„Für BYOD würde ich auf iOS-Geräte setzen“

Chester Wisniewski ist Senior Security Advisor beim Schutzsoftware-Hersteller Sophos. Er verfasst regelmäßig Artikel für den preisgekrönten Naked Security Blog und produziert den wöchentlichen Podcast Sophos Security Chet Chat. Im Interview mit com! professional geht es um akute Sicherheitsprobleme beim Einsatz mobiler Geräte sowie bei Linux als Server-Betriebssystem.

com! professional: Worin unterscheiden sich iOS und Android bei Datenschutz und Sicherheit?

Chester Wisniewski: Wenn man sich die Details anschaut, nicht sehr stark. Apple beispielsweise verschlüsselt standardmäßig. Das ist hilfreich, aber das Betriebssystem bootet auf dem Gerät ohne Passwort des Nutzers. Das eröffnet eine kleine Lücke für Spionage, die vom Staat ausgeht. Bei Android dagegen wird nicht standardmäßig verschlüsselt, sondern Betriebssystem und Daten werden nur dann chiffriert, wenn die Funktion auch aktiviert ist. Weil es keinen Schlüssel gibt, hat ein Angreifer auch keine Möglichkeit, sich den Schlüssel für das Betriebssystem zu beschaffen und das Betriebssystem zu manipulieren. Aus praktischer Sicht würde ich beide Betriebssysteme als gleichwertig ansehen.

com! professional: Zu welchem Betriebssystem für Bring Your Own Device (BYOD) sollten Unternehmen ihren Mitarbeitern raten?

Wisniewski: Das ist eine schwierige Frage, aber ich denke, ich würde Telefone wählen, die auf iOS basieren. In einer BYOD-Umgebung ist es nämlich nicht einfach, den Sicherheitslevel von Android-Geräten zu beurteilen. In einer Choose-Your-Own-Device-Umgebung (CYOD) dagegen ist Android sehr attraktiv, da man dabei Geräte auswählen kann, die man kennt und unterstützen kann. So lässt sich eine deutliche Kostenersparnis erzielen.

com! professional: Und wie sehen Sie die übrigen mobilen Betriebssysteme?

Wisniewski: Windows-Telefone bieten ohne MDM/EMM-Lösungen überhaupt keine Verschlüsselung. Ich würde nicht empfehlen, ein Windows-Telefon ohne Managementplattform zur Absicherung des Geräts zu nutzen.

com! professional: Wie beurteilen Sie die Sicherheit von Wearables?

Wisniewski: Das ist ein Bereich, den wir bei Sophos künftig genauer unter die Lupe nehmen wollen. Viele dieser Geräte verwenden Bluetooth LE und einen äußerst unsicheren Pairing-Modus, zum Beispiel Fitbit. Bei anderen Geräten hingegen, etwa der Motorola Moto 360 oder der Apple iWatch, wird die Sicherheit etwas ernster genommen.

com! professional: Bedeutet mehr Sicherheit denn automatisch eine geringere Akkulaufzeit?

Wisniewski: Nein, aber weniger Komfort beim Einrichten der Geräte. Verschlüsselung verbraucht mittlerweile so wenig Energie, dass Stromverbrauch nicht mehr als Argument für die Nichtnutzung solcher Mechanismen akzeptiert werden kann. Bei Herzschrittmachern oder Insulinpumpen vielleicht, nicht aber bei Smartwatches oder Fitnessarmbändern.