Credant Mobile Guardian

Credant [2]-Mobile-Guardian, kurz CMG, nutzt Agenten, um Informationen zu schützen, die auf Smartphones und anderen mobilen Geräten gespeichert sind. Das Produkt ist vor allem für Anwender interessant, die in ihrem Unternehmen unterschiedliche Typen von mobilen Systemen einsetzen.

Die Architektur von Credants "Mobile Guardian"

CMG-Agenten stehen für viele mobile Geräte zur Verfügung, darunter Laptops und mehrere Smartphone-Betriebssysteme. Die Steuerung übernimmt das CMG-Enterprise-Server-Management-System.

Der CMG-Enterprise-Server integriert Datensteuerungsrichtlinien und bereits vorhandene Benutzerverzeichnisse. Er kann den Zugriff auf kritische Informationen einschränken, die auf mobilen Geräten gespeichert sind.

Fernsperren möglich

Geht ein Smartphone verloren oder wird es gestohlen, und ein fremder Benutzer versucht, darauf zuzugreifen, kann die Credant-Agenten-Software das Gerät »einmauern« und dessen Inhalt unbrauchbar machen.

Das funktioniert auch dann, wenn es von allen Netzwerken getrennt ist. Die »Mauer« lässt sich natürlich auch wieder entfernen: Der Support-Mitarbeiter muss dafür dem Gerät lediglich neue Schlüssel zuweisen.

Credants Mobile-Guardian-Enterprise-Server ist die Schaltzentrale der umfassenden Smartphone-Security-Suite.

Zentral erzeugte Schlüssel und Policies gelangen über unterschiedliche Wege auf das portable Gerät. Agenten implementieren zentrale Richtlinien in vier Kategorien, sogenannten Shields: Access-Control, Verschlüsselung, Berechtigungen und Usability – jede mit mehrfachen Einstellungen.

Ports separat deaktivieren

Ändern sich Shields-Richtlinien, verteilt der Server die Aktualisierungen an die mobilen Systeme. Die Policies steuern die Verfügbarkeit der Ports eines Geräts, darunter die der Bluetooth-, WLAN- und Infrarot-Schnittstellen.

Ein Administratoren kann zudem den IP-Stack vollständig löschen. Das Smartphone funktioniert dann noch als Telefon, lässt sich aber nicht mehr für den Datentransport nutzen.

Eindeutiger Key für jedes Gerät

Credant verschlüsselt Dateien mit Keys, die für den Benutzer und das Gerät eindeutig sind. Die Authentifizierung auf einem CMG-geschützten Gerät basiert auf Richtlinien. Diese lassen sich mit einem zentralen LDAP-Directory (Active-Directory, Novell oder Open-LDAP) verknüpfen.

Richtlinien können auf unterschiedliche Arten erzeugt werden. Wenn ein Benutzer seine PIN vergisst, fragt das System ihn nach einem Passwort. Eine falsche Angaben kann zu einer Liste von Fragen führen, deren Antworten nur der Benutzer kennt, beispielsweise die bevorzugte Musikgruppe des Benutzers.

Geht auch das schief, fordert das System ihn auf, eine konfigurierbare Telefonnummer anzurufen, um eine Challenge-Response-Sitzung mit einem Helpdesk-Mitarbeiter zu starten. Die zur Freigabe der Daten notwendigen Schlüssel bleiben so lange unerreichbar, bis der Helpdesk-Mitarbeiter sie freigibt.

Weder Firewall noch Virenschutz

Da Credant lediglich Daten schützt, die auf einem Mobilgerät lagern, sind bei der Übermittlung von Informationen ergänzende Schutzmaßnahmen notwendig. Credant bietet weder einen Schutz vor Malware noch eine Firewall.

Zwar gibt es derzeit noch relativ wenige Viren, Trojaner und andere Schadprogramme für Smartphones. Aber das dürfte sich in Kürze ändern. Daher sollte der Anwender auf Mobilgeräten eine Anti-Viren-Lösung installieren.

Eine Installation für 200 Geräte kostet rund 80 Dollar pro Platz. Das entspricht in etwa dem Preis vergleichbarer Produkte. Billiger wird es, wenn der Anwender eine größere Zahl von Lizenzen kauft.

Wem seine Daten lieb und teuer sind, wird jedoch diesen Preis akzeptieren, denn er kann sich darauf verlassen, dass nur autorisierte Benutzer auf die Informationen zugreifen können.

PGP Mobile 9.9.0: For Security On The Go

PGPs [3] legt bei PGP Mobile den Schwerpunkt auf das Verschlüsseln von Daten unter Verwendung von Public-Key-Directories, entweder solchen, die der Benutzer selbst kontrolliert oder öffentlich verfügbaren. Mit seinen eigenen gerätespezifischen Controls für Sicherheitsfunktionen, beispielsweise Geräte- und Passwort-Management, Remote-Wipe und Malicious-Code-Control, erfindet der Hersteller das Rad nicht neu.

Wer auf eine umfassende Absicherung von mobilen Geräten Wert legt, muss PGPs Sicherheitsprodukt in Kombination mit der Gerätemanagement-Software des jeweiligen Herstellers einsetzen. Infrage kommen beispielsweise Microsofts System-Center-Mobile-Device-Manager oder Research In Motions Blackberry-BES-Server.

PGP Mobile konzentriert sich auf die Datenverschlüsselung, bietet aber kaum Schutz vor Viren und anderer Schadsoftware.

Für Unternehmen, die ihre Mitarbeiter nur mit Smartphones eines Herstellers ausrüsten, etwa Blackberrys, ist die Kombination aus dem Gerätemanagementsystem des Smartphone-Lieferanten und PGPs asymmetrischer Datenverschlüsselung kein schlechter Weg.

Nicht ratsam für heterogene Umgebungen

Anders sieht es dort aus, wo mehrere Mobilgeräte zum Zuge kommen: Blackberrys, Windows-Mobile-Systeme, Nokia-Smartphones und vielleicht sogar noch iPhones. Dort ist eine Lösung attraktiver, die unterschiedliche Betriebssysteme unterstützt, etwa die von Credant.

Die PGP-Verschlüsselungsplattform enthält mehrere Komponenten, die beim Ver- und Entschlüsseln einen transparenten Key-Look-up erleichtern und dieselben Cross-Plattform-kompatiblen Dateiformate nutzen. So lässt ist ein Volume auf einem Windows-Mobile-Gerät, das mithilfe der PGP-Software verschlüsselt wurde, auch auf einem Windows-Desktop oder Macintosh-Rechner entschlüsseln. Dies ist bequem und effizient. Die Voraussetzung ist, dass auf diesen Systemen PGPs Whole-Desk-Encryption-Software läuft.

PGP wirbt mit der Tatsache, dass über alle Plattformen hinweg ein ähnliches »Look and Feel« zur Verfügung steht. Benutzer, die ein PGP-Produkt nutzen, finden sich auch schnell auf anderen Systemen zurecht, auf denen eine Software der Firma installiert ist. . Die Applikation »versteckt« komplexe Operationen vor dem Benutzer und besitzt auf allen Plattformen klare, konsistente Schnittstellen.

Flexible Schlüsselverwaltung

Sowohl der Public- als auch der Private-Key lassen sich über eine geschützt SSL-Verbindung herunterladen und freischalten. Danach bleiben sie zur weiteren Nutzung im Cache des Mobilgeräts.

Wer Dateien für ein paar Empfänger verschlüsseln möchte, greift auf Universal-Server zu und lädt Public-Keys herunter, die dann für die Verschlüsselung genutzt werden. Individuelle Benutzer entschlüsseln Daten mit ihren persönlichen privaten Schlüsseln. PGP offeriert mehrere Verfahren für das Verteilen und die Verwaltung von Private-Keys, je nach Sicherheitsanforderung der Anwender.

PGP-Mobile 9.9.0 konzentriert sich auf die Datei- und Festplatten-Verschlüsselung und erlaubt dem Benutzer, verschlüsselte Volumes und ZIP-Dateien zu erzeugen. Diese sind durch einen Public-Key oder ein Passwort geschützt. Zur Entschlüsselung verwendet der Benutzer den korrespondierenden Private-Key oder dasselbe Passwort.

Schlüsselkomponente »Universal Server«

Es ist möglich, ZIP-Files mit sehr schwachen Passwörtern zu erzeugen. Die Benutzer sollten daher dazu erzogen werden, stets Public-Keys für gepackte Dateien oder Volumes zu nutzen. Noch besser ist es, wenn der Administrator die Passwortnutzung ganz ausschaltet.

Die Benutzer müssen außerdem lernen, stets das verschlüsselte Verzeichnis (Volume) zu mounten und dann alle Dateien auf diesem Volume zu speichern. Wenn Dateien sicher gelöscht werden sollen, sollte immer das PGP-»Shredder«-Programm bemüht werden, das PGP-Mobile beiliegt.

Eine Schlüsselkomponente von PGPs Sicherheitsarchitektur ist der PGP-Universal-Server, der Schlüssel-Management für jede Plattform bietet. Universal-Server bildet das Repository, in dem Public-Keys gespeichert und Nutzungsrichtlinien erzeugt und verteilt werden. Stattdessen kann der Administrator auch PGPs Public-Key-Directories verwenden. Aber mit Universal-Server hat der Administrator die Kontrolle über die Richtlinien und darüber, wer im Directory aufscheint.

Auch Lösung für Blackberry verfügbar

PGPs Windows-Mobile-Version klinkt sich nicht direkt in die E-Mail-Applikation des Mobilgeräts ein. Wer Dateien, die per Mail übermittelt werden, vor fremden Zugriff schützen will, muss die Files daher zuvor mit der PGP-Applikation packen (ZIP-Datei).

Anschließend kann er die verschlüsselten ZIP-Files der E-Mail hinzufügen. Der Dateianhang ist dann für Unbefugte nicht zugänglich. Allerdings liegt der Nachrichtentext nach wie vor im Klartext vor.

PGPs Mobile-Security für Blackberry wurde nicht getestet. Aber die Version ist erwähnenswert, weil sich ihre Funktionen erheblich von denen der Windows-Variante unterscheiden. Ein gravierendes Unterscheidungsmerkmal: Die Lösung ist in RIMs Blackberry-Betriebssystem integriert. Sie muss lediglich mit einem Lizenzschlüssel aktiviert werden.

Die Blackberry-Version zielt auf eine sichere durchgängige E-Mail-Kommunikation (»End to End«) und verbessert RIMs S/MIME-Schema. Nach der Lizenzierung verbindet der Benutzer das Gerät mit dem PGP-Universal-Server. Dieser speichert die Security-Policies und veranlasst die Nutzer, die vorgegebenen Regeln beim Verschlüsseln von Daten und Nachrichten einzuhalten.

Trust Digital Enterprise Mobility Management

Stellen Sie sich folgendes Szenario vor: Sie sind ein IT-Direktor mit der Aufgabe, eine wachsende »Flotte« von mehr als 100 Smartphones zu schützen. Auf diesen Geräten sind wichtige E-Mails, Dateien, Kundenkontakte und andere Unternehmensinformationen gespeichert. Sie benötigen zudem ein zentrales Management und ein effizientes Verfahren, um Policies durchzusetzen.

Und noch eine Anforderung: Es sollen Geräte unter Windows Mobile und Palm OS, iPhones und möglicherweise ein paar Newcomer unterstützt werden. Das geht nicht? Dann ist es an der Zeit, sich Trust Digitals [4] Enterprise-Mobility-Management (EMM) einmal genauer anzusehen.

Auch das iPhone wird integriert

Vor allem für Unternehmen, deren Mitarbeiter iPhones verwenden, ist EMM interessant, Denn derzeit stehen für die Verwaltung von Apple-Smartphones im Enterprise-Umfeld nur begrenzte Möglichkeiten zur Verfügung.

Die Elemente des Enterprise-Mobile-Manager von Trust Digital

Um ein iPhone einzurichten, lässt sich Apples Konfigurations-Tool einsetzen. Mit ihm kann der Administrator unter anderem Passwortanforderungen festlegen, WLAN- und E-Mail-Einstellungen vornehmen und VPN-Profile erstellen.

Für Microsofts Activesync lässt sich die Konfiguration von Exchange nutzen, um Passwortrichtlinien durchzusetzen, einen Inactivity-Timer einzustellen und das Fernlöschen von Daten zu implementieren.

Diese Bordmittel reichen in kleineren und homogenen Umgebungen aus. In größeren Firmen und dann, wenn unterschiedliche Smartphones im Einsatz sind, machen sich allerdings die Vorteile von EMM bemerkbar.

Dreiteiliges Modell

Das System basiert auf einem dreiteiligen Komponentenmodell, welches das Telefon, einen Compliance-Filter und den EMM-Server im Backend umfasst. Der Client selbst besitzt typischerweise einen Agenten, der Richtlinien durchsetzt, Sicherheits-Controls implementiert und mit dem Home-Server kommuniziert.

Der Compliance-Filter »lebt« im Perimeter oder in der DMZ, normalerweise auf einem System wie Exchange-Frontend-Server (mit optionalem ISA-Support) und beobachtet dort die Kommunikation mit dem E-Mail-Server. Der Filter berichtet nicht nur über die Gerätetypen, die zuzugreifen versuchen, sondern er blockiert auch den Zugriff, falls das System nicht die Sicherheitsrichtlinien erfüllt.

Der Filter funktioniert wie ein traditionelles NAC-Gerät (Network Access Control). Er hilft Administratoren beispielsweise dabei, User zu erkennen, die nicht autorisierte Smartphones für den Zugriff auf Unternehmensressourcen verwenden.

Backend-Server als Schaltzentrale

Der Backend-Server ist für folgende Dinge zuständig: die Konfiguration, das Aufsetzen von Policies, das Logging und die Administration.

Viel von dem, was auf dem Backend-EMM stattfindet, ist das, was von einem Mobile-Device-Element-Manager erwartet wird. Die Web-Benutzerschnittstelle ist übersichtlich und erlaubt eine abgestufte Administration von Informationen mit voreingestellten Rollen für Administratoren, Helpdesk-Mitarbeiter, Berichtszugriff et cetera.

Der Kern der Sicherheitseinstellungen ist das Erstellen von Richtlinien und deren Mapping auf Active-Directory-Gruppen. In den Policies legt der Administrator die Verschlüsselung und die Authentifizierungs-Controls (einschließlich Smartcard-Support) fest. Außerdem gibt er darin vor, wie und über welche Schnittstellen und Protokolle ein Smartphone kommunizieren darf, etwa WLANs und Bluetooth-Verbindungen.

Eine Richtlinie für alle Mobilgeräte

Selbst dann, wenn unterschiedliche Smartphones in einer Firma eingesetzt werden, kann der Administrator eine einzelne Richtlinie erzeugen und unabhängig vom Telefontyp an alle Geräte verteilen. Diese Richtlinienkonsistenz ist allerdings ein zweischneidiges Schwert, weil nur die implementierbaren Controls angewandt werden. Dies führt zu einer Richtlinie, die möglicherweise nur eine Untermenge (Subset) aller Controls enthält.

Ein Beispiel: Da Trust Digital derzeit keine iPhone-Verschlüsselung unterstützt, wird diese Richtlinieneinstellung für iPhone-Benutzer ignoriert. Das Mapping unterstützter Richtlinien-Controls für unterschiedliche Telefone ist zwar dokumentiert. Aber der Systemverwalter erkennt nicht, welche Teile einer Richtlinie implementiert wurden. Dies ist aber ein zentraler Punkt und sollte in künftige Versionen der Software integriert werden.

Die Unterstützung von iPhones erfolgt in mehreren Phasen. Im ersten Schritt, der seit dem vierten Quartal 2008 verfügbar ist, werden die Smartphones an das zentrale Inventarverzeichnis angebunden, einschließlich der Policies.

Phase 3 mit Verschlüsselung

Die Steuerung erfolgt durch Compliance-Filter. Optionale Aufgaben, beispielsweise Fernlöschen und das Verwalten von Passwörtern, lassen sich zentral durchführen. Die zweite Phase wird Hilfe bei der Bereitstellung und Konfiguration von iPhones bieten.

Richtig interessant, besonders aus der Perspektive des Technikers, dürfte es in der dritten Phase werden. Sie wird Verschlüsselung implementieren, erweiterte Inventarinformationen liefern und möglicherweise einen Agenten haben, der auf den Phones selbst läuft.

Das Ziel ist, den Security-Control-Support von EMM, der gegenwärtig nur für Windows-Mobile-Geräte verfügbar ist, auf das iPhone auszudehnen. Dann werden auch für Apples Mobilgerät Funktionen bereitstehen wie Multifaktor-Authentifizierung, die Verschlüsselung von Daten, die auf dem Gerät gespeichert sind, oder das Zurücksetzen von Konfigurationseinstellungen.

Das Testverfahren: Smartphone-Security-Suites

Network Computing testete Security-Pakete für Apples iPhone 3G, Windows-Mobile, RIM Blackberry und Symbian-OS-Geräte. Dabei ging es vor allem darum, eine Sammlung von Security-Controls zum Schutz und zur Pflege einer Smartphone-Infrastruktur zu erzeugen.

Untersucht wurden Zugriffssteuerungsmechanismen, sichere Container für das Passwortmanagement, die Verschlüsselung von Daten auf dem Mobilgerät, Netzwerksicherheits-Controls, Antivirus- und Antimalware-Funktionen sowie die Durchsetzung von Sicherheitsrichtlinien.

Für die Preisermittlung galten folgende Bedingungen: Die Kosten des Smartphones sind nicht enthalten. Für Applikationen, die ausschließlich auf dem Smartphone laufen, werden 200 Lizenzen genutzt. Für Applikationen, die Backend-Server-Support benötigen, sind lediglich die Lizenz-/Softwarekosten enthalten.