Aus zwei mach eins: Dienst- und Privathandy in einem Gerät

Viele Mitarbeiter möchten ihr Diensthandy gern auch privat verwenden. Smartphones sind praktische Begleiter - mit ihnen kann man nicht nur telefonieren, sondern auch E-Mails schreiben, Termine planen, Daten verwalten und vieles mehr. Deshalb stellen Unternehmen ihren Mitarbeitern zunehmend Smartphones zur Verfügung. Dabei müssen die Firmen ihre Daten möglichst gut schützen, während die Mitarbeiter auch privat Apps für alle möglichen Anwendungen installieren möchten. Sicherheitsexperten des Fraunhofer-Instituts für Sichere Informationstechnologie SIT und des Centers for Advanced Security Research Darmstadt CASED haben die Gerätesoftware nun so weiterentwickelt, dass es auf einem Smartphone zwei getrennte Bereiche gibt: den geschäftlichen und den privaten. Auf der Messe IT-SA (11. bis zum 13. Oktober in Nürnberg, Halle 12, Stand 461) stellen die Forscher die Entwicklung erstmals vor.

Wer über ein Diensthandy verfügt, will nicht unbedingt ein zweites Gerät für den privaten Gebrauch mit sich herum tragen. Das Problem dabei ist, dass viele Anwendungen für Privatnutzer nicht den strengeren Sicherheitsanforderungen von Unternehmen genügen. Genau das kann Hackern aber ermöglichen, die Unternehmen anzugreifen. Die IT-Abteilungen der Unternehmen versuchen deshalb oft, die Nutzung von Smartphones entsprechend einzuschränken. Das gefällt den Nutzern der Geräte wenig. Sicherheitsexperten des Fraunhofer-Instituts und des CASED haben jetzt für Android-basierte Smartphones die Sicherheitslösung "BizzTrust for Android" entwickelt: Sie trennt auf dem Gerät die privaten Anwendungen von den geschäftlichen.

Mehr Sicherheit für geschäftliche Daten

BizzTrust-Smartphones bieten für Daten und Apps zwei Schutzbereiche. Sie erkennen, ob die Inhalte zu einer privaten oder geschäftlichen Anwendung gehören, speichern diese getrennt im jeweiligen Abschnitt ab und kontrollieren den Zugriff auf diese Daten während des Betriebs. Dies erhöht laut Aussage der Sicherheitsexperten die Sicherheit der Geschäftsdaten. Der Mitarbeiter kann trotzdem privat beliebige Apps installieren. Selbst wenn Angreifer eine unsichere App einschleusen sollten, können sie damit nicht auf die Firmendaten zugreifen – die Auswirkungen des Angriffs bleiben auf den privaten Datenbereich des Smartphones begrenzt. "Unsere Entwicklung verbessert die Sicherheit heutiger mobiler Endgeräte wesentlich, ohne die Benutzerfreundlichkeit der Geräte einzuschränken," sagt Prof. Dr. Ahmad-Reza Sadeghi, Leiter der Cyber-Physical Systems Security am Fraunhofer SIT/CASED. Durch ein farbiges Symbol im Display erkennt der Anwender, ob er sich im geschäftlichen, dem "roten" oder im "grünen" Bereich seiner privaten Daten befindet. Um die Bereiche zu wechseln, bedarf es zweier Klicks auf dem Touchscreen.

Eine neue Android-App schützt geschäftliche Daten auf dem privat genutzten Diensthandy. Um diese beiden virtuellen Smartphones in einem Gerät zu realisieren, haben die Experten das Android-Betriebssystem so modifiziert, dass alle Daten aus vertrauenswürdigen Anwendungen entsprechend markiert werden. Welche Anwendungen fürs Geschäftliche freigegeben sind und wer auf welche Bereiche der Firmen-IT zugreifen darf, entscheidet das Unternehmen selbst. Da sich diese Regelungen ändern können, werden die geschäftlichen Anwendungen bei Bedarf aktualisiert oder gelöscht, sobald der Nutzer sich mit dem Unternehmensnetz verbindet. Ein weiterer Vorteil dabei: Die Firmen haben die Möglichkeit, eigene Apps für Mitarbeiter bereitzustellen und regelmäßig zu aktualisieren. Die Sicherheit sei auch dabei stets gewährleistet: Bevor das Telefon sich über eine gesicherte VPN-Verbindung in das Unternehmen einwählt, wird die Software des Telefons überprüft. Wurde diese verändert, können kritische Anwendungen gesperrt werden.

In einem nächsten Schritt wollen die Forscher Smartcards in Smartphones integrieren, die weitere Sicherheitsfunktionen zur Verfügung stellen. Als Ergänzung zu BizzTrust entwickeln die Forscher des SIT jetzt gemeinsam mit Partner-Firmen Werkzeuge, mit denen IT-Administratoren Smartphones im Alltag verwalten können: Sie bauen eine sichere Verbindung zu dem mobilen Gerät auf, synchronisieren gespeicherte Daten drahtlos, sichern die Inhalte oder löschen sie – falls das Gerät verloren geht oder gestohlen wird.

Trennung von beruflichen und privaten Telefongesprächen nur über Dual-SIM-Handy

Bei allen geschilderten Lösungen laufen auf dem Diensthandy allerdings sowohl geschäftliche als auch private Telefongespräche über denselben Anschluss. Bekommt der Arbeitgeber eine detaillierte Rechnung über den Mobilfunkanschluss, kann er Einsicht nehmen in die Verbindungsdaten auch der privat geführten Gespräche wie Zielrufnummern, Uhrzeit und Dauer des Gesprächs. Möchte man dies verhindern, bietet sich die Verwendung eines Dual-SIM-Smartphones an, in das man zusätzlich zur beruflichen eine private SIM-Karte einstecken kann. In Kombination mit der genannten App ist damit auf Android-Smartphones eine recht gute Trennung von beruflichen und privaten Bereichen auf dem Mobilgerät möglich.