FH Hagenberg forscht zu Smartphone-Sicherheit
Dieser Artikel ist älter als ein Jahr!
Josef Ressel gilt als der Erfinder der Schiffsschraube. Mit seinen Ideen revolutionierte er Anfang des 19. Jahrhunderts die moderne Schifffahrt. Gemäß des berühmten Namensgebers wird in den insgesamt sechs Josef Ressel Zentren in Österreich die angewandte Forschung vorangetrieben.
Sicherheit in der Mobilkommunikation
Das Josef Ressel Zentrum für User-friendly Secure Mobile Environments (kurz: u`smile), das in den Studiengang "Mobile Computing" an der FH Oberösterreich in Hagenberg eingebettet ist, wurde jüngst offiziell vorgestellt. Es hat zum Ziel, mobile Applikationen und Plattformen in Zusammenarbeit mit Partnern aus der Privatwirtschaft sicherer und gleichzeitig einfacher bedienbar zu machen. Das aktuell budgetierte Gesamtvolumen der Fördersumme beträgt 1,43 Millionen Euro. 50 Prozent davon stellt das Wirtschaftsministerium, die andere Hälfte kommt von den Unternehmenspartner NXP Semiconductors Austria, A1, Drei-Banken-EDV und LG Nexera Business Solutions.
Forschungsschwerpunkt
Smartphones und Tablets sind in den vergangenen Jahren zum ständigen Begleiter in allen möglichen Alltagssituationen geworden. Die mobilen Geräte sollen etwa den Schlüsselbund, den Reisepass, die Geldbörse oder die Kreditkarte ersetzen. Dabei wird permanent auf äußerst sensible Informationen zugegriffen und diese Daten werden von unterschiedlichen Applikationen gespeichert, versendet oder eingesehen.
Mit Benutzerfreundlichkeit an einem Ende und Schutz der Daten am anderen Ende ergeben sich zwei Pole, die sich derzeit schwer miteinander vereinbaren lassen: "Denn derzeit sind diese sensiblen Applikationen meist entweder einfach bedienbar oder sicher, nicht beides," erklärt René Mayrhofer, Leiter des Josef Ressel Zentrum für User-friendly Secure Mobile Environments. "Wir wollen mit unserer Forschungsarbeit erreichen, dass Anwendungen und Services auf mobilen Geräten sowohl sicher als auch für eine breite Bevölkerungsschicht einfach bedienbar werden". Außerdem weist Mayrhofer darauf hin, dass die Veröffentlichungen von Forschungsergebnissen strengen wissenschaftlichen Kriterien unterliegen und nach Möglichkeit als Open-Source zugänglich gemacht werden.
Smartcard Technologien
In den ersten zwei Jahren konzentrieren sich die insgesamt 21 Forscher auf die Frage, wie innerhalb einer Android-Umgebung sichergestellt werden kann, dass sensible Apps mit den richtigen Komponenten des Geräts kommunizieren. "Wer etwa Spiele von Drittanbietern installiert und am selben Gerät Bankgeschäfte erledigt, unterliegt der Gefahr, dass Drittanbieter-Apps im Hintergrund die Eingabe der Passwörter aufzeichnen und versenden. Die Smartcard Technologie könnte in Zukunft dafür sorgen, dass sensible Daten, wie Passwörter und Pincodes von Trojanern weder ausgelesen noch versendet werden können", so René Mayrhofer. Dazu ist die Smartcard hardwaretechnisch im Gerät integriert, bietet etwas Speicherplatz für empfindliche Daten und beinhaltet einen kleinen Co-Prozessor mit Crypto-Funktion. Neuere Smartphones sind bereits mit Smartcards ausgestattet. Ansonsten könnten Smartcards extern mit Micro-SD-Cards oder erweiterten SIM-Karten nachgerüstet werden.
Sichere Authentifizierung
Damit ein sicherer Zugriff auf die Smartcard gewährleistet werden kann, wird am Josef Ressel Zentrum für User-friendly Secure Mobile Environments an benutzerfreundlichen, biometrischen Authentifizierungsmodellen gearbeitet. "Speziell in der Bankenbranche sind die Anforderungen an IT-Security sehr hoch, die Entscheidung zwischen `sicher` und `benutzerfreundlich` geht daher verständlicherweise oft in Richtung `sicher` aus", erklärt Alexander Wiesinger von der Drei-Banken-EDV, die als Unternehmenspartner am Josef Ressel Zentrum beteiligt sind. So soll in den kommenden sechs Monaten ein Prototyp für eine 3D-Gesichtserkennung entwickelt werden. Eine 3D-Gesichtserkennung funktioniert nur bei realen Personen und gilt daher als besonders sicher. Denn mit einem ausgedruckten Foto könnte etwa eine 2D-Gesichtserkennung getäuscht und umgangen werden.
Auf der Suche nach sicheren und benutzerfreundlichen Authentifizierungsmodellen steht auch die Idee einer Gangarterkennung im Raum. In diesem Fall würde das Smarthpone die Gangart des Besitzers aufzeichnen und abgleichen. Sobald der Benutzer sein Smartphone aus der Hosentasche zieht um es zu benutzen, wüsste das Gerät bereits, ob es beim richtigen Besitzer ist.
Vor allem wenn es um Bankgeschäfte geht, sind durch die angewandte Forschung an sicheren Authentifizierungsmodellen erfolgversprechende Lösung zu erwarten, wie Wiesinger von der Drei-Banken-EDV aufzeigt: "Sichere und einfache Authentifizierungsverfahren würde dem Bankvertrieb Möglichkeiten bieten, Kundengeschäfte via Smartphone abzuschließen, die heute noch ein Aufsuchen der Bankfiliale notwendig machen. Mit der Umsetzung von sicheren Authentifizierungsverfahren mobiler Endgeräten könnte in Zukunft das Smartphone die Kundenkarte samt Kundenunterschrift ersetzen."
Virtualisierung
Ein weiterer Weg mobile Endgeräte sicherer zu machen, führt über die Virtualisierung einer zweiten Android-Instanz, die parallel zur ersten Instanz am selben Gerät existiert. So würde das Smartphone in zwei Zonen getrennt werden: auf dem einen Bereich könnten Drittanbieter-Games installiert werden und die zweite Zone würde ausschließlich für Mobile Banking oder ähnliches genutzt werden. Auf diese Weise könnten fragwürdige Applikationen, selbst mit erweiterten Root-Rechten nicht auf die sensiblen Daten der zweiten Instanz zugreifen.
Bring Your Own Device
Durch die Virtualisierung ergeben sich quasi im Vorbeigehen neue Möglichkeiten für die Bring-Your-Own-Device-Policy in Unternehmen. Mit den verschiedenen Android-Instanzen innerhalb eines Smartphones könnte ein eigener Bereich geschaffen werden, der ausschließlich für geschäftliche Zwecke benutzt wird.
Um den Benutzern das Verwenden von zwei unterschiedlichen Instanzen am selben Gerät so intuitiv wie möglich zu machen, wird am Campus Hagenberg der FH Oberösterreich eine Studie zur Usability durchgeführt, an der bereits internationales Interesse bekundet wurde. "Einerseits könnten die verschiedenen Zonen durch farbige Rahmen angezeigt werden. Andererseits experimentieren wir gerade mit einer eigenen Anzeige in der Notification Bar. Welche der Varianten für User am einfachsten ist um zwischen den verschiedenen Instanzen unterscheiden zu können, wird sich in der breit angelegten Studie noch zeigen", erklärt René Mayrhofer, Leiter des Josef Ressel Zentrum für User-friendly Secure Mobile Environments.
Kommentare