iPhone weg? Passwörter weg! / iPhone-Schwachstelle zeigt, Verschlüsselung allein schützt nicht - Unternehmen müssen bei Geräteverlust schnell reagieren (mit Bild)

Darmstadt (ots) -

Wer sein iPhone verliert, dessen Passwörter sind nicht sicher. Das
ist das Ergebnis von Tests am Fraunhofer-Institut SIT in Darmstadt.
Mitarbeitern des Instituts gelang es, die Geräteverschlüsselung des
iPhone auszuhebeln und viele der auf dem Gerät gespeicherten
Passwörter in sechs Minuten zu entschlüsseln. Wird das Gerät im
Unternehmen eingesetzt, ist unter Umständen auch die Sicherheit des
Firmennetzwerks bedroht. Die Schwachstelle im Sicherheitsdesign auf
iPhone und iPad betrifft alle Geräte mit der neuesten Firmware. Eine
schriftliche Dokumentation sowie ein Video zum Angriff sind im
Internet unter http://www.presseportal.de/go2/Lost_iPhone erhältlich.
Nur Unternehmen, die auf solche Angriffe vorbereitet sind, können die
entsprechenden Risiken deutlich reduzieren.

Viele Menschen glauben, dass die Geräteverschlüsselung von
Smartphones für ausreichende Sicherheit sorgt. "Selbst in den
Sicherheitsabteilungen von Unternehmen sind wir immer wieder auf
diese Einschätzung gestoßen", sagt Jens Heider, technischer Leiter im
Testlabor IT-Sicherheit am Fraunhofer SIT. "Unsere Demonstration
beweist, dass dies ein Trugschluss ist. Selbst Geräte die mit hohen
Sicherheitseinstellungen betrieben werden, ließen sich in kürzester
Zeit knacken." Um an die Passwörter zu gelangen, die auf dem Gerät in
der Keychain gespeichert sind, mussten die Tester die eigentliche
256-Bit-Verschlüsselung gar nicht brechen. Vielmehr machten sie sich
eine Schwäche im Sicherheitsdesign zunutze: Das grundlegende
Geheimnis, auf dem die Verschlüsselung der angegriffenen Passwörter
bei iPhone und iPad basiert, wird im aktuellen Betriebssystem auf dem
Gerät gespeichert. Dadurch ist die Verschlüsselung unabhängig vom
persönlichen Kennwort, das den Zugang zum Gerät eigentlich schützen
soll.

Der Angriff ist bei jedem Gerät mit dem iOS-Betriebssystem
möglich, unabhängig vom verwendeten Kennwort des Benutzers. Sobald
ein Angreifer im Besitz eines iPhones oder iPads ist und die
SIM-Karte des Geräts entfernt hat, kann er sowohl an
E-Mail-Passwörter als auch an Zugangscodes für VPN- und WLAN-Zugänge
zum Firmennetzwerk gelangen. Durch die Kontrolle des E-Mail-Accounts
lassen sich auch zahlreiche weitere Passwörter erbeuten: Bei vielen
Webdiensten z.B. sozialen Netzwerken, muss der Angreifer einzig das
Passwort zurücksetzen lassen. Sobald der jeweilige Dienst das geheime
Passwort dann an den E-Mail-Account des Nutzers schickt, erfährt es
auch der Angreifer.

Unternehmen, die sich vor den Folgen solcher Angriffe schützen
möchten, sollten ihre Mitarbeiter entsprechend sensibilisieren und
entsprechende Notfall-Abläufe einführen. Wenn ein Mitarbeiter sein
iPhone verliert, sollte nicht nur er alle seine Passwörter ändern,
auch die Firma sollte die betreffenden Netzkennungen so schnell wie
möglich erneuern. Jens Heider: "Hier zeigt sich, wie gut das
Sicherheitskonzept auf die mobile Herausforderung eingestellt ist."

Pressekontakt:
Oliver Küch
Leiter PR
Fraunhofer SIT
oliver.kuech@sit.fraunhofer.de
06151-869-213