Mobiler Schädling für Unternehmen

von | Aug 28, 2017 | IT Sicherheit |

Smartphones sind heute aus dem Unternehmensalltag nicht mehr wegzudenken. Das Sicherheitsrisiko, das diese bedeuten, wird jedoch unterschätzt. Denn während diese Geräte ständig online sind, sensible Daten speichern & aufzeichnen und mit Unternehmensnetzwerken verbunden sind bieten sie starke Angriffspunkte – etwa mittels Malware, Ransomware und Social Engineering. Der Schaden für die Organisation muss sich dabei nicht auf das mobile Gerät begrenzen und kann enorme Ausmaße annehmen. Umso wichtiger ist es die derzeitigen Bedrohungsszenarien zu kennen und – sowohl als Nutzer als auch als Unternehmen – präventiv vielfältige Maßnahmen zu setzen.

Sicherheitsrisiken am Smartphone – hohes Gefährdungspotential

Iphos-Sicherheitsexperte Mladen Parvanov mahnt schon länger vor dem enormen Risiko, das Smartphones darstellen. Dabei beschränken sich die Gefahren nicht auf das bloße Stehlen von Informationen, wie E-Mails, Dateien, Zugangsdaten, Personendaten, etc. So liegen zum Beispiel auch das Eindringen in eigentlich geschützte Unternehmensnetzwerke, in Unternehmensapps oder das Aufzeichnen von Meetings mittels Smartphone-Mikrofon oder Kamera für Industriespionage im Rahmen der Möglichkeiten.

Vielfältige Angriffsmittel und -formen

„So vielfältig wie Ziel und Zweck des Angriffs sind die Mittel, die als zunehmend ausgefeilt erscheinen“, weiß Parvanov. „Dazu gehören Malware – also Software, die schädliche Funktionen ausführt.“ Eine beliebte Art sind Applikationen, die sich als echte mobile Software ausgeben. Diese gleichen in Aussehen, Inhalt und Verhalten für Nutzer komplett ihren echten Pendants, stehlen aber Zugangsdaten, wie etwa für Facebook, Dropbox, Skype oder Kreditkarten-Daten bei mobilen Shopping-Applikationen. Darüber hinaus gibt es Malware, die das Smartphone rootet – sich also Zugang auf die Systemrechte verschafft und die Angreifer dann weitreichende Aktionen durchführen lässt.

„Für Unternehmen kann das spürbare Konsequenzen nach sich ziehen, da auch weitere gefährliche Anwendungen installiert werden können oder die Kontrolle über das Smartphone komplett übernommen werden kann. Zusätzlich wird derartige Malware teils schon so entwickelt, dass sie bewusst die Entdeckung durch Antispy- und Virenprogramme verhindert“, so Parvanov. „So zeigt die App ein normales Verhaltensmuster, bis sie von einem Signal, wie zum Beispiel der Position des Nutzers oder Aktiviäten des Internet-Browsers, aktiviert wird.“ Das Einspielen von Fake-Updates nach einer Aufforderung stellt eine weitere Möglichkeit des Angriffsspektrums dar und bildet schon einen Übergang in das Social Engineering – also dem (sozialen) Manipulieren von Mitarbeitern zum Hervorrufen schädlicher Verhaltensweisen. Bei der Zahl der Nutzer in großen Unternehmen ist es durchaus wahrscheinlich – und auch in Statistiken belegt – dass Angriffe erfolgen. So können User im Internet, per SMS oder per E-Mail Schadsoftware aufschnappen. Vorab infizierte Apps aus dem Google Play Store und dem Apple Store können ebenfalls ein Risiko darstellen. Letzteres ist jedoch eher die Ausnahme als die Regel. Wie in der Vergangenheit bekannt wurde kann Malware auch bereits im Betriebssystem des Smartphones integriert sein – etwa durch staatliche Akteure für Überwachungs- oder Spionage-Zwecke.

Smartphone-Nutzer & Unternehmen für bessere IT Sicherheit nötig

Angesichts dieser Bedrohungen müssen sowohl Nutzer als auch Unternehmen ihren Beitrag zur IT Sicherheit leisten. Erstere können bereits durch einfache, bewusste Handlungen die IT Sicherheit erhöhen:

  • Öffnen Sie keine unbekannten oder verdächtigen Links in E-Mails oder SMS
  • Tragen Sie Ihr Handy nur in bekannte & vertrauenswürdige WLAN-Netze ein
  • Belassen Sie das Betriebssystem Ihres Smartphones im Originalzustand (nicht rooten / jailbreaken)
  • Prüfen Sie Nachrichten & Handlungsaufforderungen, sowie Berechtigungsfreigaben für Apps kritisch
  • Speichern Sie keine sensiblen / geheimen Unternehmensinformationen, wie etwa Dokumente, in Ihrem mobilen Gerät
  • Speichern Sie keine Zugangsinformationen (wie zum Beispiel Passwörter)

Entsprechende Schulungen seitens des Unternehmens sind dabei durchaus zu empfehlen. Das erhöht das Bewusstsein für die Problematik und gibt Anleitungen zum richtigen Umgang mit der Technik. Doch CIOs müssen ihre Infrastruktur auch mit handfesten technischen Maßnahmen schützen. Neben dem Standard-Repertoire für IT Sicherheit, wie Firewalls, etc., fallen darunter auch speziell für mobile Endgeräte notwendige Maßnahmen:

  • Verwalten Sie gezielt die Gerätekonfiguration
  • Stellen Sie Netzwerksegmente im Unternehmen ausschließlich für mobile Endgeräte bereit
  • Verwenden Sie ein System, das Ihnen Kontrolle gibt: zum Beispiel eines, mit dem Sie Berechtigungen von Geräten einschränken können
  • Verschlüsseln Sie gegebenenfalls alle sensiblen Informationen auf den Smartphones
  • Schaffen Sie sich Möglichkeiten, die Pläne der Angreifer – zum Beispiel durch Deaktivieren von Endgeräten oder Ausschließen aus dem Netzwerk – durchkreuzen zu können
  • Halten Sie automatisiert und manuell nach anomalien und auffälligen Verhaltensmustern Ausschau
  • Halten Sie leere Smartphones (ohne Daten) bereit für Geschäftsreisen in Ländern mit Industriespionage

Fazit: Maßnahmenvielfalt erhöht mobile IT Sicherheit

Bei der Vielfalt der Bedrohungen und Angriffe wird klar, dass sich Unternehmen nur mit einer Mischung verschiedener Maßnahmen schützen können. Dazu gehören Schulungen für Mitarbeiter zu veranstalten, technische Mittel wie Firewalls auszunutzen, präventiv Einstellungen und Strukturen richtig zu setzen und die Möglichkeiten, Schadensszenarien und Lösungen vorweg zu nehmen.

a

Textquellen & Links

Mehr Informationen finden Sie hier:
kaspersky.de
pcwelt.de
pcwelt.de