Wachsende weltweite Sicherheitsbedrohung durch Hackerangriffe
Die Ereignisse der vergangenen Wochen – wie der Angriff auf die US-Sicherheitsfirma Stratfor durch die Hackergruppe Anonymous, bei dem sensible Unternehmensdaten veröffentlicht wurden, oder auf die US Chamber of Commerce sowie der Angriff auf Symantec – haben gezeigt, dass Cyber-Angriffe eine wachsende ... »»
Social Seating: KLM sucht ideale Sitznachbarn
Ab 2012 will die Fluglinie Dutch Royal Airlines (KLM) ihren Passagieren Social Seating anbieten, wie der Spiegel berichtet. Für Fluggäste, die sich auf der KLM-Seite mit ihrem Facebook- oder LinkedIn-Profil anmelden, sucht die niederländische Airline auf Wunsch einen Sitznachbarn mit ähnlich gearteten Interessen und Hobbys ... »»
Bank of America Opfer von Identitätsklau
Ein oder mehrere unbekannte Täter haben den Namen der Bank of America (BofA) bei Google+ gekapert und das Geldhaus durch den Kakao gezogen. Die Seite nannte sich "offiziell" und wartete mit Logo und Kontaktadresse der grössten US-amerikanischen Bank auf, wie das Handelsblatt berichtet ... »»
Adrian Berger, Leiter Abteilung Finance & Security Solutions, Ergon Informatik AG
Je populärer Smartphones werden, desto stärker wächst das Bedürfnis nach sicherheitskritischen Inhalten bei mobilen Applikationen, so wie sie etwa das E-Banking verwendet. Wie erste Lösungen zeigen, liegt die Realität allerdings noch weit hinter den Anwenderwünschen zurück.
Mobile Applikationen erfahren derzeit eine rasante Verbreitung. Laut den Prognostikern der Gartner Group sollen sie bis 2015 die Anwendungen für Tischrechner weit hinter sich gelassen haben. In ihrer Untersuchung „70 Trends bis 2017“ haben die Marktforscher festgestellt, dass mobile Applikationen für Smartphone und Tablets im Vergleich mit den PC-Anwendungen nach Stückzahlen bereits Ende 2011 weltweit den Gleichstand erreicht hätten. Angesichts dieser Ausgangslage erstaunt es daher wenig, dass 34 Prozent der befragten Unternehmen der global durchgeführten Deloitte-Studie „2011 TMT Global Security Study“
davon ausgehen, dass 2012 Mobile die führende Rolle unter den Security-Bedrohungen einnehmen wird.
Viele Gefahrenherde
Nebst den hohen Anforderungen an die Benutzerfreundlichkeit stellen mobile Applikationen vor allem solche an die Sicherheit. Besonders die Geldinstitute setzen – aus einleuchtenden Gründen – die Latte beim Verkehr mit sensiblen Daten über die mobilen Kanäle hoch. Es nützt wenig, dass Anwender den Verlust ihres Smartphone im Vergleich zu dem ihres Hausschlüssels oder ihres Portemonnaies bedeutend schneller bemerken dürften. Ist ein mobiles Gerät einmal entwendet, lässt es sich in Kürze mit Schadsoftware infizieren oder knacken. Code-Sperren von iPhones oder iPads beispielsweise lassen sich einfach umgehen, so dass einem Hacker innert kürze nicht nur elektronische Post, Kontakte und SMS, sondern auch Passwörter für Mail-Zugänge, VPN und WLAN-Netze zur Verfügung stehen. Gefahr droht jedoch nicht nur bei Geräteverlust. Attraktive Angriffspunkte für Datendiebe sind beispielsweise auch Unterbrechungen bei der Interaktion mit einer Bank. Diese können durch einen eingehenden Anruf oder bei einem Wechsel auf ein anderes Programm entstehen, wenn dabei die Banking-Applikation nicht geschlossen wird und sensitive Daten im Gerätespeicher liegen bleiben. Auch die Eigenschaft von Smartphones, WiFi-Zugänge prokativ zu kontaktieren, eröffnet Möglichkeiten für Man-in-the-Middle-Attacken. Für eine optimale Client-Absicherung bleibt fürs Erste die Einsicht, dass sich ein Smartphone nicht vollständig kontrollieren lässt.
State-of-the Art
Die heute verfügbaren E-Banking-Apps werden vorerst nur für die Aufbereitung von Kontoauszügen eingesetzt. Sie sind für heterogene Anwendungsfälle ausgelegt, in denen sich abgeschirmt sensible Daten und Informationen aus Dienstprogrammen wie etwa Google Maps zusammenführen lassen. Um bedrohlichen Situationen aus dem Weg zu gehen, können einige Massnahmen getroffen werden: rigorose Kontrolle des Lebenszykluses von abgesicherten Daten, kein permanentes Abspeichern von sensitiven Daten, Massnahmen gegen Reverse Engineering von Apps oder Markieren von unsicheren Plug-ins und Diensten als mögliche Risikoträger. Wenn aus Sicherheitsüberlegungen Transaktionen noch nicht sicher sind, welche Eigenschaften der Smartphones lassen sich dann für E-Banking nutzen? Ein multimedialer Ansatz liegt auf der Hand: Die Verwendung der Handy-Kamera für das Einlesen von Einzahlungsscheinen etwa oder die Nutzung von GPS zur Lokalisierung des Anwenders bieten Ergänzungen zum herkömmlichen E-Bankings.
Vergleich mit dem Desktop
Beim E-Banking auf dem Desktop hat die Meldestelle MELANI in den letzten Jahren einen immer grösseren Rückgang der Angriffe registriert. Sie berichtet, dass in verschiedenen russischen Untergrundsforen davon abgeraten wird, die Schweiz „zu berücksichtigen“, weil hierzulande das Online-Banking zu komplex und der Nutzen zu beschränkt seien. Sie führt das vor allem auf die Tatsache zurück, dass Transaktionsverifizierung eingesetzt wird. Dafür ist jedoch ein zweiter Kommunikationskanal nötig. Ausgerechnet für Smartphone-Anwendungen ist dies nur schwierig zu realisieren ist, da die wenigsten Anwender bereit sein dürften, dafür ein zweites Gerät mit sich zu tragen.
Angesichts der Unsicherheit bei den Clients ist nach wie vor ein datenzentriertes Denken gefragt und der Ansatz, die gesamte Infrastruktur in die Abschirmungskonzepte einzubinden: Denn wichtigstes Bollwerk gegen unerwünschte Angriffe sind nach wie vor vorgelagerte Spezialserver mit Schutzmechanismen für verteilte Applikationen, die starke Authentisierung und das Setzen guter Filter ermöglichen.
Fazit
Da sich ein Smartphone nicht vollständig kontrollieren lässt, ist beim Umgang mit sensiblen Daten im Moment Vorsicht geboten. Es mangelt derzeit an den richtigen Mechanismen, mit denen Geld sicher mobil verschoben werden kann. Sicher ist nur, dass sich aktuell die Diskussion zu sehr um das mobile Gerät selber dreht, statt um die Frage nach dem richtigen Gesamtkontext.
