Die Bedienung des iPhones ist revolutionär, so schwärmen zumindest die meisten, die es schon ausprobieren konnten. Das Smartphone von Apple hebt sich aber nicht nur in Sachen Benutzerschnittstelle von den bisherigen Kommunikationsgeräten ab. Sein Einsatz dürfte auch schon bald einigen IT-Sicherheitsverantwortlichen schlaflose Nächte bereiten. Denn das Apple-Phone ist der aufsehenerregendste Vertreter einer neuen Gerätegeneration, bei der sich die Grenzen zwischen privater und beruflicher Nutzung immer mehr verwischen. Sie verfügen sowohl über ausgewachsene Bürofunktionen, wie Mail, Messaging, Kalender, Adressverwaltung oder auch einen einfachen Wordeditor, als auch über typische Freizeit-Features, wie Musik-Player, Foto- und Filmkamera oder Gamefähigkeiten. Sie werden dadurch fast zwangsläufig auch an den Heim-PC angeschlossen, der im Normalfall nicht unter der Kontrolle der Sicherheitsverantwortlichen in den Unternehmen ist.


Smartphones erben Probleme

Dies ist umso problematischer, als diese Gadgets eigentliche Minicomputer sind, mit relativ viel Speicherplatz und der Möglichkeit, zusätzliche Applikationen zu installieren. Zudem basiert beispielsweise das iPhone auf der gleichen Betriebssystem- und Internetbrowser-Software wie die Desktop-Computer und Laptops von Apple. Damit erbt das Handy auch die Sicherheitsmängel der Tischrechner. Bezeichnenderweise wurden auch schon kurz nach dem Verkaufsstart in den USA mehrere Lücken im Internet-Browser des iPhones bekannt, die auch in Apples Rechner-Browser auftreten. Über diese inzwischen ausgebesserten Programmschwachstellen konnten Angreifer die Kontrolle über das Gerät erlangen.

Die IT-Analysten von Gartner warnen so auch ausdrücklich vor den Gefahren, die auf die Unternehmen in Form des iPhones zukommen. Das Gerät werde von den meisten mobilen Sicherheitsprogrammen bisher nicht unterstützt, und zudem sei Apple eine Endverbraucherfirma, ohne Erfahrung mit mobilen Geräten für Unternehmen. Dies erschwere eine Integration in das Sicherheitsdispositiv einer Firma. Die Sicherheitsverantwortlichen sollten das iPhone darum vorläufig am besten verbieten, so die Empfehlung von Gartner.

Anzeige

Bloss, auf Dauer werden sich das iPhone und ähnliche Geräte nicht einfach per Verbot aus den Unternehmen fernhalten lassen. Die Anwender werden kaum für das Privatleben und die Arbeit zwei getrennte Geräte synchronisieren wollen, die weitgehend die gleichen Funktionalitäten haben. Zumal die Verschmischung von Privatem und Beruf ja durchaus im Sinne vieler Arbeitgeber ist.

Philipp Klomp, Geschäftsführer der auf IT-Sicherheit von mobilen Geräten spezialisierten Nomasis AG, sieht die Sicherheitsproblematik nicht so ganz dramatisch wie die US-Analysten: «Im Grunde genommen ist das iPhone einfach ein weiteres mobiles Gerät. Mobile Geräte sind im gemischten Einsatz für Arbeit und Privatleben generell problematisch, dies gilt nicht nur für das iPhone. Ein Unternehmen kommt heute nicht darum herum, alle tragbaren Alleskönner in sein Sicherheitsdispositiv zu integrieren und entsprechende Richtlinien wie auch Massnahmen zu erlassen. Für die meisten Plattformen stehen heute die benötigten Sicherheitssysteme zur Verfügung.» Klomp ortet die grösste Gefahr der heutigen Smartphones im Diebstahl oder Verlust des Geräts. Je kleiner ein mobiles Gerät, desto grösser die Wahrscheinlichkeit, dass es liegen gelassen wird. Wenn in diesem Fall die Daten auf dem Gerät nicht verschlüsselt oder wenigstens durch ein Passwort vor unberechtigten Zugriffen geschützt sind, kann der «Finder» mühelos Mails, Adressen oder auch Textfiles lesen. Gerade der Mailverkehr enthält heutzutage aber fast immer geschäftskritische Informationen, und mobiles E-Mail wird immer mehr eingesetzt. Um sicher zu gehen, dass ein Dieb in keinem Fall in den Besitz der Informationen gelangen kann, empfiehlt sich zudem, einen sogenannten Wipe-Dienst einzurichten, mit dessen Hilfe im Bedarfsfall sämtliche Daten über das Mobilfunknetz oder das Internet gelöscht werden können.


Schwache Synchronisation

Als weiteren kritischen Punkt erkennt Klomp, dass Smartphones sowohl mit dem Firmen-PC wie auch mit dem privaten Rechner zu Hause über eine vom Hersteller zur Verfügung gestellte Software synchronisiert werden können. «Die Werkseinstellung macht dabei den Smartphone-User zum Administrator mit allen Rechten. Wenn keine besonderen Massnahmen ergriffen und beispielsweise die Berechtigungen eingeschränkt werden, können über diese Schnittstelle Daten abgezogen werden, ohne dass das Unternehmen etwas davon merkt», so Klomp, «zudem birgt diese Hintertüre neue Entfaltungsmöglichkeiten für Viren, Trojaner und Spyware.»

Gegen Viren und Trojaner schützen grundsätzlich die auf die mobilen Geräte zugeschnittenen Versionen der gleichen Antivirensoftware, die auch auf den PCs zum Einsatz kommen. Diese haben aber einen entscheidenden Nachteil: Sie fressen relativ viel der doch nicht gerade üppigen Leistung der Minicomputer und verkürzen damit auch die Akkulebenszeit. In der Praxis schalten darum viele Anwender die Schutzprogramme ab, wenn das Unternehmen dies nicht zum Vornherein verunmöglicht.


Unkontrollierte Handlungen

Solche unkontrollierten Handlungen der Anwender sind es denn auch, die immer wieder unbemerkt und meist auch unbeabsichtigt Löcher in das Sicherheitsdispositiv schlagen können. Hier hilft neben einem Rollenkonzept, das verhindert, dass kritische Einstellungen durch den Anwender selber verändert werden, vor allem auch die Schulung der Mitarbeiter. «Die Mitarbeiter müssen sich bewusst werden, dass ihr digitales ‹Spielzeug› ein Unternehmenswerkzeug ist», erklärt Klomp, «und lernen, wie man sinnvoll und verantwortlich damit umgeht.»