Anzeige

mobile security

Jeder zweite Mitarbeiter verwendet beim mobilen Arbeiten ein Smartphone oder Tablet. Die Mehrzahl greift dabei im Rahmen des Modells Bring Your Own Device (BOYD) auf private Geräte zurück. Denn lediglich jede fünfte Person wird vom Arbeitgeber mit einem mobilen Endgerät ausgestattet. 

Das geht aus der Studie „Mobile Readiness for Work 2019“ des Beratungsunternehmens Deloitte hervor und ist ein echter Sicherheits-GAU: Mobile Devices, die nicht ausreichend abgesichert sind, bieten eine große Angriffsfläche für Cyberkriminelle. Laut Security Report 2020 waren knapp ein Drittel der befragten Organisationen im vergangenen Jahr von Cyber-Angriffen auf mobile Geräte betroffen. Zuletzt musste sich Amazon-Gründer Jeff Bezos mit der Bedrohung auseinandersetzen, als sein iPhone vermutlich via WhatsApp-Video gehackt wurde.

Die mobile Zugriffsmöglichkeit auf Unternehmensnetzwerk oder -cloud und damit auf sensible Daten macht die smarten Endgeräte zu einem interessanten Angriffsziel. Eine Attacke auf die Mobile Devices schadet nicht nur dem Unternehmensimage, sondern kann auch zu hohen wirtschaftlichen Verlusten führen. In der Praxis stellen wir vor allem drei Schwachstellen fest: WLAN, Web & Content und Apps.

WLAN, Web & Content: offene Einfallstore für Kriminelle 

Sogenannte Man in the Middle-Angriffe (MITM) sind nach wie vor eine beliebte Masche von Hackern. Nutzer, die sich in ein öffentliches oder fremdes WLAN – beispielsweise am Flughafen oder im Café – einloggen, öffnen die Türen für diese Art von Angriffen. Über eine Sicherheitslücke im Router oder über einen Hotspot, der eigens für kriminelle Absichten eingerichtet wurde, verfolgt der Angreifer die Kommunikation zwischen dem Anwender und dem Router. Besonders tückisch: Hat der Nutzer die WLAN-Funktion auf seinem Mobilgerät aktiviert, sucht es automatisch nach Netzen in der Umgebung und stellt – je nach Geräteeinstellung – ohne Zutun des Nutzers eine Verbindung her.

In den vergangenen Jahren haben darüber hinaus Phishing-Angriffe in Deutschland stark zugenommen. Über gefälschte Websites sowie über E-Mail, SMS, WhatsApp, Facebook und Co. verbreitete Links verschaffen sich Angreifer einen Zugang zu sensiblen Informationen wie E-Mails, Passwörter oder Videokonferenzen.

Apps: Datenklau leicht gemacht

Nutzen Mitarbeiter ihr privates Handy im geschäftlichen Umfeld oder besitzen sie weitreichende Zugriffsrechte auf dem unternehmenseigenen Mobilgerät, besteht die Gefahr, dass sie (unbeabsichtigt) unsichere Apps installieren. Diese sind vorgeblich kostenlos oder werbefrei – tatsächlich aber besteht der Business Case der Entwickler im Abgreifen von Daten. „Sideloaded Apps“, also Apps, die nicht aus den offiziellen App Stores kommen, bergen dabei ein besonders hohes Risiko. Laut Deloitte-Studie werden gerade einmal 17 Prozent der von den Mitarbeitern genutzten Anwendungen vom Unternehmen selbst bereitgestellt.

Smartphones richtig schützen

Um die Sicherheit und den Betrieb der mobilen Endgeräte sicherzustellen, setzen große Unternehmen häufig auf ein umfassendes Enterprise Mobility Management (EMM) oder Unified Endpoint Management (UEM). Neben der professionellen Einrichtung und Verwaltung der Mobile Devices können Unternehmen damit transparent nachverfolgen, welches firmen- oder mitarbeitereigene Mobilgerät auf Unternehmensressourcen zugreift. Die IT-Abteilung erhält die nötige Kontrolle, um die Devices umfassend zu steuern und abzusichern. Dazu gehört auch, die Geräte zu verschlüsseln, starke Passwörter zu hinterlegen, Jailbreaks zu erkennen und im Notfall die Daten remote zu löschen. Bei Bedarf lassen sich auch E-Mail-Profile und WLAN-Verbindungen zentral steuern.

Mit der Integration von Mobile-Threat-Defense (MTD) in die bestehende Management-Lösung wird der Schutz noch erhöht. MTD-Systeme identifizieren app- und netzwerkbasierte Bedrohungen, erkennen gerootete Geräte sowie riskante Gerätekonfigurationen und schützen vor Cyber-Attacken. Dafür analysieren sie beispielsweise installierte Apps auf Schadbestandteile, überwachen Netzwerkaktivitäten und sperren bei Bedarf ausgewählte Funktionen und Zugriffe.

Ab in den Container

Bei kleinen und mittelständischen Unternehmen eignen sich insbesondere Container-Lösungen, um die mobilen Endgeräte vor unbefugten Zugriffen zu schützen. Denn der administrative und finanzielle Aufwand ist vergleichsweise gering. Spätestens wenn der Arbeitgeber die private Nutzung von Firmen-Smartphones gestattet, ist eine Container-Technologie ein absolutes Muss. Die Anwendungen helfen dabei, geschäftliche Informationen auf Smartphones in einem verschlüsselten Bereich abzuschirmen. Berufliche E-Mails, Kontakte, Kalender, Dokumente und Fotos sind von privaten Daten und Anwendungen strikt getrennt. Darüber hinaus lässt sich so verhindern, dass Mitarbeiter aus dem Container auf private Apps zugreifen und Daten in den ungesicherten Bereich übernehmen, zum Beispiel durch Copy-and-Paste. Während vor einigen Jahren vor allem externe Anbieter den Markt mit Container-Lösungen dominierten, bieten große Betriebssystemhersteller wie Android und Apple im Rahmen einer Mobile-Device-Management-Lösung inzwischen eigene Technologien zur Datentrennung an.

Unabhängig davon, für welche Option sich Unternehmen entscheiden, müssen sie Verantwortung für die mobile Infrastruktur übernehmen und Mitarbeiter sowie Führungskräfte für Sicherheitsrisiken sensibilisieren. Denn nur mit einem durchdachten Sicherheitskonzept können Mitarbeiter ohne Risiko Smartphones im Mobile Office verwenden.
 

Harald Kiy, Geschäftsführer
Harald Kiy
Geschäftsführer, sector27 GmbH

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Online Banking Security

Beim Online-Banking wird vermehrt auf Sicherheit geachtet

Die Nutzer von Online-Banking achten zunehmend auf Sicherheit. Wichtigen Empfehlungen für zusätzlichen Schutz folgt aber dennoch nur eine Minderheit.
Gesundheitswesen

Sicherheitsbedenken beim Einsatz mobiler Geräte im Gesundheitswesen

Jeder vierte Mitarbeiter im Gesundheitswesen (24 Prozent weltweit; 39 Prozent in Deutschland) ist der Meinung, dass Patientendaten nicht sicher sind, wenn sie mit ihrem mobilen Endgerät darauf zugreifen.
BYOD

Fallstricke beim BYOD-Modell: Worauf müssen Länder und Kommunen achten?

Mobiles Arbeiten beschleunigt die öffentliche Verwaltung und ermöglicht den Mitarbeitern mehr Flexibilität. Werden allerdings private Smartphones verwendet, gehen Länder, Städte und Gemeinden große Risiken ein. Virtual Solution klärt über die entscheidenden…
Mobile Trojaner

Ghimob: Banking-Trojaner attackiert mobile Nutzer in Deutschland

Kaspersky-Forscher haben einen neuen Banking-Trojaner gefunden, der Nutzer in Deutschland, aber auch weltweit attackiert. Der Remote Access Trojaner (RAT) ,Ghimob' wurde im Zuge der Überwachung einer gegen Windows gerichteten, maliziösen Kampagne durch die…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!