Autor(en): JR Raphael
Vergessen Sie Mobile Malware! Andere mobile Sicherheitsbedrohungen sind dringlicher.
Diese sechs Themen sollte jedes Unternehmen im Blick haben.
mobile Endgeräte absichern.
Mobile Security ist aktuell in jedem Unternehmen das größte Sorgenkind des IT-Sicherheitsbeauftragen – und das aus gutem Grund: Fast alle Mitarbeiter greifen mittlerweile routinemäßig
über Smartphones auf Unternehmensdaten zu – ein Trend, der sich durch die anhaltende weltweite Pandemie
noch weiter verstärkt hat. Die überwiegende Mehrheit der Geräte, die mit Unternehmensdaten
interagieren, sind mittlerweile mobil – laut Zimperium etwa 60 Prozent – und diese
Zahl wird nur noch weiter steigen, wenn sich die Welt an unsere neue Remote-Work-Realität
gewöhnt.
Das bedeutet aber auch, dass es immer schwieriger wird, sensible Informationen davor
zu schützen, in die falschen Händen zu gelangen. Gleichzeitig steht mehr auf dem Spiel
als je zuvor: Laut einem Bericht des Ponemon Institute aus dem Jahr 2020 belaufen sich die durchschnittlichen Kosten
für eine Datenpanne in Unternehmen auf satte 3,86 Millionen Dollar. Das sind 6,4 Prozent
mehr als die geschätzten Kosten nur drei Jahre zuvor, und es wird erwartet, dass Corona
diese Kosten noch weiter in die Höhe treiben wird – angesichts der zusätzlichen Herausforderungen,
die die Arbeit von zu Hause mit sich bringt.
Es is zu einfach, sich bei der Suche nach den Ursachen auf das reißerische Thema Malware zu konzentrieren. Die Wahrheit ist nämlich, dass mobile Malware-Infektionen in der
realen Welt ungewöhnlich sind. Einer Schätzung von Experten zufolge ist die Wahrscheinlichkeit,
dass ein mobiles Endgerät infiziert wird, deutlich geringer ist als die Wahrscheinlichkeit,
vom Blitz getroffen zu werden. Und laut dem Data Breach Investigations Report 2020 von Verizon gehört Malware zu den am wenigsten verbreiteten Ursachen für Datenlecks.
Das liegt sowohl an der Art der mobilen Malware als auch an den inhärenten Schutzmechanismen,
die in moderne mobile Betriebssysteme eingebaut sind.
Die realistischeren mobilen Sicherheitsrisiken liegen in einigen – oft unterschätzten
– Bereichen und dürften in den kommenden Monaten nur noch bedrohlicher werden:
1. Social Engineering
Die altbewährte Taktik der Trickbetrügerei ist angesichts der aktuell kursierenden
Pandemie beunruhigender denn je, und das gilt besonders für mobile Endgeräte. Laut
Zimperium haben sich die Phishing-Angriffe seit dem Beginn der Pandemie versechsfacht, und mobile Devices sind dabei das Hauptziel
– wobei insbesondere mit COVID verbundene Vorgehensweisen zunehmen.
“[Betrüger] wissen, dass die Menschen von zu Hause aus arbeiten und mehr Zeit an ihren
mobilen Geräten verbringen und nicht die gleichen Vorsichtsmaßnahmen treffen wie auf
herkömmlichen Computern”, so Nico Chiaraviglio, Vice President of Security Research
bei Zimperium. “Aus der Sicht eines Angreifers geht es um Angebot und Nachfrage.”
Sie denken, dass Ihr Unternehmen davon nicht betroffen sein kann? Denken Sie noch
mal darüber nach. Einem Report des Security-Spezialisten FireEye zufolge beginnen 91 Prozent der Cybercrime-Aktivitäten
mit E-Mails. FireEye bezeichnet solche Vorfälle als “Angriffe ohne Malware”, da sie
Taktiken wie die Imitation bekannter Adressen einsetzen, um Menschen dazu zu verleiten,
auf gefährliche Links zu klicken oder sensible Informationen preiszugeben. Laut FireEye
hat Phishing in den letzten Jahren rasant zugenommen, und mobile Anwender sind besonders gefährdet,
da viele mobile E-Mail-Clients nur den Namen des Absenders anzeigen. Dadurch ist es
besonders einfach, Nachrichten zu fälschen und einer Person vorzugaukeln, dass eine
E-Mail von jemandem stammt, den sie kennt oder dem sie vertraut.
Hinzu kommt, dass Social-Engineering-Betrügereien auch im mobilen Bereich erstaunlich
effektiv sind – trotz der vermeintlichen Leichtigkeit, diese zu vermeiden: Einer IBM-Studie zufolge ist es dreimal wahrscheinlicher, dass Benutzer auf einem mobilen Gerät auf eine Phishing-Attacke
reagieren als auf einem Desktop-Gerät – zum Teil deshalb, weil sie auf dem Handy eine
Nachricht am ehesten sehen.
Die Studie von Verizon unterstützt diese These und fügt hinzu, dass die kleineren
Bildschirmgrößen und die entsprechend eingeschränkte Anzeige von Detailinformationen
auf Smartphones die Wahrscheinlichkeit eines Phishing-Erfolgs ebenfalls erhöhen können.
Dies gelte insbesondere für Benachrichtigungen, die häufig Optionen zum Öffnen von
Links oder zum Reagieren auf Nachrichten mit einem Fingertipp enthalten. Darüber hinaus
verstärken die prominente Platzierung von Schaltflächen in mobilen E-Mail-Clients
und die unkonzentrierte, Multitasking-orientierte Art und Weise, wie Mitarbeiter Smartphones
nutzen, den Effekt.
Die Tatsache, dass der größte Teil des Web-Traffics mittlerweile auf mobilen Geräten
stattfindet, ermutigt Angreifer nur noch mehr, diese Front ins Visier zu nehmen. Zwar
klicken nur etwa 3,4 Prozent der Nutzer auf Phishing-Links, so die aktuellen Daten
von Verizon, doch frühere Untersuchungen von Verizon zeigen, dass es sich dabei häufig
um Wiederholungstäter handelt: 15 Prozent der Nutzer, die erfolgreich gephisht wurden,
würden innerhalb desselben Jahres mindestens ein weiteres Mal gephisht.
“Wir sehen einen generellen Anstieg der mobilen Anfälligkeit, angetrieben durch die
Zunahme der mobilen Nutzung insgesamt und dem anhaltenden Wachstum von BYOD-Arbeitsumgebungen
“, berichtet John “Lex” Robinson, Informationssicherheits- und Anti-Phishing-Stratege
bei PhishMe, einer US-Firma, die reale Simulationen nutzt, um Mitarbeiter im Erkennen
und Reagieren auf Phishing-Versuche zu schulen. Robinson merkt an, dass die Grenze
zwischen beruflicher und privater Nutzung immer mehr verschwimmt.
So ließen sich immer mehr Arbeitnehmer mehrere Posteingänge – die mit berufliche und
private Konten verbunden sind – zusammen auf einem Smartphone anzeigen, und fast jeder
erledigt während des Arbeitstages in irgendeiner Form persönliche Angelegenheiten
online. Deswegen sei es auch nicht weiter ungewöhnlich, wenn man beruflichen Nachrichten
auch eine scheinbar private E-Mail erhalte, selbst wenn es sich dabei um eine List handeln könnte.
Der Einsatz wird dabei immer größer. Cyberkriminelle versuchen jetzt sogar, mithilfe
von Phishing Anwender dazu zu bringen, ihre Codes für die Zwei-Faktor-Authentifizierung preiszugeben, die Konten vor unbefugtem Zugriff schützen sollen. Die Umstellung auf
eine hardwarebasierte Authentifizierung – entweder über dedizierte physische Sicherheitsschlüssel
wie Google Titan von oder die YubiKeys von Yubico oder über Googles On-Device-Sicherheitsschlüssel-Option
– wird weithin als der effektivste Weg angesehen, um die Sicherheit zu erhöhen und
die Wahrscheinlichkeit einer Übernahme durch Phishing zu verringern.
Darüber hinaus sind Mobile-spezifische Schulungen und sorgfältig ausgewählte Phishing-Erkennungssoftware
die smartesten Methoden, um die Mitarbeiter davor zu bewahren, die nächsten Phishing-Opfer
zu werden. “Man ist nur so stark wie das schwächste Glied in der Kette”, sagt Chiaraviglio
von Zimperium.
2. Datenlecks
Datenlecks werden weithin als eine der besorgniserregendsten Bedrohungen für die Unternehmenssicherheit
im Jahr 2021 angesehen – und auch als eine der kostspieligsten. Laut einer aktuellen
Studie von IBM und dem Ponemon Institute können die durchschnittlichen Kosten eines Datenlecks durch ein rein remote-basiertes
Team um satte 137.000 Dollar steigen.
Was das Problem besonders ärgerlich macht, ist die Tatsache, dass Datenlecks oft nicht
vorsätzlich entstehen. Vielmehr treffen Benutzer versehentlich unbedachte Entscheidungen
darüber, welche Apps ihre Daten sehen und übertragen können.
“Die größte Herausforderung besteht darin, einen App-Überprüfungsprozess zu implementieren,
der den Administrator nicht überfordert und die Benutzer nicht frustriert”, sagt Dionisio
Zumerle, Research Director für mobile Sicherheit bei Gartner. Er schlägt vor, Lösungen
für das Mobile Threat Defense (MTD) zu nutzen, also Produkte wie Endpoint Protection
Mobile von Symantec, SandBlast Mobile von CheckPoint und zIPS Protection von Zimperium.
Solche Dienstprogramme scannen Apps auf “undichtes Verhalten”, sagt Zumerle, und können
das Blockieren problematischer Prozesse automatisieren.
Aber selbst das dichtet nicht immer Lecks ab, die durch offensichtliche Benutzerfehler
entstehen – etwas so Einfaches wie das Übertragen von Unternehmensdateien in einen
öffentlichen Cloud-Speicherdienst, das Einfügen vertraulicher Informationen an der
falschen Stelle oder das Weiterleiten einer E-Mail an einen unbeabsichtigten Empfänger.
Für diese Art von Lecks sind Tools zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) möglicherweise die effektivste Form des Schutzes. Solche Software ist explizit darauf
ausgelegt, die Offenlegung vertraulicher Informationen zu verhindern, auch in versehentlichen
Szenarien.
3. Abgehörte WLANs
Ein mobiles Endgerät ist nur so sicher wie das Netzwerk, über das es Daten überträgt.
In einer Zeit, in der wir uns alle ständig mit Netzwerken verbinden, die möglicherweise
nicht optimal gesichert sind – seien es falsch konfigurierte Heimnetzwerke für Mitarbeiter
im Homeoffice oder öffentliche WiFi-Netzwerke – sind unsere Daten häufig nicht so geschützt, wie
wir vielleicht annehmen.
Wie groß ist dieses Problem? Laut einer Studie des Mobile-Security-Anbieters Wandera
nutzen Business-Smartphones in einem typischen Jahr fast dreimal häufiger WLAN als
Mobilfunk zur Datenübertragung. Fast ein Viertel der Geräte verbindet sich mit offenen
und potenziell unsicheren WiFi-Netzwerken, und vier Prozent der Devices werden innerhalb
eines durchschnittlichen Monats Opfer eines Man-in-the-Middle-Angriffs – bei dem jemand
die Kommunikation zwischen zwei Parteien böswillig abfängt. Im vergangenen Jahr sind
diese Zahlen aufgrund der geringeren Reisetätigkeit und der Tatsache, dass während
der COVID-19-Pandemie weniger Geschäfte geöffnet sind, gesunken. Das bedeutet aber nicht, dass die Bedrohung
verschwunden ist – oder man sich nicht dafür wappnen muss, selbst wenn die Mitarbeiter
meist von zu Hause aus arbeiten.
“Anstatt sich auf die reaktive Erkennung von Man-in-the-Middle-Angriffen zu verlassen,
empfehlen wir Unternehmen, einen proaktiveren Ansatz zur Sicherung von Remote-Verbindungen
zu wählen”, sagt Michael Covington, VP of Product bei Wandera. “Das Einfachste, was
Unternehmen tun können, um eine angemessene WiFi-Sicherheit umzusetzen, ist, einfach
ein Zero-Trust-Zugangsmodell für Remote Work einzuführen.”
4. Veraltete Geräte
Smartphones, Tablets und kleinere vernetzte Geräte aus dem IoT-Bereich stellen ein
Risiko für die Unternehmenssicherheit dar, da sie im Gegensatz zu traditionellen Business-Devices
in der Regel keine Garantie für rechtzeitige und laufende Software-Updates bieten.
Dies zeigt sich vor allem an der Android-Front, wo die überwiegende Mehrheit der Hersteller
nicht eben mit Ruhm bekleckert, wenn es darum geht, ihre Produkte auf dem neuesten
Stand zu halten – sowohl mit Betriebssystem-Updates als auch mit den kleineren monatlichen
Sicherheits-Patches.
Ganz zu schweigen von der Situation bei IoT-Geräten: Hier sind viele nicht einmal dafür ausgelegt, Updates zu erhalten. “Viele von ihnen
haben nicht einmal einen eingebauten Patching-Mechanismus, und das wird heutzutage
mehr und mehr zu einer Bedrohung”, sagt Kevin Du, ein Informatikprofessor an der Syracuse
University, der sich auf Smartphone-Sicherheit spezialisiert hat.
Im Jahr 2020 verließen sich laut Wandera etwa 28 Prozent der Unternehmen auf Geräte,
die nicht nur veraltete Betriebssystemversionen, sondern auch Software mit einer bekannten
Sicherheitsschwachstelle hatten. “Obwohl es sicherlich einen Trend gibt, dass mehr
nicht verwaltete Geräte von Remote-Mitarbeitern verwendet werden, scheint die aktuelle
Situation ein Schlaglicht auf die realen Risiken zu werfen, die auftreten, wenn die
Sicherheitsvorkehrungen zu lax werden”, sagt Covington.
Zusätzlich zu den pandemiebedingten Sorgen zeigen die Daten von Wandera einen 100-prozentigen
Anstieg der Verbindungen zu “unangemessenen Inhalten” während der Arbeitszeit seit
Beginn der COVID-Krise – und, nun ja, diese Art von Websites sind berüchtigt dafür,
dass sie versuchen, Besucher zum Herunterladen von fragwürdigem Zeug zu verleiten
(so zumindest das Hörensagen). Ein veraltetes Betriebssystem macht jede Art von riskantem
Material noch riskanter, da möglicherweise keine angemessenen Schutzmechanismen vorhanden
sind.
Abgesehen von der erhöhten Wahrscheinlichkeit eines Angriffs, erhöht die extensive
Nutzung mobiler Plattformen laut Ponemon die Gesamtkosten eines Datenverstoßes – und
die Menge an IoT-Produkten, die am Arbeitsplatz angeschlossen sind, lässt diese Zahl
noch weiter steigen. Das IoT ist “eine offene Tür”, wie der Cybersecurity-Anbieter
Raytheon es ausdrückt. Raytheon hat eine Studie gesponsert, die zeigt, dass 82 Prozent der IT-Fachleute vorhersagen, dass ungesicherte IoT-Geräte
in ihrem Unternehmen eine – wahrscheinlich “katastrophale” – Datenpanne verursachen
werden.
Was tun? Mit einer starken Policy kommt man schon mal recht weit. Außerdem erhalten
einige Android-Geräte rechtzeitig und zuverlässig fortlaufende Updates, und es können
Maßnahmen ergriffen werden, um die Sicherheit von praktisch jedem Smartphone zu verbessern.
Und bis die IoT-Landschaft ihren Wild-West-charakter verliert, ist es Aufgabe der
Unternehmen, ihr eigenes Sicherheitsnetz um sie herum zu schaffen.
5. Mangelnde Passwort-Hygiene
Man könnte denken, dass wir längst über diesen Punkt hinaus sein müssten, aber irgendwie
sichern Anwender nach wie vor ihre Konten immer noch nicht richtig ab. Besonders problematisch
wird es, wenn sie Smartphones mit sich führen, die sowohl Firmenkonten als auch persönliche
Anmeldedaten enthalten.
Eine Umfrage (PDF-Download) von Google und Harris Poll ergab, dass etwas mehr als die Hälfte der Amerikaner –
und da sind sie sicher nicht allein – Passwörter für mehrere Konten wiederverwenden.
Ebenso besorgniserregend ist, dass fast ein Drittel keine 2FA verwendet (oder nicht
weiß, ob sie sie verwenden – was vielleicht noch schlimmer ist). Nur ein Viertel der
Nutzer verwendet aktiv einen Passwort-Manager, was darauf hindeutet, dass die überwiegende Mehrheit wahrscheinlich keine sicheren
Passwörter hat, da sie diese vermutlich selbst erstellen und sich merken (müssen).
Aber es geht noch schlimmer: In einer LastPass-Umfrage (PDF-Download) gab die Hälfte aller Teilnehmer zu, die selben Passwörter für berufliche und private
Konten zu verwenden. Und falls das noch nicht reicht, hier ein weiteres brisantes
Ergebnis der Studie: Im Durchschnitt teilt ein Mitarbeiter im Laufe seines Arbeitsverhältnisses
etwa sechs Passwörter mit einem Kollegen.
Viel Lärm um nichts? Von wegen: 2017 stellte Verizon fest, dass schwache oder gestohlene Passwörter für mehr als 80 Prozent der Hacking-Vorfälle
in Unternehmen verantwortlich waren. Sie müssen sich nur vorstellen, wie riskant es
für Ihre Unternehmensdaten ist, wenn auch nur eine einzige Person aus Nachlässigkeit
dasselbe Passwort, das sie für ein Unternehmenskonto verwendet, auch für die Anmeldung
auf einer Shopping-Website, einer Chat-App oder einem Nachrichtenportal nutzt. Gerade
von einem mobilen Endgerät, wo sich ein Mitarbeiter schnell mal in Apps, Websites
und Diensten einloggen wollen, ist die Gefahr besonders hoch. Und nun nehmen Sie dieses
Risiko und verknüpfen Sie es mit dem bereits erwähnten Risiko der Man-in-the-Middle-Attacken
bei WLANs und multiplizieren Sie es mit der Gesamtzahl der Mitarbeiter an Ihrem Arbeitsplatz.
Am ärgerlichsten ist vielleicht, dass die meisten Menschen sich ihrer Versäumnisse
in diesem Bereich gar nicht bewusst sind. In der von Google und Harris Poll durchgeführten
Umfrage gaben 69 Prozent der Befragten an, dass sie ihre Online-Konten mit “Passwort
A” oder “Passwort B” schützen, obwohl die nachfolgenden Antworten etwas anderes vermuten
ließen. Offensichtlich kann man der eigenen Risikoeinschätzung eines Nutzers nicht
trauen.
6. Physische Attacken
Zum Abschluss noch etwas, das auf den ersten Blick ungewöhnlich erscheint, aber dennoch
eine beunruhigend reelle Bedrohung darstellt: Ein verlorenes oder unbeaufsichtigtes
Gerät kann ein großes Sicherheitsrisiko darstellen, insbesondere wenn es nicht über
eine starke PIN oder ein Passwort und eine vollständige Datenverschlüsselung verfügt.
Zur Einordnung: In einer Ponemon-Studie (PDF-Download) aus dem Jahr 2016 gaben 35 Prozent der Befragten an, dass ihre Arbeitsgeräte über
keine vorgeschriebenen Maßnahmen zur Sicherung der zugänglichen Unternehmensdaten
verfügen. Schlimmer noch: Fast die Hälfte der Befragten räumten ein, dass sie ihre
Geräte nicht mit Passwörtern, PINs oder biometrischen Sicherheitsmerkmalen schützen
– und etwa zwei Drittel gaben an, dass sie keine Verschlüsselung verwenden. Achtundsechzig
Prozent der Befragten gaben an, dass sie manchmal Passwörter für private und berufliche
Konten, auf die sie über ihre mobilen Geräte zugreifen, gemeinsam nutzen.
Seitdem haben sich die Dinge verbessert, zumindest, was die meisten Werte angeht.
In seiner Analyse der mobilen Bedrohungslandschaft 2020 stellte Wandera jedoch fest,
dass der Sperrbildschirm noch immer bei drei Prozent der beruflich genutzten Geräte
deaktiviert war. Noch beunruhigender war, dass das Risiko anderer Bedrohungen auf
Devices, bei denen der Zugriff nicht richtig gesichert war, deutlich höher war. Dabei
braucht es nur eine kleine Anzahl von Schwachstellen bei einzelnen Anwendern, um ein
massives Problem für die ganze Company zu verursachen.
Die Botschaft, die man mitnehmen kann, ist einfach: Es reicht nicht aus, die Verantwortung
in die Hände der Benutzer zu legen. Treffen Sie keine Vermutungen, sondern erstellen
Sie Richtlinien. Sie werden sich selbst später dafür bedanken. (mb)
Dieser Artikel basiert auf einem Beitrag der US-Schwesterpublikation CSO Online.com
Autor(en): JR RaphaelVergessen Sie Mobile Malware! Andere mobile Sicherheitsbedrohungen sind dringlicher.
Diese sechs Themen sollte jedes Unternehmen im Blick haben.
Wer Unternehmensdaten schützen will, sollte unbedingt auch Smartphones und andere
mobile Endgeräte absichern.
Foto: Inked Pixels – shutterstock.com
Mobile Security ist aktuell in jedem Unternehmen das größte Sorgenkind des IT-Sicherheitsbeauftragen – und das aus gutem Grund: Fast alle Mitarbeiter greifen mittlerweile routinemäßig
über Smartphones auf Unternehmensdaten zu – ein Trend, der sich durch die anhaltende weltweite Pandemie
noch weiter verstärkt hat. Die überwiegende Mehrheit der Geräte, die mit Unternehmensdaten
interagieren, sind mittlerweile mobil – laut Zimperium etwa 60 Prozent – und diese
Zahl wird nur noch weiter steigen, wenn sich die Welt an unsere neue Remote-Work-Realität
gewöhnt.
Das bedeutet aber auch, dass es immer schwieriger wird, sensible Informationen davor
zu schützen, in die falschen Händen zu gelangen. Gleichzeitig steht mehr auf dem Spiel
als je zuvor: Laut einem Bericht des Ponemon Institute aus dem Jahr 2020 belaufen sich die durchschnittlichen Kosten
für eine Datenpanne in Unternehmen auf satte 3,86 Millionen Dollar. Das sind 6,4 Prozent
mehr als die geschätzten Kosten nur drei Jahre zuvor, und es wird erwartet, dass Corona
diese Kosten noch weiter in die Höhe treiben wird – angesichts der zusätzlichen Herausforderungen,
die die Arbeit von zu Hause mit sich bringt.
Es is zu einfach, sich bei der Suche nach den Ursachen auf das reißerische Thema Malware zu konzentrieren. Die Wahrheit ist nämlich, dass mobile Malware-Infektionen in der
realen Welt ungewöhnlich sind. Einer Schätzung von Experten zufolge ist die Wahrscheinlichkeit,
dass ein mobiles Endgerät infiziert wird, deutlich geringer ist als die Wahrscheinlichkeit,
vom Blitz getroffen zu werden. Und laut dem Data Breach Investigations Report 2020 von Verizon gehört Malware zu den am wenigsten verbreiteten Ursachen für Datenlecks.
Das liegt sowohl an der Art der mobilen Malware als auch an den inhärenten Schutzmechanismen,
die in moderne mobile Betriebssysteme eingebaut sind.
Die realistischeren mobilen Sicherheitsrisiken liegen in einigen – oft unterschätzten
– Bereichen und dürften in den kommenden Monaten nur noch bedrohlicher werden:
1. Social Engineering
Die altbewährte Taktik der Trickbetrügerei ist angesichts der aktuell kursierenden
Pandemie beunruhigender denn je, und das gilt besonders für mobile Endgeräte. Laut
Zimperium haben sich die Phishing-Angriffe seit dem Beginn der Pandemie versechsfacht, und mobile Devices sind dabei das Hauptziel
– wobei insbesondere mit COVID verbundene Vorgehensweisen zunehmen.
“[Betrüger] wissen, dass die Menschen von zu Hause aus arbeiten und mehr Zeit an ihren
mobilen Geräten verbringen und nicht die gleichen Vorsichtsmaßnahmen treffen wie auf
herkömmlichen Computern”, so Nico Chiaraviglio, Vice President of Security Research
bei Zimperium. “Aus der Sicht eines Angreifers geht es um Angebot und Nachfrage.”
Sie denken, dass Ihr Unternehmen davon nicht betroffen sein kann? Denken Sie noch
mal darüber nach. Einem Report des Security-Spezialisten FireEye zufolge beginnen 91 Prozent der Cybercrime-Aktivitäten
mit E-Mails. FireEye bezeichnet solche Vorfälle als “Angriffe ohne Malware”, da sie
Taktiken wie die Imitation bekannter Adressen einsetzen, um Menschen dazu zu verleiten,
auf gefährliche Links zu klicken oder sensible Informationen preiszugeben. Laut FireEye
hat Phishing in den letzten Jahren rasant zugenommen, und mobile Anwender sind besonders gefährdet,
da viele mobile E-Mail-Clients nur den Namen des Absenders anzeigen. Dadurch ist es
besonders einfach, Nachrichten zu fälschen und einer Person vorzugaukeln, dass eine
E-Mail von jemandem stammt, den sie kennt oder dem sie vertraut.
Hinzu kommt, dass Social-Engineering-Betrügereien auch im mobilen Bereich erstaunlich
effektiv sind – trotz der vermeintlichen Leichtigkeit, diese zu vermeiden: Einer IBM-Studie zufolge ist es dreimal wahrscheinlicher, dass Benutzer auf einem mobilen Gerät auf eine Phishing-Attacke
reagieren als auf einem Desktop-Gerät – zum Teil deshalb, weil sie auf dem Handy eine
Nachricht am ehesten sehen.
Die Studie von Verizon unterstützt diese These und fügt hinzu, dass die kleineren
Bildschirmgrößen und die entsprechend eingeschränkte Anzeige von Detailinformationen
auf Smartphones die Wahrscheinlichkeit eines Phishing-Erfolgs ebenfalls erhöhen können.
Dies gelte insbesondere für Benachrichtigungen, die häufig Optionen zum Öffnen von
Links oder zum Reagieren auf Nachrichten mit einem Fingertipp enthalten. Darüber hinaus
verstärken die prominente Platzierung von Schaltflächen in mobilen E-Mail-Clients
und die unkonzentrierte, Multitasking-orientierte Art und Weise, wie Mitarbeiter Smartphones
nutzen, den Effekt.
Die Tatsache, dass der größte Teil des Web-Traffics mittlerweile auf mobilen Geräten
stattfindet, ermutigt Angreifer nur noch mehr, diese Front ins Visier zu nehmen. Zwar
klicken nur etwa 3,4 Prozent der Nutzer auf Phishing-Links, so die aktuellen Daten
von Verizon, doch frühere Untersuchungen von Verizon zeigen, dass es sich dabei häufig
um Wiederholungstäter handelt: 15 Prozent der Nutzer, die erfolgreich gephisht wurden,
würden innerhalb desselben Jahres mindestens ein weiteres Mal gephisht.
“Wir sehen einen generellen Anstieg der mobilen Anfälligkeit, angetrieben durch die
Zunahme der mobilen Nutzung insgesamt und dem anhaltenden Wachstum von BYOD-Arbeitsumgebungen
“, berichtet John “Lex” Robinson, Informationssicherheits- und Anti-Phishing-Stratege
bei PhishMe, einer US-Firma, die reale Simulationen nutzt, um Mitarbeiter im Erkennen
und Reagieren auf Phishing-Versuche zu schulen. Robinson merkt an, dass die Grenze
zwischen beruflicher und privater Nutzung immer mehr verschwimmt.
So ließen sich immer mehr Arbeitnehmer mehrere Posteingänge – die mit berufliche und
private Konten verbunden sind – zusammen auf einem Smartphone anzeigen, und fast jeder
erledigt während des Arbeitstages in irgendeiner Form persönliche Angelegenheiten
online. Deswegen sei es auch nicht weiter ungewöhnlich, wenn man beruflichen Nachrichten
auch eine scheinbar private E-Mail erhalte, selbst wenn es sich dabei um eine List handeln könnte.
Der Einsatz wird dabei immer größer. Cyberkriminelle versuchen jetzt sogar, mithilfe
von Phishing Anwender dazu zu bringen, ihre Codes für die Zwei-Faktor-Authentifizierung preiszugeben, die Konten vor unbefugtem Zugriff schützen sollen. Die Umstellung auf
eine hardwarebasierte Authentifizierung – entweder über dedizierte physische Sicherheitsschlüssel
wie Google Titan von oder die YubiKeys von Yubico oder über Googles On-Device-Sicherheitsschlüssel-Option
– wird weithin als der effektivste Weg angesehen, um die Sicherheit zu erhöhen und
die Wahrscheinlichkeit einer Übernahme durch Phishing zu verringern.
Darüber hinaus sind Mobile-spezifische Schulungen und sorgfältig ausgewählte Phishing-Erkennungssoftware
die smartesten Methoden, um die Mitarbeiter davor zu bewahren, die nächsten Phishing-Opfer
zu werden. “Man ist nur so stark wie das schwächste Glied in der Kette”, sagt Chiaraviglio
von Zimperium.
2. Datenlecks
Datenlecks werden weithin als eine der besorgniserregendsten Bedrohungen für die Unternehmenssicherheit
im Jahr 2021 angesehen – und auch als eine der kostspieligsten. Laut einer aktuellen
Studie von IBM und dem Ponemon Institute können die durchschnittlichen Kosten eines Datenlecks durch ein rein remote-basiertes
Team um satte 137.000 Dollar steigen.
Was das Problem besonders ärgerlich macht, ist die Tatsache, dass Datenlecks oft nicht
vorsätzlich entstehen. Vielmehr treffen Benutzer versehentlich unbedachte Entscheidungen
darüber, welche Apps ihre Daten sehen und übertragen können.
“Die größte Herausforderung besteht darin, einen App-Überprüfungsprozess zu implementieren,
der den Administrator nicht überfordert und die Benutzer nicht frustriert”, sagt Dionisio
Zumerle, Research Director für mobile Sicherheit bei Gartner. Er schlägt vor, Lösungen
für das Mobile Threat Defense (MTD) zu nutzen, also Produkte wie Endpoint Protection
Mobile von Symantec, SandBlast Mobile von CheckPoint und zIPS Protection von Zimperium.
Solche Dienstprogramme scannen Apps auf “undichtes Verhalten”, sagt Zumerle, und können
das Blockieren problematischer Prozesse automatisieren.
Aber selbst das dichtet nicht immer Lecks ab, die durch offensichtliche Benutzerfehler
entstehen – etwas so Einfaches wie das Übertragen von Unternehmensdateien in einen
öffentlichen Cloud-Speicherdienst, das Einfügen vertraulicher Informationen an der
falschen Stelle oder das Weiterleiten einer E-Mail an einen unbeabsichtigten Empfänger.
Für diese Art von Lecks sind Tools zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) möglicherweise die effektivste Form des Schutzes. Solche Software ist explizit darauf
ausgelegt, die Offenlegung vertraulicher Informationen zu verhindern, auch in versehentlichen
Szenarien.
Offenes Verderben
Öffentliche WLAN-Netzwerke stellen einen verbreiteten Angriffsvektor für Hacker dar, die auf der Suche nach privaten Daten sind. Sie sollten also wenn möglich stets den Umweg über VPN nehmen. Avast Software hat im Vorfeld des Mobile World Congress 2016 ein Experiment dazu am Flughafen von Barcelona durchgeführt. Das Ergebnis: Tausende MWC-Besucher hatten die Gefahr aus Bequemlichkeit ignoriert und ihre Devices und Daten aufs Spiel gesetzt.
Foto: KieferPix – shutterstock.com
Datenverzicht
Wo keine Daten sind, kann auch nichts gestohlen werden, verloren gehen oder missbraucht werden. Die erste Generation von Security-Lösungen für Mobile Devices versuchten die Geräte komplett abzuschirmen, um die Daten zu schützen. Inzwischen wissen wir, dass Device Management alleine nicht genügt. Verschiedene mobile Geräte und Betriebssysteme zu managen, kann dafür sorgen, dass IT-Abteilungen mit Anfragen überhäuft werden. Das wiederum fördert die allgemeine IT-Sicherheit in den betreffenden Unternehmen. Nicht.
Foto: J. Helgason – shutterstock.com
Nonstop-No-Go
Ein weiterer Weg, Hacker vor den Kopf zu stoßen: Sorgen Sie dafür, dass Ihre Applikationen möglichst wenig Angriffsfläche bieten. Dazu sollten Sie sicherstellen, dass die Cyber-Bösewichte nicht massig Zeit haben, um einen strategischen Pfad zu Ihrer IP zu finden. Indem Sie dauerhafte Verbindungen gar nicht erst zulassen, machen Sie es den Angreifern schwer.
Foto: SARYMSAKOV ANDREY – shutterstock.com
Vollstreckungsbescheid
Einer der schnellsten und einfachsten Wege, um Kontrolle über mobile Applikationen zu gewinnen: Prüfen Sie Ihre Richtlinien! Jedes Unternehmen sollte über einfach durchsetzbare Richtlinien verfügen, die sowohl den Zugriff der Mitarbeiter auf Mobile Apps als auch den Ressourcen-Zugriff der Applikationen selbst abdeckt. Angestellte, die nur über eine absehbare Zeit im Unternehmen sind, brauchen zum Beispiel keinen Zugriff auf das gesamte Netzwerk – stattdessen sollten sie nur auf die Applikationen zugreifen können, die sie für ihre Aufgaben benötigen. Übergreifende Berechtigungen von Third-Party-Apps sollten übrigens ebenfalls der Kontrolle der IT-Abteilung unterliegen und nicht den Mitarbeitern beziehungsweise Usern.
Foto: Nesterenko Maxym – shutterstock.com
Schlüssel zum Glück
Security-Entwicklertools sind eine wunderbare Sache, wenn es um den Schutz Ihrer Daten geht. Mit jedem IT-Sicherheits-Layer wird es für die Netzschurken schwieriger, auf die Daten zuzugreifen. Klingt eigentlich logisch, oder? Und trotzdem ist das alles andere als “Business as usual”.
Foto: Tashatuvango – shutterstock.com
Fusionsküche
IT-Sicherheit und der App-Entwicklungsprozess werden immer noch getrennt voneinander betrachtet. Dabei sollte Security längt im gesamten Entwicklungsprozess integriert sein – von den ersten Tests über die eigentliche Produktion bis hin zur Übermittlung an den App Store. Den Aspekt der IT-Sicherheit nicht in den Gesamtprozess mit einzubeziehen, kommt einem gewaltigen Fail gleich. Nur damit Sie Bescheid wissen.
Foto: Nina Buday – shutterstock.com
Fremde Federn
Entwickler setzen bei der App-Entwicklung oft auf Komponenten von Dritten – zum Beispiel, wenn es um File-Format-Parsing oder Kompression geht. Diese modularen Bestandteile passen den Apps meist wie ein gut eingetragenes Paar Kampfhandschuhe und es wäre nicht effizient, diese jedesmal neu zu entwerfen. Allerdings sollten Ihre Entwickler in diesem Fall auf jeden Fall überprüfen, dass jede Komponente von Drittherstellern auf dem neuesten Stand ist. Auch nach Release!
Foto: Viktor Gladkov – shutterstock.com
3. Abgehörte WLANs
Ein mobiles Endgerät ist nur so sicher wie das Netzwerk, über das es Daten überträgt.
In einer Zeit, in der wir uns alle ständig mit Netzwerken verbinden, die möglicherweise
nicht optimal gesichert sind – seien es falsch konfigurierte Heimnetzwerke für Mitarbeiter
im Homeoffice oder öffentliche WiFi-Netzwerke – sind unsere Daten häufig nicht so geschützt, wie
wir vielleicht annehmen.
Wie groß ist dieses Problem? Laut einer Studie des Mobile-Security-Anbieters Wandera
nutzen Business-Smartphones in einem typischen Jahr fast dreimal häufiger WLAN als
Mobilfunk zur Datenübertragung. Fast ein Viertel der Geräte verbindet sich mit offenen
und potenziell unsicheren WiFi-Netzwerken, und vier Prozent der Devices werden innerhalb
eines durchschnittlichen Monats Opfer eines Man-in-the-Middle-Angriffs – bei dem jemand
die Kommunikation zwischen zwei Parteien böswillig abfängt. Im vergangenen Jahr sind
diese Zahlen aufgrund der geringeren Reisetätigkeit und der Tatsache, dass während
der COVID-19-Pandemie weniger Geschäfte geöffnet sind, gesunken. Das bedeutet aber nicht, dass die Bedrohung
verschwunden ist – oder man sich nicht dafür wappnen muss, selbst wenn die Mitarbeiter
meist von zu Hause aus arbeiten.
“Anstatt sich auf die reaktive Erkennung von Man-in-the-Middle-Angriffen zu verlassen,
empfehlen wir Unternehmen, einen proaktiveren Ansatz zur Sicherung von Remote-Verbindungen
zu wählen”, sagt Michael Covington, VP of Product bei Wandera. “Das Einfachste, was
Unternehmen tun können, um eine angemessene WiFi-Sicherheit umzusetzen, ist, einfach
ein Zero-Trust-Zugangsmodell für Remote Work einzuführen.”
4. Veraltete Geräte
Smartphones, Tablets und kleinere vernetzte Geräte aus dem IoT-Bereich stellen ein
Risiko für die Unternehmenssicherheit dar, da sie im Gegensatz zu traditionellen Business-Devices
in der Regel keine Garantie für rechtzeitige und laufende Software-Updates bieten.
Dies zeigt sich vor allem an der Android-Front, wo die überwiegende Mehrheit der Hersteller
nicht eben mit Ruhm bekleckert, wenn es darum geht, ihre Produkte auf dem neuesten
Stand zu halten – sowohl mit Betriebssystem-Updates als auch mit den kleineren monatlichen
Sicherheits-Patches.
Ganz zu schweigen von der Situation bei IoT-Geräten: Hier sind viele nicht einmal dafür ausgelegt, Updates zu erhalten. “Viele von ihnen
haben nicht einmal einen eingebauten Patching-Mechanismus, und das wird heutzutage
mehr und mehr zu einer Bedrohung”, sagt Kevin Du, ein Informatikprofessor an der Syracuse
University, der sich auf Smartphone-Sicherheit spezialisiert hat.
Im Jahr 2020 verließen sich laut Wandera etwa 28 Prozent der Unternehmen auf Geräte,
die nicht nur veraltete Betriebssystemversionen, sondern auch Software mit einer bekannten
Sicherheitsschwachstelle hatten. “Obwohl es sicherlich einen Trend gibt, dass mehr
nicht verwaltete Geräte von Remote-Mitarbeitern verwendet werden, scheint die aktuelle
Situation ein Schlaglicht auf die realen Risiken zu werfen, die auftreten, wenn die
Sicherheitsvorkehrungen zu lax werden”, sagt Covington.
Zusätzlich zu den pandemiebedingten Sorgen zeigen die Daten von Wandera einen 100-prozentigen
Anstieg der Verbindungen zu “unangemessenen Inhalten” während der Arbeitszeit seit
Beginn der COVID-Krise – und, nun ja, diese Art von Websites sind berüchtigt dafür,
dass sie versuchen, Besucher zum Herunterladen von fragwürdigem Zeug zu verleiten
(so zumindest das Hörensagen). Ein veraltetes Betriebssystem macht jede Art von riskantem
Material noch riskanter, da möglicherweise keine angemessenen Schutzmechanismen vorhanden
sind.
Abgesehen von der erhöhten Wahrscheinlichkeit eines Angriffs, erhöht die extensive
Nutzung mobiler Plattformen laut Ponemon die Gesamtkosten eines Datenverstoßes – und
die Menge an IoT-Produkten, die am Arbeitsplatz angeschlossen sind, lässt diese Zahl
noch weiter steigen. Das IoT ist “eine offene Tür”, wie der Cybersecurity-Anbieter
Raytheon es ausdrückt. Raytheon hat eine Studie gesponsert, die zeigt, dass 82 Prozent der IT-Fachleute vorhersagen, dass ungesicherte IoT-Geräte
in ihrem Unternehmen eine – wahrscheinlich “katastrophale” – Datenpanne verursachen
werden.
Was tun? Mit einer starken Policy kommt man schon mal recht weit. Außerdem erhalten
einige Android-Geräte rechtzeitig und zuverlässig fortlaufende Updates, und es können
Maßnahmen ergriffen werden, um die Sicherheit von praktisch jedem Smartphone zu verbessern.
Und bis die IoT-Landschaft ihren Wild-West-charakter verliert, ist es Aufgabe der
Unternehmen, ihr eigenes Sicherheitsnetz um sie herum zu schaffen.
5. Mangelnde Passwort-Hygiene
Man könnte denken, dass wir längst über diesen Punkt hinaus sein müssten, aber irgendwie
sichern Anwender nach wie vor ihre Konten immer noch nicht richtig ab. Besonders problematisch
wird es, wenn sie Smartphones mit sich führen, die sowohl Firmenkonten als auch persönliche
Anmeldedaten enthalten.
Eine Umfrage (PDF-Download) von Google und Harris Poll ergab, dass etwas mehr als die Hälfte der Amerikaner –
und da sind sie sicher nicht allein – Passwörter für mehrere Konten wiederverwenden.
Ebenso besorgniserregend ist, dass fast ein Drittel keine 2FA verwendet (oder nicht
weiß, ob sie sie verwenden – was vielleicht noch schlimmer ist). Nur ein Viertel der
Nutzer verwendet aktiv einen Passwort-Manager, was darauf hindeutet, dass die überwiegende Mehrheit wahrscheinlich keine sicheren
Passwörter hat, da sie diese vermutlich selbst erstellen und sich merken (müssen).
Aber es geht noch schlimmer: In einer LastPass-Umfrage (PDF-Download) gab die Hälfte aller Teilnehmer zu, die selben Passwörter für berufliche und private
Konten zu verwenden. Und falls das noch nicht reicht, hier ein weiteres brisantes
Ergebnis der Studie: Im Durchschnitt teilt ein Mitarbeiter im Laufe seines Arbeitsverhältnisses
etwa sechs Passwörter mit einem Kollegen.
Viel Lärm um nichts? Von wegen: 2017 stellte Verizon fest, dass schwache oder gestohlene Passwörter für mehr als 80 Prozent der Hacking-Vorfälle
in Unternehmen verantwortlich waren. Sie müssen sich nur vorstellen, wie riskant es
für Ihre Unternehmensdaten ist, wenn auch nur eine einzige Person aus Nachlässigkeit
dasselbe Passwort, das sie für ein Unternehmenskonto verwendet, auch für die Anmeldung
auf einer Shopping-Website, einer Chat-App oder einem Nachrichtenportal nutzt. Gerade
von einem mobilen Endgerät, wo sich ein Mitarbeiter schnell mal in Apps, Websites
und Diensten einloggen wollen, ist die Gefahr besonders hoch. Und nun nehmen Sie dieses
Risiko und verknüpfen Sie es mit dem bereits erwähnten Risiko der Man-in-the-Middle-Attacken
bei WLANs und multiplizieren Sie es mit der Gesamtzahl der Mitarbeiter an Ihrem Arbeitsplatz.
Am ärgerlichsten ist vielleicht, dass die meisten Menschen sich ihrer Versäumnisse
in diesem Bereich gar nicht bewusst sind. In der von Google und Harris Poll durchgeführten
Umfrage gaben 69 Prozent der Befragten an, dass sie ihre Online-Konten mit “Passwort
A” oder “Passwort B” schützen, obwohl die nachfolgenden Antworten etwas anderes vermuten
ließen. Offensichtlich kann man der eigenen Risikoeinschätzung eines Nutzers nicht
trauen.
Platz 10
12345
Platz 9
lol123
Platz 8
1234567890
Platz 7
1234567
Platz 6
ichliebedich
Platz 5
12345678
Platz 4
hallo123
Platz 3
passwort
Platz 2
123456789
Platz 1
123456
6. Physische Attacken
Zum Abschluss noch etwas, das auf den ersten Blick ungewöhnlich erscheint, aber dennoch
eine beunruhigend reelle Bedrohung darstellt: Ein verlorenes oder unbeaufsichtigtes
Gerät kann ein großes Sicherheitsrisiko darstellen, insbesondere wenn es nicht über
eine starke PIN oder ein Passwort und eine vollständige Datenverschlüsselung verfügt.
Zur Einordnung: In einer Ponemon-Studie (PDF-Download) aus dem Jahr 2016 gaben 35 Prozent der Befragten an, dass ihre Arbeitsgeräte über
keine vorgeschriebenen Maßnahmen zur Sicherung der zugänglichen Unternehmensdaten
verfügen. Schlimmer noch: Fast die Hälfte der Befragten räumten ein, dass sie ihre
Geräte nicht mit Passwörtern, PINs oder biometrischen Sicherheitsmerkmalen schützen
– und etwa zwei Drittel gaben an, dass sie keine Verschlüsselung verwenden. Achtundsechzig
Prozent der Befragten gaben an, dass sie manchmal Passwörter für private und berufliche
Konten, auf die sie über ihre mobilen Geräte zugreifen, gemeinsam nutzen.
Seitdem haben sich die Dinge verbessert, zumindest, was die meisten Werte angeht.
In seiner Analyse der mobilen Bedrohungslandschaft 2020 stellte Wandera jedoch fest,
dass der Sperrbildschirm noch immer bei drei Prozent der beruflich genutzten Geräte
deaktiviert war. Noch beunruhigender war, dass das Risiko anderer Bedrohungen auf
Devices, bei denen der Zugriff nicht richtig gesichert war, deutlich höher war. Dabei
braucht es nur eine kleine Anzahl von Schwachstellen bei einzelnen Anwendern, um ein
massives Problem für die ganze Company zu verursachen.
Die Botschaft, die man mitnehmen kann, ist einfach: Es reicht nicht aus, die Verantwortung
in die Hände der Benutzer zu legen. Treffen Sie keine Vermutungen, sondern erstellen
Sie Richtlinien. Sie werden sich selbst später dafür bedanken. (mb)
Dieser Artikel basiert auf einem Beitrag der US-Schwesterpublikation CSO Online.com