Mobile Endgerätesicherheit im Unternehmen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Mobile Endgerätesicherheit im Unternehmen
Autoren Autoren Frank Rieger Björn Rupp unter Mitwirkung von Daniel Bußmeyer Dirk Engling Peter Stuge GSMK Gesellschaft für Sichere Mobile Kommunikation mbH, Berlin Dezember 2012 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-5977 E-Mail: info@cyber-allianz.de Internet: https://www.bsi.bund.de © Bundesamt für Sicherheit in der Informationstechnik 2013 Bundesamt für Sicherheit in der Informationstechnik 3
Management Summary Management Summary Die vorliegende Studie liefert einen Überblick über die Bedrohungslage beim Einsatz mobiler Endgeräte im Unternehmen aus dem Blickwinkel der IT- und Telekommunikationssicherheit. Der Fokus liegt hierbei auf den zwei mobilen Endgeräteplattformen Apple iOS 6 (iPhone/iPad) einerseits und Google Android 4.x andererseits. Innerhalb dieser Geräteklassen werden die verfügbare Hard- und Software und die daraus resultierenden Herstellerabhängigkeiten aus dem Blickwinkel der IT- und TK-Sicherheit betrachtet und zunächst allgemeine Risikofelder beim Einsatz im Unternehmen abgeleitet, bevor spezische Sicherheitsprobleme der untersuchten Endgeräteplattformen identiziert werden. Die Studie zeigt, daß ein vorbehaltloser Einsatz moderner mobiler Endgeräte im Unternehmen zahlreiche schwerwiegende IT- Sicherheitsrisiken birgt und nur ankiert von sorgfältig getroffenen Schutzmaßnahmen im Rahmen denierter Grundsätze des mobilen Endgeräteeinsatzes im Unternehmen erfolgen sollte. 4 Bundesamt für Sicherheit in der Informationstechnik
Inhaltsverzeichnis
Inhaltsverzeichnis
Autoren........................................................................................................................................................................................................3
Management Summary.......................................................................................................................................................................4
1 Charakterisierung moderner mobiler Endgeräte..................................................................................................................7
1.1 Hardware..............................................................................................................................................................................................7
1.2 Software................................................................................................................................................................................................9
1.3 Herstellerabhängigkeiten..........................................................................................................................................................11
2 Risikofelder beim Einsatz im Unternehmen.........................................................................................................................13
2.1 Taxonomie von Angriffsvektoren.........................................................................................................................................13
2.2 Lauschangriffe auf Sprache und Daten..............................................................................................................................15
2.2.1 Passive Lauschangriffe.........................................................................................................................................................15
2.2.2 Aktive („Man in the Middle“) Lauschangriffe..........................................................................................................18
2.2.3 Netzinfrastrukturbasierte Lauschangriffe.................................................................................................................22
2.3 Angriffe auf das mobile Endgerät über die Luftschnittstelle.................................................................................23
2.3.1 Angriffe über SMS und MMS...........................................................................................................................................23
2.3.2 Angriffe über die unteren Protokollschichten der Luftschnittstelle...........................................................24
2.4 Angriffe auf das mobile Endgerät über Schadsoftware.............................................................................................26
2.4.1 Auf dem Kriegspfad: Gebräuchliche Angriffswege...............................................................................................26
2.4.2 Angriffe über Mediadaten..................................................................................................................................................27
2.4.3 Angriffe über lokale Synchronisationsmechanismen.........................................................................................29
2.4.4 Angriffe gegen Device Management-, Synchronisations- und Clouddienste........................................30
2.4.5 Angriffe gegen lokale Sicherheitsmechanismen....................................................................................................31
2.5 Datenpreisgabe...............................................................................................................................................................................35
3 Spezische Sicherheitsprobleme verbreiteter Smartphone-Betriebssysteme.....................................................38
3.1 Updategeschwindigkeit und Code-Audits.......................................................................................................................38
3.1.1 Updategeschwindigkeit Apple iOS................................................................................................................................38
3.1.2 Updategeschwindigkeit Google Android...................................................................................................................39
3.1.3 Updategeschwindigkeit RIM Blackberry...................................................................................................................40
3.1.4 Möglichkeit von Code-Audits..........................................................................................................................................41
3.2 Softwarebibliotheken..................................................................................................................................................................41
3.3 Applikationen und Dienste......................................................................................................................................................43
3.3.1 Risiken durch Einsatz von Apps.....................................................................................................................................43
3.3.2 Codesignierung und Sandboxing...................................................................................................................................43
4 Technische und organisatorische Schutzmaßnahmen....................................................................................................47
4.1 Schaffung organisatorischer Rahmenbedingungen...................................................................................................47
4.1.1 Unternehmensspezische Risikoanalyse...................................................................................................................47
4.1.2 Gerätemanagement und Einsatzprinzipien.............................................................................................................48
4.2 Implementation technischer Schutzmaßnahmen......................................................................................................51
4.2.1 Übergreifende Maßnahmen.............................................................................................................................................51
4.2.2 Schutz von Daten auf dem Gerät ..................................................................................................................................52
4.2.3 Schutz vor Lauschangriffen..............................................................................................................................................52
4.2.4 Abwehr von Angriffen über die Luftschnittstelle.................................................................................................53
4.2.5 Abwehr von Angriffen über Schadsoftware.............................................................................................................54
Literaturverzeichnis............................................................................................................................................................................56
Bundesamt für Sicherheit in der Informationstechnik 5
Inhaltsverzeichnis
Abbildungsverzeichnis
Abbildung 1: Weltweite Marktanteile Smartphone-Betriebssysteme....................................................................................10
Abbildung 2: Überblick über mögliche Angriffsvektoren............................................................................................................13
Abbildung 3: Einfaches System für passive Lauschangriffe - Bildquelle: GSMK..............................................................15
Abbildung 4: Frequenzbereiche bei 800, 900 und 1800 MHz. Quelle: Bundesnetzagentur (2010)....................16
Abbildung 5: Abhören und Dekodieren von SMS-Kurznachrichten - Bildquelle: GSMK...........................................17
Abbildung 6: Aktiver "Man in the Middle"-Lauschangriff mit modiziertem Testgerät - Bildquelle: Anritsu /
Screenshot GSMK..............................................................................................................................................................................................19
Abbildung 7: Ausschnitt aus dem Funktionsumfang einer typischen Spionagesoftware - Quelle: Flexispy
Inc., November 2012.........................................................................................................................................................................................21
Abbildung 8: Erwerb von Mikrowellen-Richtfunkgeräten über den Gebrauchtmarkt - Quelle: ebay.com,
September 2012...................................................................................................................................................................................................22
Abbildung 9: Funkmodem und Anwendungs-CPU
in einem modernen Mobiltelefon.............................................................................................................................................................24
Abbildung 10: Identizierte Sicherheitslücken Apple iOS nach Jahr und Typ - Quelle: cvedetails.com,
Oktober 2012........................................................................................................................................................................................................27
Abbildung 11: Verwundbarkeit von Softwarekomponenten am Beispiel ffmpeg (Auszug).......................................28
Abbildung 12: Funktionsumfang einer typischen Forensik-Software - Quelle: elcomsoft.com, September
2012...........................................................................................................................................................................................................................32
Abbildung 13: Auszüge aus den fortlaufend mitprotokollierten Daten eines Android-basierten Smartphones
(Modell "One X") des Herstellers HTC - Quelle: GSMK..................................................................................................................36
Abbildung 14: Approximative Verteilung von iOS-Versionen über die Gesamtpopulation - Quelle: iOS
Version Stats, david-smith.org/iosversionstats..................................................................................................................................39
Abbildung 15: Approximative Verteilung von Android-Versionen über die Gesamtpopulation - Quelle:
Google Inc. (2012)...............................................................................................................................................................................................40
Abbildung 16: Approximative Verteilung der Versionen des „Blackberry OS“ über die Gesamtpopulation,
Quelle: news.ebscer.com/2012/09/98-4-of-blackberry-users-on-os-5-0/..........................................................................40
Abbildung 17: Datenexltration durch "Visual Malware" - Quelle: Templeman et al. (2012)....................................46
6 Bundesamt für Sicherheit in der Informationstechnik
Charakterisierung moderner mobiler Endgeräte 1 1 Charakterisierung moderner mobiler Endgeräte 1.1 Hardware Die vorliegende Studie untersucht den Unternehmenseinsatz moderner mobiler Endgeräte, die in Gestalt von leistungsfähigen Mobiltelefonen („Smartphones“) und achen tragbaren Mikrocomputern mit berührungsempndlichen Bildschirmen („Tablets“) auf kleinstem Raum hohe Rechenleistung, drahtlosen mobilen Internetzugang, hochauösende Bildschirme und standardisierte, für die Installation von Anwendungen von Drittanbietern geeignete Betriebssysteme in sich vereinen. Auf der Hardwareseite hat der Evolutionsprozeß moderner mobiler Endgeräte analog zur Entwicklung im PC-Markt zu einer weitgehenden Spezikationsangleichung innerhalb der jeweiligen Leistungsklassen geführt. Gleichzeitig hat der rasante Leistungszuwachs der standardmäßig vorhandenen Funk-, Kabel-, Karten-, Audio- und Videoschnittstellen zu einer entsprechend großen Angriffsäche geführt, die moderne mobile Endgeräte besonders verwundbar gegenüber Attacken durch entsprechend motivierte Akteure macht. Generell lässt sich feststellen, daß Skaleneffekte bei Entwurf und Herstellung von für moderne Smartphones und Tablets kritischen Komponenten dazu geführt haben, daß bei diesen Schlüsselkomponenten, und als Folge auch bei den damit in Zusammenhang stehenden Formfaktoren, eine weitgehende Angleichung der Hardware stattgefunden hat. Während in der frühen Entwicklungsphase persönlicher digitaler Assistenten und Mobiltelefonen mit fortgeschrittenen Kommunikations- und Terminverwaltungsfunktionen noch eine Vielzahl von in Bedienung und Auslegung grundsätzlich unterschiedlichen Konzepten existierte, ist diese ursprüngliche Vielfalt mittlerweile sowohl bei Smartphones wie auch Tablets einer relativen Uniformität gewichen: Die erdrückende Mehrheit der am Markt verfügbaren Geräte basiert mittlerweile auf um große berührungsempndliche Bildschirme herum gebauten Formaten, bei denen eine Differenzierung oft nur noch über Größe und Auösung des Bildschirms stattndet. Als Illustration der Bedeutung dieses Prozesses sei angemerkt, daß im Oktober 2012 auf dem deutschen Markt kein einziges Smartphone mit aktueller Android- (oder iOS-) Betriebssystemgeneration und fester Tastatur im Einzelhandel erhältlich war, obwohl gerade die fest eingebaute Tastatur über Jahre hinweg als kennzeichnendes Merkmal von für den Einsatz im Unternehmensumfeld geeigneten Smartphones angesehen wurde1 . Im Zuge dieser Spezikationsangleichungen nden sich in Smartphones einer bestimmten Leistungsklasse plattformübergreifend gleiche oder einander sehr nahestehende Schlüsselkomponenten. Dies wird eindrucksvoll demonstriert durch einen Vergleich der in den zum Zeitpunkt der Erstellung dieser Studie aktuellen Flaggschiffen der Google Android und Apple iOS-Plattformen, repräsentiert durch die Smartphones Samsung Galaxy S3 und Apple iPhone 5. Wie in Tabelle 1 dargestellt, sind differenzierende Charakteristika vor allem im Bereich des Bildschirms zu nden; bei den Applikationsprozessoren herrscht trotz durchaus vorhandener gradueller Unterschiede bei Anzahl der Prozessorkerne und Taktfrequenz wie im gesamten Smartphone- und Tablet-Markt die ARM-Architektur vor. Aus IT-Sicherheitssicht ist dabei anzumerken, daß die heute standardmäßig vorhandenen Kameramodule im Multimegapixelbereich verbunden mit internen Speicherkapazitäten im Multigigabytebereich althergebrachte Sicherheitskonzepte wie z.B. den reglementierten Zugang zu Kopierern und Massenspeichern grundsätzlich in Frage stellen, da auch Informationen mit hohem Detailgrad von heutigen Smartphones mit ihren hochentwickelten Kameramodulen gut erfaßt werden können. 1 Auch ein volles Jahr nach Freigabe der aktuellen Android-Betriebssystemgeneration 4.x waren im Oktober 2012 auf dem Weltmarkt nur vier Smartphones mit fester Tastatur und dieser aktuellen Betriebssystem- generation von den Herstellern Samsung, Motorola, Kyocera, Pantech, und Sharp verfügbar. Keines von diesen Modellen war im deutschen Einzelhandel in nennenswerten Stückzahlen erhältlich, dort wurden nur wenige Tastaturgeräte mit der zu diesem Zeitpunkt als veraltet anzusehenden Betriebssystemversion Android 2.3.x umgesetzt. Quellen: PDADB (2012a), GSMK-Großhandelsumfragen Juni-Oktober 2012 Bundesamt für Sicherheit in der Informationstechnik 7
1 Charakterisierung moderner mobiler Endgeräte
Samsung Galaxy S3 Apple iPhone 5 64GB
CPU 32 bit Samsung Exynos 4412 32 bit Apple A6 APL0589
Taktfrequenz 1.4 GHz 1.2 GHz
CPU-Kern 4x ARM Cortex-A9 MPCore 2x Apple ARM v7
Befehlssatz ARMv7 ARMv7
RAM LPDDR2, 1024 MB LPDDR2, 1024 MB
ROM 61035 MiB 61035 MiB
Bildschirm 4.8“ AM-OLED 4“ IPS TFT
Farbtiefe 24 bit/Pixel 24 bit/Pixel
Aulösung intern 720 x 1280 640 x 1136
Auösung extern 1920 x 1080 1920 x 1080
Unterstützte GSM quad-band, UMTS quad-band GSM quad-band, UMTS quad-band
Mobilfunkstandards
Unterstützte GPRS, EDGE, UMTS, HSDPA, HSUPA, GPRS, EDGE, UMTS, HSDPA, HSUPA,
Datenverbindungen HSPA+ HSPA+
Weitere Bluetooth 4.0, Wireless LAN IEEE Bluetooth 4.0, Wireless LAN IEEE
Funkschnittstellen 802.11 a/b/g/n 802.11 a/b/g/n
Satellitennavigation A-GPS, Quick GPS, S-GPS A-GPS, Quick GPS, S-GPS
Kamera CMOS Hauptkamera mit 8 Megapixel CMOS Hauptkamera mit 8 Megapixel
Auösung, Zweitkamera 1600 x 1200 Auösung, Zweitkamera 1280 x 960
Tabelle 1: Vergleich Android- und iOS-Hardware - Quelle: PDADB (2012b)
Auch im Bereich der drahtlosen und drahtgebundenen Schnittstellen hat sich im Laufe der letzten Jahre ein
grundlegender Wandel vollzogen: Heutige microSD-Speicherkarten ermöglichen auf miniaturisierter, selbst
bei Leibesvisitationen nicht mehr entdeckbarer Größe die Speicherung von umfangreichsten Datenbanken,
Text- und Bildmaterial, die mit einem entsprechend ausgerüsteten mobilen Endgerät über dessen zahlreich
vorhandene Schnittstellen unautorisiert abgezogen werden können. Mehrere Funkschnittstellen
ermöglichen im Standardzustand einen gleichzeitigen Zugang zu öffentlichen Mobilfunknetzen und
rmeneigenen (Wireless LAN-)Netzen, welches eine im Unternehmensumfeld ggf. vorhandene Politik der
Trennung privater und öffentlicher Netze leicht zunichte machen kann – 2G/GSM plus 3G/UMTS mit der
Unterstützung von Datenübertragungsverfahren wie HSDPA/HSUPA/HSPA bieten auch in abgeschottet
geglaubten Bereichen einen breitbandigen Zugang nach außen; mit den nächsten Netztechnikiterationen
wie LTE ist eine weitere Potenzierung zu erwarten. Die verwendeten Chipsätze und Risiken sind hierbei bei
den untersuchten Geräteklassen in den wesentlichen Aspekten gleich, auch wenn bei Android-Geräten
bedingt durch das hinter Android stehende Geschäftsmodell eine größere Typenvarianz besteht. Auf der
Funkmodemseite sind bei allen Endgeräteherstellern wechselnde Lieferanten der entsprechenden
Baseband-Prozessoren ohne eindeutige langfristige Bindung eines Endgeräteherstellers an einen
bestimmten Funkmodem-Lieferanten (Intel/Inneon, Qualcomm, Nvidia etc.) die Regel. Die Angreiﮓarkeit
der Funkodems richtet sich nach Baseband-Hersteller und Alter des Chipsatzes bzw. der Firmware (vgl.
Abschnitt 2.3). Auch bei diesem von der Hardware vorgegebenen Sicherheitsrisiko gibt es keine
grundsätzlichen Unterschiede zwischen iOS und Android; es gibt im Android-Bereich lediglich eine größere
Vielfalt von Baseband-Prozessoren pro Gerätezyklus.
8 Bundesamt für Sicherheit in der Informationstechnik
Charakterisierung moderner mobiler Endgeräte 1 Eine erste wichtige Differenzierung zwischen den Plattformen iOS und Android gibt es jedoch im Bereich kabelgebundener Schnittstellen und Speicherkarten: Während in der iOS-Welt externe Speichermedien nicht direkt vorgesehen sind (aus IT-Sicherheitssicht durchaus positiv zu vermerken), klare herstellerspezische Vorgaben von Apple mitsamt eines eigenen Ökosystems auch bei den Schnittstellen existieren (relevant ist hier in erster Linie der einheitliche Steckverbinder für alle Geräte mit Unterstützung von USB, Video, Audio, Stromversorgung und Kopﮔörer) und die Zubehörhersteller speziell im Audiobereich mit Apple-Spezikationen arbeiten, besteht in der Android-Welt eine große Auswahl an Standard-Schnittstellen. Durchgehend vorzunden sind Mikro-USB-Schnittstellen zur Stromversorgung und für die Verbindung mit dem PC des Benutzers; darüber hinaus existiert jedoch eine große Auswahl an Geräten mit zusätzlichen Schnittstellen für Kopﮔörer, µSD-Karteneinschüben, Fingerabdrucksensoren u.v.a.m. 1.2 Software Heute im Einsatz bendliche Betriebssysteme für mobile Endgeräte umfassen über die eigentliche Betriebssystembasis hinaus umfangreiche Funktionen für die Kommunikation per Sprache, (Kurz-) Nachrichten und elektronischer Post sowie Funktionen aus dem Bereich des persönlichen Informationsmanagements wie Adreßbuch, Kalender und Aufgabenlisten mit umfangreichen Synchronisationsmöglichkeiten mit dem PC des Nutzers bzw. einer unternehmenseigenen Infrastruktur für beispielsweise Firmenkalender, rmenweitem Adreßbuch und E-Mail. Alle aktuellen Betriebssysteme für mobile Endgeräte bieten darüber hinaus einen umfangreichen Funktionsumfang im Bereich der Wiedergabe von Audio- und Videodaten, von der Aufzeichnung und Wiedergabe kurzer Diktate bis zur hochauösenden Wiedergabe von Spiellmen auf dem Bildschirm des mobilen Endgeräts. Der Markt für mobile Endgeräte hat sich hierbei auf der Betriebssystemseite binnen weniger Kalenderquartale in ein von Android dominiertes Oligopol verwandelt. Apples iOS ist Stand Herbst 2012 volumenmäßig der einzige ernstzunehmende Konkurrent: Im zweiten Quartal 2012 liefen gemäß der fortlaufend aktualisierten Datenbank des Marktforschungsunternehmens IDC (2012) 85% aller weltweit verkauften Smartphones unter einem dieser beiden Betriebssysteme, wobei Android mit 68% Marktanteil eine klar dominante Stellung einnahm. Wie Abbildung 1 zu entnehmen ist, ist die Marktentwicklung einer außergewöhnlich hohen Dynamik unterworfen. Auch wenn damit zu rechnen ist, daß diese Dynamik aufgrund der zahlreichen das Marktgeschehen beeinussenden Faktoren weiterhin anhält und insofern tiefgreifende Veränderungen auch weiterhin durchaus möglich sind, scheint es dennoch sinnvoll, die zwei heute klar dominanten Betriebssysteme für eine weitere Untersuchung hinsichtlich ihrer spezischen Sicherheitsprobleme beim Einsatz im Unternehmensumfeld auszuwählen. Auch wenn wie aus den Marktdaten hervorgeht Android als Betriebssystem derzeit eine dominierende Rolle einnimmt, gilt es zu beachten, daß aufgrund des uneinheitlichen Versionsmanagements der Hersteller innerhalb des Android-Lagers noch eine erhebliche Marktfragmentierung gegeben ist: Stand Oktober 2012, d.h. ein volles Jahr nach Freigabe der vierten Android-Betriebssystemgeneration, liefen immer noch knapp 56% der aktiv benutzten Geräte2 unter der Betriebssystemversion 2.3.x, und lediglich knapp über 25% nutzten die vierte Betriebssystemgeneration (Versionen 4.0.x bzw. 4.1.x). Diese Fragmentierung wurde nicht zuletzt auch dadurch begünstigt, daß die dritte Generation des Betriebssystems ausschließlich Tablet- Computern vorbehalten blieb und Smartphones dadurch bis zur Wiedervereinigung der Code-Basis für beide Formfaktoren in der vierten Generation des Betriebssystems weiterhin auf dem Entwicklungsstand von Android 2.x verharren mussten. Die im relativen Vergleich recht langwierigen und uneinheitlichen Updatezyklen (für eine detaillierte Abhandlung s. Abschnitt 3.1) und die Tatsache, daß wie in Abschnitt 3 weiter ausgeführt für den Einsatz im Unternehmensumfeld wichtige Sicherheitsmerkmale erst mit der vierten Betriebssystemgeneration eingeführt wurden, lässt diese derzeit noch existierende Fragmentierung umso bedauerlicher erscheinen. Zusammenfassend ist ein Einsatz Android-basierter Geräte im 2 Verteilung gemäß der zum Zeitpunkt der Erstellung der Studie letzten vorliegenden Angaben von Google Inc. (2012), basierend auf den die Android-Softwaredistributionsplattform „Google Play“ besuchenden Android- Geräten über einen 14-Tage-Meßzyklus. Bundesamt für Sicherheit in der Informationstechnik 9
1 Charakterisierung moderner mobiler Endgeräte Unternehmensumfeld vor Version 4.0 aufgrund der unübersichtlichen Versionsvielfalt, der Versionstrennung auf Basis der verwendeten Formfaktoren, der mangelnden Update-Garantie und nicht zuletzt des Fehlens wesentlicher, erst mit Version 4.0 eingeführter Sicherheitsmerkmale nicht anzuraten. Abbildung 1: Weltweite Marktanteile Smartphone-Betriebssysteme Die Situation im iOS-Lager ist dank des stringenten Versionsmanagements durch Apple eine deutlich andere; hier ist ein weitgehend homogenes Betriebssystemumfeld auch über verschiedene Formfaktoren (iPhone/iPad) hinweg gegeben, und Updates bleiben auch für ältere Gerätegenerationen sehr lange verfügbar, so daß zu einem gegebenen Zeitpunkt typischerweise immer nur zwei bis drei Versionen des Betriebssystems relevant bleiben. Jenseits der Basisfunktionalitäten des jeweiligen Betriebssystems zeigt sich sowohl bei iOS wie auch bei Android im Bereich der standardmäßig mitgelieferten Anwendungen und Systemdienste das immanente Interesse von sowohl Apple als auch Google an Bindung der Nutzer an eigene Dienste. Dies ist aus IT- Sicherheitssicht insofern relevant, als daß die Standard-Anwendungen auf beiden Plattformen auf die Bindung an Dienste des OS-Lieferanten abzielen, die aus der Sicht des Einsatzes im Unternehmen wenig wünschenswert erscheint: Auf der iOS-Seite sind dies u.a. der Apple-eigene Kurznachrichtendienst Messages und die tiefe Integration des Datenspeicherdienstes iCloud mit seiner umfangreichen Vereinnahmung von Backup-, Speicher- und Synchronisationsfunktionalität persönlicher Daten. Vor allem die Einbindung von iCloud ist aus Unternehmenssicht als ausgesprochen problematisch anzusehen, da wichtige, u.U. unternehmenskritische Daten faktisch der Verfügungsgewalt des Unternehmens entzogen und auf externen Servern in einer fremden Jurisdiktion gespeichert werden und damit auch die Möglichkeit besteht, daß Dritte (nach dem jeweilig geltenden Recht berechtigt oder unberechtigt) Zugriff auf diese Daten erhalten können. Für Android gelten mit äquivalenten, standardmäßig mitgelieferten Anwendungen wie Messenger, Google Talk, Google Mail, Google+, etc. ähnliche Vorbehalte. Selbst die Application Programming Interfaces (APIs) und Systemdienste dienen bei beiden Betriebssystemen in großen Teilen ähnlichen Zwecken: Für iOS existieren umfassende Frameworks mit der vorab bereits angesprochenen tiefen Integration von iCloud- Diensten, die auf auch über OS-Versionen hinweg relativ stabilen APIs auﮓauen. Für Android nden sich ebenfalls umfassende APIs für relevante Dienste vor, die mit einer derzeit immerhin optionalen Integration 10 Bundesamt für Sicherheit in der Informationstechnik
Charakterisierung moderner mobiler Endgeräte 1 in von Google bereitgestellte Dienste ähnliche Funktionen erfüllen, dort herrscht jedoch erst seit der Betriebssystem 4.0 eine relative API-Stabilität. Vor diesem Hintergrund kann der Einsatz von Mobile Device Management (MDM)-Software helfen, diese Abhängigkeiten zu verringern: Erst extern zu beschaffende MDM-Software ermöglicht innerhalb gewisser Grenzen eine unternehmensweite Durchsetzung von Regeln („Policies“), Netz- und Sicherheitseinstellungen. Je nach eingesetzter Software ist hiermit auch eine Kontrolle der auf den Endgeräten installierten/ zugelassenen Anwendungen („Apps“) möglich. Für eine ausführlichere Behandlung von sicherheits- relevanten Aspekten von MDM-Software sei auf Abschnitt 2.4.4 verwiesen. 1.3 Herstellerabhängigkeiten Vor einer weitergehenden Analyse des sicheren Einsatzes mobiler Endgeräte im Unternehmen gilt es zunächst, sich die Geschäftsmodelle der beiden dominanten Plattformanbieter zu vergegenwärtigen. Während bei Apple als integriertem Anbieter von Hard- und Software den Einnahmen aus dem Verkauf der eigenen, hochwertigen Geräte eine hohe Relevanz zukommt und andere Einnahmequellen (wie Provisionen aus dem App Store, Netzbetreiber-Subventionen und Werbung) nach wie vor erst an zweiter Stelle kommen (s. hierzu auch Arthur D. Little und Exane (2010, S. 33-44)), waren und sind die Prioritäten von Google bei Entwicklung und Vermarktung des Android-Betriebssystems andere: Wie Sharma und Delaney (2007) bereits vor der ofziellen Vorstellung des Android-Betriebssystems richtig herausstellten, war und ist der primäre wirtschaftliche Anreiz für Google, eine Plattform zu schaffen, mit der das Kerngeschäft des Unternehmens, die Internet-Suche, und die damit verbundenen Werbeeinnahmen auch im immer bedeutenderen Mobiltelefonumfeld ihre dominante Rolle weiter ausspielen können. Eng mit diesem primären Ziel verbunden ist ein zweites Ziel, nämlich die Bindung der Android-Nutzer an das Google-eigene Ökosystem von Anwendungen und Dienstleistungen, die wiederum mit entsprechenden Werbeeinnahmen verknüpft sind. Analog zum Apple-eigenen App Store stellt die Softwaredistributionsplattform „Google Play“ (vormals Android Market) ein weiteres Standbein des Google-Geschäftsmodells für die Android- Plattform dar. Diese kurze Vergegenwärtigung der Geschäftsmodelle der beiden dominanten Plattformanbieter ist für den Einsatz mobiler Endgeräte im Unternehmensumfeld insofern von Bedeutung, als daß diese Geschäftsmodelle mit den Interessen der die Geräte einsetzenden Unternehmen oft nicht kongruent sind. Aus den Geschäftsmodellen der Anbieter resultiert insbesondere ein relativ laxer Umgang mit Fragen der Privatsphäre und Daten(weiter-)verwendung: Es ndet vor allem eine umfangreiche Datenerhebung durch die Plattformanbieter statt, die u.a. den Aufenthaltsort des Nutzers, die Nutzung von Apps, die Nutzung von Spracherkennungsfunktionen unter Einschaltung eines externen Servers usw. umfaßt. Die meist undeklarierte, teilweise extreme Detailerfassung von Nutzer-Aktivitäten ist insbesondere auf Android- Geräten die Regel und je nach Gerätehersteller (ob beabsichtigt oder unbeabsichtigt) mehr oder weniger ausgeprägt3. Generell gilt, daß eine große Toleranz gegenüber der Datenableitung durch Apps besteht; die Durchsetzung von Regeln zur Verhinderung solcher Vorgänge ist bislang wenig effektiv. Ganz im Gegenteil liefert von Netzbetreibern gern gesehene, je nach Mobiltelefon-Hersteller bereits vorinstallierte Software wie z.B. CarrierIQ4 umfangreiche Nutzerdaten sowohl an Netzbetreiber als auch Endgerätehersteller. Solche Praktiken sind unvereinbar mit den Interessen sowohl des Einzelnen wie auch eines Unternehmens an der Vertraulichkeit sensibler Firmeninformationen, die auf mobilen Endgeräten verarbeitet werden bzw. aus 3 Ein prominentes Beispiel unter vielen stellt die von Russakovskii (2011) im Oktober 2011 publizierte Existenz eines außerordentlich umfangreichen, auf den damals aktuellen Android-Geräten des Herstellers HTC installierten Logging-Programms dar, welches Drittsoftware den Zugriff auf zahlreiche private Daten des Smartphone-Nutzers erlaubte. Ähnliche Hintertüren sind u.a. auf Geräten des chinesischen Herstellers ZTE vorgefunden worden (Fisher 2012). 4 Die CarrierIQ-Software ist laut Herstellerangaben auf über 147 Millionen Mobiltelefonen weltweit in unterschiedlichen Versionen installiert. Eckhart (2011) hat aufgezeigt, daß diese Software umfangreiche, individuell zuordnungsbare Daten über das Nutzerverhalten auf Mobiltelefonen sammelt, die von den Mobilfunknetzbetreibern und den Geräteherstellern ausgewertet werden können. Bundesamt für Sicherheit in der Informationstechnik 11
1 Charakterisierung moderner mobiler Endgeräte auf diesen Geräten vorhandenen Daten analytisch abgeleitet werden können. Diese ausgeprägte Privatsphären-Problematik erstreckt sich auch auf den Bereich Lokalisierung; dank heute standardmäßig in modernen Smartphones integrierten AGPS-Chipsätzen für die Satellitennavigation (vgl. auch Tabelle 1) ist eine genaue Lokalisierung des Nutzers sowohl ofine, d.h. ohne einen speziellen externen Lokalisierungsdienst des jeweiligen Anbieters, wie auch online über die Zuordnung der Mobilfunkzelle, in der das Geräte gerade eingebucht ist, zu einer Ortsinformation anhand eines vom Anbieter betriebenen Lokalisierungsdienstes5 mit einer die Identikationscodes der Mobilfunkzellen umfassenden Datenbank möglich. Apple sieht die Kontrolle über solche Navigations- und Lokalisierungsdienste als so wichtig an, daß man dort unter erheblichem Ressourceneinsatz einen eigenen Kartendienst aufgebaut hat, um von Google in diesem Bereich unabhängig zu werden. Schlußendlich bergen auch die von iOS und Android standardmäßig vorgesehenen Methoden der Softwaredistribution aus Unternehmenssicht zahlreiche Risiken: Durch die weitestgehend exklusive Bindung der Softwaredistribution an den von Apple betriebenen App Store bzw. den von Google betriebenen Android Market/Google Play wird es Unternehmen schwer gemacht, die Kontrolle über auf den Geräten installierte Software zu behalten. Beide Softwaredistributionsplattformen stellen mächtige Werkzeuge zum Durchsetzen der eigenen Geschäftspolitik bzgl. Kontrolle der Zahlungsströme, Datennutzung, APIs, Zusicherungen gegenüber Netzbetreibern usw. dar. Sie bieten darüber hinaus auch gewisse sicherheitsrelevante Schutzmechanismen im Bereich des primär über eine statische Analyse durchgeführten automatisierten und manuellen Testens auf potentielle Sicherheitsprobleme der auf den jeweiligen Softwaredistributionsplattformen angebotenen Applikationen, die je nach Plattform unterschiedlich stark ausgeprägt sind. Während Apple hier noch über einen vergleichsweise guten Track Record hinsichtlich der Identikation von Entwicklerfehlern und offensichtlicher Schadsoftware verfügt, verfügt Google Play derzeit noch über deutlich schwächere Sicherheitsmechanismen, deren automatisiertes dynamisches Testen über sogenannte „Bouncer“ eine begrenztere Effektivität aufweist. Beide Mechanismen stellen für die Distribution von Schadsoftware über die jeweiligen Softwaredistributionsplattformen Hürden unterschiedlicher Schlagkraft dar, sind prinzipbedingt jedoch nicht in der Lage, einen umfassenden Schutz vor der Verbreitung solcher Schadsoftware zu bieten. Für eine detaillierte Betrachtung dieser Aspekte sei auf Abschnitt 2.4 dieser Studie verwiesen. 5 Für diesen Zweck werden über sogenannte Multilaterationsverfahren die Signallaufzeiten von in der Umgebung des Telefons bendlichen Mobilfunkzellen gemessen, um eine genaue Ortsbestimmung anhand der in einer Datenbank hinterlegten Positionsdaten der Mobilfunk-antennenstandorte vorzunehmen. Sowohl Google als auch Apple sammeln darüber hinaus auch (nach Angaben der Anbieter anonymisierte) Ortungsdaten von Wireless LAN-Routern als zusätzlich verwendbare Referenzdaten (s.a. Abschnitt 2.5). 12 Bundesamt für Sicherheit in der Informationstechnik
Risikofelder beim Einsatz im Unternehmen 2 2 Risikofelder beim Einsatz im Unternehmen 2.1 Taxonomie von Angriffsvektoren Unter allen gängigen informationstechnischen Systemen weisen mobile Endgeräte die höchste Dichte an möglichen Angriffsvektoren auf. Um eine systematische Einordnung der Vielzahl von möglichen Angriffsvektoren in beim Einsatz im Unternehmen relevante Risikofelder zu ermöglichen, erscheint es sinnvoll, hierfür zunächst eine Taxonomie von Angriffen auf mobile Endgeräte zu entwickeln mit dem Ziel, Problemklassen zu etablieren, die im weiteren Verlauf der vorliegenden Studie genauer untersucht werden können. Abbildung 2 bietet einen Überblick über mögliche Angriffsvektoren anhand der in typischen aktuellen mobilen Endgeräten vorhandenen Hard- und Softwarekomponenten. Für die weitere detaillierte Behandlung dieser Angriffsvektoren wird daher im Rahmen dieser Studie zunächst eine Unterscheidung nach Zugang (Angriffe aus der Ferne vs. Angriffe mit physischem Zugang zum Gerät), und Angriffsart (Software-Angriffe, Lauschangriffe auf übertragene Sprache und Daten, Techniken zur absichtlichen Erzeugung von Fehlfunktionen der Geräte durch Generierung von außerhalb der Spezikationen bendliche Umweltzustände usw.) getroffen, die dann nach Verfeinerungsgrad (z.B. aktive vs. passive Lauschangriffe) und Angriffstiefe noch weiter differenziert wird. Hinsichtlich der Angriffstiefe konzentriert sich die vorliegende Studie auf im allgemeinen Unternehmenseinsatz zu erwartende Angriffe. Es sei an dieser Stelle ausdrücklich darauf hingewiesen, daß darüber hinaus auch noch spezielle im militärischen und geheimdienstlichen Umfeld verwendete Angriffstechniken existieren, die mit entsprechendem personellen, nanziellen und ausrüstungstechnischen Aufwand verbunden sind. Diese liegen jedoch außerhalb des Fokus der vorliegenden Studie, die einen normalen Schutzbedarf i.S. des BSI- Standards 100-2 mit einem entsprechenden Anteil schutzwürdiger unternehmensinterner Informationen voraussetzt. Für besonders sensitive Bereiche und Daten eines Unternehmens besteht in der Regel ein höherer Schutzbedarf bzw. ist ein höheres Schutzniveau anzustreben. Im Kontext der in der vorliegenden Studie untersuchten mobilen Endgeräte kann ein höherer Schutzbedarf auch schon bei der Nutzung dieser Geräte in bestimmten ausländischen Jurisdiktionen gegeben sein, weswegen auch der geographische Einsatzbereich mobiler Endgeräte im Unternehmensumfeld wohl überlegt sein will. Generell ist der mit der Erreichung eines solchen höheren Schutzniveaus verbundene Mehraufwand jedoch erheblich, und eine Darstellung der damit verbundenen erforderlichen Maßnahmen würde den Rahmen und Umfang der hier vorliegenden Studie sprengen. Abbildung 2: Überblick über mögliche Angriffsvektoren Unter Beachtung der vorab getroffenen Annahmen und gemachten Einschränkungen lässt sich eine generalisierte Einstufung nach Risikoklassen unter Beachtung sowohl technischer wie auch wirtschaftlicher Bundesamt für Sicherheit in der Informationstechnik 13
2 Risikofelder beim Einsatz im Unternehmen
Faktoren vornehmen, die in Tabelle 2 visualisiert ist. Diese generalisierte Einstufung bietet zum einen eine
auf der Bedrohungssituation zum Zeitpunkt der Erstellung der Studie basierende Einstufung der
allgemeinen Eintrittswahrscheinlichkeit des betreffenden Angriffstyps im typischen Unternehmensumfeld
und zum anderen eine Indikation des Aufwands, welcher wiederum im typischen Unternehmensumfeld
getrieben werden muß, um geschätzte 80% der üblichen Angriffe erfolgreich abwehren zu können. Die
Einstufung kann so einen ersten groben Anhalt zur Orientierung im Bereich der mobilen
Endgerätesicherheit bieten. Keinesfalls kann sie eine unternehmens- und einsatzspezische Risikoanalyse
ersetzen, die leicht zu individuell deutlich abweichenden Einstufungen führen kann. Eine solche
generalisierte Einstufung kann darüber hinaus wie auch an anderer Stelle erläutert aufgrund der schneller
noch als in anderen Bereichen der Informationssicherheit fortschreitenden technischen Entwicklung
notwendigerweise nur eine Momentaufnahme darstellen, die schon in verhältnismäßig kurzer Zeit ergänzt
und angepaßt werden muß.
Eintrittswahr- Aufwand für
scheinlichkeit Gegenmaßnahmen
Lauschangriffe auf Sprache und Daten ◐
●
-passiv
○ ●
-aktiv
○ ●
-netzbasiert
● ◐
Angriffe auf das mobile Endgerät über die ◐ ◐
Luftschnittstelle
- via SMS/MMS
● ○
- über untere Protokollschichten der
Luftschnittstelle
○ ●
Angriffe auf das mobile Endgerät über
Schadsoftware
● ◐
- via Mediadaten
● ◐
- via lokale Synchronisations
mechanismen
◐
○
- gegen MDM, Synchronisations- und
Clouddienste
● ◐
- gegen lokale Sicherheitsmechanismen
● ●
Datenpreisgabe
● ●
Tabelle 2: Einstufung von Angriffswegen nach Risikoklassen
In den nachfolgenden Abschnitten werden die in handelsüblichen modernen mobilen Endgeräten
vorhandenen Angriffsvektoren in vier Problemklassen unterteilt behandelt. Während der zentralen
Bedeutung der Kommunikationsfunktionen mobiler Endgeräte entsprechend zunächst Lauschangriffe auf
mit den Geräten übermittelte Sprach- und Datenkommunikation erörtert werden, behandeln die
nachfolgenden Abschnitte Angriffe auf das mobile Endgerät selbst, die entweder über die
Luftschnittstelle(n) des Geräts oder über Schadsoftware vorgenommen werden. Eine Betrachtung der
14 Bundesamt für Sicherheit in der InformationstechnikRisikofelder beim Einsatz im Unternehmen 2
wachsenden Problematik der Preisgabe von Daten schließt die allgemeine Risikofeldbetrachtung ab, die
dann im weiteren Verlauf der Studie auf spezische Sicherheitsprobleme verbreiteter Smartphone-Betriebs-
systeme verdichtet und mit belegbaren konkreten Angriffen und Datenextraktionen konkretisiert wird.
2.2 Lauschangriffe auf Sprache und Daten
Lauschangriffe auf Sprache und Daten durch Mithören der Luftschnittstelle sind in den letzten Jahren durch
die preiswerte Verfügbarkeit geeigneter Hard- und Software für jeden ernsthaft Interessierten möglich
geworden. Während in der Vergangenheit entsprechende Geräte im Bereich von Geheimdienst-
Ausrüstungen mit Kosten im sechsstelligen Euro-Bereich zu nden waren, ist heute ein operational
verwendbarer Angriff mit etwas Geschick und Sachverstand für Kosten von unter 5.000 Euro zu realisieren,
wie im folgenden weiter dargestellt werden wird.
Grundsätzlich lassen sich drei wesentliche Verfahren des Belauschens von Mobilkommunikation über die
Luftschnittstelle unterscheiden: Passive und aktive Verfahren sowie deren Mischformen auf der einen und
netzinfrastrukturbasierte Verfahren auf der anderen Seite.
2.2.1 Passive Lauschangriffe
Das passive Abhören der Luftschnittstelle heutiger (GSM-)Mobilfunknetze, d.h. ohne Verwendung aktiver
Komponenten mit eigener Sendetätigkeit, war lange eine exklusive Domäne der Geheimdienste. Beim
passiven Abhören wird mit einem oder mehreren Funkempfängern die Kommunikation zwischen Telefon
und Funkzelle mitgeschnitten, dekodiert und entschlüsselt. Systeme zum passiven Mitschneiden der GSM-
Luftschnittstelle unterscheiden sich prinzipiell vor allem in der Anzahl der gleichzeitig überwachbaren
Funkkanäle. Die einfachsten Systeme benötigen unter für den Angreifer günstigen Voraussetzungen (kein
automatisierter Kanalwechsel in Gestalt des sog. „Channel-Hopping“) lediglich einen handelsüblichen
Computer, geeignete Software und ein oder mehrere Mobiltelefone mit modizierter Firmware. Der
typische Auﮓau eines solchen einfachen Systems unter Einbeziehung modizierter Mobiltelefone wird aus
der nachstehenden Abbildung 3 ersichtlich.
Bundesamt für3:Sicherheit
Abbildung Einfaches in der Informationstechnik
System für passive Lauschangriffe - Bildquelle: GSMK 152 Risikofelder beim Einsatz im Unternehmen
Die wichtigste Limitation einer solchen mobiltelefonbasierten Abhörlösung ist, daß pro Telefon nur ein
Funkkanal mitgeschnitten werden kann. Das GSM-System sieht jedoch vor, daß das Telefon den Funkkanal
periodisch oder auf Anforderung wechseln kann. Dieses so genannte „Channel-Hopping“ macht es für den
Angreifer notwendig sicherzustellen, daß er jeweils den korrekten Funkkanal mitschneidet. Die
Anweisungen zum Auslösen eines Kanalwechsels benden sich innerhalb des kryptographisch gesicherten
Bereichs des GSM-Protokolls. Der Angreifer hat daher drei wesentliche Möglichkeiten:
• Die aufwendigste Angriffsmethode ist die Aufzeichnung des gesamten Funkspektrums, in dem ein
Kanalwechsel stattnden kann - in Deutschland mehrere zehn Megahertz pro Operator verteilt auf zwei
verschiedene Bänder (900 und 1800 MHz):
Abbildung 4: Frequenzbereiche bei 800, 900 und 1800 MHz. Quelle: Bundesnetzagentur (2010)
Dazu benötigt der Angreifer einen oder mehrere Breitbandempfänger, die in der Lage sind, die
entsprechende Funkbandbreite aufzuzeichnen. Der Vorteil dieser Art von Angriff ist, daß die
Kommunikation mehrerer Funkzellen im Umkreis gleichzeitig aufgezeichnet werden kann.
Typischerweise werden derartige Systeme in stationären Installationen verwendet, etwa angrenzend an
ein wichtiges Werksgelände, in Botschaften oder anderen Residenturen, bei der nicht gezielt einzelne
Anschlüsse überwacht werden, sondern mehrere Ziele in einem begrenzten Gebiet, etwa einem
bestimmten Fertigungswerk, Entwicklungszentrum, oder dem Zentrum einer Hauptstadt, gleichzeitig
abgeschöpft werden sollen. Das Empfängersystem ist vergleichsweise teuer, und es bedarf großer
Rechenleistung, um aus den breitbandigen Funkdaten die einzelnen Kommunikationsverbindungen zu
demodulieren und dekodieren. Für nanziell gut ausgestattete Angreifer stellen jedoch auch solche
Investitionen kein ernsthaftes Hindernis dar.
• Die zweite Angriffsmethode besteht in der Konzentration auf ein Abhörziel und der Konguration
mehrerer schmalbandiger Empfänger auf eine solche Weise, daß jeweils die möglichen Hopping-Kanäle
der umliegenden Zellen empfangen werden. In vielen GSM-Netzen hat jede Funkzelle eine in der
Funknetzplanung fest zugeordnete, relativ geringe Anzahl Kanäle, auf denen sie sendet und empfängt
(„Fixed Channel Allocation“). In stark ausgelasteten modern ausgerüsteten Netzen wird jedoch auch eine
dynamische Funkkanal-Zuordnung („Dynamic Channel Allocation“) verwendet, bei der es keine feste
Zuordnung von Zellen zu Funkkanälen gibt. Hier wird ein Angriff mit mehreren schmalbandigen
Empfängern auf Schwierigkeiten stoßen.
• Die dritte Angriffsmethode basiert darauf, die Verschlüsselung der Luftschnittstelle (s.u.) so schnell zu
brechen, daß der Angreifer dem Kanalwechsel folgen kann. In einigen Funknetzen ist es auch möglich,
die Sequenz des Kanalwechsels vorherzusagen.
Nicht alle Funknetze verwenden Kanalwechselinstruktionen. In diesem Fall bleibt das Telefon für die Dauer
der Kommunikation auf dem gleichen Funkkanal. Eine Modikation der Kongurationsparameter des
Funknetzes, um einen häugen Kanalwechsel mit einer möglichst großen Sprungweite zu erzeugen, würde
das Abhören zumindest mit einfachen Empfangssystemen deutlich erschweren. Insbesondere für den
Kurznachrichtendienst SMS gilt, daß auch mit einfachster Technik ein Abhören und Dekodieren zuverlässig
möglich ist (s.a. Abbildung 5).
Komplexere kommerzielle Abhörsysteme bieten die Möglichkeit des gleichzeitigen Monitorings mehrerer
Funkkanäle und können die oben beschriebene Problematik dadurch umgehen.
16 Bundesamt für Sicherheit in der InformationstechnikRisikofelder beim Einsatz im Unternehmen 2 Abbildung 5: Abhören und Dekodieren von SMS-Kurznachrichten - Bildquelle: GSMK Netzwerkseitiger Schutz der Luftschnittstelle Zum Schutz vor Lauschangriffen ist im GSM-Standard eine Auswahl von Verschlüsselungsalgorithmen vorgesehen, die die Kommunikation zwischen Mobilfunkzelle und Telefon absichern sollen. Bei allen passiven Lauschangriffen wie vorab beschrieben muß der jeweils verwendete Verschlüsselungsalgorithmus gebrochen werden, um an den Klartext der abgehörten Verbindung zu kommen. Die unter dem Oberbegriff „A5“ subsummierten Algorithmen sind von sehr unterschiedlicher Stärke. Der A5/1-Verschlüsselungs- algorithmus ist der am weitesten verbreitete Algorithmus und wird vorwiegend in Europa und den USA verwendet. Dieser Algorithmus besitzt bekannte Schwächen: Barkan, Biham und Keller (2003) haben bereits vor geraumer Zeit einen praktischen Angriff demonstriert, Nohl und Paget (2009) einige Jahre später gezeigt, daß solche praktischen Angriffe heute auch mit beschränkten privaten Mitteln einfach durchführbar sind. A5/1 stellt somit heute für einen Angreifer keine ernsthafte Hürde mehr dar. A5/2 ist ein absichtlich für Exportzwecke geschwächter Algorithmus, der seit 2007 in keinen neu hergestellten Mobiltelefonen mehr unterstützt werden soll, weil er so schwach ist, daß er bereits innerhalb von wenigen Wochen nach seiner Publikation gebrochen wurde (Briceno, Goldberg und Wagner 1999; Goldberg, Wagner und Green 1999). Der aktuelle Algorithmus A5/3 schließlich basiert zwar auf einer bereits in Hinblick auf den neuen UMTS- Übertragungsstandard neu entwickelten Blockchiffre; auch gegen A5/3 wurde jedoch von Dunkelman, Keller und Shamir (2010) bereits ein praktischer Angriff demonstriert, der auch diesen Algorithmus als mittel- und langfristige Hürde gegen lokale Lauschangriffe disqualiziert. Bundesamt für Sicherheit in der Informationstechnik 17
2 Risikofelder beim Einsatz im Unternehmen Abschaltung der A5-Verschlüsselung und deren Signalisierung Der manchmal verwendete Begriff A5/0 bezeichnet die vollständige Abschaltung der Verschlüsselung auf der Luftschnittstelle. Dies geschieht insbesondere in osteuropäischen, afrikanischen und asiatischen Ländern regelmäßig. Typischerweise wird dies in politischen Spannungssituationen durchgeführt, wenn die Sicherheitsbehörden ein taktisches Abhören der Luftschnittstelle erleichtern wollen. Auch in deutschen und europäischen Funknetzen wird gelegentlich die Verschlüsselung abgeschaltet. Dies hat jedoch meist technische Gründe, etwa einen Ausfall oder eine Funktionseinschränkung von Kernkomponenten beim Netzbetreiber. Der GSM-Standard sieht vor, daß ein Ausfall oder das willentliche Abschalten der A5- Verschlüsselung dem Nutzer signalisiert werden kann. Bei einigen Mobiltelefonen, etwa den meisten Geräten des Herstellers Research in Motion, wird dies durch ein kleines offenes Schloß am oberen Rand des Bildschirms angezeigt. Allerdings ist zu beachten, dass die tatsächliche Anzeige dieses Zustandes nur erfolgt, wenn diese Funktion seitens des Netzbetreibers auf der SIM-Karte aktiviert wurde. Eine von der Gesellschaft für Sichere Mobile Kommunikation durchgeführte Analyse der deutschen Netzbetreiber ergab, daß die Situation in Deutschland äußerst uneinheitlich ist. Offensichtlich hängt die Aktivierung oder Deaktivierung dieser Anzeigefunktion mehr vom Hersteller der SIM-Karten als vom Netzbetreiber ab. Generell gesprochen wird ein Fehlen der A5-Verschlüsselung dem Nutzer in der Regel nicht signalisiert, weil entweder der Netzbetreiber die Funktion per SIM-Konguration deaktiviert hat oder das Telefon nicht über eine entsprechende Anzeigefunktion verfügt. Dies macht einen sogenannten Downgrade-Angriff, d.h. die absichtliche Deaktivierung einer mit A5 verschlüsselten Verbindung im Rahmen eines aktiven Lauschangriffs wie im nachfolgenden Abschnitt beschrieben sehr viel einfacher. 2.2.2 Aktive („Man in the Middle“) Lauschangriffe Die „traditionelle“ aktive Methode eines Lauschangriffs, die schon mit dem Auﮖommen der digitalen GSM- Netze entwickelt wurde, bedient sich zur Realisierung des Lauschangriffs eines sogenannten IMSI-Catchers. Bei dieser Methode wird dem zu überwachenden Telefon eine nicht zum öffentlichen Netz gehörende, vom Angreifer kontrollierte Funkzelle (der „IMSI-Catcher“) untergeschoben und mit technischen Tricks erreicht, daß das Telefon sich in diese, und nicht in die korrekte Mobilfunkzelle des Netzbetreibers einbucht. Ursprünglich wurden für diesen Zweck spezielle Geräte verwendet, die ihre Wurzeln in Test- und Entwicklungsausrüstung für die Mobiltelefonproduktion hatten. Durch Soft- und Hardwaremodikation und zusätzliche Antennen wurde die Sende- und Empfangsleistung des Gerätes dabei so vergrößert, dass dem Zieltelefon über eine Entfernung von mehreren hundert Metern eine valide Funkzelle vorgespiegelt wurde. In den letzten Jahren ist durch die Verfügbarkeit von sogenannten Pico- und Nanozellen eine wesentlich einfachere und kostengünstigere Methode des aktiven Lauschangriffes verfügbar geworden. Mithilfe einer solchen kleinen Funkzelle und entsprechender Software, die zum Beispiel im Rahmen des OpenBSC- Projekts (Welte und Spaar 2008) quelloffen entwickelt wird, lässt sich die Funktionalität eines IMSI-Catchers relativ einfach nachbilden. Dazu werden die Netzparameter der Picozelle so konguriert, daß sie der einer validen, aber am Standort nur schwach zu empfangenden Funkzelle entsprechen. Das Zieltelefon kennt diese Zelle aus seiner auf dem Gerät stets auf aktuellem Stand gehaltenen Nachbarzellenliste. Zur Realisierung des Angriffs wird nun zum einen die Sendeleistung der Picozelle erhöht und zum anderen Parameter, welche die Attraktivität der Funkzelle für das Telefon erhöhen, nach oben hin manipuliert. In der Praxis werden bei einem auf diese Weise realisierten Lauschangriff mehrere Telefone in der Umgebung auf die Picozelle eingebucht. Da die Telefonnummer eines Telefons in der Regel im Netz nicht übertragen wird, sondern dort mit temporären Identikationsnummern, sogenannten TMSIs, gearbeitet wird, muss der Angreifer weitere technische Tricks auﮓieten, um das korrekte Telefon zu ermitteln. Oft wird dazu einfach ein Anruf zu jedem der auf der Picozelle eingebuchten Telefone ausgelöst und durch optische Verikation festgestellt, bei welchen dieser Anrufe die Zielperson reagiert. Danach können nun Anrufe, SMS und Datenverbindungen angenommen, ins Netz weitergeleitet, mitgeschnitten und manipuliert werden. 18 Bundesamt für Sicherheit in der Informationstechnik
Sie können auch lesen
