Datensicherheit beim Remotezugriff auf David-Server

Datensicherheit beim Remotezugriff - das ist ein Thema was viele beschäftigt. Insbesondere Geschäftsführer neigen dazu, nicht nur vollständige Verzeichnisse ihrer Mitarbeiter, Lieferanten und Kunden samt Anschriften und Rufnummern mit ihren Mobilgeräten zu synchronisieren, sondern auch die wichtigsten Passwörter. Da kann sich der erfolgreiche Hack schon eines einzigen Smartphones für die Konkurrenz im In- und Ausland sehr lohnen.

Bekannt ist, dass die David Webbox unsicher ist, wenn der Zugriff ungesichert via http:// und Port 80 oder Port 81 erfolgt. Weniger bekannt ist, dass längst auch https:// - verschlüsselte Seiten und Daten für Hacker und somit unerwünschte Nutzer kein Hindernis mehr sind. Das so ziemlich Einzige was Hackern noch massive Schwierigkeiten bereitet ist ipsec VPN. Das gilt auch für Angriffe, deren Urheber in Russland oder China sitzen, denn die Schutzmechanismen beim Aufbau eines ipsec VPN Tunnels sind weitaus komplexer als bei einer 2-Faktor Zugangskontrolle.

Vor allem die Daten auf Smartphones, die über Port 80, 81, 443 oder 843 Datensynchronisation mit dem heimischen Server betreiben, sind ein beliebtes Angriffsziel. Was dabei zum Datenabgleich zum Einsatz kommt (active sync, IMAP oder CALDAV/CARDDAV) spielt so gut wie keine Rolle.

Die Smartphones von Apple sind ab Baureihe 6S in der Lage, auch hochwertige Verschlüsselungen bei VPN Verbindungen zu nutzen. Von besonderem Vorteil ist, dass die VPN-Verbindungen nicht permanent bestehen bleiben. Nach einem kurzen Datensynchronisation schaltet sich der VPN-Tunnel von selbst ab. So sind die Resourcen Internet-Leitung und Anzahl gleichzeitig verfügbarer VPN-Tunnel optimal genutzt. Und ein abgeschalteter VPN-Tunnel kann nicht mehr angegriffen werden.

Achten Sie beim Einrichten bitte darauf, dass Sie eine echte ipsec VPN Verbindung einrichten. Als Verschlüsselung ist AES zu wählen.
Beim Phase 1 Profil ermöglicht IOS 10.2 eine Verschlüsselungsqualität bis SHA2 und Diffie Hellmann Gruppe 14 (2048 Bit).
Beim Phase 2 Profil ist auch mit dem im Dezember 2016 aktuellen IOS 10.2 leider nur eine Schlüsselqualität bis AES / SHA1 möglich, was aber kein Problem darstellt.
Denn Phase 1- und Phase 2-Profil lassen nur gemeinsam eine VPN-Verbindung zu.

Der Verbindungsaufbau zwischen einem iPhone mit LTE Verbindung und einem David-Server mit DSL 16.000 Anbindung dauert normalerweise nur ein bis zwei Sekunden.
Danach steht der Tunnel, und die active sync Verbindung nimmt ihre Arbeit auf.

Für Notebook-Computer bieten Bintec-Elmeg und LANCOM eine sehr einfach einzurichtende Client VPN-Software an.
Der David-Client kann wahlweise ein Webbox-Client oder ein David-Vollclient sein.
Allerdings ist bei langsamem Internet-Upload des David Servers ist der Webbox-Client die bessere Wahl.
Nach aufgebauter VPN-Verbindung verbinden sich die Clients direkt mit der IP des David-Servers - so als befände sich der Nutzer im heimischen LAN.

Ist das ipsec VPN fertig eingerichtet, dann sind ständig für David offene Ports im NAT und in der Firewall überflüssig.
Die Sicherheit des Servers erhöht sich dadurch enorm.

Verbleibende Schwachstelle in der Sicherheit ist das Bluetooth-System der Mobilgeräte.
Bluetooth sollte nur dann eingeschaltet werden, wenn es unbedingt nötig ist, keinesfalls aber dauerhaft.

Last but not least:
Üben Sie das Sichern, Löschen und Wiederherstellen Ihres Smartphones solange, bis dass Sie es perfekt beherrschen.
Die Sicherung in eine Cloud ist nur zeitraubende und teure Spielerei. Sichern Sie Ihr Smartphone statt dessen auf einem PC oder einem Notebook. Bei iPhones oder iPads geht das mit iTunes. Sie benötigen beim Restore Ihre Apple-ID und das zugehörige Passwort.

Wenn Sie Ihr Smartphone vermissen und es innerhalb einer halben Stunde Suchens nicht wieder finden, dann setzen Sie bitte sofort das Gerät auf den Werks-Auslieferungszustand zurück. [ www.icloud.com / Mein iPhone suchen / iPhone löschen ]. Das wirkt sofort, sobald jemand das iPhone mit dem Internet verbindet.
Denn ein Profi wird trotz fehlendem Zugangscode selten mehr als eine halbe Stunde benötigen, um an die Daten auf Ihrem Smartphone zu gelangen.

[Blockierte Grafik: http://www.antons.de/public/bot-logo.jpg]

Ja, das hat was. Aber die Mühe, unterwegs bei Bedarf den VPN-Knopf zu aktivieren, ist minimal.
Nach weniger als einer Woche ist sie für den Nutzer Routine.
Zudem: Oft genug ist in Besprechungen die Nachricht "Sie haben eine neue eMail" störend. Sie lenkt unnötig ab.
Genau das passiert aber, wenn die VPN-Verbindung permanent besteht und vergessen wird, das Smartphone auszuschalten.

Was der Autor als "Vergessen" der VPN Verbindung deutet ist ein bewusstes Feature:
Die meisten VPN-Router, die ipsec VPN unterstützen, sind in der Anzahl gleichzeitig offener VPN-Verbindungen begrenzt.
Denn diese benötigen Rechenleistung, die die CPU der VPN-Router belastet.
Durch das automatische Trennen der VPN-Verbindung im Ruhezustand werden die Router-CPUs weniger belastet.
Zudem ist, wie schon oben geschrieben, ein VPN-Tunnel der nicht eingeschaltet ist, sicherer als eine ständig bestehende VPN-Verbindung zwischen Mobilgerät und heimischem Server.

Was die im Artikel angesprochenen Fritz!Box Geräte angeht:
Ich weigere mich strikt, das darauf vordefinierte VPN als sicheres "ipsec VPN" zu akzeptieren.

OK, akzeptiert. Wenn ich mal viel Zeit habe, dann probiere ich das Feature von iPhone-Ticker aus.

Bis dahin gilt für die VPN-Anbindung eines Smartphones an einen David-Server:
Ein via David-Administrator initiiertes Remote-Löschen eines iPhones funktioniert nicht , bevor der Dieb die VPN-Verbindung zum David-Server aufbaut. Bevor er das nicht tut hat er alle Zeit der Welt, die auf dem Smartphone gespeicherten Daten auszuwerten oder zu kopieren.

Da hilft nur das Apple-Geräten nur die Funktion "iPhone Suche / Gerät löschen" auf der Webseite
Bitte beachten Sie, dass auch dieses Remote-Löschen erst dann funktioniert, wenn das Smartphone eine Internetverbindung aufbaut. Profis wissen das, und das Erste was sie nach einem erfolgreichen Diebstahl unternehmen ist, die WLAN-Verbindung und Mobiles Netz auf dem Smartphone auszuschalten.

Eine ausreichend große Chance zu verhindern, dass Ihre Daten in unbefugte Hände gelangen, haben Sie nur dann, wenn Sie MOBLILES NETZ immer eingeschaltet lassen. Denn dann wirkt ein REMOTE WIPE via sofort.
In den meisten Fällen ist der Kaufpreis für ein iPhone neuester Bauart (ohne Telefonvertrag) vernachlässigbar gering gegenüber dem Wert der Daten auf Ihrem Smartphone.

Ach ja, zu guter Letzt noch etwas:
Die Rufnummern betrieblich oder dienstlich genutzter Smartphones sollten Sie niemals Kunden, Lieferanten oder gar Fremden mitteilen. Denn mit im Internet erhältlichen Apps kann sonst jeder Ihren Standort und damit auch den Ihres Smartphones ausfindig machen. Nach Eingabe des Suchworts Handyortung zeigt Google.de dazu etliche Bezugsquellen. Wer aber Kenntnis vom Standort des Gerätes hat, für den ist die wichtigste Voraussetzung für einen erfolgreichen Diebstahl schon erfüllt. Die von Rechts wegen nötige Genehmigung für eine Handyortung wird ein Dieb oder ein Wirtschaftsspion wohl kaum anfordern.

Die Rufnummer Ihres Sekretariats sollte also genügen. Falls nicht, dann nutzen Sie einfach die Weiterleitung einer Festnetznummer auf Ihr Smartphone. Und geben Sie bitte nur diese Festnetznummer Ihren Geschäftspartnern bekannt.

Chance vertan, weil Sie Ihre Smartphone-Nummer schon unzählige Mals selbst verpetzt haben? Kein Grund zur Aufregung. Für nur ungefähr 16,- Euro erhalten Telekom Geschäftskunden eine neue Handy-Rufnummer. Das Feature "Einstellungen / Telefon / Meine Anrufer-ID senden" sollten Sie danach allerdings ausschalten.
Wenn Sie sich nun noch angewöhnen, Ihre SMS-Nachrichten via David zu verschicken statt mit der Handy-Petze, dann ist erst mal alles Nötige getan. Denn merke: An jeder mit dem Smartphone verschickten SMS klemmt Ihre Mobilfunknummer. Aber im David-Administrator können Sie statt dessen in den Benutzerdaten etwas anderes vorgeben.