Gefahren für mobile Systeme vermeiden

Sicherheitsrisiken bei Apples iOS und Android

von - 08.04.2016
Neue Betriebssystemversionen bedeuten aber nicht immer nur mehr Sicherheit, sondern oft auch neue Sicherheits­lücken. So ermöglicht es der populäre Sprachassistent Siri, Daten auszulesen, selbst wenn die Bildschirmsperre von Apple iOS aktiviert ist. „Die Bildschirmsperre auf iOS-Geräten deaktiviert nicht automatisch die Spracherkennung Siri. Es mag zwar praktisch sein, jederzeit mündliche Befehle erteilen zu können, ohne vorher die Sperre durch Eingabe einer Zahlenfolge oder eines sonstigen Codes aufheben zu müssen“, sagt Udo Schneider, Security Evangelist DACH bei Trend Micro. „Doch leider verliert dieser Sicherheitsmechanismus dadurch zu einem Gutteil seinen Sinn.“
Sicherheitslücken in iOS und Android: Nach Angaben von Symantec wies iOS bis 2014 eine größere Zahl von Sicherheitslücken auf als Android. Seit 2015 ist eine gegenteilige Entwicklung zu beobachten.
Sicherheitslücken in iOS und Android: Nach Angaben von Symantec wies iOS bis 2014 eine größere Zahl von Sicherheitslücken auf als Android. Seit 2015 ist eine gegenteilige Entwicklung zu beobachten.
Trotz der neuen Sicherheitsfunktionen besteht also kein Grund zur Entwarnung. Im Gegenteil, selbst bei Systemen, die als besonders sicher gelten, nimmt die Gefahr zu. Laut Sy­mantec-Fachmann Thomas Hemker ist zum Beispiel in den vergangenen 18 Monaten die Zahl der Malware-Angriffe auf Apple-Systeme stark gestiegen.
Zero Day Broker hätten sogar Prämien für Informationen über Schwachstellen in iOS 9 ausgelobt. „Für einen Jailbreak in iOS 9.1 wurde vor Kurzem eine Million Dollar gezahlt“, so Hemker. iOS-Nutzer sollten sich also nicht in Sicherheit wiegen. Längst ist nicht mehr allein Android das primäre Zielobjekt von Kriminellen, die mobile Systeme kompromittieren wollen.

Risiken bei Android

Dramatischer ist die Sicherheitslage aber immer noch bei Android. So wurden nach Angaben des Bochumer IT-Sicherheitsunternehmens G-Data allein im dritten Quartal 2015 rund 574.000 Schaddateien mit Ziel Android ermittelt. Das sind 50 Prozent mehr als im Jahr zuvor. Vor allem die Zahl der ausgeklügelten Angriffe nahm zu. So registrierte G-Data sehr viel mehr Smartphones, auf denen bereits Schadsoftware installiert worden war, bevor sie überhaupt in die Hände des Kunden gelangten.
LG Watch Urbane 2nd Edition
LG Watch Urbane: Auch Smart Watches müssen in die Sicherheitsstrategie für geschäftlich genutzte mobile Endgeräte einbezogen werden.
Foto: LG
Risiko am Handgelenk: Smart Watches
Neben Smartphones, Tablet-Rechnern, Convertibles und Notebooks ist eine weitere Kategorie mobiler Endgeräte im Begriff, sich als Business-Werkzeug zu etablieren: die Smart Watch.
Es gibt bereits eine Reihe von Geschäftsanwendungen für solche intelligenten Uhren. So arbeitet zum Beispiel SAP an einer Messaging-App für Smart Watches und an einer Applikation, mit der Mitarbeiter unternehmensinterne Messaging-Services nutzen. Salesforce.com wiederum sieht Anwendungsmöglichkeiten wie die Eingabe von Daten mittels Spracheingabe in ein Customer-Relationship-Management-System (CRM).
Allerdings können auch Smart Watches laut einer Studie von Trend Micro zu einem IT-Sicherheitsrisiko werden. Ein Schwachpunkt ist demnach, dass die Authentifizierung des Nutzers mittels Passwort nicht standardmäßig aktiviert ist. Sobald das System dem Nutzer abhandenkommt, etwa durch Diebstahl, hat der neue Besitzer Zugriff auf Daten, die darauf gespeichert sind. Zudem fehlt bei etlichen Systemen eine Timeout-Funktion, die die Uhr nach einer festgelegten Zeit automatisch sperrt.
Gut abgesichert waren bei den von Trend Micro getesteten Geräten – Motorola 360, Samsung Gear, Asus Zen, Pebble und Apple Watch – dagegen die Kommunikationsschnittstellen, etwa WLAN und Bluetooth. Alle nutzen eine starke Verschlüsselung beim Aufbau von Verbindungen. Ein Risiko stellen die Daten dar, die auf einer Smart Watch gespeichert sind, wie Nachrichten sowie Kontakt- und Kalenderdaten. Sie können für Cyberkriminelle wichtig sein, die gezielte Angriffe (Spear-Phishing, Social Engineering) auf einzelne Mitarbeiter eines Unternehmens durchführen, etwa mit Hilfe gefälschter E-Mails, die im Namen eines Kollegen versendet werden.
Der Rat von Sicherheitsunternehmen wie Trend Micro oder Palo Alto Networks: Auch Smart Watches sind Endpoints in einem Unternehmensnetz und müssen wie solche behandelt werden. Das schließt die Einbindung in das Mobile-Security-Konzept mit ein, inklusive der Möglichkeit, solche Smart Watches aus der Ferne zu löschen oder auf schädliche Apps zu prüfen.
Das IT-Sicherheitsunternehmen Lookout wie­derum hat sich in großen Unternehmen die dort eingesetzten Android-Geräte angeschaut und darauf elf verschiedene Programme entdeckt, die sich Root-Rechte (Administratorrechte) verschafft hatten, sowie 25 Typen von Spionagesoftware. Hinzu kamen diverse Trojaner und andere Schadsoftware, die mit Hilfe von Schwachstellen im Betriebssystem auf die Endgeräte gelangt waren.
Seite
  1. Teil: Gefahren für mobile Systeme vermeiden
  2. Teil: Viele unterschiedliche Endgeräte
  3. Teil: Sicherheitsrisiken bei Apples iOS und Android
  4. Teil: Veraltete Android-Versionen und Custom-ROMs
  5. Teil: Sicherheit der Apps und Antiviren-Programme
  6. Teil: Authentifizierung und zentrales Management
  7. Teil: Verpflichtende Sicherheitsvorkehrungen einführen
  8. Teil: Backups der System- und Anwendungsdaten erstellen
Verwandte Themen

Mehr zum Thema