span style=font-style: italic; padding:20px 0px 30px 0px;/span
Smartphones sind allgegenwärtig und werden inzwischen auch häufig in der betrieblichen Kommunikation – sowohl im Innen- wie im Außendienst eingesetzt. Doch wie ist es um den Datenschutz beim Einsatz von Smartphones bestellt? Welche Risiken sind zu bedenken? Der Datenschutzexperte Roland Breda ist externer Datenschutzbeauftragter und hat die wichtigsten Fakten, den Sicherheitsaspekte und Risiken in Verbindung mit den am häufigsten genutzten Smartphones (IPhone, BlackBerry, Android, Windows) zusammengetragen:br /
br /
Neben den allgemeinen Risiken br /
– Diebstahl/sonstiger Verlustbr /
– remote Zugriff über externe Schnittstellen (USB, WLAN etc.)br /
– Angriff auf Netzwerkverbindungenbr /
– Sammeln von Daten über Benutzerbr /
– Malwarebr /
br /
sind im Falle der Smartphones Probleme durch abgespeckte Rechtekonzepte, rudimentäre Prozessverwaltung und kaum vorhandene Sicherheitsfunktionen zu beachten. So können z. B. alle Anwendungen auf den Kalender zugreifen – vordergründig vorteilhaft, aber im Falle eingeschleuster Schadprogramme gefährlich, wenn etwa der Adresse einer Bank die Kontodaten/PIN zugeordnet wurden (Stand heute können diese Daten nur sicher im Notizfeld eines Kalendereintrages eingetragen werden).br /
br /
2.1. IPHONEbr /
Grundsätzlich ist das Appls IOS ein abgespecktes Mac OS, es gibt keine extern zugreifbaren Prozesse, Angriffe werden verhindert (nicht entdeckt), jedes Programm erhält eine Sandbox (Jail) und kann dadurch (mehr oder weniger) nur auf die eigenen Daten zugreifen (ein Virenscanner würde z. B. nur die eigenen Dateien prüfen können). Wird ein IPHONE per Jailbreak von lästigen Einstellungen befreit (damit z. B. von Apple nicht zertifizierte Programme installiert oder ein Branding etc. entfernt wird), können Programme auch auf Daten außerhalb des Jails zugreifen und auf das IPHONE gelangte Schadsoftware kann ihr Werk beginnen.br /
br /
2.1.1. Sicherheit wird erzielt durchbr /
– die Authentifizierung (Eingabe PIN)br /
– Löschen nach Fehleingabe (auch remote Exchange/MobileMe)br /
– Verschlüsselung des Speichers (nützt nur bei Ausbau/externem Auslesen, da die Dekodierung bereits nach Einschalten und vor Eingabe der PIN beginnt)br /
– Kommunikation (Einschränkungen Bluetooth/WLAN, zentrales Management).br /
br /
2.1.2. Risiken bestehen durchbr /
– Booten eines manipulierten Kernels (nur alte Geräte)br /
– Jailbreakbr /
– Flash-Verschlüsselung (kein Schutz des Schlüssels)br /
– Datensicherung (kann unverschlüsselt abgelegt werden bzw. schwache Passworte)br /
– die Installation globaler Sicherheitssoftware ist unmöglich.br /
br /
2.2. Black Berrybr /
Das Konzept eines herstellereigenen Betriebssystems (proprietär) hat durch das Fehlen einer öffentlich zugängigen Dokumentation und die Tatsache, daß es sich um ein veraltetes System handelt Schwächen, wie z. B. das Fehlen einer strikten Trennung von Prozessen und Verzeichnissen.br /
br /
2.2.1. Sicherheit wird erzielt durchbr /
– die Authentifizierung (Eingabe PIN)br /
– Löschen nach Fehleingabe oder remotebr /
– zentrales Management über BES (Black Berry Enterprise Server)br /
– Verschlüsselung (2. Schlüssel abhängig von PIN, Entschlüsselung startet erst nach der Eingabe der PIN ? Vorteil gegenüber IPHONE)br /
– Möglichkeit von 3 Verschlüsselungsebenenbr /
1. GSM/UMTSbr /
2. BlackBerry Verschlüsselungbr /
3. S/MIME oder PGP-Verschlüsselungbr /
br /
2.2.2. Risiken bestehen durch die Tatsache,br /
– dass keine durchgehende Verschlüsselung von Daten bestehtbr /
– Backups ohne Eingabe der PIN möglich sind, unverschlüsselt abgelegt werden können und die Übertragung über USB unverschlüsselt ist. Natürlich sind schwache Passworte wie im vorhergehenden Fall leicht zu entschlüsseln.br /
br /
2 .3. Androidbr /
Das Betriebssystem beruht auf einem LINUX-Kernel, die Apps werden in Java programmiert und die Verarbeitung erfolgt nachrichtenbasiert (ICC) auf die LINUX-Prozesskommunikation aufgesetzt.br /
br /
2.3.1. Sicherheit wird erzielt dadurch, dassbr /
– jede App, ein eigenes Verzeichnis und einen eigenen Account hat (max. lesender Zugriff auf Daten anderer Apps)br /
– kein Programmstart von Speicherkarten möglich istbr /
– Signaturen für Apps vorgesehen sind (Verantwortung liegt beim Benutzer)br /
– ICC Zugriffssteuerung über vordefinierte Labels erfolgt (anfällig)br /
– Authentifizierung am Gerät (PIN, Passwort, Gestensteuerung) erfolgtbr /
– Verschlüsselung durchgeführt wirdbr /
– zentrales Management über externe Anbieter möglich ist.br /
br /
2.3.2. Die Risiken liegen in den Punktenbr /
– Datensicherung über Android Backup Service (Speicherung in der Cloud)br /
– Verschlüsselung (keine durchgehende Verschlüsselung der Daten, die Passworte werden weitgehend unverschlüsselt abgelegt)br /
– Durch Rooten (wie Jailbreak) wird die Prozesstrennung aufgehobenbr /
– es ist kein remotes Löschen vorgesehen br /
– die Herausgabe von Patches ist z. Zt. chaotischbr /
– Zugriff mit Debugger (USB) bei Fehlkonfiguration (besser ausschalten)br /
br /
2.4. Windows Mobile / Phone (ab Version 7)br /
Das Betriebssystem beruht auf den stark abgespeckten Konzepten der PC-Versionen, allerdings fehlen die Zugriffslisten.br /
br /
2.4.1. Sicherheit soll erzielt werden durchbr /
– ein neues Prozessmodell (Sandbox, 4 stufiges Benutzerkonzept, ZusatzApps mit minimalen Rechten, über Capabilities erweiterte Zugriffsrechte [bei Installation])br /
– Verschlüsselung (Kommunikation, Teile des Dateisystems, Schutz des Schlüssels über PIN/Passwort)br /
– Authentifizierungbr /
– Lokalisierungbr /
– Löschen nach Fehleingabe oder Remotebr /
– Zentrales Management über MDMbr /
br /
2.4.2. Risiken finden sich in den Bereichenbr /
– Verschlüsselung (nicht durchgehend bei Dateien)br /
– Datensicherung (i.d.R. unverschlüsselt)br /
br /
3. Schutzmaßnahmen bei der betrieblichen Nutzung von Smartphones:br /
Grundsätzlich sind im Falle der betrieblichen Nutzung von Smartphones die folgenden Punkte zu beachten:br /
1. Zentrale Administration einrichtenbr /
2. Absichern des Systems (alphanumerische Passworte, 10-stelllig etc.)br /
3. Einschränken der Benutzbarkeitbr /
4. Absicherung des Netzwerkesbr /
5. Installation zusätzlicher Sicherheits Appsbr /
6. Benutzer sensibilisierenbr /
br /
4. Schutzsoftwarebr /
An Schutzsoftware sind zu empfehlenbr /
1. Diebstahlsicherungbr /
2. Firewall (kaum erhältlich)br /
3. Virenscannerbr /
4. Spam-Filterbr /
5. Sicherheitsprüfungbr /
6. Verschlüsselung (wirkungslos bei Apple)br /
7. URL-Filterbr /
br /
5. Datenschutzbr /
Aus datenschutzrechtlicher Sicht ergeben sich folgende kritische Punkte:br /
– Apps werden oft in Ländern außerhalb des europäischen Datenschutzgesetzes erstellt (fehlende Datenschutzerklärung / unbegrenzte Datenspeicherung)br /
– Geodaten werden vermarktet (Bewegungsprofile)br /
– Benutzer verzichten unbewusst bei Nutzen der Lieblings App auf Rechte.br /
br /
Die Prinzipien des Datenschutzes wie Verbot mit Erlaubnisvorbehalt, Datensparsamkeit, Datenvermeidung, Transparenz, Zweckbindung oder Erforderlichkeit werden nicht beachtet, lediglich die Direkterhebung wird eingehalten. br /
br /
Aus Unternehmenssicht sind auf jeden Fall zu regelnbr /
– Backup (verschlüsselt und nur in der Firma)br /
– da es sich bei Smartphones um normale IT Geräte handelt, finden alle vorhandenen Regelungen der privaten Nutzung von PC´s auf Smartphones Anwendung.br /
– remoter Zugriff bedarf der Zustimmung des Nutzersbr /
– Schnüffelsoftware ist verbotenbr /
br /
6. Mitbestimmungbr /
Die Mitbestimmung muss in den Bereichenbr /
– Umfang und Einschränkung der privaten Nutzungbr /
– Trennung privater und dienstlicher Datenbr /
– Datensicherung dienstlich/privatbr /
– Umgang mit Geodatenbr /
– Einverständniserklärung der Nutzer (Nutzungseinschränkungen, Backup, remotes Löschen)br /
unbedingt eingehalten werden.br /
br /
Fazit:br /
Die derzeit erhältlichen Smartphones haben aufgrund der Konzeption ihrer Betriebssysteme Probleme im Bereich der Sicherheit.br /
Im Falle der Einführung von Smartphones als betriebliches Kommunikationsmittel ergibt sich auf Basis des Sicherheitsaspektes die Abstufung br /
br /
1. SIMKo Handy (Windows 6.1, VSNfD), S/MIME Verschlüsselung, BSI empfohlen (genutzt von Bundeskanzlerin Angela Merkel)br /
2. SIMKo 2 Handy (Windows 6.5, VS-NfD), S/MIME Verschlüsselungbr /
3. BlackBerrybr /
4. IPHONEbr /
br /
Die unter 1. und 2. aufgeführten Geräte haben allerdings für Nutzer wesentlich weniger Möglichkeiten, über Apps das Smartphone mit interessante Funktionen anzureichern.br /
br /
So wird die betriebliche Entscheidung in den meisten Fällen nicht positiv gegenüber den Geräten 1. und 2. ausfallen. Gegenüber dem, von den meisten Nutzern favorisierten IPHONE, bietet ein BlackBerry durch seine Systemarchitektur, die vielfältigeren Verschlüsselungsmöglichkeiten und das zentrale Management über BES eindeutig die besseren Voraussetzungen, um Sicherheit in die betriebliche Kommunikation per Smartphone zu bringen.br /
Da nicht klar ist, ob die Verarbeitung von E-Mails über BES das datenschutzrechtliche Trennungsgebot (hinsichtlich einzelner Mandanten) berücksichtigt, kann aus datenschutzrechtlicher Sicht (hier: Blickwinkel Cloud Computing) kein uneingeschränktes Votum für BlackBerry Smartphones abgegeben werden.br /
br /
Neben den bisher aufgeführten Problempunkten sind allerdings noch die Aspekte Löschung, Entsorgung und Rückgabe zu beachtenbr /
br /
Anmerkung für die Redaktionen: Abdruck frei. Beleg erbeten. Weitere Infos/Bilder:br /
br /
Roland Breda Unternehmensberatung – externer Datenschutzbeauftragter -br /
Holzapfelstrasse 34, 41836 Hückelhoven, Tel.: 0 24 33 – 46 41, E-Mail: r.breda@roland-breda-dsb.de br /
br /
Pressestelle extern:br /
Frau Monika Beumers, Tel. 0 24 51 – 90 93 10, info@kam3.de br /
KAM3 GmbH Kommunikationsagentur, Finkenstraße 8, D-52531 Übach-Palenbergbr /
Die KAM3 GmbH Kommunikationsagentur ist u. a. auf Public Relations und Werbung spezialisiert. Die 1993 gegründete und inhabergeführte Kommunikationsagentur fungiert seit 2008 als GmbH. Geschäftsführer sind Dr. Jeannette Hark und Vojislav Miljanovic.
Kontakt:br /
KAM3 GmbH Kommunikationsagenturbr /
Monika Beumersbr /
Finkenstraße 8br /
52531 Übach-Palenbergbr /
mb@kam3.debr /
02451-909310br /
http://www.kam3.debr /