Anzeige

mobile security

Jeder zweite Mitarbeiter verwendet beim mobilen Arbeiten ein Smartphone oder Tablet. Die Mehrzahl greift dabei im Rahmen des Modells Bring Your Own Device (BOYD) auf private Geräte zurück. Denn lediglich jede fünfte Person wird vom Arbeitgeber mit einem mobilen Endgerät ausgestattet. 

Das geht aus der Studie „Mobile Readiness for Work 2019“ des Beratungsunternehmens Deloitte hervor und ist ein echter Sicherheits-GAU: Mobile Devices, die nicht ausreichend abgesichert sind, bieten eine große Angriffsfläche für Cyberkriminelle. Laut Security Report 2020 waren knapp ein Drittel der befragten Organisationen im vergangenen Jahr von Cyber-Angriffen auf mobile Geräte betroffen. Zuletzt musste sich Amazon-Gründer Jeff Bezos mit der Bedrohung auseinandersetzen, als sein iPhone vermutlich via WhatsApp-Video gehackt wurde.

Die mobile Zugriffsmöglichkeit auf Unternehmensnetzwerk oder -cloud und damit auf sensible Daten macht die smarten Endgeräte zu einem interessanten Angriffsziel. Eine Attacke auf die Mobile Devices schadet nicht nur dem Unternehmensimage, sondern kann auch zu hohen wirtschaftlichen Verlusten führen. In der Praxis stellen wir vor allem drei Schwachstellen fest: WLAN, Web & Content und Apps.

WLAN, Web & Content: offene Einfallstore für Kriminelle 

Sogenannte Man in the Middle-Angriffe (MITM) sind nach wie vor eine beliebte Masche von Hackern. Nutzer, die sich in ein öffentliches oder fremdes WLAN – beispielsweise am Flughafen oder im Café – einloggen, öffnen die Türen für diese Art von Angriffen. Über eine Sicherheitslücke im Router oder über einen Hotspot, der eigens für kriminelle Absichten eingerichtet wurde, verfolgt der Angreifer die Kommunikation zwischen dem Anwender und dem Router. Besonders tückisch: Hat der Nutzer die WLAN-Funktion auf seinem Mobilgerät aktiviert, sucht es automatisch nach Netzen in der Umgebung und stellt – je nach Geräteeinstellung – ohne Zutun des Nutzers eine Verbindung her.

In den vergangenen Jahren haben darüber hinaus Phishing-Angriffe in Deutschland stark zugenommen. Über gefälschte Websites sowie über E-Mail, SMS, WhatsApp, Facebook und Co. verbreitete Links verschaffen sich Angreifer einen Zugang zu sensiblen Informationen wie E-Mails, Passwörter oder Videokonferenzen.

Apps: Datenklau leicht gemacht

Nutzen Mitarbeiter ihr privates Handy im geschäftlichen Umfeld oder besitzen sie weitreichende Zugriffsrechte auf dem unternehmenseigenen Mobilgerät, besteht die Gefahr, dass sie (unbeabsichtigt) unsichere Apps installieren. Diese sind vorgeblich kostenlos oder werbefrei – tatsächlich aber besteht der Business Case der Entwickler im Abgreifen von Daten. „Sideloaded Apps“, also Apps, die nicht aus den offiziellen App Stores kommen, bergen dabei ein besonders hohes Risiko. Laut Deloitte-Studie werden gerade einmal 17 Prozent der von den Mitarbeitern genutzten Anwendungen vom Unternehmen selbst bereitgestellt.

Smartphones richtig schützen

Um die Sicherheit und den Betrieb der mobilen Endgeräte sicherzustellen, setzen große Unternehmen häufig auf ein umfassendes Enterprise Mobility Management (EMM) oder Unified Endpoint Management (UEM). Neben der professionellen Einrichtung und Verwaltung der Mobile Devices können Unternehmen damit transparent nachverfolgen, welches firmen- oder mitarbeitereigene Mobilgerät auf Unternehmensressourcen zugreift. Die IT-Abteilung erhält die nötige Kontrolle, um die Devices umfassend zu steuern und abzusichern. Dazu gehört auch, die Geräte zu verschlüsseln, starke Passwörter zu hinterlegen, Jailbreaks zu erkennen und im Notfall die Daten remote zu löschen. Bei Bedarf lassen sich auch E-Mail-Profile und WLAN-Verbindungen zentral steuern.

Mit der Integration von Mobile-Threat-Defense (MTD) in die bestehende Management-Lösung wird der Schutz noch erhöht. MTD-Systeme identifizieren app- und netzwerkbasierte Bedrohungen, erkennen gerootete Geräte sowie riskante Gerätekonfigurationen und schützen vor Cyber-Attacken. Dafür analysieren sie beispielsweise installierte Apps auf Schadbestandteile, überwachen Netzwerkaktivitäten und sperren bei Bedarf ausgewählte Funktionen und Zugriffe.

Ab in den Container

Bei kleinen und mittelständischen Unternehmen eignen sich insbesondere Container-Lösungen, um die mobilen Endgeräte vor unbefugten Zugriffen zu schützen. Denn der administrative und finanzielle Aufwand ist vergleichsweise gering. Spätestens wenn der Arbeitgeber die private Nutzung von Firmen-Smartphones gestattet, ist eine Container-Technologie ein absolutes Muss. Die Anwendungen helfen dabei, geschäftliche Informationen auf Smartphones in einem verschlüsselten Bereich abzuschirmen. Berufliche E-Mails, Kontakte, Kalender, Dokumente und Fotos sind von privaten Daten und Anwendungen strikt getrennt. Darüber hinaus lässt sich so verhindern, dass Mitarbeiter aus dem Container auf private Apps zugreifen und Daten in den ungesicherten Bereich übernehmen, zum Beispiel durch Copy-and-Paste. Während vor einigen Jahren vor allem externe Anbieter den Markt mit Container-Lösungen dominierten, bieten große Betriebssystemhersteller wie Android und Apple im Rahmen einer Mobile-Device-Management-Lösung inzwischen eigene Technologien zur Datentrennung an.

Unabhängig davon, für welche Option sich Unternehmen entscheiden, müssen sie Verantwortung für die mobile Infrastruktur übernehmen und Mitarbeiter sowie Führungskräfte für Sicherheitsrisiken sensibilisieren. Denn nur mit einem durchdachten Sicherheitskonzept können Mitarbeiter ohne Risiko Smartphones im Mobile Office verwenden.
 

Harald Kiy, Geschäftsführer
Harald Kiy
Geschäftsführer, sector27 GmbH

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker Passwort Router

Die Top-10 der unsicheren Router-Passwörter

Ob öffentliches WLAN in einer Bar oder privates Funknetz in den eigenen vier Wänden: Router sind die Torwächter ins Netzwerk. Häufig setzen diese wichtigen Geräte beim Schutz vor unerlaubtem Zugriff lediglich auf ein Passwort, um auf die…
Mobile Security

Mobile Security im eigenen Unternehmen

Immer häufiger stellen Unternehmen einen Großteil ihrer IT-Landschaft auf mobile Endgeräte wie Tablets und Smartphones um. Um die Sicherheit interner Informationen zu gewährleisten, kommen viele Faktoren zum Tragen.
Contact-Tracing

Digitales Contact-Tracing: Vor- und Nachteile

Regierungen weltweit sehen sich mit einer weiterhin eskalierenden Krise konfrontiert und erarbeiten Pläne für das Pandemiemanagement. Dabei spielen auch die Vorteile digitaler Überwachungsnetze eine Rolle. 5G-Netze und schnellere Mobilfunkgeschwindigkeiten…
Netzwerk

ISPs unter Zugzwang

Seit den ersten Mobiltelefonen versprachen Mobilfunknetze die durchgehende Konnektivität. Aber die Realität sieht so aus, dass es immer noch Orte ohne Mobilfunknetzabdeckung gibt, und noch mehr Orte wie Wohnungen und Büros, an denen WLAN sinnvoller ist.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!