Anzeige

mobile security

Jeder zweite Mitarbeiter verwendet beim mobilen Arbeiten ein Smartphone oder Tablet. Die Mehrzahl greift dabei im Rahmen des Modells Bring Your Own Device (BOYD) auf private Geräte zurück. Denn lediglich jede fünfte Person wird vom Arbeitgeber mit einem mobilen Endgerät ausgestattet. 

Das geht aus der Studie „Mobile Readiness for Work 2019“ des Beratungsunternehmens Deloitte hervor und ist ein echter Sicherheits-GAU: Mobile Devices, die nicht ausreichend abgesichert sind, bieten eine große Angriffsfläche für Cyberkriminelle. Laut Security Report 2020 waren knapp ein Drittel der befragten Organisationen im vergangenen Jahr von Cyber-Angriffen auf mobile Geräte betroffen. Zuletzt musste sich Amazon-Gründer Jeff Bezos mit der Bedrohung auseinandersetzen, als sein iPhone vermutlich via WhatsApp-Video gehackt wurde.

Die mobile Zugriffsmöglichkeit auf Unternehmensnetzwerk oder -cloud und damit auf sensible Daten macht die smarten Endgeräte zu einem interessanten Angriffsziel. Eine Attacke auf die Mobile Devices schadet nicht nur dem Unternehmensimage, sondern kann auch zu hohen wirtschaftlichen Verlusten führen. In der Praxis stellen wir vor allem drei Schwachstellen fest: WLAN, Web & Content und Apps.

WLAN, Web & Content: offene Einfallstore für Kriminelle 

Sogenannte Man in the Middle-Angriffe (MITM) sind nach wie vor eine beliebte Masche von Hackern. Nutzer, die sich in ein öffentliches oder fremdes WLAN – beispielsweise am Flughafen oder im Café – einloggen, öffnen die Türen für diese Art von Angriffen. Über eine Sicherheitslücke im Router oder über einen Hotspot, der eigens für kriminelle Absichten eingerichtet wurde, verfolgt der Angreifer die Kommunikation zwischen dem Anwender und dem Router. Besonders tückisch: Hat der Nutzer die WLAN-Funktion auf seinem Mobilgerät aktiviert, sucht es automatisch nach Netzen in der Umgebung und stellt – je nach Geräteeinstellung – ohne Zutun des Nutzers eine Verbindung her.

In den vergangenen Jahren haben darüber hinaus Phishing-Angriffe in Deutschland stark zugenommen. Über gefälschte Websites sowie über E-Mail, SMS, WhatsApp, Facebook und Co. verbreitete Links verschaffen sich Angreifer einen Zugang zu sensiblen Informationen wie E-Mails, Passwörter oder Videokonferenzen.

Apps: Datenklau leicht gemacht

Nutzen Mitarbeiter ihr privates Handy im geschäftlichen Umfeld oder besitzen sie weitreichende Zugriffsrechte auf dem unternehmenseigenen Mobilgerät, besteht die Gefahr, dass sie (unbeabsichtigt) unsichere Apps installieren. Diese sind vorgeblich kostenlos oder werbefrei – tatsächlich aber besteht der Business Case der Entwickler im Abgreifen von Daten. „Sideloaded Apps“, also Apps, die nicht aus den offiziellen App Stores kommen, bergen dabei ein besonders hohes Risiko. Laut Deloitte-Studie werden gerade einmal 17 Prozent der von den Mitarbeitern genutzten Anwendungen vom Unternehmen selbst bereitgestellt.

Smartphones richtig schützen

Um die Sicherheit und den Betrieb der mobilen Endgeräte sicherzustellen, setzen große Unternehmen häufig auf ein umfassendes Enterprise Mobility Management (EMM) oder Unified Endpoint Management (UEM). Neben der professionellen Einrichtung und Verwaltung der Mobile Devices können Unternehmen damit transparent nachverfolgen, welches firmen- oder mitarbeitereigene Mobilgerät auf Unternehmensressourcen zugreift. Die IT-Abteilung erhält die nötige Kontrolle, um die Devices umfassend zu steuern und abzusichern. Dazu gehört auch, die Geräte zu verschlüsseln, starke Passwörter zu hinterlegen, Jailbreaks zu erkennen und im Notfall die Daten remote zu löschen. Bei Bedarf lassen sich auch E-Mail-Profile und WLAN-Verbindungen zentral steuern.

Mit der Integration von Mobile-Threat-Defense (MTD) in die bestehende Management-Lösung wird der Schutz noch erhöht. MTD-Systeme identifizieren app- und netzwerkbasierte Bedrohungen, erkennen gerootete Geräte sowie riskante Gerätekonfigurationen und schützen vor Cyber-Attacken. Dafür analysieren sie beispielsweise installierte Apps auf Schadbestandteile, überwachen Netzwerkaktivitäten und sperren bei Bedarf ausgewählte Funktionen und Zugriffe.

Ab in den Container

Bei kleinen und mittelständischen Unternehmen eignen sich insbesondere Container-Lösungen, um die mobilen Endgeräte vor unbefugten Zugriffen zu schützen. Denn der administrative und finanzielle Aufwand ist vergleichsweise gering. Spätestens wenn der Arbeitgeber die private Nutzung von Firmen-Smartphones gestattet, ist eine Container-Technologie ein absolutes Muss. Die Anwendungen helfen dabei, geschäftliche Informationen auf Smartphones in einem verschlüsselten Bereich abzuschirmen. Berufliche E-Mails, Kontakte, Kalender, Dokumente und Fotos sind von privaten Daten und Anwendungen strikt getrennt. Darüber hinaus lässt sich so verhindern, dass Mitarbeiter aus dem Container auf private Apps zugreifen und Daten in den ungesicherten Bereich übernehmen, zum Beispiel durch Copy-and-Paste. Während vor einigen Jahren vor allem externe Anbieter den Markt mit Container-Lösungen dominierten, bieten große Betriebssystemhersteller wie Android und Apple im Rahmen einer Mobile-Device-Management-Lösung inzwischen eigene Technologien zur Datentrennung an.

Unabhängig davon, für welche Option sich Unternehmen entscheiden, müssen sie Verantwortung für die mobile Infrastruktur übernehmen und Mitarbeiter sowie Führungskräfte für Sicherheitsrisiken sensibilisieren. Denn nur mit einem durchdachten Sicherheitskonzept können Mitarbeiter ohne Risiko Smartphones im Mobile Office verwenden.
 

Harald Kiy, Geschäftsführer
Harald Kiy
Geschäftsführer, sector27 GmbH

Weitere Artikel

Smartphone

Unheimliche Dinge, die dein Smartphone über dich weiß

Laut Statista nutzen als direkte Folge der weltweiten COVID-19-Pandemie 70% der Internet-Nutzer ihr Smartphone häufiger. Die deutlich angestiegene Bildschirmzeit lässt nicht nur gesundheitliche Bedenken – wie Nacken- oder Augenprobleme – aufkommen, sondern…

Vorsicht, Abzocke!

Viele Handynutzer:innen werden aktuell von einer SMS-Flut belästigt. Sie stammen von angeblichen Paketdiensten und fordern Empfänger:innen auf, einen Link zu öffnen.
E-Health App

Security Framework macht eHealth-Apps sicher

Bei dem derzeitigen Boom von eHealth-Apps werden Bedenken rund um die Themen Sicherheit und Datenschutz immer lauter. Gerade bei Gesundheits-Apps, die über bestimmte Krankheiten informieren, Unterstützung bieten oder die Kommunikationsschnittstelle zwischen…
Android-Malware

Android-Malware im Google Play Store kapert WhatsApp-Nachrichten

Die Sicherheitsforscher von Check Point sind auf eine neue Malware im Google Play Store gestoßen, die sich nach dem Download über WhatsApp-Nachrichten verteilt und wie ein klassischer Wurm verhält.
E-Health

eHealth-Apps: Ohne Security-Risiken und -Nebenwirkungen?

Derzeit erleben wir einen Boom von eHealth-Apps. Manche Apps begleiten Patienten bei bestimmten Krankheiten, informieren und bieten Unterstützung, andere Apps helfen beim Abnehmen, beim Training oder dienen als Kommunikationsmittel zwischen Krankenkassen und…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.