Mobile Endgeräte wie Smartphones und Personal Digital Assistants (PDAs) gewinnen im geschäftlichen Umfeld immer mehr an Bedeutung. Mit der Nutzung drahtloser Kommunikationsverfahren gestatten sie es dem Mitarbeiter, praktisch unabhängig vom Standort auf unternehmensinterne Daten und Informationen zuzugreifen. Die mobilen Geräte werden jedoch häufig ohne eine vorherige Betrachtung der Sicherheitsaspekte in den Unternehmen und Behörden eingesetzt. In den seltensten Fällen existieren dort ganzheitliche Sicherheitskonzepte, welche die mobilen Geräte mit einbeziehen. In dieser Diplomarbeit werden die Risiken und Bedrohungen, die der Einsatz mobiler Geräte mit sich bringt, detailliert dargestellt. Die Sicherheit in den gängigen drahtlosen Übertragungsverfahren wird hierbei ebenso betrachtet, wie die Gefahren die durch Schadprogramme und durch das Fehlverhalten des Benutzers ausgehen. Darauf aufbauend werden im Anschluss ausführlich technische und organisatorische Maßnahmen dargestellt und bewertet, durch die das Unternehmen oder die Behörde vor den zusätzlichen Gefahren mobiler Endgeräte geschützt werden kann. In einer allgemeinen Handlungsanweisung werden fundierte Empfehlungen für eine Integration und einen sicheren Betrieb unter Berücksichtigung der Lebenszyklen mobiler Geräte aufgezeigt.
Inhaltsverzeichnis
1 Einleitung
1.1 Motivation und Abgrenzung des Themas
1.2 Aufbau der Arbeit
1.3 Anmerkungen zur Sprache und zur Literaturauswahl
2 Grundlegende Begriffe der IT-Sicherheit
2.1 Schutzziele
2.1.1 Vertraulichkeit
2.1.2 Integrität
2.1.3 Verfügbarkeit
2.1.4 Weitere Schutzziele
2.2 Schwachstelle, Bedrohung und Risiko
2.2.1 Schwachstelle und Verwundbarkeit
2.2.2 Bedrohung
2.2.3 Risiko
2.2.4 Angriff
2.3 Schutzbedarf und Risikoanalyse
3 Grundlagen mobiler Endgeräte
3.1 Begriffsdefinition
3.2 Geschichtliche Entwicklung
3.3 Architektur mobiler Geräte
3.4 Mobile Betriebssysteme
3.5 Kommunikationssysteme
3.6 Mobile Anwendungen
4 Bedrohungsszenarien
4.1 Übersicht der Bedrohungen
4.2 Gefahren durch Verlust und Diebstahl
4.2.1 Einführung
4.2.2 Datendiebstahl
4.2.3 Identitätsdiebstahl
4.2.4 Mobiles Endgerät als Angriffsmittel
4.3 Manipulationen an Hard- und Software
4.3.1 Das mobile Gerät als „Wanze“
4.3.2 Softwaremanipulationen
4.4 Angriffe auf die Kommunikation
4.4.1 Übersicht der Kommunikationsverbindungen
4.4.2 Global System for mobile Communication (GSM)
4.4.3 Bluetooth
4.4.4 Wireless Local Area Network (WLAN)
4.5 Bedrohung durch Schadsoftware
4.5.1 Geschichte der mobilen Malware
4.5.2 Bedrohungspotenzial
4.5.3 Weitere Entwicklung
4.6 Der Benutzer als Bedrohung
4.6.1 Fehlverhalten der Nutzer
4.6.2 Social Engineering
5 Sicherheitsmaßnahmen
5.1 Vorbemerkungen
5.2 Technische Absicherung
5.2.1 Exkurs: Kryptografische Grundlagen
5.2.2 Nutzerauthentisierung
5.2.3 Schutz durch Datenverschlüsselung
5.2.4 Verwendung von Virtuellen Privaten Netzen
5.2.5 Absicherung durch Personal Firewalls
5.2.6 Einsatz von Virenschutzsoftware
5.2.7 Zentrale Administration und Verwaltung
5.2.8 Andere technische Maßnahmen
5.3 Organisatorische Maßnahmen
5.3.1 Mitarbeitersensibilisierung
5.3.2 Regelungen zur Nutzung
5.4 Einsatzszenarien
5.4.1 Geringer Schutzbedarf: Selbständiger Unternehmer (Szenario A)
5.4.2 Mittlerer Schutzbedarf: Unternehmen (Szenario B)
5.4.3 Hoher Schutzbedarf: Bundesbehörde (Szenario C)
6 Handlungsempfehlung
6.1 Planung und Konzeption
6.2 Auswahl und Beschaffung
6.3 Installation
6.4 Betrieb
6.5 Außer Betrieb nehmen
6.6 Checkliste
7 Fazit und Ausblick
7.1 Zusammenfassung
7.2 Ausblick
Zielsetzung & Themen
Die Arbeit befasst sich mit der Analyse von Sicherheitsrisiken beim Einsatz mobiler Endgeräte wie PDAs und Smartphones in Unternehmen und Behörden. Ziel ist es, technische und organisatorische Bedrohungen zu identifizieren und fundierte Maßnahmen für einen gesicherten Betrieb unter Berücksichtigung der Gerätelebenszyklen zu formulieren.
- Identifikation von Sicherheitsrisiken und Bedrohungsszenarien (Verlust, Diebstahl, Schadsoftware).
- Analyse technischer Absicherungsmöglichkeiten wie Verschlüsselung, VPN und Firewalls.
- Untersuchung organisatorischer Aspekte wie Sensibilisierung und Richtlinien.
- Entwicklung von Schutzkonzepten für unterschiedliche Schutzbedarfsszenarien.
- Erstellung einer praxisnahen Handlungsempfehlung für Unternehmen und Behörden.
Auszug aus dem Buch
4.2.1 Einführung
Mobile Geräte sind vom Markt kaum noch wegzudenken; sie sind inzwischen längst unverzichtbar für die tägliche Arbeit geworden. Sie ermöglichen den Mitarbeitern an jedem Ort der Welt den Zugriff auf das firmeneigene Netzwerk - eine Flexibilität, auf die heute größtenteils niemand mehr verzichten möchte. Dafür werden die Geräte ständig mitgeführt, was zu einem nicht zu unterschätzenden Problem führt. Denn aufgrund ihrer Größe sind mobile Geräte besonders anfällig für einen Verlust oder Diebstahl.
Die Szenarien sind vielfältig. Sie reichen von einem einfachen Liegenlassen in Restaurants oder Taxis bis hin zu gezielten Diebstählen. Der Verlust eines mobilen Gerätes wird meist zu spät bemerkt, beispielsweise genau dann, wenn das zuvor verlassene Taxi längst hinter der nächsten Ecke verschwunden ist. Dass diese Verluste nicht allzu selten passieren, beweist eine weltweite Umfrage unter Taxifahrern, die von der Firma Pointsec durchgeführt wurde. In acht Ländern wurden im Jahr 2006 pro Land etwa 250 Taxifahrer befragt und die Ergebnisse anhand der Anzahl von Taxis pro Stadt hochgerechnet.
Zusammenfassung der Kapitel
1 Einleitung: Motivation, Zielsetzung und Aufbau der Arbeit zur Sicherheitsbetrachtung bei mobilen Endgeräten.
2 Grundlegende Begriffe der IT-Sicherheit: Definition klassischer Schutzziele, Bedrohungsbegriffe sowie Einführung in die Risikoanalyse.
3 Grundlagen mobiler Endgeräte: Begriffsdefinition, Architektur, Betriebssysteme und mobile Anwendungen.
4 Bedrohungsszenarien: Systematische Analyse von Risiken durch Verlust, Manipulation, Kommunikation und Schadsoftware.
5 Sicherheitsmaßnahmen: Detaillierte Darstellung technischer und organisatorischer Schutzkonzepte inklusive spezifischer Einsatzszenarien.
6 Handlungsempfehlung: Anleitung für den Lebenszyklus von Sicherheitskonzepten, von der Planung bis zum Betrieb.
7 Fazit und Ausblick: Zusammenfassende Bewertung der Thematik und Ausblick auf zukünftige technische Entwicklungen.
Schlüsselwörter
IT-Sicherheit, Mobile Endgeräte, PDA, Smartphone, Vertraulichkeit, Integrität, Verfügbarkeit, Bedrohungsanalyse, Verschlüsselung, VPN, Schadsoftware, Authentisierung, Risikomanagement, Datendiebstahl, Unternehmenssicherheit.
Häufig gestellte Fragen
Worum geht es in der Arbeit grundlegend?
Die Arbeit untersucht die Sicherheitsrisiken und notwendigen Schutzmaßnahmen beim dienstlichen Einsatz von PDAs und Smartphones.
Welche zentralen Themenfelder werden behandelt?
Themen sind technische Sicherheitsmechanismen wie Verschlüsselung, VPN und Virenschutz sowie organisatorische Maßnahmen wie Mitarbeitersensibilisierung.
Was ist das primäre Ziel der Arbeit?
Das Ziel ist die Erarbeitung von Handlungsempfehlungen für einen sicheren Betrieb mobiler Endgeräte in Unternehmen und Behörden.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit nutzt unter anderem die Methode der Angriffsbaume (Attack Trees) zur systematischen Darstellung von Bedrohungsszenarien.
Was wird im Hauptteil behandelt?
Im Hauptteil werden Bedrohungsszenarien analysiert und technische sowie organisatorische Gegenmaßnahmen, unterteilt in Szenarien mit unterschiedlichem Schutzbedarf, vorgestellt.
Welche Schlüsselwörter charakterisieren die Arbeit?
Zentrale Begriffe sind IT-Sicherheit, mobile Endgeräte, Bedrohungsanalyse, Verschlüsselung und Datenschutz.
Warum sind Smartphones ein Sicherheitsrisiko?
Aufgrund ihrer geringen Größe sind sie leicht zu verlieren oder zu stehlen, während sie gleichzeitig Zugriff auf sensible Unternehmensdaten bieten.
Welche Rolle spielt der Mensch bei der Sicherheit?
Der Benutzer wird oft als das schwächste Glied im Sicherheitssystem identifiziert, da durch Unwissenheit oder Fehlverhalten (Social Engineering) Risiken entstehen.
Was wird unter „Authorized Sync“ verstanden?
Es bezeichnet ein Verfahren, bei dem sichergestellt wird, dass mobile Geräte nur mit vertrauenswürdigen, autorisierten Gegenstellen synchronisieren.
- Quote paper
- Steffen Marx (Author), 2007, Personal Digital Assistants (PDAs) und Smartphones: Sicherheitsaspekte mobiler Endgeräte, Munich, GRIN Verlag, https://www.grin.com/document/75264
