„Hacker wissen, dass sie Ihre Opfer am ehesten über ein Smartphone erreichen“

Warum Smartphones und Tablets große Gefahren für das Unternehmensnetzwerk bergen und wie man sie umfassend schützen kann, erklärt Jörg von der Heydt, Regional Director DACH bei Bitdefender, im Interview mit IT Welt.at. [...]

Jörg von der Heydt, Regional Director DACH bei Bitdefender. (c) Bitdefender
Jörg von der Heydt, Regional Director DACH bei Bitdefender. (c) Bitdefender

Welche Gefahren gehen von Smartphones und Tablets für die Cybersicherheit eines Unternehmensnetzwerks aus?

Mobile Geräte sind ein bedeutendes Einfallstor für Malware. Rund 144.000 Malware-Anwendungen kommen jeden Monat über App-Stores auch als täuschend ähnliche Fälschungen legitimer Apps neu in Umlauf und umgehen bestehende Sicherheitsscans, Kontrollen und Schutzmaßnahmen. Viele verhalten sich anfangs unauffällig, bevor die Hacker mit ihrem Angriff starten und das App-Verhalten verändern, um die verschiedensten Daten auszuspionieren.

Inwiefern sind Phishing-Angriffe auf Smartphones ein besonderes Einfallstor für Cyberkriminelle, und wie häufig liest ein Nutzer potenziell phishing-gefährdete E-Mails mobil?

Hacker wissen, dass sie Ihre Opfer am ehesten über ein Smartphone erreichen. Neun von zehn Angriffen starten zunächst über Phishing und der Empfänger einer möglichen Phishing-Mail liest heute rund 60 Prozent der Unternehmens-E-Mails auf mobilen Geräten. 

Wie kann sich Malware auf mobilen Geräten verbreiten und welche Risiken ergeben sich daraus?

Mobile Geräte haben eigene Risiken, die sich aus der Architektur mobiler Betriebssysteme und der besonderen Konnektivität von Smartphones ergeben. Während Hacker herkömmliche Endgeräte nicht in Gänze kompromittieren, übernehmen sie mobile Geräte oft vollständig. In der Folge können die Cyberkriminellen einen persistenten Zugriff auf das Gerät erwerben, Privilegien von Nutzern kapern und erweitern sowie für weitere Zwecke aus Containern ausbrechen. Damit erlangen sie unter Umständen über die mobilen Geräte den gleichen Zugang zum Netzwerk oder auf Nutzerkonten, wie über herkömmliche Endgeräte, die sich innerhalb des Unternehmens und dessen Cyber-Sicherheits-Maßnahmen befinden. Mobile Endpunkte befinden sich aber zunächst außerhalb des angegriffenen Netzwerks und verfügen daher nicht über einen direkten Schutz durch die IT-Administration. Zugleich verbindet sich ein mobiles Gerät – anders als ein Laptop – automatisch mit dem Unternehmensnetz. Aufgrund ihrer grundsätzlichen Einstellung, die beste Konnektivität herzustellen, suchen sie automatisiert nach der optimalen Verbindung. Das Netz selbst kann die sich daraus ergebende Anfrage akzeptieren, was es zunächst dann oft auch tut. Ein zusätzliches Risiko ist der mobile Nutzer selbst: Die PC-Systeme richten IT-Experten der IT-Abteilung ein. Bei mobilen Endgeräten ist der Mitarbeiter zumeist sein eigener Administrator. Er entscheidet, mit welchem WLAN er sich verbindet, wählt seine Apps aus und installiert sie ohne Rückfragen. Er ist das schwächste Glied in der IT-Abwehr. 

Warum sind mobile Geräte besonders anfällig für eine vollständige Kompromittierung im Vergleich zu herkömmlichen Endgeräten?

Mobile Apps können wie jede Software neue Schwachstellen eröffnen. Selbst iOS-Geräte sind nicht völlig sicher und auch dieser Hersteller musste schon Patches veröffentlichen. Häufig von Entwicklern eingebaute Risiken sind Default-Passwörter („1234“) eines nicht dokumentierten technischen Nutzers, das Schreiben in eine offene Protokolldatei, unverschlüsselter Datenverkehr und zu großzügiges Sammeln von Informationen, deren Speicherung nicht nachvollziehbar ist.  

Warum reicht Mobile Device Management (MDM) allein nicht aus, um die wachsenden Anforderungen der Cybersicherheit für mobile Geräte zu erfüllen?

MDM-Systeme sind die Active Directories in der Welt der mobilen Geräte. Sie bieten Konfigurations-möglichkeiten für eine sichere Umgebung und setzen Richtlinien durch. Ein MDM ist jedoch nicht in der Lage, den heutigen komplexen Attacken der Cyberkriminellen zu begegnen. Ein MDM bietet keine KI-basierte Echtzeit-Analyse von bösartigem Verhalten oder von Sicherheits- und Datenschutzrisiken der mobilen Apps, stellt keinen Schutz vor netzwerkbasierten Gefahren wie Spionageversuchen und den meisten Man-in-the-Middle-Angriffen dar und schützt auf sich allein gestellt nicht vor Phishing-Attacken. 

Wie unterscheidet sich Mobile Threat Defence (MTD) von Mobile Device Management, und warum ist eine umfassende Abwehr durch MTD notwendig?

Für ein Mehr an Echtzeitzeitabwehr bedarf es einer MTD. Diese nutzt KI-basierte On- und Off-Device-Technologien, um bösartiges und riskantes Verhalten einer jeden – selbst einer scheinbar legitimen – App zu erkennen und diese dann gezielt entfernen oder blockieren zu lassen. Eine MDM-Lösung kann hier keine Erkennungsleistung bieten und benötigt eine MTD als Trigger, um Gegenmaßnahmen einzuleiten. 

Wie bietet der On-Device-Schutz von MTD einen Echtzeitschutz vor verschiedenen Gefahren, sowohl auf dem Gerät als auch im Netzwerk?

Der On-Device-Schutz bietet einen KI-basierten Echtzeitschutz vor bekannten und unbekannten mobilen Gefahren auf dem Gerät, im Netzwerk, in den Apps und bei Phishing. Ein Threat Hunting für Android-, iOS- und Chromebook-Applikationen erschließt einen tieferen Einblick in die Sicherheits- und Datenschutzstrukturen jeder in einem Unternehmen gefundenen App und in jede Version der Applikation im zeitlichen Verlauf. Sie sichert das Remote- oder Hybrid-Arbeiten und macht es möglich, mobile Hardware auch außerhalb des Unternehmensnetzwerks umfassend zu schützen.

Wie kann MTD in bestehende MDM-Lösungen integriert werden, und welche Vorteile ergeben sich daraus?

Mobile Threat Defence kann auf einer existierenden MDM- oder einer Enterprise-Mobility-Management (EMM)-Plattform aufsetzen. Eine solche Notwendigkeit ist in der Architektur mobiler Betriebssysteme bedingt: Diese sind darauf ausgelegt, nur über ein einziges Mobile Device Management verwaltet werden zu können. Remote Wipe, Remote Lock und viele weitere Abwehrfunktionen, die ein MDM bereitstellt, sind für ein Standalone-MTD-Produkt daher unmöglich zu realisieren. Ohne eine MTD bleibt aber MDM nur eine Verwaltungs-Lösung mit stark eingeschränkten Security-Funktionen. Nur die MTD erkennt Cyberrisiken in einem Umfang, welcher hinreichende Sicherheit ermöglicht. Der Mehrwehrt der MTD sind das Erkennen und die Abwehr von Angriffsszenarien und -indikatoren im mobilen Bereich. Die daraus initiierten Maßnahmen kann eine MDM-Lösung dann ausführen.  

Wie können anpassbare Datenschutzkonfigurationen in MTD dazu beitragen, ein ausgewogenes Maß an Schutz und Datenschutz zu gewährleisten?

Datenschutz ist ein wichtiger Punkt, um die Privatsphäre eines jeden Mitarbeiters zu wahren. Beispielsweise ist es gesetzlich verboten, den Standort einer dritten Person zu bestimmen, ohne dass diese vorher schriftlich zustimmt. Gerade in der mobilen IT müssten die IT-Sicherheitsverantwortlichen aber oft wissen, wo sich ein Gerät befindet. Wenn Datenschutz- oder Betriebsratsvorgaben nicht mit Standortbestimmungen von Mitarbeitern vereinbar sind, kann und muss eine MTD diese einschränken können. Eine MTD kann aber das Protokoll von Zusatzdaten wie die IP-Adresse des Geräts, das verbundene WLAN oder den Verlauf der von Personen aufgerufenen Webseiten granular einstellen bzw. unterbinden und so Mobile Thread Detection und Datenschutz soweit möglich in Einklang bringen. Bei anpassbaren Datenschutzkonfigurationen kann MTD bei einer Konfiguration für sparsames Sammeln von Daten das gleiche Maß an Schutz bieten. Dazu benötigt das MTD nicht viele Informationen: Sie erkennt ein Phishing-Ereignis auch ohne Auslesen der Domain-Informationen. 

Welche spezifischen Angriffe können durch Mobile Threat Defence verhindert werden?

Indem ein MTD neue App-Versionen mit schadhaftem Code in der Cloud innerhalb einer Sandbox ausführt, ist sichergestellt, dass die Malware keine unerwarteten Netzwerkverbindungen aufbaut oder schädliche Aktionen wie Exfiltration oder Datenspionage ausführt. Ebenso lassen sich kompromittierte Verbindungen aus einem WLAN aufdecken.  MTD-Lösungen bieten Maßnahmen an, um über ein vorhandenes MDM Apps zu sperren, Verbindungsversuche zu unterbinden oder ein Network Sinkhole zu aktivieren, das Netzwerkverkehr generell unterbinden kann, sofern sich ein gravierendes Risiko zeigt. Darüber hinaus bestehen Möglichkeiten zur weiteren Abwehr, die sonst ausschließlich MDMs ausüben können, wie Remote Wipe oder Remote Lock.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*