Tipps für das Security- und Risikomanagement

Die Nutzung von Smartphones und Tablets im geschäft­lichen Umfeld hat sich in allen Branchen längst durchgesetzt. Dennoch verfügen die wenigsten Firmen über entsprechende Sicherheitskonzepte und fokussieren weiterhin auf den Schutz von PC-Endgeräten. Das Einbinden von Mobilgeräten in Unternehmen erfordert einen Paradigmenwechsel.

Das Konzept des Netzwerkperimeters verschwindet zunehmend: Unternehmensdaten sind in der Cloud verfügbar und liegen somit außerhalb des hauseigenen Netzwerks. Mobile Devices sind per Mobilfunknetz und fremde Hotspots ans Netz angebunden anstatt per Firmen-WLAN. Ein alleiniges Ausdehnen etablierter Sicherheitskontrollen auf die Mobilgeräteflotte bleibt also ohne Effekt.

Denn nicht nur bei Apps, sondern auch auf Geräte-, Netzwerk- und Web- respektive Inhaltsebene tun sich neue Bedrohungen auf. Bösartige Apps können Informationen abziehen, Geräte beschädigen und unberechtigten Systemen oder Personen Fernzugriff auf Unternehmensdaten oder das Nutzerverhalten gewähren. Hinzu kommen Bedrohungen wie Malware, die sich über Exploits oder achtlos erteilte Nutzerberechtigungen auf Ge­räten einschleusen. Auch missbräuchliche Apps, mit denen Anbieter bösartige oder unbefugte Absichten verfolgen, können Schaden verursachen. Selbst namhafte Software-Unternehmen veröffentlichen immer wieder Apps, die Schwachstellen enthalten, die nicht selten erst bekannt werden, nachdem sie bereits Schäden angerichtet haben. Auch von professionellen Entwicklern erstellte Apps können ungewollten Datenabfluss begünstigen, wenn etwa mit Code aus Code-Bibliotheken Funktionen umgesetzt werden. Viele Sicherheitsverantwortliche gehen dennoch davon aus, dass sie ihre Lösung für das Mobile Device Management (MDM) vor schädlicher Software schützt. Allerdings können Nutzer per „Sideload“ auch vom Unternehmen nicht genehmigte Apps auf ihren Smartphones installieren und auf diese Weise das MDM unterlaufen.

Sicherheitsbedrohungen, die Betriebssysteme und Firmware von mobilen Geräten beeinträchtigen, können sowohl zu katastrophalem Datenverlust als auch zu ungewollter Über­wachung führen. Denn Angreifer können  sich auf diese Weise höhere Berechtigungsstufen verschaffen als üblicherweise an Apps vergeben werden. Das Antippen eines Links in einer manipulierten Phishing-SMS genügt, und der Angreifer kann Kamera und Mikrofon des Smartphones aktivieren und Gespräche abhören oder Bewegungen des Opfers nachverfolgen.

Das eigentliche Problem bei Gerätebedrohungen besteht darin, dass alle übrigen Geräteschutz- und Managementmaßnahmen voraussetzen, dass das Gerät selbst nicht kompromittiert ist. Ist ein Mobilgerät aber erst einmal infiziert, kann die Sicherheit der Unternehmensdaten mit MDM- und MAM-Lösungen (Mobile Application Management) nicht länger garantiert werden.

Noch akuter wird das Problem, wenn Unternehmen mobile Geräte als Teil einer mehrstufigen Authentifizierungs­lösung nutzen und zu sehr auf das Soft-Token-Zertifikat des Mobilgeräts als zweiten Standard-Authentifizierungsfaktor vertrauen. Die infizierten Geräte gestatten es dem Angreifer, das Benutzerpasswort während der Eingabe zu stehlen, sich den Code des zweiten Authentifizierungsfaktors anzueignen und sich mit Hilfe eines SMS-Tokens beispielsweise in das Bankkonto des Opfers einzuloggen. Um Unternehmens­daten zu kompromittieren, wird durch das Vorhandensein von Token auf Mobiltelefonen ein Angriff auf diese unumgänglich, um den zweiten Faktor für Remote-Zugriffe abzu­decken.