Jakub Jirsk - Fotolia

Mobile Sicherheit: Richtige Grundlagen schaffen statt ständig nachbessern

Die mobile Gefährdungslage ist hoch. Sicherheitslösungen müssen alle Bedrohungsvektoren berücksichtigen, dürfen aber die Anwender nicht behindern.

Smartphones und Tablets sind die Träger der Digitalisierung. Keine anderen Endpunkte versinnbildlichen die vernetze Welt so sehr wie mobile Geräte: Sie sind 24 Stunden online, machen Unternehmensressourcen überall verfügbar und haben den Arbeitsalltag in fast allen Organisationen grundlegend verändert. E-Mails in der Bahn checken, Applikationen von unterwegs aus herunterladen und bedienen – alles kein Problem mehr im digitalen Zeitalter. Leider schlummert in den handlichen Mini-Computern aber auch Gefahr.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält die Sicherheitslage von Mobilgeräten für kritisch: „Die Gefährdungslage im Bereich der Mobilkommunikation hat sich im Vergleich zu 2015 nur wenig verändert. Punktuelle Verbesserungen im Bereich der Verschlüsselung sind zu verzeichnen, dennoch ist das Gefahrenpotenzial im Bereich der Mobilkommunikation [...] nach wie vor hoch“, heißt es im aktuellen Lagebericht der IT-Sicherheit in Deutschland. Von einer schnellen und flächendeckenden Bereitstellung von Sicherheits-Patches in der Mobilkommunikation könne nach wie vor keine Rede sein, beklagt die Behörde.

Eine internationale Studie von Dimensional Research bestätigt das bestehende Sicherheitsrisiko. Laut den Experten wissen Cyberkriminelle, dass mobile Endpunkte ein leicht ausnutzbarer Angriffsvektor sind und konzentrieren sich gezielt darauf. Ihre Zahl wächst unaufhörlich und Sicherheitsverantwortlichen fällt es schwer, den Überblick zu behalten.

Neben firmeneigenen Smartphones und Tablets bewegen sich auch die Geräte der Mitarbeiter (BYOD) in den Netzwerken. Dies knüpft weitere Bindungen und erschwert deren Absicherung. Sicherheitswerkzeuge und Prozesse müssen trotzdem alle Geräte erfassen und verwalten, da Angreifer immer gezielt nach dem schwächsten Glied in der Kette suchen.

Zahlreiche Mechanismen müssen daher angepasst werden: Zwei Drittel der befragten Sicherheitsbeauftragten fühlen sich nicht ausreichend gegen die mobile Bedrohung gewappnet. Zeitgleich ändert sich die Bedrohungslage und man geht von einem deutlichen Anstieg der Angriffe schon innerhalb 2017 aus. Ein Fünftel aller Organisationen gibt sogar an, bereits Opfer einer mobilen Attacke geworden zu sein.

Die Dunkelziffer dürfte gleich aus zwei Gründen höher liegen. Einerseits möchte man nicht als angreifbar gelten und spricht nach der Entdeckung nur ungern über eine erfolgreiche Cyberattacke. Zudem fehlt vielen IT-Abteilung die Fähigkeit zur Erkennung von ungewöhnlichen Vorgängen. 24 Prozent können nicht sagen, ob es einen Sicherheitseinbruch auf diesem Gebiet gegeben hat. Das klingt nach viel Nachholbedarf. Tatsächlich bestätigen nur knapp 38 Prozent der 410 Befragten, eine entsprechende Sicherheitslösung einzusetzen, die über Enterprise Mobility Management (EMM) hinausgeht.

Die Bedrohung kennt viele Gesichter

Die Sicherheitsverantwortlichen berichten von einem breiten Spektrum von Angriffstypen. An der Spitze befindet sich mit 58 Prozent Malware, dicht gefolgt von Phishing via SMS (54 Prozent). Gleichauf liegen Netzwerkattacken über Wi-Fi oder Man-in-the-middle-Exploits. Knapp über 40 Prozent beanspruchen abgefangene Anrufe und Textnachrichten über ein Mobilfunknetz sowie Zugangsdatendiebstahl und Key Logging. Vor diesem Hintergrund wundert es niemanden, dass fast 80 Prozent der Studienteilnehmer die Aufgabe, mobile Geräte zu schützen, für immer schwieriger halten.

Beispiele gibt es leider viele. Im Jahr 2016 sorgte die Schadsoftware HummingBad für Schlagzeilen. Die Malware installiert sich über infizierte Play-Store-Apps und manipulierte Webseiten. Weltweit kam es zu über 85 Millionen nachgewiesenen Infektionen. Mindestens 40.000 davon in Deutschland. Die Geräte der Opfer wurden missbraucht, um Klicks auf Banner und damit Werbeeinnahmen zu generieren.

Allerdings lassen sich mit dem verwendeten Rootkit auch andere Exploits realisieren. Cyberkriminelle besitzen damit die Möglichkeit, Keylogger zu installieren, Anmeldeinformationen auszulesen und sogar Sicherheitsmechanismen wie EMM oder andere Container-Lösungen zu umgehen.

„Fällt die Lösung eines Unternehmens zu restriktiv aus, suchen sich die Mitarbeiter schnell andere Wege, ihre Arbeit zu erledigen.“

Dietmar Schnabel, CheckPoint

Viele IT-Verantwortliche unterschätzen den Schaden infolge eines mobilen Sicherheitseinbruchs, er steht aber denen eines herkömmlichen Vorfalls über Desktop-PC oder Notebook in nichts nach. 37 Prozent setzen die finanziellen Folgen für das eigene Unternehmen bei mehr als 100.000 US-Dollar an, 23 Prozent schätzen die Kosten über eine halbe Million US-Dollar. Zum einem resultieren diese hohen Summen aus den entwendeten Informationen, Firmengeheimisse sind unwiederbringlich verloren. Weiter können Angestellte nicht weiterarbeiten oder die Geräte sind nur beschränkt einsetzbar. Schließlich müssen IT-Abteilungen Zeit und Ressourcen aufwenden, um Netzwerke und Endpunkte wiederherzustellen.

Fazit

Entsprechende Abwehrlösungen müssen alle Bedrohungsvektoren im Blick behalten: auf dem Gerät, in den Anwendungen und im Netzwerk. IT-Teams in Unternehmen stehen vor einer doppelten Herausforderung.  Die User Experience besitzt einen hohen Stellenwert. Fällt die Lösung eines Unternehmens zu restriktiv aus, suchen sich die Mitarbeiter schnell andere Wege, ihre Arbeit zu erledigen. Trotzdem sind IT-Verantwortliche verpflichtet, Endpunkte sowie Netzwerke zu schützen und Sicherheitseinbrüche zu unterbinden.

Deshalb machen im Bereich Smartphones und Co. minimalinvasive Schutzkonzepte Sinn. IT-Sicherheitsspezialisten ist schon lange klar, wie viel Nachholbedarf auf diesem Gebiet besteht. Inzwischen ist die Problematik um die Mini-Computer auch bis in die Führungsetagen vorgedrungen. Dimensional Research berichtet im Rahmen seiner Studie von einem Silberstreif am Horizont: Mehr als 60 Prozent der Befragten investieren in die Sicherheit der mobilen Endgeräte und erhöhen die Ressourcen innerhalb dieses Bereichs.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Quiz: Kennen Sie die grundlegenden Techniken für mehr mobile Sicherheit?

Drei mobile Sicherheitsbedrohungen, die die IT kennen sollte

Mobile Sicherheit: Neue Bedrohungen aus ehemals sicheren Quellen

Wie Sie Richtlinien für mobile Sicherheit richtig formulieren

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close