwierig. Zum einen ist der Nutzwert abhängig von der Art, wie die mobilen Endgeräte im Unternehmen eingebunden werden, und zum anderen welche Daten mobil verfügbar gemacht werden. Ein kurzes Beispiel soll dies verdeutlichen:

Alle Mitarbeiter eines Unternehmens erhalten ein gemanagtes Gerät auf denen die Kontakte und Termine des jeweiligen Mitarbeiters synchronisiert sind. Weitere Daten sollen nicht von den Geräten verarbeitet werden. In diesem Falle könnte, in Kombination eines geeigneten Mobilfunkvertrages die Nutzung von Festnetzanschlüssen in Frage gestellt werden. Handelt es sich bei dem Unternehmen zudem um bspw. eine Beratungsfirma, so dass alle Mitarbeiter nicht fest an einem Arbeitsplatz arbeiten müssen, so wäre der Nutzen durch die mobilen Endgeräte sehr hoch. Es würden keine Palms oder andere Handhelds für die Terminorganisation benötigt werden und die benötigten Kontakte stünden dem Mitarbeiter stets zur Verfügung.

Mobile Daten müssten hingegen kaum ausgetauscht werden, so dass auf eine sichere Verbindung ins Unternehmen nicht nötig wäre. Aktualisierungen der Daten könnten bspw. über die Mitarbeiternotebooks realisiert werden.

Anders hingegen wäre es wenn ein Unternehmen mobile Geräte für Mess- und Prüfwerterfassungen nutzen würde. Beispielsweise könnten Mitarbeiter im Außeneinsatz über eine spezielle Applikation Messwerte erfassen, welche sofort an den zentralen Server gesendet werden um diese dort auszuwerten. In diesem Falle steht der Nutzen des mobilen Sprachfunks im Hintergrund und das mobile Erfassen und sichere Übermitteln von Daten im Vordergrund. Zum einen kommt hierbei ein ganz anderes Sicherheitskonzept zum tragen, aber vor allem ist der Nutzwert des Gerätes ein anderer. Es würden hierbei beispielsweise keine kompletten Notebooks für die Datenerfassung benötigt werden, sondern der Mitarbeiter könnte sein mobiles Gerät zum einen als Handy und zum anderen als mobiles Erfassungsmodul nutzen.

Der Austausch mobiler Daten wäre hier im Gegensatz zum ersten Beispiel unabdingbar. Somit würden Verbindungssicherheiten und Verschlüsselungen stärker benötigt werden.

An diesen beiden Beispielen wird deutlich, das die Art des Einsatzes von mobilen Endgeräten stark den Nutzwert beeinflusst. Daher wird im weiteren keine Nutzwertanalyse durchgeführt, sondern nur Punkte angesprochen, welche unbedingt in diese einfließen sollten.

Der Punkt Mobilität spielt inzwischen eine wichtige Rolle. Seit der Verbreitung von Notebooks im Unternehmenseinsatz, ist es sehr wichtig geworden, Daten überall dabei bzw. im Zugriff zu haben. Durch die immer kleiner werdenden Geräte wird dieser Aspekt immer beliebter und für den Nutzer einfacher zu handhaben.

Ein weiterer Bereich, der in die Nutzwertanalyse einfließen muss ist die Flexibilität, die durch den Einsatz von mobilen Endgeräten erreicht wird. Wie bereits weiter oben in zwei Beispielen beschrieben, kann der Einsatz sehr flexibel gestaltet werden und je nach Bedarf und Anwendungszweck angepasst werden. Somit kann das Thema mobile Endgeräte sich auf viele Unternehmensbereiche auswirken. Durch eine zentrale Lösung, können dann die speziellen Anwendungsszenarien flexibel angepasst werden.

Wenn es um Unternehmensdaten geht, spielt das Thema Absicherung immer eine wichtige Rolle. Die zuvor erwähnter Mobilität kann schnell bei unaufmerksamer Verwendung zu einem Sicherheitsproblem führen. Mit den derzeitigen Lösungen zur Verwaltung von mobilen Endgeräten können jedoch Sicherheitsrichtlinien gesteuert werden, um damit eine grundlegende Gerätesicherung sicherzustellen. Nichtsdestotrotz kann eine 100% Sicherheit nie gewährleistet werden, so dass immer ein Zusammenspiel zwischen Gerätesicherheit und Sicherheitsbewusstsein des Nutzers von Nöten ist.

Der flexible Einsatz kann zur Erleichterung der Durchführung von Unternehmensprozessen genutzt werden. Somit kann auch die Produktivität durch das Nutzen von mobilen Endgeräten gesteigert werden. Sei es, dass Daten schneller Erfasst (z.B. über RFID) oder einfacher zugänglich gemacht werden können, die Unterstützung der Unternehmensabläufe ist stets gegeben.

9.2 Kostenbetrachtung

Um dem Nutzen auch eine Kostenanalyse entgegenzustellen werden hier die Lizenzkosten der beiden Systeme miteinander verglichen. Dies sind die Kosten, in denen sich die beiden Systeme unterscheiden, weil sie die gleichen Anforderungen an Hard- und Software besitzen. Diese würden bei einer kompletten Kostenauflistung bei beiden Systemen hinzu kommen, als Beispiel sind hier bei der Hardware: Server, mobile Endgeräte und Zubehör und bei Software: Betriebssystem, Datenbankserver und Zusatzsoftware zu nennen. Die Lizenzkosten für Windows Mobile ist der Tabelle 1, die für BlackBerry der Tabelle 2 zu entnehmen. Beide Hersteller unterteilen diese in gleicher Form. Zum einen eine Lizenz für den Server, und zum anderen Lizenzen für jedes verwaltete Gerät. BlackBerry bietet zwei verschiedene Serverlizenzpakete an, einmal mit einer zusätzlichen Gerätelizenz (CAL), und einmal mit bereits 20 CALs inklusive. Weil eine Datenbank in beiden Systemen benötigt wird, und BlackBerry diese nicht mit anbietet, wird bei Windows Mobile nur die Serverlizenz betrachtet. Um einen Vergleich herzustellen wurden in den Tabellen 3-5 Beispielrechnungen vorgenommen. Diese Kosten ergeben sich bei der Betrachtung von Lizenzkosten für einen Server sowie 301 mobilen Geräten, welches der Größe eines Kleinunternehmens entsprechen könnte.

Es wird bei dieser Betrachtung deutlich, dass alle Berechnungen recht nahe beieinander liegen. Microsoft liegt mit seiner Serverlizenz unter der von BlackBerry, hat jedoch keine Gerätelizenzstaffelung. Bei 10 Geräten gleicht sich bereits der Preis der Gerätelizenzen, und über diesem Wert ist die Gerätelizenz der BlackBerry Lösung günstiger. Wächst die Geräteanzahl jedoch nur langsam, so dass Lizenzmengen von < 10 Stk. gekauft werden, so ist BlackBerry wieder teurer. Die Berechnungen in Tabellen 3-5 zeigen daher nur die einmaligen Anschaffungskosten des Systems mit 301 Geräten, welche gleich zu Beginn eingerichtet werden sollen. Für diesen speziellen Fall würde die Entscheidung aus reiner Kostenbetrachtung auf die BlackBerry Lösung fallen.

Tabelle 5: Berechnung für Windows Mobile
Windows Mobile
Server	2.149,00 $
301 Geräte	17.157,00 $
Gesamt	19.306,00 $

Tabelle 6: Berechnung für BlackBerry 1
BlackBerry
Server + 20 CAL	3.999,00 $
281 Geräte	14.590,00 $
Gesamt	18.589,00 $

Tabelle 7: Berechnung für BlackBerry 2
BlackBerry
Server + 1 CAL	2.999,00 $
300 Geräte	15.000,00 $
Gesamt	17.999,00 $

10 Fazit / Ausblick

In dieser Fallstudie wurden die Punkte Verschlüsselung, Geräte- und Verbindungssicherheit von mobilen Geräten genauer betrachtet. Es wurden Möglichkeiten und Ausblicke, welche bei einer Implementierung in die bestehende IT-Infrastruktur beachtet werden sollten, gegeben. Anhand zweier Betriebssysteme wurden spezielle Beispiele aufgezeigt und erläutert, sowie eine generelle Kostenbetrachtung durchgeführt. Abschließend werden in diesem Fazit die resultierenden Empfehlungen aufgrund der durchgeführten Analysen aufgezeigt.

Die Hybridverschlüsselung in Verbindung mit der digitalen Signatur bietet einen sicheren Schutz, um vertrauliche Daten zu übermitteln. Die große Schlüssellänge minimiert die Knackwahrscheinlichkeit und erhöht spricht demnach für die Sicherheitsaspekt. Es kann jedoch nie ausgeschlossen werden, dass Daten vorher abgefangen werden oder auch unterwegs verändert werden, denn der Angreifer kann schon beim ersten Versuch den Schlüssel zu entschlüsseln erfolgreich sein. Somit wären die Türen für den unerlaubten Zugriff geöffnet. Es wird lediglich gesagt, dass die rein mathematische Berechnung der Schlüssel umso schwieriger und zeitaufwendiger ist, je komplexer die angewandten Algorithmen und den zusammenhängenden Rechenfunktionen sind. Dies ist allerdings die Erkenntnis von heute. Die Technologien entwickeln sich weiter und es bilden sich immer mehr leistungsstärkere Computer, die eventuell in einigen Jahren problemlos und in kurzer Zeit die Schlüssel entschlüsseln könnten. Dies würde ein erneuten Umbruch in der Kryptographie geben, da neue Voraussetzungen geschaffen werden müssen, um den Angriffen entgegen zu gehen und sich vor denen zu schützen.

Generell sind drei wesentliche Merkmale zur Erhöhung der Anwendersicherheit von entscheidender Bedeutung für den Schutz von Smartphones:

Häufiger Wechsel des Passwortes
Komplexe Passwortgestaltung
Länge des Passwortes

Bei Beachtung dieser Merkmale ist selbst bei Verlust und versuchter unberechtigter Nutzung eine Rekonstruktion vorhandener Daten nicht mehr möglich, da diese durch das Wipen unwiderruflich gelöscht werden. Die Vielzahl von Übertragungskanälen mit verschiedenen Sicherheitsmechanismen die die Datenübertragung schützen und somit auch für die Sicherheit der Daten garantieren.

Der mobile Zugriff auf Daten im Unternehmen kann unterschiedliche Formen annehmen. Im Wesentlichen entscheidet das Unternehmen über die entsprechende Datenpreisgabe. Das Unternehmen hat an der Stelle die volle Kontrolle über die Veröffentlichung von Daten. Neben der Verantwortung des Unternehmens zum Schutz der Daten, gibt es auch eine Verantwortung der Mitarbeiter. Sobald ein mobiles Endgerät verloren geht oder ein Diebstahl vorliegt, hat das Unternehmen nur wenig, bis keine Kontrolle über die verlorene Daten. Um die Verbindungssicherheit zu wahren, muss der Mitarbeiter hier sensibel mit Daten umgehen.

Der Aufbau der Verwaltung von mobilen Geräten unterliegt vorrangig den Eigenschaften der zu realisierenden Lösung. Je nach Einsatzszenario ist es nötig den Schutzbedarf der mobilen Geräte, und damit auch der darauf befindlichen Daten, zu ermitteln, und entsprechende Sicherheitsmechanismen und Regeln den Geräten aufzuerlegen. Dabei kann es zu einer schmalen Gratwanderung zwischen Sicherheit und Usability kommen. Um die Kosten dem gewonnenen Nutzen gegenüber zu stellen, sind zu verwaltende Geräteanzahl und die vorhandene IT-Infrastruktur zu analysieren, sowie der Nutzen zu bewerten, der durch den mobilen und dadurch flexiblen Einsatz geschaffen wird. Bei den betrachteten Betriebssystemen wurden verschiedene Stärken aufgezeigt, welche für das entsprechende Szenario besser geeignet ist, hängt von den gewünschten Eigenschaften und Sicherheitsaspekten ab. Generell lässt sich feststellen, das beide Systeme für verschiedene Lösungen verwendet und angepasst werden können. Daher treffen wir keine Entscheidung welches OS besser ist, sondern stellen fest, dass die Ergebnisse der Analysen recht ähnlich sind. Generell sollte jedoch ein gewisser Grundschutz beim Einsatz von mobilen Geräten umgesetzt werden. Sämtliche Schutzmechanismen nützen jedoch nicht allein, es bedarf zusätzlich einer Aufklärung und Sensibilisierung der Nutzer der mobilen Geräte, um einen möglichst großen Schutz vor Datenspionage und -manipulation zu erzielen.

11 Quellenverzeichnis

↑ Übersetzt aus: http://www.gartner.com/it/page.jsp?id=1466313 (10. November 2010)
↑ Übersetzt aus: http://www.gartner.com/it/page.jsp?id=1529214 (26. Januar 2011)
↑ Vgl. http://blogs.blackberry.com/2010/08/blackberry-torch/
↑ Vgl. http://www.microsoft.com/windowsphone/de-de/features/business/windows-phone-6-5.aspx
↑ Vgl. http://blogs.msdn.com/b/vsnewsde/archive/2010/10/26/windows-phone-7-im-unternehmen.aspx
↑ Vgl. Dossier :Die Wissenschaftvom Verschlüsseln, in: Spektrum der Wissenschaften - Kryptographie, Nr. 4/2001,S.6
↑ Vgl. Schwenk, Jörg (2005), S. 6
↑ Vgl. Schwenk, Jörg (2005), S. 7
↑ Vgl. http://www.ig.cs.tu-berlin.de/oldstatic/da/041/Kapitel1.htm, Stand 06.01.2011
↑ Vgl. Hoppe,G., Prieß,A. (2003), S. 96
↑ Vgl. Beutelspacher,A.,Schwenk,J.,Wolfenstetter,K. (2001), S.6
↑ Vgl. Hoppe,G., Prieß,A. (2003), S. 97
↑ Vgl. Schwenk, Jörg (2005), S. 8
↑ Vgl. Hoppe,G., Prieß,A. (2003), S. 98
↑ Vgl. http://www.korelstar.de/informatik/aes.html, Stand 12.01.2011
↑ Vgl. Schwenk, Jörg (2005), S. 13
↑ Vgl. Beutelspacher,A.,Schwenk,J.,Wolfenstetter,K. (2001), S.10
↑ Vgl. Hoppe,G., Prieß,A. (2003), S. 99
↑ Vgl. Hoppe,G., Prieß,A. (2003), S. 101
↑ Vgl. Beutelspacher,A.,Schwenk,J.,Wolfenstetter,K. (2001), S.19
↑ Vgl. Schwenk, Jörg (2005), S. 14
↑ Vgl. http://www.kryptowissen.de/symmetrische-verschluesselung.html, Stand 12.01.2011
↑ Vgl. http://www.kryptowissen.de/symmetrische-verschluesselung.html Stand 12.01.2011
↑ Vgl. http://www.philipphauer.de/info/info/asymmetrische-verschluesselung, Stand 12.01.2011
↑ Vgl. http://www.philipphauer.de/info/info/asymmetrische-verschluesselung, Stand 12.01.2011
↑ Vgl. Hoppe,G., Prieß,A. (2003), S. 104
↑ Vgl. Beutelspacher,A.,Schwenk,J.,Wolfenstetter,K. (2001), S.16
↑ Vgl. Hoppe,G., Prieß,A. (2003), S. 101
↑ Vgl. Hoppe,G., Prieß,A. (2003), S. 121
↑ Vgl. http://einstein.informatik.uni-oldenburg.de/rechnernetze/funktionsweise.htm, Stand 12.01.2011
↑ Vgl. http://www.uni-koeln.de/rrzk/sicherheit/smime/, Stand 12.01.2011
↑ Vgl.BlackBerry Enterprise Solution – Technischer Überblick- Sicherheit (2008), pdf, S.6
↑ Vgl.BlackBerry Enterprise Solution – Technischer Überblick- Sicherheit (2008), pdf, S.9 ff.
↑ Vgl.BlackBerry Enterprise Solution – Technischer Überblick- Sicherheit (2008), pdf, S.17 f.
↑ Vgl.BlackBerry Enterprise Solution – Technischer Überblick- Sicherheit (2008), pdf, S.24 ff.
↑ Vgl.BlackBerry Enterprise Solution – Technischer Überblick- Sicherheit (2008), pdf, S.29
↑ Vgl. http://translate.google.de/translate?hl=de&langpair=en|de&u=http://msdn.microsoft.com/en-us/library/bb416357.aspx, Stand 12.01.2011
↑ http://www.internet-sicherheit.de/fileadmin/docs/publikationen/linnemann_wik_bluetooth_05_08.pdf
↑ https://www.bsi.bund.de/cae/servlet/contentblob/487520/publicationFile/30774/oefmobil_pdf.pdf
↑ Technischer Überblick_Verschlüsselung.pdf S63
↑ http://www.internet-sicherheit.de/fileadmin/docs/publikationen/linnemann_wik_bluetooth_05_08.pdf
↑ https://www.bsi.bund.de/cae/servlet/contentblob/487520/publicationFile/30774/oefmobil_pdf.pdf
↑ https://www.bsi.bund.de/cae/servlet/contentblob/487520/publicationFile/30774/oefmobil_pdf.pdf
↑ http://books.google.de/books?id=yWKu0XOB6I4C&pg=PA418&dq=LTE+4g&hl=de&ei=_mVhTcONAsv0sgbYjoG2CA&sa=X&oi=book_result&ct=result&resnum=1&ved=0CD8Q6AEwAA#v=onepage&q=LTE%204g&f=false
↑ http://www.lte-germany.de/
↑ http://www.ltemobile.de/lte-einfuehrung/
↑ Vgl. https://www.bsi.bund.de/cae/servlet/contentblob/487520/publicationFile/30774/oefmobil_pdf.pdf, Stand 31.01.2011
↑ Vgl. http://www.itwissen.info/definition/lexikon/Streaming-Video-streaming-video.html, Stand 24.02.2011
↑ Vgl. http://docs.blackberry.com/de-de/admin/deliverables/12191/BlackBerry_Enterprise_Solution--847262-1116042902-003-5.0.1-DE.pdf, Stand 24.02.2011;
vgl. http://www.microsoft.com/windowsphone/en-us/howto/wp6/sync/prepare-to-sync-windows-phone-6-5-with-my-computer.aspx, Stand 24.02.2011
↑ Vgl. http://docs.blackberry.com/de-de/admin/deliverables/12191/BlackBerry_Enterprise_Solution--847262-1116042902-003-5.0.1-DE.pdf, Stand 24.02.2011
↑ Vgl. https://www.bsi.bund.de/cae/servlet/contentblob/487520/publicationFile/30774/oefmobil_pdf.pdf, Stand 31.01.2011
↑ Vgl. Bürkel, J. (2007), S.23
↑ Vgl. http://docs.blackberry.com/de-de/admin/deliverables/12191/BlackBerry_Enterprise_Solution--847262-1116042902-003-5.0.1-DE.pdf, Stand 24.02.2011;
vgl. http://technet.microsoft.com/en-us/library/dd261764.aspx, Stand 24.02.2011
↑ Vgl. http://docs.blackberry.com/de-de/admin/deliverables/12191/BlackBerry_Enterprise_Solution--847262-1116042902-003-5.0.1-DE.pdf, Stand 24.02.2011
↑ Vgl. Plötner, J./Wendzel, S. (2007), S. 142 ff.
↑ Vgl. https://www.bsi.bund.de/cae/servlet/contentblob/487520/publicationFile/30774/oefmobil_pdf.pdf, Stand 31.01.2011
↑ Vgl. http://docs.blackberry.com/de-de/admin/deliverables/12191/BlackBerry_Enterprise_Solution--847262-1116042902-003-5.0.1-DE.pdf, Stand 24.02.2011
↑ http://msdn.microsoft.com/en-us/library/cc842616.aspx, Stand 24.02.2011
vgl. BlackBerry Enterprise Solution – Technischer Überblick- Sicherheit (2008), pdf, S.67 ff
↑ http://msdn.microsoft.com/en-us/library/cc842616.aspx, Stand 24.02.2011;
vgl. BlackBerry Enterprise Solution – Technischer Überblick- Sicherheit (2008), pdf, S.67 ff
↑ Vgl. http://www.netzwelt.de/print/news/71963-handy-ortung-spionieren-mobiltelefon.pdf, Stand 08.01.2011
↑ Entnommen aus: http://www.gesetze-im-internet.de/estg/__6.html (31.01.2011)

12 Literaturverzeichnis

Beutelspacher, Albrecht / Schwenk, Jörg / Wolfenstetter, Klaus-Dieter (1995): Moderne Verfahren der Kryptographie – Von RSA zu Zero-Knowledge, 4. Aufl., Braunschweig/Wiesbaden 2001

BlackBerry Enterprise Server - Technischer Überblick – Sicherheit: http://docs.blackberry.com/de-de/admin/deliverables/12191/BlackBerry_Enterprise_Solution--847262-1116042902-003-5.0.1-DE.pdf, Stand 24.02.2011

BlackBerry Enterprise Solution – Technischer Überblick- Sicherheit(2008),www.blackberry.com.pdf

Bürkel, Jürgen (2007): ICT-Megatrends: VPN – Virtual Private Network, 1. Aufl., Paderborn 2007

Bundesministerium der Justiz: http://www.gesetze-im-internet.de Stand 31.01.2011

Dossier :Die Wissenschaftvom Verschlüsseln, in: Spektrum der Wissenschaften - Kryptographie, Heft Nr. 4/2001

Gartner Marktforschung und Analyse Anbieter http://www.gartner.com, Stand 26.01.2011

Hamann,K.: Leistungskurs Informatik: Kryptographie (2002),http://www.korelstar.de/informatik/aes.html, Stand 12.01.2011

Handy-Ortung: Spionieren mit dem Mobiltelefon: http://www.netzwelt.de/print/news/71963-handy-ortung-spionieren-mobiltelefon.pdf, Stand 08.01.2011

Hauer,P. (2005): Asymmetrische Verschlüsselung. Das Verfahren sowie die Vor- und Nachteile, http://www.philipphauer.de/info/info/asymmetrische-verschluesselung, Stand 12.01.2011

Hoppe, Gabriela / Prieß, Andreas: Sicherheit von Informationssystemen – Gefahren, Maßnahmen und Management im IT-Bereich, Herne/Berlin 2003

http://www.ig.cs.tu-berlin.de/oldstatic/da/041/Kapitel1.htm, Stand 06.01.2011

ITWissen - Streaming-Video: http://www.itwissen.info/definition/lexikon/Streaming-Video-streaming-video.html, Stand 24.02.2011

Mobile VPN with Mobile Device Manager: http://technet.microsoft.com/en-us/library/dd261764.aspx, Stand 24.02.2011

Öffentliche Mobilfunknetze und ihre Sicherheitsaspekte: https://www.bsi.bund.de/cae/servlet/contentblob/487520/publicationFile/30774/oefmobil_pdf.pdf, Stand 31.01.2011

Plötner, Johannes / Wendzel, Steffen (2007): Praxisbuch Netzwerk-Sicherheit Risikoanalyse, Methoden und Umsetzung, 2. Aufl., Bonn 2007

Schwenk, Jörg (2002): Sicherheit und Kryptographie im Internet, 2. Aufl., Wiesbaden 2005

Stobitzer,C.: Symmetrische Verschlüsselung, http://www.kryptowissen.de/symmetrische-verschluesselung.html Stand 12.01.2011

Windows Phone 6.5 sync: http://www.microsoft.com/windowsphone/en-us/howto/wp6/sync/prepare-to-sync-windows-phone-6-5-with-my-computer.aspx, Stand 24.02.2011

Wiping a Device: http://msdn.microsoft.com/en-us/library/cc842616.aspx, Stand 24.02.2011

13 Anhang

13.1 Anhang 1 : DES - Data Encryption Standard

Der DES gehört zur Gruppe der Blockchiffren und unterteilt sich im Zuge der Algorithmenbeschreibung in folgende 4 Hauptkomponenten:

Der Eingangspermutation (Initial Permutaion IP),

der Schlüsseleinteilung,

dem zentralen Block, der 16-mal wiederholt wird und

der Ausgangspermutation (Inverse Permutation PI).

Abb. 16 Schematische Darstellung Ablauf DES

1. Beginnend bei der Eingangspermutation wird der eingehende Klartext in 64-Bit Blöcke geteilt. Dies passiert nach einer Anfangs-Permutations-Matrix, wobei die ursprünglichen Positionen der Bits durcheinander gebracht werden.

2. Ausgehend von einem 64-Bit Schlüssel (der aus beliebigen alphanumerischen Zeichen besteht) kommt es zur Bildung von Teilschlüsseln. Es werden die Paritätsbits der Schlüssel eliminiert, um einen effektiven Schlüssel mit der Länge von 56 Bits zu erlangen. Auch dies wird durch eine vorgegebene Permutationsmatrix realisiert.

3. Der gekürzte Schlüssel wird anschließend in zweimal 28-Bit Blöcke geteilt. Beide werden nun einer Linksverschiebung unterworfen. Die Anzahl der Stellen, um die die Bits verschoben werden sollen, sind in einer gesonderten Tabelle beschrieben.

4. Nach der Linksrotierung und erneuter Verschiebung der Bitpositionen werden die beiden Blöcke zusammengefasst und einer weiteren Permutation unterzogen. Daraus resultiert ein endgültiger Schlüssel mit einer Länge von 48-Bit.

5. Die beschriebene Schlüsseleinteilung wird 16-mal wiederholt, sodass 16 Teilschlüssel mit jeweils einer Schlüssellänge von 48-Bit entstehen.

6. Nach Durchlauf der ersten beiden Hauptfunktionen stehen die soeben beschriebenen 16 Teilschlüssel und ein permutierter 64-Bit Datenblock zur Verfügung. Der Datenblock wird anschließend in zwei 32-Bit Blöcke geteilt, wovon ein Block einer Expansionspermutation unterworfen wird. Diese sorgt dafür, dass der 32-Bit Block auf 48-Bit Block aufgeteilt und 16 Bits verdoppelt werden. Ergebnis ist ein 48-Bit Block.

7. Das ganze wird wiederum mit Hilfe von Substitutionen permutiert, sodass erneut ein neu geordneter 32-Bit Block entsteht.

8. Dieser wird mit dem Ursprungsblock addiert, sodass es zur kompletten Vermischung der Datenblöcke kommt.

9. Der oben beschriebene 48-Bit Schlüssel wird ebenfalls mit herangezogen. Nachdem dieser Prozess 16-mal durchgeführt wurde, werden die daraus beiden resultierenden 32-Bit Blöcke zu einem 64-Bit zusammengesetzt.

10. Der letzte Schritt im Algorithmus beschreibt die Ausgangspermutation, welche invers zur Eingangspermutation ist. ^[1]

[0] Übersetzt aus: http://www.gartner.com/it/page.jsp?id=1466313 (10. November 2010)

[1] Übersetzt aus: http://www.gartner.com/it/page.jsp?id=1529214 (26. Januar 2011)

[2] Vgl. http://blogs.blackberry.com/2010/08/blackberry-torch/

[3] Vgl. http://www.microsoft.com/windowsphone/de-de/features/business/windows-phone-6-5.aspx

[4] Vgl. http://blogs.msdn.com/b/vsnewsde/archive/2010/10/26/windows-phone-7-im-unternehmen.aspx

[5] Vgl. Dossier :Die Wissenschaftvom Verschlüsseln, in: Spektrum der Wissenschaften - Kryptographie, Nr. 4/2001,S.6

[6] Vgl. Schwenk, Jörg (2005), S. 6

[7] Vgl. Schwenk, Jörg (2005), S. 7

[8] Vgl. http://www.ig.cs.tu-berlin.de/oldstatic/da/041/Kapitel1.htm, Stand 06.01.2011

[9] Vgl. Hoppe,G., Prieß,A. (2003), S. 96

[10] Vgl. Beutelspacher,A.,Schwenk,J.,Wolfenstetter,K. (2001), S.6

[11] Vgl. Hoppe,G., Prieß,A. (2003), S. 97

[12] Vgl. Schwenk, Jörg (2005), S. 8

[13] Vgl. Hoppe,G., Prieß,A. (2003), S. 98

[14] Vgl. http://www.korelstar.de/informatik/aes.html, Stand 12.01.2011

[15] Vgl. Schwenk, Jörg (2005), S. 13

[16] Vgl. Beutelspacher,A.,Schwenk,J.,Wolfenstetter,K. (2001), S.10

[17] Vgl. Hoppe,G., Prieß,A. (2003), S. 99

[18] Vgl. Hoppe,G., Prieß,A. (2003), S. 101

[19] Vgl. Beutelspacher,A.,Schwenk,J.,Wolfenstetter,K. (2001), S.19

[20] Vgl. Schwenk, Jörg (2005), S. 14

[21] Vgl. http://www.kryptowissen.de/symmetrische-verschluesselung.html, Stand 12.01.2011

[22] Vgl. http://www.kryptowissen.de/symmetrische-verschluesselung.html Stand 12.01.2011

[23] Vgl. http://www.philipphauer.de/info/info/asymmetrische-verschluesselung, Stand 12.01.2011

[24] Vgl. http://www.philipphauer.de/info/info/asymmetrische-verschluesselung, Stand 12.01.2011

[25] Vgl. Hoppe,G., Prieß,A. (2003), S. 104

[26] Vgl. Beutelspacher,A.,Schwenk,J.,Wolfenstetter,K. (2001), S.16

[27] Vgl. Hoppe,G., Prieß,A. (2003), S. 101

[28] Vgl. Hoppe,G., Prieß,A. (2003), S. 121

[29] Vgl. http://einstein.informatik.uni-oldenburg.de/rechnernetze/funktionsweise.htm, Stand 12.01.2011

[30] Vgl. http://www.uni-koeln.de/rrzk/sicherheit/smime/, Stand 12.01.2011

[31] Vgl.BlackBerry Enterprise Solution – Technischer Überblick- Sicherheit (2008), pdf, S.6

[32] Vgl.BlackBerry Enterprise Solution – Technischer Überblick- Sicherheit (2008), pdf, S.9 ff.

[33] Vgl.BlackBerry Enterprise Solution – Technischer Überblick- Sicherheit (2008), pdf, S.17 f.

[34] Vgl.BlackBerry Enterprise Solution – Technischer Überblick- Sicherheit (2008), pdf, S.24 ff.

[35] Vgl.BlackBerry Enterprise Solution – Technischer Überblick- Sicherheit (2008), pdf, S.29

[36] Vgl. http://translate.google.de/translate?hl=de&langpair=en|de&u=http://msdn.microsoft.com/en-us/library/bb416357.aspx, Stand 12.01.2011

[37] ttp://www.internet-sicherheit.de/fileadmin/docs/publikationen/linnemann_wik_bluetooth_05_08.pdf

[38] ttps://www.bsi.bund.de/cae/servlet/contentblob/487520/publicationFile/30774/oefmobil_pdf.pdf

[39] Technischer Überblick_Verschlüsselung.pdf S63

[40] ttp://www.internet-sicherheit.de/fileadmin/docs/publikationen/linnemann_wik_bluetooth_05_08.pdf

[41] ttps://www.bsi.bund.de/cae/servlet/contentblob/487520/publicationFile/30774/oefmobil_pdf.pdf

[42] ttps://www.bsi.bund.de/cae/servlet/contentblob/487520/publicationFile/30774/oefmobil_pdf.pdf

[43] ttp://books.google.de/books?id=yWKu0XOB6I4C&pg=PA418&dq=LTE+4g&hl=de&ei=_mVhTcONAsv0sgbYjoG2CA&sa=X&oi=book_result&ct=result&resnum=1&ved=0CD8Q6AEwAA#v=onepage&q=LTE%204g&f=false

[44] ttp://www.lte-germany.de/

[45] ttp://www.ltemobile.de/lte-einfuehrung/

[46] Vgl. https://www.bsi.bund.de/cae/servlet/contentblob/487520/publicationFile/30774/oefmobil_pdf.pdf, Stand 31.01.2011

[47] Vgl. http://www.itwissen.info/definition/lexikon/Streaming-Video-streaming-video.html, Stand 24.02.2011

[48] Vgl. http://docs.blackberry.com/de-de/admin/deliverables/12191/BlackBerry_Enterprise_Solution--847262-1116042902-003-5.0.1-DE.pdf, Stand 24.02.2011;
vgl. http://www.microsoft.com/windowsphone/en-us/howto/wp6/sync/prepare-to-sync-windows-phone-6-5-with-my-computer.aspx, Stand 24.02.2011

[49] Vgl. http://docs.blackberry.com/de-de/admin/deliverables/12191/BlackBerry_Enterprise_Solution--847262-1116042902-003-5.0.1-DE.pdf, Stand 24.02.2011

[50] Vgl. https://www.bsi.bund.de/cae/servlet/contentblob/487520/publicationFile/30774/oefmobil_pdf.pdf, Stand 31.01.2011

[51] Vgl. Bürkel, J. (2007), S.23

[52] Vgl. http://docs.blackberry.com/de-de/admin/deliverables/12191/BlackBerry_Enterprise_Solution--847262-1116042902-003-5.0.1-DE.pdf, Stand 24.02.2011;
vgl. http://technet.microsoft.com/en-us/library/dd261764.aspx, Stand 24.02.2011

[53] Vgl. http://docs.blackberry.com/de-de/admin/deliverables/12191/BlackBerry_Enterprise_Solution--847262-1116042902-003-5.0.1-DE.pdf, Stand 24.02.2011

[54] Vgl. Plötner, J./Wendzel, S. (2007), S. 142 ff.

[55] Vgl. https://www.bsi.bund.de/cae/servlet/contentblob/487520/publicationFile/30774/oefmobil_pdf.pdf, Stand 31.01.2011

[56] Vgl. http://docs.blackberry.com/de-de/admin/deliverables/12191/BlackBerry_Enterprise_Solution--847262-1116042902-003-5.0.1-DE.pdf, Stand 24.02.2011

[57] ttp://msdn.microsoft.com/en-us/library/cc842616.aspx, Stand 24.02.2011
vgl. BlackBerry Enterprise Solution – Technischer Überblick- Sicherheit (2008), pdf, S.67 ff

[58] ttp://msdn.microsoft.com/en-us/library/cc842616.aspx, Stand 24.02.2011;
vgl. BlackBerry Enterprise Solution – Technischer Überblick- Sicherheit (2008), pdf, S.67 ff

[59] Vgl. http://www.netzwelt.de/print/news/71963-handy-ortung-spionieren-mobiltelefon.pdf, Stand 08.01.2011

[60] Entnommen aus: http://www.gesetze-im-internet.de/estg/__6.html (31.01.2011)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

[57]

[58]

[59]

[60]

[61]

[1]