Heise berichtet heute über "Wanzen
auf dem BlackBerry":
http://www.heise.de/security/meldung/Warnung-vor-Wanzensoftware-fuer-BlackBerry-843512.html
Dabei geht es darum, dass auf dem Gerät
Anwendungen installiert werden können, die die geräteeigenen Funktionen
nutzen, um die Umgebung abzuhören und an ein beliebiges Ziel zu übermitteln.
Dazu muss diese Anwendung natürlich erst einmal auf das Gerät gelangen
und dafür muss der "Spion" entweder direkten/physischen Zugriff
auf das Gerät bekommen oder aber den Nutzer dazu bringen, die fragliche
Software zu installieren (zum Beispiel, indem er glaubt, etwas anderes
zu installieren).
Die Schwachstelle ist hier also der
Nutzer und nicht die Technik. Lösen lässt sich das Problem zumindest teilweise,
indem der Nutzer aus seinem Gerät ein Passwort vergibt und keine unbekannten
Anwendungen installiert.
Aber Sie als Administrator müssen sich
nicht darauf verlassen, sondern können selbst Vorkehrungen treffen.
Und bei allen Vorkehrungen, die Sie
treffen, kann ein Verlust oder Diebstahl immer vorkommen, daher kann es
nicht schaden, wenn Ihre Nutzer darüber informiert sind, dass Sie in der
Lage sind, bei Verlust des Gerätes selbiges von zentraler Stelle aus zu
löschen.
Was können Sie tun?
Zum Beispiel können Sie Ihre Nutzer
zwingen ein Passwort einzurichten und außerdem einen automatische Logout
einstellen, um zu verhindern, dass jemand durch längere Unaufmerksamkeit
des Besitzers Zugriff auf das Gerät bekommt.
Das erreichen Sie über die IT-Policy:
Nach dem nächsten Timeout, dessen Dauer
Sie in der "Password Policy Group" festlegen können, wird der
Nutzer aufgefordert, ein Passwort festzulegen.
Sie sehen da auch noch einige andere
Einstellungen zum Thema Passwort, so dass Sie hier Ihre Phantasie und Erfahrung
mit derlei Funktionen spielen lassen können.
Aber mit dem Passwort ist natürlich
nur der direkte Zugriff auf das Gerät verhindert bzw. erschwert.
Darüber hinaus kann man verhindern,
dass Nutzer selbst Applicationen über den Desktop-Manager oder die BlackBerry-App
World installieren.
Damit verhindern Sie die Installation
über die App World bzw. die Installation der App World selbst.
Um zu verhindern, dass der Nutzer Anwendungen
über den Desktop-Manager installiert, können Sie zum Beispiel den Apploader
deaktivieren:
Aber selbst wenn Sie Anwendungen installieren
oder installieren lassen, können Sie immer noch steuern, welche Berechtigungen
eine Anwendung auf dem Endgerät hat. Sie können dann zum Beispiel die Interprozess-Kommunikation
(Cross Application Communication) unterbinden, die hier dafür verantwortlich
ist, dass die Anwendung auf das Mikrophon der Gerätes Zugriff hat. Unter
Umständen sollten Sie für hier auch noch den "Phone Access" deaktivieren
- je nachdem wie die angesprochene Anwendung funktioniert.
Dazu passen Sie die Software-Konfiguration
an und weisen ihr eine Application Control Policy zu.
Kurz gesagt, Sie können jede Einstellung,
die Sie auf dem Gerät vornehmen können, auch von Server-Seite unveränderlich
festlegen und damit jedes Endgerät regelrecht zunageln, um die Nutzer vor
Angriffen und sich selbst zu schützen.
Kann das iPhone das auch?