Schotten dicht
Geht es nach Telefonherstellern und Mobilfunk-Providern, sollen möglichst viele Geschäftsdaten auf Handys und Samrtphones verfügbar sein. Ängste vor deren Verlust sollen Software-Produkte mildern, die Daten vor dem Zugriff Dritter verbergen.
- Christian Kirsch
![Bild 1 [150 x 114 Pixel @ 6,3 KB]](https://www.heise.de/altcms_bilder/63627/1_hires.jpg)
Geht es nach Telefonherstellern und Mobilfunk-Providern, sollen möglichst viele Geschäftsdaten auf Handys verfügbar sein. Ängste vor deren Verlust sollen Produkte wie Pointsec mildern, die das Gerät und seine Daten schützen.
Mit der Oberklasse der aktuellen Handys lassen sich kleinere Büroarbeiten durchaus erledigen – sie zeigen E-Mail-Anhänge in den üblichen Formaten an, fungieren als portabler Datenspeicher und erlauben das Erstellen von Dokumenten. Was auf den ersten Blick nur wie eine Arbeitserleichterung aussieht, offenbart sich bei näherem Hinsehen als Sicherheitslücke: Schnell ist das Handy verloren oder gestohlen und mit ihm sämtliche Daten.
Pointsec von der gleichnamigen Firma soll dagegen schützen. Das Produkt besteht aus zwei Teilen: Die Verwaltungskomponente (Administration/Account Console) läuft auf einem Windows-Rechner, auf dem Handy übernimmt ein Client Zugangskontrolle und Verschlüsselung. Versionen des Clients gibt es für diverse Handys mit Symbian, Palm OS und Windows Mobile. Die Zweiteilung deutet darauf hin, dass das Produkt für die private Benutzung weniger geeignet ist. Zielgruppe sind vielmehr Unternehmen mit einer geeigneten Infrastruktur, die für alle Geräte gleiche Sicherheitsregeln vorgeben wollen oder müssen.
Mit der Administration Console erledigt man nicht nur das Festlegen solcher Vorschriften, sondern auch das Erstellen von Installationspaketen und die Benutzerverwaltung. Pointsec kennt dafür verschiedene Rollen: Zu allem berechtigte Super-Administratoren, Installateure, die Softwarepakete schnüren und Anwenderprofile verwalten sowie Help-Administratoren, die Anwendern beim Entsperren versehentlich blockierter Geräte helfen.
Im Test auf einem Nokia 9500 Communicator verlief das erneute Freigeben wie versprochen. Nach mehrmaliger Fehleingabe des Passworts zeigte Pointsec einen Dialog mit IMEI (das ist die international eindeutige Gerätenummer) und einem Challenge-String an. Diese Ziffernkombinationen gibt der Benutzer telefonisch an den Verwalter durch. Aus ihnen errechnet dessen Administration Console eine ebenfalls nur aus Ziffern bestehende Antwort, die der Anwender eintippt. Anschließend kann er ein neues Passwort wählen.
Regeln für Passwörter und Fehleingaben
Wie Benutzer sich an ihrem mobilen Gerät anmelden, wie viele Fehlversuche gestattet sind, welche Dateien das Programm verschlüsselt – diese Parameter hängen vom Endgerät ab. Auf Modellen mit einem berührungsempfindlichen Bildschirm kann man etwa ein grafisches Log-in vorgeben, anderswo nur Passwörter oder PINs. Die folgenden Ausführungen beziehen sich auf die Erfahrungen mit dem Communicator.
Für die Authentifzierung lassen sich hier die minimale und maximale Passwortlänge, die Zeit bis zur Neuanmeldung und die maximale Zahl ungültiger Versuche festlegen. Ist die Software einmal auf dem Telefon installiert, lassen sich dessen Organizer-Funktionen nur noch nach korrekter Anmeldung benutzen. Nach der voreingestellten Zeit meldet sie den Benutzer automatisch ab. Telefonieren kann man unabhängig davon wie gewohnt. Die Administration kann bestimmen, dass Pointsec SD/MM-Speicherkarten automatisch verschlüsselt oder dies dem Benutzer von Fall zu Fall freistellt. Listen legen fest, welche Dateien vor fremden Augen zu schützen sind und in welchen Fällen das nicht erwünscht ist. Sie können sowohl Dateitypen, besser gesagt -endungen als auch Verzeichnisse nennen.
Was der Anwender auf dem Handy selbst erstellt, herunterlädt oder als E-Mail-Anhang bekommt, sichert Pointsec automatisch und transparent per AES mit einem 128 Bit langen Schlüssel. Beim Öffnen des Dokuments wird es automatisch entschlüsselt. Das kostet auf dem ohnehin nicht flotten Communicator zwar Zeit, behindert die Arbeit aber nicht übermäßig. Nokias PC-Suite überträgt Dateien nur vom und zum PC, wenn Pointsec das Handy nicht gesperrt hat, der Benutzer also angemeldet ist. Da sich der Communicator nicht als USB-Storage-Device ansprechen lässt, ist direkter Datenklau auf diesem Weg ebenfalls ausgeschlossen.
Dateien auf dem Gerät verschlüsseln
Beim Einlegen einer unverschlüsselten Speicherkarte fragt das Programm, ob es die Daten auf ihr kodieren soll. Diese Aufgabe erledigt es zuverlässig. Allerdings chiffriert es nur die per Dateisystem zugänglichen Objekte – ein strings unter Linux verrät trotz Verschlüsselung allerhand über alte Daten. Vor dem Einsatz sollte man deshalb eine SD/MM-Karte einer gründlichen Behandlung mit dd oder einem energischen Formatierwerkzeug unterziehen – das Windows Format-Utility lässt die meisten Bytes auf der Karte unbehelligt.
Zwar hinterlässt Pointsec beim Verschlüsseln einer Datei im Directory der Karte ihren ursprünglichen Namen, dessen ersten Buchstaben es wie bei FAT-Dateisystemen üblich durch "E5" ersetzt. Die Daten selbst jedoch sind – anders als beim klassischen Löschen – unlesbar. Ein einfaches Ändern des Namens per Hex-Editor ist deshalb kein tauglicher Einbruchsversuch. Legt man außerhalb des Handys eine neue Datei auf der Speicherkarte ab, verschlüsselt Pointsec diese automatisch, jedoch erst beim ersten Öffnen im Gerät. Das erscheint unnötig lax: Wer sich neu übertragene Daten nicht wenigstens einmal anschaut, gewährt einem Finder unerwünscht Einblick.
Unverschlüsselt bleiben zudem unterhalb von system auf der Karte abgelegte Dateien. Dieses Verzeichnis zeigt die Communicator-Software nicht an, sodass sein Inhalt dem Anwender verborgen bleibt. Ihn nicht zu verschlüsseln ist jedoch ebenfalls fahrlässig: Wer versehentlich wichtige Daten in dieses Verzeichnis kopiert hat, könnte an einen eigenen Fehler glauben, wenn sie später nicht auf dem Handy zu sehen ist. Ein Dieb oder Finder wiederum hätte ungehinderten Zugang.
Fazit
Pointsec schützt mobile Geräte wirkungsvoll vor unberechtigtem Zugriff. Auf ihnen gespeicherte Daten verschlüsselt es zuverlässig. Vom Einsatz von Speicherkarten ist jedoch abzuraten, da ihr Inhalt nicht vollständig und sofort geschützt ist. (ck)
|
||||||||||||||||
