Sicherheitsanalyse mobile Plattformen

Mobile Geräte wie Tablets und Smartphones wurden in den letzten Jahren um viele Sicherheitsfunktionen ergänzt, die am Anfang aufgrund der Ausrichtung für den privaten Benutzer fehlten. Die aktuellen Versionen von Android, iOS, Windows Phone und Blackberry unterstützen eine große Anzahl von Sicherheitsfunktionen, die für den Einsatz im Unternehmen und den Umgang mit sicherheitskritischen Daten geeignet sind. Beispiele für diese Funktionen sind die Integration von Verschlüsselungssystemen, Management-Schnittstellen, die es ermöglichen Policies für die Geräte zu definieren, oder sichere Speicher für das Ablegen von Schlüsselmaterial und Passwörtern.

Obwohl alle heutigen Plattformen prinzipiell die notwendigen Sicherheitsfunktionen unterstützen, muss beim Einsatz der Geräte für sicherheitskritische Daten auf die Details der Sicherheitsfunktionen geachtet werden. Ein einfaches aber sehr wichtiges Beispiel dafür sind die Verschlüsselungssysteme der Plattformen.

Eine entscheidende Rolle für sicherheitskritische Einsatzszenarien spielen Fragen wie:

  • Wird ein Hardware-Element zum Schutz des Schlüsselmaterials verwendet?
  • Wird das gesamte Dateisystem, oder werden nur einzelne Dateien verschlüsselt?
  • Welche Aspekte muss die Entwicklerin bzw. der Entwickler für den korrekten Einsatz beachten?
  • Spielt das Passwort des Sperrbildschirms bei der Verschlüsselung der Daten eine Rolle?

Diese und ähnliche Fragen müssen beantwortet werden, wenn mobile Geräte in sicherheitskritischen Umgebungen eingesetzt werden. Neben dem Verschlüsselungssystem müssen diese Details auch in vielen anderen Bereichen, wie Mobile-Device-Management, Berechtigungssystemen, Backup-Systeme oder Cloud-Funktionen, untersucht werden, um detaillierte Sicherheits- und Risikoanalysen durchzuführen, die für den Einsatz in sicherheitskritischen Bereichen absolut notwendig sind.

Aus diesem Grund wurden in den letzten Jahren von A-SIT detaillierte Sicherheitsanalysen von Smartphone-Plattformen und deren Sicherheitsfunktionen durchgeführt. Um die wesentlichen Punkte dieser Sicherheitsanalyse zu präsentieren, wurde eine Studie erstellt, die die aktuellen Plattformen in Bezug auf ihre Sicherheit analysiert.

Studie zum Download (PDF): Sicherheitsanalyse mobile Plattformen

Da das Verschlüsselungssystem eine wesentliche Komponente für den Schutz von Daten und Schlüsseln darstellt, wurden die Systeme der Plattformen iOS und Android einer detaillierten Analyse unterzogen. Die beiden folgenden Publikationen ergänzen die oben genannte Studie und betrachten den korrekten Einsatz der Systeme im Bereich von sicherheitskritischen Einsatzszenarien:

iOS Encryption Systems - Deploying iOS Devices in Security-Critical Environments,
SECRYPT 2013
(EN, PDF)
Peter Teufl, Thomas Zefferer, Christof Stromberger, Christoph Hechenblaikner

Android Encryption Systems, PRISMS 2014 (EN, PDF)
Peter Teufl, Andreas Gregor Fitzek, Daniel Hein, Alexander Marsalek, Alexander Oprisnik, Thomas Zefferer