Deutsch Intern
Information Technology Centre

Sicherheit mobiler Geräte

Zu mobilen Geräten zählen sowohl Laptops/Notebooks, Handys, PDAs, Smartphones als auch Zubehör wie USB-Sticks, Speicherkarten, externe Festplatten, schnurlose Headsets/Tastaturen, CDs/DVDs. Diese Geräte zeichnen sich dadurch aus, dass sie relativ klein und gut transportabel sind. Sie werden sie oft außerhalb der "sicheren" Büroumgebung genutzt oder über andere Netze als das "sichere", kabelgebundene Datennetz des Büros mit dem Internet verbunden. Auf diesen Geräten werden oftmals sensible Informationen wie Passwörter, Kontaktdaten, Dokumente, ... abgelegt.

Für mobile Geräte gelten grundsätzlich die gleichen "goldenen Regeln" wie für fest angeschlossene Endgeräte. Durch die Natur der Geräte ergeben sich aber zusätzliche Gefährdungen, die eine zusätzliche Betrachtung notwendig machen. Diese Gefährdungen sind z.B.

  • ein höheres Diebstahl-/Verlustrisiko (auch aus Büroräumen),
  • das Arbeiten in "öffentlichen Umgebungen", bei denen Umstehende die auf dem Gerät angezeigten Informationen visuell mitlesen können,
  • Datenverkehr über unsichere Infrastrukturen (z.B. Hotspots, ungesicherte Heimnetze, ...),
  • der Einsatz von Funkschnittstellen jenseits der "sicheren" Kabelinfrastruktur im Büro (z.B. WLAN, Bluetooth, Infrarot, ...),
  • Datenverlust durch Hardwareschaden (z.B. externe Festplatten) oder leere Pufferakkus (z.B. bei PDAs),
  • eine Mitnutzung durch Familienmitglieder,
  • die Notwendigkeit das Gerät im Zuge einer Reperatur, beim Betreten eines sensitiven Bereichs (z.B. in Firmen mit Handy/Kameraverbot) oder bei Grenzkontrollen aus der Hand zu geben.

Mögliche Schadensszenarien sind

  • der Verlust des Geräts,
  • der Verlust der Daten,
  • das Bekanntwerden sensibler Informationen,
  • Kosten durch eine mißbräuchliche Fremdnutzung des Geräts (z.B. durch eine "fremdgesteuerte" Einwahl in ein Mobiltelefonnetz).

Die folgenden Empfehlungen sollen helfen diese Risiken zu minimieren:

  • Lassen Sie ein Gerät nicht unbeaufsichtigt bzw. gut sichtbar liegen.
  • Beim kurzzeitigen Verlassen eines Gerät sollten Sie dieses wenn möglich an einem festen Gegenstand befestigen. Bereits ein dünnes Drahtseil mit einem Kensington-Schloss schreckt hierbei schon Gelegenheitsdiebe ab.
  • Erfassen und Inventarisieren Sie die Seriennummern von Geräten. Im Schadensfall hilft dies bei einer Anzeige. Eine Meldung der Seriennummer ermöglicht es Herstellern, ein gestohlenes Gerät aus dem Verkehr zu ziehen, falls es diesem zur Reparatur eingeschickt wird.
  • Verstauen Sie insbesondere kleinere Geräte wie Handys, PDAs, USB-Sticks, externe Festplatten, ... nicht in leicht zugänglichen Außentaschen. Dies trifft insbesondere auf die Außentaschen von Rucksäcken zu.

  • Setzen Sie ein eigenes "Power On"-Passwort bzw. PIN um das Einschalten des Geräts durch Unbefugte zu verhindern.
  • Stellen Sie bei Laptops die gewünschten Bootmöglichkeiten und deren Reihenfolge ein.
  • Stellen Sie insbesonders ungewollte Bootböglichkeiten (PXE, USB-Stick, CD/DVD) ab.
  • Sichern Sie die BIOS-Einstellungen durch ein eigenes Passwort.
  • Verschlüsseln Sie relevante Dateien, Partitionen oder Festplatten. Da insbesondere bei Laptops nicht klar ist, wo das System sensible Daten z.B. in der Form von temporären Dateien oder Systemeinträgen abspeichert empfiehlt sich für diese eine Grundverschlüsselung des Systems.
  • Speichern Sie Passwörter in verschlüsselten Passwort-Safes.
  • Entfernen Sie nicht mehr benötigte Daten wieder vom Gerät.
  • Sperren Sie den Bildschirm, wenn Sie sich vom Gerät entfernen.
  • Deaktivieren Sie bei Laptops die Autostartfunktion vor dem Einlegen fremder Medien (CDs, DVDs, USB-Sticks, ...).

Durch die obigen Maßnahmen kann ein Angreifer/Finder/Dieb sich weder auf die Schnelle, noch nach einem erfolgreichen Diebstahl Zugriff auf die gespeicherten Daten verschaffen. Durch das "Power On"-Passwort bzw. die PIN stellt das Gerät im Extremfall für einen Dieb nur noch  Elektronikschrott dar. Das Deaktivieren der Autostartfunktion verhindert das automatische Starten von Schadsoftware von kompromittierten Datenträgern. Unter Windows kann dies in der Regel durch Drücken der Umschalt-Taste während der Medienerkennung erfolgen.

  • Deaktivieren Sie die Netwerkschnittstellen für WLAN, Bluetooth, Infrarot, ... falls Sie diese nicht gerade aktiv verwenden.
  • Je nach Gerät können die Schnittstellen per Software oder einen physischen Schiebeschalter (de)-aktiviert werden.
  • Falls die Schnittstellen aktiviert werden, dann kann durch die unten folgenden Einstellungen die Angriffsfläche verringert werden.
  • Der Einsatz einer restriktiven Personal Firewall kann je nach Schnittstelle die Angriffsfläche weiter verkleinern.

Bei fehlerhaften Treibern oder Einstellungen kann ein Angreifer über die Schnittstellen auf das Gerät zugreifen und dieses im Extremfall fernsteuern (z.B. um von außen über Bluetooth einen Einwahlvorgang ins Internet auszulösen und das Gerät als Modem zu mißbrauchen). Zusätzlich sorgt das Deaktivieren der Schnittstellen bei Nichtgebrauch für eine längere Akkulaufzeit.

WLAN-Einstellungen

  • WLAN-Treiber über die Herstellerseiten auf dem aktuellen Stand halten. Diese sind z.B. kein Bestandteil des Windows Update Dienstes!
  • Automatisches Verbinden nur zu bekannten, sicheren WLAN-Netzen erlauben.
  • Verbindungen nur zu Access-Points zulassen.
  • Zugriff nach Möglichkeit nur über WPA/WPA2 verschlüsselte Netze.
  • Schnittstelle bei nichtgebrauch

Bluetooth-Einstellungen

  • Bei aktiver Nutzung im sogenannten "Hidden Mode" betreiben
  • Eingehende Verbindungsanfragen überprüfen. Insbesondere keine unerwarteten Verbindungen annehmen.
  • Bei der Kopplung (Pairing) mit anderen Bluetooth-Geräten die Zuordnung fest speichern statt jedesmal per PIN zuzugreifen.
  • Standard PINs und Gerätenamen ändern, falls möglich.

Im Gegensatz zu Laptops haben Handys, Smartphones und PDAs oft ein proprietäres Betriebssystem welches auf dem Gerät im Form einer Firmware vorliegt. Aktuelle Firmwareversionen können in der Regel über den Händler oder den Hersteller bezogen werden. Vor einem Firmware-Update sind die auf dem Gerät gespeicherten Daten/Applikationen unbedingt zu sichern, da diese ansonsten im Zuge des Updates überschrieben werden können!  

  • Sensible Daten sollten nur auf verschlüsselten Medien abgelegt werden.
  • Bei Handys bzw. Smartphones können Daten z.B. auf der per PIN geschützen SIM-Karte abgelegt werden.
  • Das Medium sollte nach Möglichkeit entfernbar sein (CF, externe Platte, SD-Karte, SIM-Karte, USB-Stick)

Dies kann in Fällen relevant werden, in denen das eigentliche Gerät aus der Hand gegeben werden muss. Der Fall kann z.B. eintreten, wenn ein Nutzer einen bestimmten Firmenbereich nicht mit Handy betreten darf, ein Gerät im Zuge einer Grenzkontrolle überprüft wird oder es schlicht zwecks einer Reparatur an den Händler/Hersteller abgegeben werden muss.

  • Verwenden Sie in Abhängigkeit ihres Netzzugangs eine restriktiv eingestellte Firewalleinstellung am Gerät.
  • In einer fremden Umgebung (insbesondere an einem WLAN-Hotspot) sollte die Firewall keinerlei Zugriff auf das Gerät erlauben.
  • Durch unterschiedliche Firewall-Profile kann auf die unterschiedlichen Sicherheitsniveaus im sicheren Netz am Arbeitsplatz und in fremden Netzen eingegangen werden.

Unter Windows XP/Vista läßt sich die restriktive Einstellung durch das Setzen des Häkchens "alle eingehenden Verbindungenblocken" (Vista) bzw. "keine Ausnahmen zulassen" (XP) in den Firewalleinstellungen erreichen.

  • Verwenden Sie zur Kommunikation das VPN der Universität.
  • Falls die Verwendung des VPN-Zugangs nicht möglich ist, dann achten Sie bitte auf die Verwendung sicherer Protokolle wie HTTPS, IMAPS, ...

In fremden Umgebungen (insbesondere bei WLAN-Umgebungen) kann ansonsten der Datenverkehr von dritten mitgeschnitten werden und diese somit Zugriff auf sensitive Daten wie Nutzerkennungen, Passworte oder vertrauliche Dokumente erhalten.

  • Sichern Sie regelmäßig die Daten des mobilen Endgeräts.
  • Sichern Sie insbesondere bei Handys, Smartphones, PDAs die installierten Applikationen, Kontaktdaten und Kalendereinträge mit der mitgelieferten Software.
  • Synchronisieren Sie den den Datenbestand des mobilen Endgeräts mit eventuell vorhandenen lokalen Systemen.

Eine Datensicherung ist auch bei Geräten wie externen Festplatten, USB-Sticks, SD-Karten, ... notwendig, da auch die aufdiesen  gespeicherten Daten durch einen Nutzerfehler oder Hardwaredefekt verloren gehen können.

Im Falle eines leer gelaufenen Akkus können insbesondere bei PDAs die aufgespielten Applikationen und Daten verloren gehen, da diese oft lediglich in einem RAM-basierten Dateisystem gehalten werden.

  • Verwenden Sie in öffentlichen Umgebungen bei der Bearbeitung/Einsicht von sensitiven Informationen einen Blickschutzfilter für Displays.
  • Dunkeln Sie eventuell Ihr Display ab.
  • Vermeiden Sie Telefonate mit vertraulichen Inhalten in öffentlichen Umgebungen.

Im Zug, Flugzeug, Bahnhof, ... sind Sie ständig von anderen Personen umgeben. Diese können ohne Vorsichtsmaßnahmen Ihrerseits bei der Verwendung eines modernen Laptops unter einem relativ flachen Blickwinkel oder von schräg hinter Ihnen eine gute Sicht auf Ihr Display haben. Die oben genannten Blickschutzfilter können bei Bedarf mit Halterungen vor das Display gespannt werden und schränken den möglichen Blickwinkel auf ca. +- 30 Grad zur Senkrechten ein. Außerhalb des erlaubten Blickwinkels ist nur ein schwarzes Display zu sehen. Die Folien sind für ein 15"-Display bereits für ca. 50 Euro zu bekommen.