Mobile Sicherheit

Lange Zeit gab es außer dem Antiviren-Testfile von EiCAR (http://www.eicar.org/anti_virus_test_file.htm) keine bekannten Viren. Mit WinCE.Brador.a allerdings ist mittlerweile ein echter Virus unterwegs: dieser versucht, sich mit dem Dateinamen svchost.exe in den Ordner \Windows\Autostart zu kopieren. Er versucht dann eine Nachricht inklusive der IP-Adresse, also der Adresse, unter der jedes Gerät durch die Einwahl ins Internet erreichbar ist, des infizierten PDAs an seinen Autor zu senden, öffnet dann den TCP Port 2989 und wartet darauf, dass die Kontrolle über das infizierte Gerät von außen übernommen wird. Nicht nur für Pocket PC Phone Edition-Geräte, wie z.B. den MDAIII, die durch das integrierte GSM-Modul meist online sind und somit immer angreifbar sind, sondern auch die über ActiveSync an den PC angeschlossenen PDAs stellen so ein nicht zu vernachlässigendes Sicherheitsrisiko dar.

Kaspersky Labs (http://www.kaspersky.com) bieten verschiedene Produkte rund um Viren und deren Entfernung an, unter anderem mit Kaspersky Security for PDA einen Virenscanner, der sowohl auf Palm- als auch auf Pocket PC Geräten läuft und dessen Virendefinitionen per Internet-Verbindung (per GSM/GPRS) oder mit der an den PC angeschlossenen Docking Station aktualisiert werden können. Durch die Tatsache, dass Kaspersky für viele Systeme (PCs, Server, etc.) Antivirenprogramme anbietet, ist hier eine schnelle Aktualisierung der Virendefinitionen bei neuen Bedrohungen sichergestellt.

Wer die kostenfreie Variante vorzieht, der findet bei Airscanner (http://www.airscanner.com) auch ein kostenloses Produkt.

Eine Gefahr ist mit dem Einsatz von Virenscannern aber nicht gebannt: Viren, die in Mailanhängen auf dem PC residieren, werden bei Synchronisation des Posteingangs mit übertragen und können so ebenfalls Schaden anrichten, ohne dass ein Scanner auf dem PDA sie erkennt.

Mindestens so wichtig wie der Schutz vor Viren ist der Schutz der auf dem PDA gespeicherten Daten. So sehr man sein Firmennetzwerk schützt, so selten machen sich viele Firmen Gedanken darüber, dass die Excel-Tabellen, Word-Dokumente und Anmerkungen in Kontaktdaten einen guten Teil der Firmengeheimnisse beinhalten. Ein verlorener und vom falschen Finder weiter verwendeter PDA kann erheblichen Schaden anrichten. Die PDASecurity aus dem Hause Ubitexx (http://www.ubitexx.de) bietet da eine umfängliche Lösung: Durch die auf dem PC installierte Komponente Trusted Mobility Server kann ein Administrator frei festlegen, was der Benutzer auf seinem PDA machen kann. Die Installation von Programmen kann ebenso gesperrt werden wie der Datenaustausch per Infrarot, Bluetooth oder WLAN, das Synchronisieren mit einem beliebigen PC und der Zugriff auf die Speicherkarte.

Wie bei einem „erwachsenen“ Netzwerk können Policies, also Regeln für Zugriffsberechtigungen, etc.) zentral für Benutzergruppen definiert werden und dann auf die mobilen Geräte angewendet und verteilt werden.

Hat der Benutzer sein Passwort vergessen, dann kann über den Administrator das Gerät erneut freigegeben werden, ohne dass Daten verloren gehen.

Um es den Anwendern im Wust der zu merkenden Passwörter einfach zu machen, können diese symbolisch sein, d.h. die Ziffern setzen sich aus dem Word-, Excel-, Email-Symbol, etc. zusammen, die einfacher zu merken sind.

Bei Geräten mit integrierter Kamera (besonders interessant bei Telefonen, der Client läuft beispielsweise auch auf Symbian-Telefonen) kann diese ausgeschaltet werden, dies verhindert, dass Mitarbeiter heimlich Fotos von Produkten und Dokumenten machen können.

Zu guter letzt können Speicherkarten und Verzeichnisse mit verschiedenen Algorithmen verschlüsselt werden, sodass auch Dateien, die auf dem mobilen Gerät mitgenommen werden, geschützt sind.

Auch wenn der Pocket PC noch so neu ist: Es empfiehlt sich immer, die aktuellste Version von ActiveSync zu installieren. Auch wenn schon die aktuelle Version 3.7.1 installiert ist, kleinere Veränderungen und Bugfixes werden immer wieder vorgenommen, und bei gleicher Versionsnummer unterscheidet man noch zwischen unterschiedlichen „Builds“. Unter http://www.pocketpc.com findet sich im Downloadbereich immer die aktuellste Version.

Ist diese installiert, dann sollte direkt nach der Installation eine Sicherheitswarnung erscheinen, die fragt, ob der „ActiveSync Connection Manager“ zugelassen oder weiter blockiert werden soll. Für den Standardfall genügt ein Klick auf „Nicht mehr Blocken“, um eine Regel einzurichten, die ActiveSync ab diesem Zeitpunkt für die Firewall als zugelassene Anwendung identifiziert. Über „Weiterhin Blocken“ wird ActiveSync in der Firewall abgefangen und blockiert; durch Anklicken von „Erneut fragen“ wird die Entscheidung vertagt.

Spannend wird das Ganze, wenn ActiveSync entweder nicht funktionieren will oder die oben beschriebene Abfrage gar nicht erst erscheint.

Der erste Schritt zur Analyse der Ursache führ direkt über die Windows-Firewall. Durch Start/Einstellungen/Systemsteuerung/Sicherheitscenter werden die relevanten Einstellungen aufgerufen. Neben den Internet-Einstellungen und den Einstellungen für die automatischen Updates findet sich unter „Windows-Firewall“ alles an Einstellungen für den Schutz des PCs vor eingehenden Verbindungen. Im Reiter „Ausnahmen“ finden sich alle explizit erlaubten oder blockierten Anwendungen. Bei richtiger Konfiguration ist der ActiveSync Connection Manager dort aufgeführt. Ein Haken neben dem Namen zeigt an, dass eine Regel eingerichtet wurde und der Zugriff erlaubt ist. Fehlerquelle 1: Statt die Verbindung zuzulassen, wurde sie versehentlich blockiert. Dies lässt sich leicht lösen, indem der Haken manuell eingefügt wird. Alternativ kann der Eintrag markiert und die Regel durch Anklicken von „Löschen“ entfernt werden. Beim nächsten Start von ActiveSync kommt dann wieder die oben beschriebene Abfrage und die Regel kann neu eingerichtet werden.

Die unangenehmere Situation besteht dann, wenn weder die Abfrage der Firewall kommt, ob ActiveSync erlaubt werden soll, noch ein Eintrag ein den Firewall-Regeln vorhanden ist.

Da jede sicherheitskritische Anwendung erst einmal blockiert wird, bedeutet dies das Aus für die Synchronisation.

Um dies zu beheben, muss man die Funktionsweise von ActiveSync verstehen: Außer der für den Anwender sichtbaren Komponente ist der Connection Manager ein Agent, der im Hintergrund läuft (und die Kommunikation selbst für den Benutzer unsichtbar erledigt, in sofern auch für die Firewall als risikoreich eingestuft wird). Beide Anwendungen müssen manuell zugelassen werden. Dazu dient in den Sicherheitseinstellungen der Button „Programm“. Klickt man ihn an, dann werden im folgenden Dialog alle registrierten Programme in einer Liste angezeigt.

Über „Durchsuchen“ müssen nun zwei Programme hinzugefügt werden. Beide befinden sich in C:\Programme\Microsoft ActiveSync auf der lokalen Festplatte. ActiveSync findet sich unter WCESMGR.EXE,, der Connection Manager als WCESCOMM.EXE.

Damit ist die sonst vom System automatisch durchgeführte Einrichtung von ActiveSync in der Firewall manuell durchgeführt und die Applikation sollte ohne Probleme starten und synchronisieren. Warum die automatische Erkennung manchmal nicht funktioniert, ist nicht eindeutig zu klären, da es unter verschiedensten Umgebungsbedingungen geschehen kann.

Jede Freigabe eines Programmes und damit einer Verbindung von Außen stellt ein potentielles Sicherheitsrisiko für das System dar. Es kann also nicht schaden, soweit wie möglich Einschränkungen vorzunehmen, welche Rechner tatsächlich zugelassen sind, eine Synchronisation durchzuführen. Um dies vorzunehmen, muss in der Liste der zugelassenen Programme der ActiveSync Connection Manager markiert werden und durch Klick auf „Bearbeiten“ die Einstellungen für die Regel aufgerufen werden.

Der folgende Dialog erlaubt es, den Bereich der Subnetze und IP-Adressen festzulegen, die eine ActiveSync-Verbindung aufbauen können. Im Standard wird dieses nicht eingeschränkt. Eine der einfachsten Änderungen ist die Einschränkung auf das eigene Netzwerk (damit sind nur Rechner im eigenen Subnetz zugelassen). Deutlich dedizierter kann man direkt einzelne IP-Adressen angeben, die zugelassen sind, indem man die „Benutzerdefinierte Liste“ aktiviert. Einzelne IP-Adressen können dort eingegeben werden, was vor allem für die Synchronisation im Netzwerk von Interesse ist.

Der Einsatz mobiler Geräte im Firmenumfeld ist vom Sicherheitsaspekt her nicht extrem komplex… man muss sich nur Gedanken darüber machen. Akzeptiert man den Pocket PC als Teil der (Sicherheits-) Infrastruktur, so kann man dessen Vorteile nutzen, ohne ein Risiko für das Unternehmen in Kauf zu nehmen.

Wenn Sie interessiert sind, mehr zum Thema Sicherheit und mobile Geräte zu erfahren, finden Sie auf www.worldofppc.com weitere Informationen.