Smartphones sind allgegenwärtig und werden inzwischen auch häufig in der betrieblichen Kommunikation - sowohl im Innen- wie im Außendienst eingesetzt. Doch wie ist es um den Datenschutz beim Einsatz von Smartphones bestellt? Welche Risiken sind zu bedenken? Der Datenschutzexperte Roland Breda ist externer Datenschutzbeauftragter und hat die wichtigsten Fakten, den Sicherheitsaspekte und Risiken in Verbindung mit den am häufigsten genutzten Smartphones (IPhone, BlackBerry, Android, Windows) zusammengetragen:
Neben den allgemeinen Risiken
- Diebstahl/sonstiger Verlust
- remote Zugriff über externe Schnittstellen (USB, WLAN etc.)
- Angriff auf Netzwerkverbindungen
- Sammeln von Daten über Benutzer
- Malware
sind im Falle der Smartphones Probleme durch abgespeckte Rechtekonzepte, rudimentäre Prozessverwaltung und kaum vorhandene Sicherheitsfunktionen zu beachten. So können z. B. alle Anwendungen auf den Kalender zugreifen - vordergründig vorteilhaft, aber im Falle eingeschleuster Schadprogramme gefährlich, wenn etwa der Adresse einer Bank die Kontodaten/PIN zugeordnet wurden (Stand heute können diese Daten nur sicher im "Notizfeld" eines Kalendereintrages eingetragen werden).
2.1. IPHONE
Grundsätzlich ist das Appls IOS ein abgespecktes Mac OS, es gibt keine extern zugreifbaren Prozesse, Angriffe werden verhindert (nicht entdeckt), jedes Programm erhält eine Sandbox (Jail) und kann dadurch (mehr oder weniger) nur auf die eigenen Daten zugreifen (ein Virenscanner würde z. B. nur die eigenen Dateien prüfen können). Wird ein IPHONE per "Jailbreak" von "lästigen" Einstellungen befreit (damit z. B. von Apple nicht zertifizierte Programme installiert oder ein "Branding" etc. entfernt wird), können Programme auch auf Daten außerhalb des Jails zugreifen und auf das IPHONE gelangte Schadsoftware kann ihr Werk beginnen.
2.1.1. Sicherheit wird erzielt durch
- die Authentifizierung (Eingabe PIN)
- Löschen nach Fehleingabe (auch remote Exchange/MobileMe)
- Verschlüsselung des Speichers (nützt nur bei Ausbau/externem Auslesen, da die Dekodierung bereits nach Einschalten und vor Eingabe der PIN beginnt)
- Kommunikation (Einschränkungen Bluetooth/WLAN, zentrales Management).
2.1.2. Risiken bestehen durch
- Booten eines manipulierten Kernels (nur alte Geräte)
- Jailbreak
- Flash-Verschlüsselung (kein Schutz des Schlüssels)
- Datensicherung (kann unverschlüsselt abgelegt werden bzw. schwache Passworte)
- die Installation globaler Sicherheitssoftware ist unmöglich.
2.2. Black Berry
Das Konzept eines herstellereigenen Betriebssystems (proprietär) hat durch das Fehlen einer öffentlich zugängigen Dokumentation und die Tatsache, daß es sich um ein veraltetes System handelt Schwächen, wie z. B. das Fehlen einer strikten Trennung von Prozessen und Verzeichnissen.
2.2.1. Sicherheit wird erzielt durch
- die Authentifizierung (Eingabe PIN)
- Löschen nach Fehleingabe oder remote
- zentrales Management über BES (Black Berry Enterprise Server)
- Verschlüsselung (2. Schlüssel abhängig von PIN, Entschlüsselung startet erst nach der Eingabe der PIN ? Vorteil gegenüber IPHONE)
- Möglichkeit von 3 Verschlüsselungsebenen
1. GSM/UMTS
2. BlackBerry Verschlüsselung
3. S/MIME oder PGP-Verschlüsselung
2.2.2. Risiken bestehen durch die Tatsache,
- dass keine durchgehende Verschlüsselung von Daten besteht
- Backups ohne Eingabe der PIN möglich sind, unverschlüsselt abgelegt werden können und die Übertragung über USB unverschlüsselt ist. Natürlich sind schwache Passworte wie im vorhergehenden Fall leicht zu entschlüsseln.
2 .3. Android
Das Betriebssystem beruht auf einem LINUX-Kernel, die Apps werden in Java programmiert und die Verarbeitung erfolgt nachrichtenbasiert (ICC) auf die LINUX-Prozesskommunikation aufgesetzt.
2.3.1. Sicherheit wird erzielt dadurch, dass
- jede App, ein eigenes Verzeichnis und einen eigenen Account hat (max. lesender Zugriff auf Daten anderer Apps)
- kein Programmstart von Speicherkarten möglich ist
- Signaturen für Apps vorgesehen sind (Verantwortung liegt beim Benutzer)
- ICC Zugriffssteuerung über vordefinierte Labels erfolgt (anfällig)
- Authentifizierung am Gerät (PIN, Passwort, Gestensteuerung) erfolgt
- Verschlüsselung durchgeführt wird
- zentrales Management über externe Anbieter möglich ist.
2.3.2. Die Risiken liegen in den Punkten
- Datensicherung über Android Backup Service (Speicherung in der Cloud)
- Verschlüsselung (keine durchgehende Verschlüsselung der Daten, die Passworte werden weitgehend unverschlüsselt abgelegt)
- Durch "Rooten" (wie Jailbreak) wird die Prozesstrennung aufgehoben
- es ist kein remotes Löschen vorgesehen
- die Herausgabe von Patches ist z. Zt. chaotisch
- Zugriff mit Debugger (USB) bei Fehlkonfiguration (besser ausschalten)
2.4. Windows Mobile / Phone (ab Version 7)
Das Betriebssystem beruht auf den stark abgespeckten Konzepten der PC-Versionen, allerdings fehlen die Zugriffslisten.
2.4.1. Sicherheit soll erzielt werden durch
- ein neues Prozessmodell (Sandbox, 4 stufiges Benutzerkonzept, ZusatzApps mit minimalen Rechten, über "Capabilities" erweiterte Zugriffsrechte [bei Installation])
- Verschlüsselung (Kommunikation, Teile des Dateisystems, Schutz des Schlüssels über PIN/Passwort)
- Authentifizierung
- Lokalisierung
- Löschen nach Fehleingabe oder Remote
- Zentrales Management über MDM
2.4.2. Risiken finden sich in den Bereichen
- Verschlüsselung (nicht durchgehend bei Dateien)
- Datensicherung (i.d.R. unverschlüsselt)
3. Schutzmaßnahmen bei der betrieblichen Nutzung von Smartphones:
Grundsätzlich sind im Falle der betrieblichen Nutzung von Smartphones die folgenden Punkte zu beachten:
1. Zentrale Administration einrichten
2. Absichern des Systems (alphanumerische Passworte, 10-stelllig etc.)
3. Einschränken der Benutzbarkeit
4. Absicherung des Netzwerkes
5. Installation zusätzlicher Sicherheits Apps
6. Benutzer sensibilisieren
4. Schutzsoftware
An Schutzsoftware sind zu empfehlen
1. Diebstahlsicherung
2. Firewall (kaum erhältlich)
3. Virenscanner
4. Spam-Filter
5. Sicherheitsprüfung
6. Verschlüsselung (wirkungslos bei Apple)
7. URL-Filter
5. Datenschutz
Aus datenschutzrechtlicher Sicht ergeben sich folgende kritische Punkte:
- Apps werden oft in Ländern außerhalb des europäischen Datenschutzgesetzes erstellt (fehlende Datenschutzerklärung / unbegrenzte Datenspeicherung)
- Geodaten werden vermarktet (Bewegungsprofile)
- Benutzer verzichten unbewusst bei Nutzen der "Lieblings App" auf Rechte.
Die Prinzipien des Datenschutzes wie Verbot mit Erlaubnisvorbehalt, Datensparsamkeit, Datenvermeidung, Transparenz, Zweckbindung oder Erforderlichkeit werden nicht beachtet, lediglich die Direkterhebung wird eingehalten.
Aus Unternehmenssicht sind auf jeden Fall zu regeln
- Backup (verschlüsselt und nur in der Firma)
- da es sich bei Smartphones um "normale" IT Geräte handelt, finden alle vorhandenen Regelungen der privaten Nutzung von PC´s auf Smartphones Anwendung.
- remoter Zugriff bedarf der Zustimmung des Nutzers
- "Schnüffelsoftware" ist verboten
6. Mitbestimmung
Die Mitbestimmung muss in den Bereichen
- Umfang und Einschränkung der privaten Nutzung
- Trennung privater und dienstlicher Daten
- Datensicherung dienstlich/privat
- Umgang mit Geodaten
- Einverständniserklärung der Nutzer (Nutzungseinschränkungen, Backup, remotes Löschen)
unbedingt eingehalten werden.
Fazit:
Die derzeit erhältlichen Smartphones haben aufgrund der Konzeption ihrer Betriebssysteme Probleme im Bereich der Sicherheit.
Im Falle der Einführung von Smartphones als betriebliches Kommunikationsmittel ergibt sich auf Basis des Sicherheitsaspektes die Abstufung
Die unter 1. und 2. aufgeführten Geräte haben allerdings für Nutzer wesentlich weniger Möglichkeiten, über "Apps" das Smartphone mit interessante Funktionen anzureichern.
So wird die betriebliche Entscheidung in den meisten Fällen nicht positiv gegenüber den Geräten 1. und 2. ausfallen. Gegenüber dem, von den meisten Nutzern favorisierten IPHONE, bietet ein BlackBerry durch seine Systemarchitektur, die vielfältigeren Verschlüsselungsmöglichkeiten und das zentrale Management über BES eindeutig die besseren Voraussetzungen, um "Sicherheit" in die betriebliche Kommunikation per Smartphone zu bringen.
Da nicht klar ist, ob die Verarbeitung von E-Mails über BES das datenschutzrechtliche Trennungsgebot (hinsichtlich einzelner Mandanten) berücksichtigt, kann aus datenschutzrechtlicher Sicht (hier: Blickwinkel "Cloud Computing") kein uneingeschränktes Votum für BlackBerry Smartphones abgegeben werden.
Neben den bisher aufgeführten Problempunkten sind allerdings noch die Aspekte Löschung, Entsorgung und Rückgabe zu beachten
Anmerkung für die Redaktionen: Abdruck frei. Beleg erbeten. Weitere Infos/Bilder:
Die KAM3 GmbH Kommunikationsagentur ist u. a. auf Public Relations und Werbung spezialisiert. Die 1993 gegründete und inhabergeführte Kommunikationsagentur fungiert seit 2008 als GmbH. Geschäftsführer sind Dr. Jeannette Hark und Vojislav Miljanovic.
KAM3 GmbH Kommunikationsagentur
Monika Beumers
Finkenstraße 8
52531 Übach-Palenberg
mb@kam3.de
02451-909310
http://www.kam3.de
Online-Broker ActivTrades: Exklusive MQL5-Schulungen fuer Einsteiger
Pressemitteilung veröffentlicht am: 01.06.2012 17:52Uhr Frankfurt am Main / London. Juni 2012 Als einer der wenigen internationalen Broker, der die Trading-Plattform MetaTrader5 für den Live-Handel bereitstellt, biet...
SteelSeries und Major League Gaming stellen Sensei MLG Edition vor
Pressemitteilung veröffentlicht am: 01.06.2012 17:41Uhr Weltweit am besten individualisierbare und schnellste Maus für die Major League Gaming überzeugt mit hochwertigem Premiumsensor, 32-bit ARM-Prozessor und einem ...
Reifen Krieg GmbH stellt auf der Reifen-Messe 2012 aus
Pressemitteilung veröffentlicht am: 01.06.2012 17:27Uhr Der Reifenspezialist für PKW-Reifen und LKW-Reifen stellt auf der Internationalen Reifen-Messe 2012 Halle 2.0 Stand 314 seine Produktportfolio und Service vor.
...
5.000 Euro Kredit ohne Schufa - Kredit1a.de
Veröffentlicht am: 05.01.2012 08:38Uhr Wir von Bavaria Finanz Service können den Kreditkunden ab 01.01.2012 höhere Kreditsummen ohne Schufa anbieten.Diese Angebote finden Sie auf www.kredit1a.de. Un...
Video Bavaria Finanz auf Youtube
Veröffentlicht am: 01.03.2010 10:00Uhr Bavaria Finanz Service veröffentlicht das neue Video auf youtube. ...
Bavaria Finanz Service - Tv Spot - Werbefilm
Veröffentlicht am: 25.02.2010 19:18Uhr Bavaria Finanz Service veröffentlicht heute deren neuen TV Spot. Dieser Werbefilm wird demnächst auf allen Videoportalen, wie youtube etc. veröffentlicht werden...
Kredit Tipp Guenstige Umschuldung von KREDIT1a.de
Veröffentlicht am: 09.05.2007 08:26Uhr Sie haben bereits mehrere Kredite bei verschiedenen Banken laufen. Und auch zusätzlich noch vielleicht eine PKW Finanzierung. Der Überblick über die einzelnen R...
Kredit Tipp guenstige Kredite trotz negativer Schufa
Veröffentlicht am: 09.05.2007 08:32Uhr Sollte man Schufasorgen haben, so ist man bei Kredit1a.de am besten aufgehoben. Die Kreditplattform kredit1a.de bietet neben einer Vielzahl von Standarkrediten ...
Kredit bei negativer Schufa Auskunft
Veröffentlicht am: 20.12.2006 09:46Uhr Oftmals hat man als Kreditantragsteller das Problem, daß die Schufa negativ ist. Eine negative Schufa bedeutet eigentlich immer, daß ein Kreditantrag abgelehnt ...
