Bundesamt für Sicherheit in der Informationstechnik

G 4.51 Unzureichende Sicherheitsmechanismen bei Smartphones, Tablets oder PDAs

Ein IT-System, das sich im mobilen Einsatz befindet, kann über ein VPN an ein LAN angeschlossen sein, so dass die Kommunikationsverbindung sehr gut geschützt ist. Wenn allerdings dieses IT-System selber ungenügend gegen unbefugten Zugriff geschützt ist, besteht die Gefahr, dass ein Unbefugter dieses als "Gateway" missbraucht, um auf das interne Netz zuzugreifen.

Typische Endgeräte für den mobilen Einsatz sind Handys oder PDAs, bei denen meistens keine Benutzertrennung möglich ist. Dadurch kann jeder, der Zugriff auf das IT-System hat, auf alle Daten und Programme zugreifen, auch auf interne Daten der Organisation oder sehr persönliche Daten des Eigentümers.

Andere leider sehr typische Schwachstellen bei mobilen Komponenten wie PDAs sind:

  • unzureichende Zugriffschutz- und Authentisierungsmechanismen
  • keine oder unzureichende Möglichkeiten zur Verschlüsselung von Daten
  • ungesicherte Synchronisation
  • keine oder unzureichende Protokollierungsmöglichkeiten

Es gibt eine Vielzahl verschiedener PDA-Modelle mit den unterschiedlichsten Betriebssystemen. Die Sicherheitseigenschaften der verschiedenen PDA-Plattformen sind unterschiedlich, einen sicheren Schutz gegen Manipulationen bietet aber derzeit keines der kommerziell gebräuchlichen Systeme.

Beispiel:

Bei Palm OS 3.5.2 und allen Vorgängerversionen kann über eine Tastenkombination wahlweise in den sogenannten "Console Mode" oder den "Debug Mode" gewechselt werden. Beide Modi erlauben, an allen Sicherheitsmechanismen des Betriebssystems vorbei, den direkten Zugriff auf Systemdaten. Dabei ist es völlig gleichgültig, ob der PDA-Zugriff über ein Passwort geschützt ist oder nicht: beide Modi können unter Umgehung des Zugriffsschutzes aktiviert werden.

Stand: Stand 2005