IT-Sicherheit: PDA und Handy genügen nicht den Anforderungen

Weder das Mobiltelefon noch der PDA genügen den Anforderungen, die an sicherheitskritische Geräte zu stellen sind. Das ist eines der Ergebnisse der Arbeitskonferenz D-A-CH Security, auf der Praktiker, die für die IT-Sicherheit in großen Unternehmen zuständig sind oder die Sicherheitslösungen liefern, zusammenkommen. Am zweiten Tag der diesjährigen Tagung in Erfurt am 25. und 26. März über die Sicherheit von Computerinstallationen, kamen Wissenschaftler zu Wort. Forscher der Universitäten Leipzig, Siegen und der TU München berichteten über ihre Untersuchungen mobiler Endgeräte.

In vielen Zukunftszenarien spielen Mobiltelefone und PDAs eine wichtige Rolle. Aus diesem Grunde untersuchen eine Reihe von Projekten, ob sich die Geräte als "Personal Trusted Devices" (PTD) eignen, mit denen etwa digitale Signaturen unabhängig von Zeit und Ort erstellt werden können. Die Antwort der Forscher fiel in Erfurt negativ aus. Unzureichend geschützte SIM-Karten, nicht offengelegte Betriebssysteme, offene ungesicherte Speicher-Subsysteme wie CF-Karten kompromittieren die mobilen Geräte nachhaltig. Leichter Gebrauch und hohe Sicherheit schließen einander aus, befand etwa Sven Lachmund von der TU München: "Möglicherweise lässt sich wegen der Unvereinbarkeit der Zielsetzungen kein Universalgerät schaffen. Die Entwicklungen von PDAs und PTDs werden dann getrennte Wege gehen müssen."

Abseits der Vorträge beschäftigten sich einige Diskussionen am zweiten Tag der Veranstaltung mit dem NGSCB-Projekt, das Microsoft tags zuvor präsentiert hatte. Dabei wurde bekannt, das Microsoft bereits im Mai auf der WinHEC-Entwicklerkonferenz in New Orleans ein erstes arbeitsfähiges NGSCB-System zeigen wird. Erste Nexus-Chips, die die Verschlüsselung und Absicherung des "trustworthy codes" besorgen, sollen im Herbst zur Professional Developers Conference verfügbar sein, die Microsoft in Los Angeles abhält. Als Hersteller für die Sicherheitschips habe man zunächst Intel und AMD gewinnen können, meinten Sicherheitsspezialisten, die sich eingehend mit NBSCB befassen.

Als Bestandsaufnahme vermittelte die D-A-CH Security ein schütteres Bild, das keinesfalls dazu angetan ist, von einer sicheren IT zu sprechen. In einem Dutzend Referate zum Sicherheitsmanagement beklagten die Vortragenden immer wieder die ungenügende Ausstattung der Stellen, die sich mit Sicherheit befassen. Besonders in ökonomisch harten Zeiten verschlechtert sich die Bereitschaft von Firmen, für die Risikovorsorge Geld auszugeben. So berichtete ein Teilnehmer davon, dass in einem Betrieb die Abteilung Datensicherheit mit dem Werksschutz zusammengelegt wurde, die IT-Spezialisten dabei jedoch gekündigt wurden. Etliche Referate versuchten, den Sicherheitsaspekt so vorzustellen, dass er dem Management verständlich wird. Jürgen Bachinger von den HP Consulting Services stellte etwa ein Rechenmodell vor, mit dem IT-Sicherheit aus der Sicht des Kostencontrolling bewertbar wird. Bachinger machte auf die Vorteile aufmerksam, wenn IT-Sicherheitsbeauftragte über eine betriebswirtschaftliche Ausbildung verfügen. Sie könnten im Unternehmen berechnen, wie viel Sicherungsmaßnahmen im Vergleich zum Schadensrisiko kosten.

Forschritte konzedierte die Konferenz im Bereich der digitalen Signatur, die in etlichen Projekten zum Alltag geworden ist, wie einige Referate zeigten. Selbst handschriftliche biometrisch abgesicherte Signaturen sind möglich, wie sie eine Arbeitsgruppe der TU Darmstadt und der Firma Platanista vorstellte. Doch liegt es mit der Akzeptanz und der Sicherheit der Signatur im Argen. Wird tatsächlich das verschlüsselt und signiert, was man am Bildschirm sieht oder gibt es Lauschprozesse im PC, die sich hier einklinken können? Diese Frage beantworteten Forscher von drei Fraunhofer-Instituten in Darmstadt (TST), Berlin und Erlangen mit der Vorstellung des Trusted Signature Terminal, einer Box mit Kartenleser, die zwischen PC, Tastatur, Maus und Bildschirm gehängt wird. Das TST wurde mit Mitteln aus dem BMBF-Projekt "Leben und Arbeiten in der vernetzten Welt" entwickelt. Kommt es zur Unterschrift, sorgt die Box dafür, dass über das Kabelbündel keine Signale anderer Prozesse stören können. Eine Lösung des "TST on a Chip" zum Einbau in einen PC wurde von den Forschern realisiert und später verworfen, "weil die Sicherheit optisch nachvollziehbar sein muss. Allein das Gefühl, dass ein Kontrollchip im Rechner sitzen könnte, führt zu einem Akzeptanzproblem", erklärten die Forscher. (Detlef Borchers) / (anw)