Smartphone & Mobile Web Security: es geht um mehr als Endgeräteverschlüsselung

Die öffentliche Diskussion um Smartphone-Sicherheit hat sich bislang zumeist um Speicherverschlüsselung und Authentisierung sowie im Falle des BlackBerry um das „Staging“ von E-Mails außerhalb des deutschen Rechtsraumes gedreht. Dabei ist das Thema mittlerweile ähnlich komplex wie Sicherheit für Notebooks und Desktops. Mit zunehmender Verbreitung und Performanz der Smartphones sind ähnlich umfassende Sicherheits-Richlinien und -Standards notwendig wie beim klassischen PC.

Wobei die Standardisierung der Smartphone-Plattformen auf sich warten lässt. Jede Smartphone-Plattform – sei es Windows Phone, iPhone, BlackBerry, Symbian oder Android – hat ihre Eigenheiten. Umso wichtiger ist es, sich die wesentlichen Sicherheitskonzepte ins Gedächtnis zu rufen und zu prüfen, was vor dem Hintergrund spezifischer Unternehmensanforderungen notwendig und sinnvoll ist – und wie die Unterstützung der Security-Lösungsanbieter jeweils aussieht.

Am Endpunkt (Smartphone) und zum Teil im Unternehmensnetzwerk (WAN/LAN) geht es technisch gesehen im Wesentlichen um die folgenden Konzepte:

* Authentisierung (einfach vs. Multifaktor)
* Datenverschlüsselung des Speichers
* Nachrichtenverschlüsselung
* Datenkommunikationsverschlüsselung
* Sprachverschlüsselung
* Network Access Control (NAC)
* Firewall
* Schutz vor Malware
* Diebstahlschutz: Remote-Deaktivierung
* Asset und Konfigurations-Management

In den vergangenen Wochen gab es hierzu ein paar interessante Ankündigungen der Sicherheitsanbieter. T-Systems hat mit der Lösung SiMKo („Sichere Mobile Kommunikation“) einen größeren Auftrag bei deutschen Bundesbehörden an Land gezogen. Komponenten der Lösung werden unter anderem von den deutschen Anbietern Certgate (SmartCard microSD) und NCP (IPsec VPN Client) bereitgestellt.

Die Düsseldorfer Firma Secusmart beliefert ebenfalls die öffentliche Hand mit einer Sprachverschlüsselungslösung für abhörsichere Mobiltelefonie.

Gibt es für Certgate und Secusmart einen Markt jenseits der öffentlichen Hand? Das schon, aber es werden immer Nischenmärkte sein und kein Massenmarkt.

In Richtung Massenmarkt gehen Junipers Ankündigungen vom Februar 2010. Mit Junos Pulse bietet Juniper auch für Smartphones eine sichere Anbindung an Unternehmensanwendungen, basierend auf SSL VPN. Damit positioniert sich Juniper insbesondere gegenüber Ciscos AnyConnect Secure Mobility Client. Es bleibt aber fraglich, ob Juniper damit spezialisierten Anbietern wie NCP das Wasser abgraben kann. Juniper zielt mit seinen Angeboten eher auf den Massenmarkt und geht dort stark über Dienstleister und die Mobilfunknetzbetreiber.

In der Tat wird den Mobilfunknetzbetreibern künftig eine wachsende Rolle rund um Mobile Web und Smartphone Security zukommen. Zentrale Themen sind hier der zentrale Schutz vor Schadsoftware (“Viren”) und Spam, Sicherheit beim Nutzen des mobilen Webs (durch Secure Web Gateways), die Bereitstellung von Identitäten (Trusted Identity Provider) – und eben die sichere Netzwerk-Konnektivität. Genauso, wie wir es von der klassischen Notebook- und Desktop-PC-Welt kennen.