Anzeige

KRITIS

Smartphone und Tablet bieten zahlreiche Einfallstore für Cyber-Kriminelle. Gerade Betreiber kritischer Infrastrukturen müssen ihre mobile Kommunikation vor den unterschiedlichsten Sicherheitsrisiken schützen, warnt Virtual Solution. Fallen Strom-, Wasser- oder Gesundheitsversorgung durch Hackerangriffe aus, drohen schlimme Konsequenzen für Bürger und Unternehmen.

Die Herausforderungen in puncto IT-Sicherheit nehmen für Energieversorger, Krankenhäuser oder Transportunternehmen kontinuierlich zu, denn die Angriffsflächen für Hacker werden immer vielfältiger. Mobile Endgeräte etwa sind längst selbstverständliche Begleiter im Arbeitsalltag: Sie werden zur Übermittlung sensibler Daten und vertraulicher Inhalte genutzt, ohne dass sie in dieselben strengen Sicherheitsmaßnahmen wie die lokalen Arbeitsplatzrechner eingebunden sind. 

Folgende Sicherheitsrisiken stellen die IT-Verantwortlichen dabei vor große Herausforderungen – speziell bei der Duldung von privaten Geräten für berufliche Zwecke beziehungsweise der privaten Nutzung geschäftlicher Handys: 

Nutzung unautorisierter Apps

User sind es gewohnt, mal eben eine neue App auszuprobieren. Ob diese tatsächlich sicher vor Malware ist beziehungsweise die Richtlinien der Datenschutzgrundverordnung einhält, wird dabei nicht hinterfragt. Die DSGVO schreibt vor, dass personenbezogene Daten ohne Einverständnis der Betroffenen nicht in irgendeiner App landen dürfen. Gerade beliebte Dienste wie WhatsApp verursachen aber ungewollte Datenlecks: Der Messenger liest die Adressbücher der Mitarbeiter inklusive E-Mail-Kontakten und Telefonnummern von Kollegen, Kunden oder Partnern aus und gibt diese Daten an die Konzernmutter Facebook weiter. 

Ungesicherte WLANs

Im Hotel, in der Bahn, im Café – mobile Endgeräte nutzen WLAN-Verbindungen mittlerweile häufiger als das Mobilfunknetz. Problematisch dabei ist, dass die meisten Hotspots nicht verschlüsselt sind. Das ermöglicht den Nutzern zwar einen bequemen Zugang – gleichzeitig stehen Hackern alle Tore offen, um Zugangsdaten abzugreifen und den kompletten Datenverkehr mitzulesen. Zudem können die Hotspots frei benannt werden, was die Gefahr des Netzwerk-Spoofing erhöht: Betrüger können einen vermeintlich bekannten Namen verwenden, um User in ihr WLAN zu locken.

Vermischung von Privatem mit Dienstlichem

Nutzen Mitarbeiter – entsprechend dem BYOD (Bring Your Own Device)- beziehungsweise COPE (Corporate Owned, Personally Enabled)-Modell – ihre privaten Geräte für berufliche Zwecke oder umgekehrt, werden Daten gerne mal zwischen dem dienstlichen und dem privaten Bereich hin und her geschoben. Das ist beispielsweise der Fall, wenn geschäftliche Dateien im eigenen Dropbox-Account zwischengespeichert werden. Für Unternehmen wird es allerdings schwierig, die Richtlinien der DSGVO, Bestimmungen zum Urheberrecht oder Aufbewahrungspflichten einzuhalten – gleichzeitig sinkt das Schutzniveau.

Kein Passwortschutz und keine Verschlüsselung

Mobile Endgeräte können verloren gehen, gestohlen werden und damit in die Hände von Unbefugten gelangen. Wenn das Smartphone ungenügend gesichert ist, also ein schwaches oder gar kein Passwort vorhanden ist und eine zertifikatsbasierte Authentifizierung fehlt, ist es für Kriminelle relativ leicht, an die Daten auf dem Gerät zu kommen. Ist es geknackt, haben sie meist auch Zugriff auf Cloud, Filesharing oder Netzwerke und damit Zugang zu sensiblen Unternehmensinterna. Auch eine Verschlüsselung ist normalerweise nicht Standard bei der mobilen Kommunikation. Werden allerdings Daten unverschlüsselt abgespeichert und übertragen, erhöht sich das Risiko eines Zugriffs durch Unbefugte von außen drastisch.

Nicht gepatchte Geräte

Updates für das Smartphone-Betriebssystem wie auch die heruntergeladenen Apps sind für den User oft lästig, aber unumgänglich. Nur so lassen sich Sicherheitslücken, die durch Fehler oder Schwachstellen in den Anwendungen entstehen, schließen, bevor ein Angreifer diese ausnutzen kann. Gerade bei BYOD-Modellen wird es allerdings für die IT-Verantwortlichen zu einer fast unlösbaren Aufgabe, zu kontrollieren, ob das Smartphone jedes einzelnen Mitarbeiters auf dem neuesten Stand ist.

„Die Cyber-Angriffe auf Krankenhäuser und Pharma-Unternehmen in den letzten Monaten haben gezeigt, wie weitreichend die Folgen eines Hacker-Angriffs sind. Der Schutz kritischer Infrastrukturen erfordert im digitalen Zeitalter auch bei der mobilen Kommunikation neue Wege und Mittel“, erklärt Sascha Wellershoff, Vorstand von Virtual Solution in München. „Die Antwort darauf ist eine Container-Lösung wie beispielsweise SecurePIM, die auf dem mobilen Endgerät den dienstlichen strikt von dem privaten Bereich trennt. Sollte ein Angreifer sich tatsächlich Zugang zu Smartphone oder Tablet verschafft haben, steht er dann quasi vor einer einbruchsicheren Tür. Die Daten und Dokumente werden nach höchsten Standards verschlüsselt gespeichert und auch Ende-zu-Ende verschlüsselt übertragen. Gleichzeitig ist die Einhaltung der DSGVO garantiert. Sehr wichtig ist auch eine hohe Benutzerfreundlichkeit: Unternehmens-Apps müssen genauso einfach zu bedienen sein wie man es von seinen privaten Apps gewohnt ist – nur wirklich genutzte Lösungen erhöhen den Schutz vor Cyber-Angriffen auf mobile Endgeräte.“ 

www.virtual-solution.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Thunderbolt

Schutz von Thunderbolt-Anschlüssen vor Sicherheitslücken

Wie können sich Anwender vor den Schwachstellen namens Thunderspy schützen? Obwohl die Sicherheitslücken in der Thunderbolt-Technologie seit Mai 2020 bekannt ist, gibt es wenig Hilfestellungen, wie sich Anwender schützen können.
Bug

Kostenlose Bug-Bounty-Self-Hosting-Lösung für Hacker

YesWeHack startet mit „Pwning Machine“ eine Docker-basierte Umgebung, die ethischen Hackern eine selbst gehostete Bug-Bounty-Lösung bietet. Sie ist mit einer anpassbaren und erweiterbaren Palette von Diensten ausgestattet, darunter ein DNS-Server, ein…
Hacked

Cyberangriffe auf Unternehmen und Behörden in Österreich

Die Sicherheitsexperten des Cybersecurity-Unternehmens Proofpoint konnten im April dieses Jahres eine Malware-Kampagne gegen Unternehmen und Behörden in Österreich beobachten. Bei der Kampagne wurden E-Mails in deutscher Sprache verschickt, die angeblich von…
Hacker Fernglas

Über 248 Millionen persönliche Online-Zugangsdaten offengelegt

Laut der Untersuchungen von NordPass ist das Internet voll von exponierten Datenbanken und Deutschland steht dabei an vierter Stelle. Aufgefunden wurden 361 ungesicherte Datenbanken mit 248.252.244 Einträgen, darunter befinden sich auch persönliche Daten wie…
Phishing

Cosmic Lynx – Vorsicht vor raffinierter Phishing-Kampagne

Phishing-Kampagnen und sogenannte Business-E-Mail-Compromise (BEC)-Angriffe werden zunehmend zum Problem für Unternehmen aus aller Welt. Während manche Hacker eher mit dem Schleppnetz vorgehen, Unmengen an E-Mails versenden und hoffen, dass zumindest einige…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!