Beim Thema Cybersicherheit kommt die Sicherheit mobiler Geräte oft zu kurz. Dieser Artikel beschreibt, wie sich Unternehmen auf entsprechende Angriffe vorbereiten können.
Die Szenarien für Angriffe auf mobile Geräte, Daten und komplette mobile Infrastrukturen sind vielfältig. Dennoch hört man seltener von derartigen Sicherheitsvorfällen als von Angriffen, die von traditionellen Computern auf traditionelle Netzwerke gestartet werden.
Ein Grund dafür liegt wahrscheinlich in der mangelnden Transparenz der mobilen Systeme und der damit verbundenen Daten. Vielleicht liegt es auch an der Annahme, dass mobile Geräte sicher seien, wenn die IT mit Lösungen wie Mobile Device Management (MDM), Enterprise Mobility Management (EMM) oder Unified Endpoint Management (UEM) arbeitet. Der Einsatz dieser Technologien kann sicherlich zu einem falschen Sicherheitsgefühl führen.
Arten von mobilen Angriffen
Die Angriffe auf mobile Geräte treten in verschiedenen Formen auf. Die IT-Abteilung sollte daher verstehen, auf welche Art und Weise die mobile Sicherheit verletzt werden kann.
Verlorene oder gestohlene Geräte. Selbst wenn die IT-Abteilung über starke Zugriffskontrollen verfügt, können Angreifer mit legitimen forensischen Tools wie dem Elcomsoft Mobile Forensic Bundle auf einige mobile Geräte zugreifen. Da die Mitarbeiter häufig Geschäftsanwendungen wie E-Mail, Cloud Filesharing und Remote-Zugriff auf mobilen Geräten wie Smartphones oder Tablets nutzen sowie darauf sensible Informationen speichern, können gestohlene Geräte zu schwerwiegenden Folgen für Unternehmen führen.
Sicherheitslücken bei mobilen Anwendungen. Die Wurzeln für Schwachstellen bei Apps liegen im Lebenszyklus der Softwareentwicklung und in laxen Sicherheitstests. Dem Nutzer einer bösartigen mobilen Anwendung stehen dann alle Türen offen; er kann tun, was er will, und die IT-Abteilung würde wahrscheinlich nie davon erfahren.
Infektionen mit Malware. Obwohl Malware-Infektionen mittlerweile aufgrund der sicheren Architekturen mobiler Geräte ungewöhnlich sind, treten sie immer noch auf.
Hat die IT-Abteilung volle Transparenz im Hinblick auf den Schutz vor Malware?
Man-in-the-Middle-Attacken. Diese MITM-Angriffe setzen Exploits ein, um auf die Kommunikation zwischen mobilen Anwendern und den von ihnen genutzten Services zuzugreifen. Hier genügt schon ein frei zugänglicher WLAN-Hotspot, um die Verbindung abzuhören.
Angriffe auf Webanwendungen oder Webservices. Am anderen Ende der mobilen Geräte befinden sich Webapplikationen und Webservices, die Hacker direkt angreifen können. Diese Komponente der mobilen Sicherheit wird oft vergessen. Firmen sollten daher auch die Anwendungsschicht im Auge behalten.
Die richtigen Fragen stellen
Die IT-Abteilung geht oft davon aus, dass sie die Sicherheit der mobilen Geräte, Anwendungen und Infrastruktur im Griff hat. Doch das kann angesichts der vielfältigen Angriffsvektoren und der fehlenden Transparenz beim Thema Sicherheit im typischen Unternehmen ein Trugschluss sein. Wenn die IT mit MDM, EMM oder UEM arbeitet, ist das ein sehr guter erster Schritt. Die IT-Abteilung muss jedoch das Gesamtbild und die Integration dieser Tools in andere Sicherheitssysteme betrachten. Dazu einige wichtige Fragen:
Hat die IT-Abteilung beispielsweise volle Transparenz im Hinblick auf den Schutz vor Malware?
Was ist mit netzwerkbedingten Anomalien?
Wird die IT bei Problemen mit dem Datenverkehr benachrichtigt?
Gibt es ein größeres System wie zum Beispiel ein SIEM-Tool (Security Information and Event Management), das alle Komponenten miteinander verbindet?
Finden diese Kontrollen nur lokal statt, oder hat die IT-Abteilung Transparenz und Kontrolle über die gesamte mobile Infrastruktur und die Cloud?
Leider besteht hier in vielen Firmen noch großer Nachholbedarf.
Die meisten Firmen setzen auf BYOD (Bring Your Own Device) mit wenig bis gar keiner Standardisierung. Da BYOD die Komplexität im Netzwerk erhöht, muss die IT entsprechende Sicherheitsstandards schaffen.
Gelten beispielsweise die mobilen Sicherheitsstandards für Apple iOS auch für Geräte mit Google Android?
Welche anderen mobilen Betriebssysteme verwenden die Mitarbeiter?
Sind Smartphones und Tablets gleichermaßen abgedeckt?
Was ist mit Notebooks? Sind MacBooks enthalten?
Kennt die IT-Abteilung alle Details der verschiedenen mobilen Betriebssysteme und Geräte sowie über deren Zusammenspiel mit der mobilen Infrastruktur?
Die IT muss wissen, welche potenziellen Gefahren von diesen mobilen Geräten für das Unternehmen ausgehen.
Schließlich sollte die IT-Abteilung ihre Maßnahmen zur Reaktion auf Vorfälle (Incident Response) festlegen, um sich auf eine Verletzung der mobilen Sicherheit vorzubereiten.
Wie reagiert die IT-Abteilung, wenn sie mobile Sicherheitsereignisse erkennt?
Wie unterscheidet sich die mobile Umgebung von einer Umgebung mit herkömmlichen PCs?
Sind für die mobile Sicherheit verschiedene Tools für die Reaktion auf Angriffe notwendig?
Verfügt die Organisation über die internen Fähigkeiten und Werkzeuge?
Wenn die IT über einen dokumentierten Incident-Response-Plan verfügt, umfasst dieser dann auch alle relevanten Bereiche für den mobilen Einsatz?
Doch bevor die IT-Abteilung beispielsweise neue Tools für mobile Sicherheit kauft, neue Richtlinien implementiert oder ihren Incident-Response-Plan anpasst, sollte sie zunächst die Risiken und die Sicherheit ihrer mobilen Umgebung genau analysieren und bewerten.
Die IT-Abteilung muss ihr Netzwerk, potenzielle Bedrohungen, Schwachstellen und Geschäftsrisiken kennen – unabhängig davon, ob sie diese Informationen im Rahmen einer umfassenden Risikobewertung oder durch einen gezielteren Blick auf mobile Systeme erhält. Es reicht nicht aus, nur Richtlinien zu dokumentieren und bestimmte Produkte einzusetzen.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!
