Mobile Security – alles was Sie wissen müssen, um mobile Sicherheit zu gewährleisten

Betriebssystem

Updates für das Smartphone sind für den User oft lästig, aber unumgänglich, um Mobile Security zu gewährleisten. Sie schließen Sicherheitslücken und aktualisieren das Betriebssystem und das möglichst schnell, bevor ein Angreifer diese ausnutzen kann. Update ist aber nicht gleich Update, Apple ist hier Android immer noch voraus und versorgt auch ältere Geräte zuverlässig und schnell mit Updates. Bei Android-Geräten kann es sein, dass für ältere Geräte keine Updates mehr zur Verfügung gestellt werden. Mehr Informationen dazu erhalten Sie im Blogartikel „Android Security“.

Apps

Updates sind natürlich auch für Apps unabdingbar. Software-Entwickler arbeiten permanent daran, Fehler in den Anwendungen aufzuspüren und Schwachstellen zu beheben. Hierfür werden regelmäßig neue Software-Versionen veröffentlicht, solange es sich um Apps von vertrauenswürdigen Herstellern handelt.

Wie Sie das Risiko „fehlende Updates“ minimieren:  Smartphones mit veralteten oder unsicheren Betriebssystemen den Zugriff auf Unternehmensdaten verwehren. Das gleiche gilt für Apps, nur aktualisierte Apps dürfen Zugriffe auf Firmeninformationen erhalten.

Apps kommen und gehen und User sind es gewohnt, mal eben eine neue App auszuprobieren. Ob diese tatsächlich sicher ist bzw. die Grundsätze des Datenschutzes einhält, ist fraglich. Wer liest sich schon wirklich die Datenschutzerklärung durch, bevor er eine App installiert?

Zudem sollten die Mitarbeiter für das Thema Datenschutz sensibilisiert werden, damit sie dienstliche Dateien nicht in ihren privaten Dropbox-Accounts zwischenspeichern. Viele Unternehmen unterschätzen diesen Aspekt, aber das Risiko für Unternehmen durch die Nutzung von nicht autorisierten Apps ist größer als durch Malware. Und spätestens seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) muss jedes Unternehmen sicherstellen, dass personenbezogene Daten nicht in irgendeiner App landen.

Definieren Sie daher genau, welche Apps für welche Aufgaben eingesetzt werden dürfen und kommunizieren Sie das auch an Ihre Kollegen. Zugriffe auf Unternehmensdaten (Netzwerk, E-Mail Server, Intranet etc.) dürfen ausschließlich über diese definierten Apps erfolgen, Zugriffe aus anderen Apps müssen gesperrt werden.

Welche Risiken durch die Nutzung unautorisierter Apps bestehen und was Sie dagegen tun können, erfahren Sie im Blogartikel „Mobile Schatten IT: 5 Tipps, wie Sie Risiken durch mobile Apps minimieren“.

Der mobile Browser ist eine der wichtigsten Apps auf dem Smartphone. Cyberkriminelle nutzen diesen für ihre Zwecke aus und können damit Malware einschleusen und Daten abgreifen. Mitarbeiter sollten also nur über einen sicheren und aktualisierten Browser auf Firmeninformationen zugreifen und nicht auf Links aus zweifelhaften Quellen klicken. Denn dadurch wird möglicherweise Malware auf dem mobilen Gerät installiert. Das Stichwort lautet Phishing, auf das gleich noch näher eingegangen wird.

Stellen Sie Ihren Kollegen einen abgesicherten mobilen Browser für „dienstliches Surfen“ zur Verfügung.  Damit können Sie dann problemlos auf Intranet- oder browserbasierte Anwendungen zugreifen.

Gleich vorab: beide Begriffe beschreiben das gleiche Problem. Bei iOS heißt es Jailbreak, bei Android Rooting. Es handelt sich um die Veränderung des Betriebssystems, um bestimmte Funktionen einzubauen. Damit bekommt der Nutzer bzw. Angreifer Zugriff auf das Datei-System des Endgeräts und damit Root-Rechte und kann dadurch nahezu alle Sicherheitsvorkehrungen deaktivieren.

Jailbreak bzw. Rooting ist recht aufwendig, da vor allem iOS alles daransetzt, es zu verhindern. Daher ist die Wahrscheinlichkeit einer solchen Attacke nicht so hoch. Wenn der Fall aber dann doch eintritt, können die Konsequenzen umso schlimmer sein.

Als IT-Abteilung sollten Sie daher die Zugriffe auf Unternehmensdaten von gerooteten Mobilgeräten aus unterbinden.

Mobile Endgeräte gehen gerne mal verloren oder werden gestohlen und kommen daher in die Hände von Unbefugten. Wenn das Smartphone ungenügend gesichert ist, also ein schwaches oder gar kein Passwort vorhanden ist, haben es „Kriminelle“ relativ leicht an die Daten auf dem Gerät zu kommen. Und sobald sie im Gerät „drin“ sind, haben Sie meist auch Zugriff auf Cloud, Filesharing oder Netzwerke und damit Zugang zu sensiblen Daten im Unternehmen.

Sorgen Sie daher vor und legen Sie für Ihre firmeneigenen Geräte eine Richtline für starke PINs fest. Ist ein Gerät verloren gegangen oder gestohlen worden, löschen Sie umgehend die (Firmen-) Daten auf dem Smartphone aus der Ferne. Zusätzlich können Sie Firmendaten mit einer Container-App absichern, die mit einer weiteren PIN versehen ist und es Dieben dadurch erschwert, auf Unternehmensdaten zuzugreifen. Auf die Daten innerhalb der Container-App können Sie auch aus der Ferne zugreifen und diese löschen, ohne sonstige Inhalte auf dem Gerät entfernen zu müssen.

Mobile Endgeräte nutzen WLAN-Verbindungen mittlerweile häufiger als das Mobilfunknetz. Im Hotel, in der Bahn, im Cafe, Gratis-WLAN ist heutzutage fast überall verfügbar. Problematisch dabei ist, dass in den meisten Hotspots nicht verschlüsselt wird, um Nutzern einen möglichst einfachen Zugang zu gewährleisten. Zudem können die Namen der Hotspots frei benannt werden. Betrüger können also einen vermeintlich bekannten Namen nutzen, um User in ihr WLAN zu locken. Dadurch stehen alle Tore offen, um Zugangsdaten abzugreifen, den kompletten Datenverkehr mitzulesen oder sogar verschlüsselte Verbindungen vorzutäuschen.

Dieses Risiko minimieren Sie am besten, indem Sie Verschlüsselung einsetzen. Unternehmensdaten sollten nur verschlüsselt übertragen werden können, zum Beispiel mittels eines speziellen Gateways oder über Ende-zu-Ende Verschlüsselung bei E-Mails (S/MIME).

Ransomware

Ein weiteres Problem ist Ransomware, deren Verursacher nach der Devise „Geld her oder Daten weg“ handeln. Ransomware übernimmt die Kontrolle über ein Gerät oder Anwendungen, entweder indem sie die Dateien auf einem Gerät verschlüsselt (sogenannte Kryptotrojaner) und/oder dem Nutzer den Zugriff auf das Gerät verwehrt (Lockscreen-Trojaner). Gegen Zahlung eines Lösegelds, kann der Nutzer dann die Daten freikaufen. Bekannteste Ransomware ist das Schadprogramm WannaCry. Ransomware wird häufig über E-Mails bzw. getarnt als E-Mail-Anhang verbreitet. Daher stellt sie speziell ein Risiko für Mobilgeräte dar, über die man schnell mal (geschäftliche oder private) Mails abruft und bei Links und Anhängen nicht ganz genau prüft, ob sie vertrauenswürdig sind.

Phishing

Phishing ist wohl das größte Sicherheitsproblem auf Smartphones oder Tablets. Beim Phishing verschicken Betrüger meist gefälschte Mails mit Links zu Online-Händlern, Bezahldiensten, Paketdiensten oder sozialen Netzwerken. Zunehmen werden diese Links auch über Messenger-Apps und nicht mehr nur per Mail verschickt und stellen dadurch eine noch größere Gefahr für Mobilgeräte dar. Klickt das Opfer auf diesen Link, gibt es seine persönlichen Zugangsdaten preis oder startet automatisch Downloads und schleust dadurch Malware auf ein Gerät ein. Phishing bildet damit oft auch den Startpunkt für eine Cyberattacke, wie das beispielsweise bei der Spyware Pegasus der Fall war. Gerade weil man auf dem Smartphone E-Mails oder Links nicht so genau überprüft wie auf dem Desktop, besteht ein größeres Risiko.

Eine perfide Variante ist HTTPS-Phishing. Dabei nutzen die Angreifer vermeintlich sichere HTTPS-Seiten mit SSL-Zertifikaten, um zu suggerieren, dass ihre Seite sicher ist. Der Nutzer wittert dann keine Gefahr und gibt ohne Zögern seine Daten ein. Nicht zuletzt nutzen Phishing-Attacken auch Single Sign-On-Prozesse mit Fake-Login-Seiten, um die Daten abzugreifen.

Mobile Botnets

Ist Malware erstmal auf dem Gerät, kann eine große Anzahl mobiler Geräte in ein Botnet verwandelt werden, ohne dass der Nutzer davon etwas mitbekommt. Bekannte Botnets sind, z.B. Viking Horde oder HummingBad. Diese Botnets wurden ursprünglich dazu genutzt, um Anzeigen-Clicks ohne Wissen des Nutzers zu generieren und damit Geld zu verdienen. Zusätzlich können jedoch auch User-Details auf dem Gerät abgegriffen und weiterverkauft werden.

Die Risiken Ransomware, Phishing und mobile Botnets minimieren Sie, indem Sie sich an die bereits genannten Tipps halten und Zugriffe auf Firmendaten nur über saubere Apps zulassen. Zudem sollten Sie sicherstellen, dass andere Apps nicht auf Unternehmensdaten zugreifen können. Für eine höhere E-Mail-Sicherheit sorgen Sie durch den standardmäßigen Einsatz digitaler Signaturen.

Neben den genannten IT-Sicherheitsrisiken bestehen für Mobilgeräte weitere Risiken in Hinblick auf die Datensicherheit und DSGVO. Nutzt ein Mitarbeiter beispielsweise eine für private Zwecke erworbene App auch für dienstliche Aufgaben, können hier weitreichende Folgen entstehen, da weder Bestimmungen zum Datenschutz, Urheberrecht oder Aufbewahrungspflichten sichergestellt sind – und der Arbeitgeber im Zweifel dafür haftet.

Daneben schreibt die DSGVO vor, dass personenbezogene Daten von Kunden, Geschäftspartnern und Mitarbeitern auf Mobilgeräten geschützt werden müssen. Unternehmen müssen entsprechende Schutzmechanismen vorweisen und dokumentieren und das auch bei der Auswahl von IT-Lösungen beachten.

Mehr über DSGVO-konformes mobiles Arbeiten erfahren.

Erstellen Sie daher gemeinsam mit Ihrer Geschäftsleitung und Compliance-Abteilung eine Sicherheitsrichtlinie, in der festgelegt ist, welche Informationen als sensibel und schutzbedürftig eingestuft werden.

Aus IT-Sicht können Sie rechtliche Risiken minimieren, indem Sie eine Ende-zu-Ende Verschlüsselung für Ihre digitale Kommunikation einführen und zusätzlich Daten auf Mobilgeräten und bei der Übertragung verschlüsseln. Und indem Sie geschäftliche und private Daten sauber voneinander trennen, beispielsweise mit einer Container-Lösung.