Vergessen Sie Mobile Malware! Andere mobile Sicherheitsbedrohungen sind dringlicher. Diese sechs Themen sollte jedes Unternehmen im Blick haben. [...]
Mobile Security ist aktuell in jedem Unternehmen das größte Sorgenkind des IT-Sicherheitsbeauftragen – und das aus gutem Grund: Fast alle Mitarbeiter greifen mittlerweile routinemäßig über Smartphones auf Unternehmensdaten zu – ein Trend, der sich durch die anhaltende weltweite Pandemie noch weiter verstärkt hat. Die überwiegende Mehrheit der Geräte, die mit Unternehmensdaten interagieren, sind mittlerweile mobil – laut Zimperium etwa 60 Prozent – und diese Zahl wird nur noch weiter steigen, wenn sich die Welt an unsere neue Remote-Work-Realität gewöhnt.
Das bedeutet aber auch, dass es immer schwieriger wird, sensible Informationen davor zu schützen, in die falschen Händen zu gelangen. Gleichzeitig steht mehr auf dem Spiel als je zuvor: Laut einem Bericht des Ponemon Institute aus dem Jahr 2020 belaufen sich die durchschnittlichen Kosten für eine Datenpanne in Unternehmen auf satte 3,86 Millionen Dollar. Das sind 6,4 Prozent mehr als die geschätzten Kosten nur drei Jahre zuvor, und es wird erwartet, dass Corona diese Kosten noch weiter in die Höhe treiben wird – angesichts der zusätzlichen Herausforderungen, die die Arbeit von zu Hause mit sich bringt.
Es ist zu einfach, sich bei der Suche nach den Ursachen auf das reißerische Thema Malware zu konzentrieren. Die Wahrheit ist nämlich, dass mobile Malware-Infektionen in der realen Welt ungewöhnlich sind. Einer Schätzung von Experten zufolge ist die Wahrscheinlichkeit, dass ein mobiles Endgerät infiziert wird, deutlich geringer ist als die Wahrscheinlichkeit, vom Blitz getroffen zu werden. Und laut dem Data Breach Investigations Report 2020 von Verizon gehört Malware zu den am wenigsten verbreiteten Ursachen für Datenlecks. Das liegt sowohl an der Art der mobilen Malware als auch an den inhärenten Schutzmechanismen, die in moderne mobile Betriebssysteme eingebaut sind.
Die realistischeren mobilen Sicherheitsrisiken liegen in einigen – oft unterschätzten – Bereichen und dürften in den kommenden Monaten nur noch bedrohlicher werden:
1. Social Engineering
Die altbewährte Taktik der Trickbetrügerei ist angesichts der aktuell kursierenden Pandemie beunruhigender denn je, und das gilt besonders für mobile Endgeräte. Laut Zimperium haben sich die Phishing-Angriffe seit dem Beginn der Pandemie versechsfacht, und mobile Devices sind dabei das Hauptziel – wobei insbesondere mit COVID verbundene Vorgehensweisen zunehmen.
„[Betrüger] wissen, dass die Menschen von zu Hause aus arbeiten und mehr Zeit an ihren mobilen Geräten verbringen und nicht die gleichen Vorsichtsmaßnahmen treffen wie auf herkömmlichen Computern“, so Nico Chiaraviglio, Vice President of Security Research bei Zimperium. „Aus der Sicht eines Angreifers geht es um Angebot und Nachfrage.“
Sie denken, dass Ihr Unternehmen davon nicht betroffen sein kann? Denken Sie noch mal darüber nach. Einem Report des Security-Spezialisten FireEye zufolge beginnen 91 Prozent der Cybercrime-Aktivitäten mit E-Mails. FireEye bezeichnet solche Vorfälle als „Angriffe ohne Malware“, da sie Taktiken wie die Imitation bekannter Adressen einsetzen, um Menschen dazu zu verleiten, auf gefährliche Links zu klicken oder sensible Informationen preiszugeben. Laut FireEye hat Phishing in den letzten Jahren rasant zugenommen, und mobile Anwender sind besonders gefährdet, da viele mobile E-Mail-Clients nur den Namen des Absenders anzeigen. Dadurch ist es besonders einfach, Nachrichten zu fälschen und einer Person vorzugaukeln, dass eine E-Mail von jemandem stammt, den sie kennt oder dem sie vertraut.
Hinzu kommt, dass Social-Engineering-Betrügereien auch im mobilen Bereich erstaunlich effektiv sind – trotz der vermeintlichen Leichtigkeit, diese zu vermeiden: Einer IBM-Studie zufolge ist es dreimal wahrscheinlicher, dass Benutzer auf einem mobilen Gerät auf eine Phishing-Attacke reagieren als auf einem Desktop-Gerät – zum Teil deshalb, weil sie auf dem Handy eine Nachricht am ehesten sehen. Die Studie von Verizon unterstützt diese These und fügt hinzu, dass die kleineren Bildschirmgrößen und die entsprechend eingeschränkte Anzeige von Detailinformationen auf Smartphones die Wahrscheinlichkeit eines Phishing-Erfolgs ebenfalls erhöhen können. Dies gelte insbesondere für Benachrichtigungen, die häufig Optionen zum Öffnen von Links oder zum Reagieren auf Nachrichten mit einem Fingertipp enthalten. Darüber hinaus verstärken die prominente Platzierung von Schaltflächen in mobilen E-Mail-Clients und die unkonzentrierte, Multitasking-orientierte Art und Weise, wie Mitarbeiter Smartphones nutzen, den Effekt.
Die Tatsache, dass der größte Teil des Web-Traffics mittlerweile auf mobilen Geräten stattfindet, ermutigt Angreifer nur noch mehr, diese Front ins Visier zu nehmen. Zwar klicken nur etwa 3,4 Prozent der Nutzer auf Phishing-Links, so die aktuellen Daten von Verizon, doch frühere Untersuchungen von Verizon zeigen, dass es sich dabei häufig um Wiederholungstäter handelt: 15 Prozent der Nutzer, die erfolgreich gephisht wurden, würden innerhalb desselben Jahres mindestens ein weiteres Mal gephisht.
„Wir sehen einen generellen Anstieg der mobilen Anfälligkeit, angetrieben durch die Zunahme der mobilen Nutzung insgesamt und dem anhaltenden Wachstum von BYOD-Arbeitsumgebungen „, berichtet John „Lex“ Robinson, Informationssicherheits- und Anti-Phishing-Stratege bei PhishMe, einer US-Firma, die reale Simulationen nutzt, um Mitarbeiter im Erkennen und Reagieren auf Phishing-Versuche zu schulen. Robinson merkt an, dass die Grenze zwischen beruflicher und privater Nutzung immer mehr verschwimmt. So ließen sich immer mehr Arbeitnehmer mehrere Posteingänge – die mit berufliche und private Konten verbunden sind – zusammen auf einem Smartphone anzeigen, und fast jeder erledigt während des Arbeitstages in irgendeiner Form persönliche Angelegenheiten online. Deswegen sei es auch nicht weiter ungewöhnlich, wenn man beruflichen Nachrichten auch eine scheinbar private E-Mail erhalte, selbst wenn es sich dabei um eine List handeln könnte.
Der Einsatz wird dabei immer größer. Cyberkriminelle versuchen jetzt sogar, mithilfe von Phishing Anwender dazu zu bringen, ihre Codes für die Zwei-Faktor-Authentifizierung preiszugeben, die Konten vor unbefugtem Zugriff schützen sollen. Die Umstellung auf eine hardwarebasierte Authentifizierung – entweder über dedizierte physische Sicherheitsschlüssel wie Google Titan von oder die YubiKeys von Yubico oder über Googles On-Device-Sicherheitsschlüssel-Option – wird weithin als der effektivste Weg angesehen, um die Sicherheit zu erhöhen und die Wahrscheinlichkeit einer Übernahme durch Phishing zu verringern.
Darüber hinaus sind Mobile-spezifische Schulungen und sorgfältig ausgewählte Phishing-Erkennungssoftware die smartesten Methoden, um die Mitarbeiter davor zu bewahren, die nächsten Phishing-Opfer zu werden. „Man ist nur so stark wie das schwächste Glied in der Kette“, sagt Chiaraviglio von Zimperium.
2. Datenlecks
Datenlecks werden weithin als eine der besorgniserregendsten Bedrohungen für die Unternehmenssicherheit im Jahr 2021 angesehen – und auch als eine der kostspieligsten. Laut einer aktuellen Studie von IBM und dem Ponemon Institute können die durchschnittlichen Kosten eines Datenlecks durch ein rein remote-basiertes Team um satte 137.000 Dollar steigen.
Was das Problem besonders ärgerlich macht, ist die Tatsache, dass Datenlecks oft nicht vorsätzlich entstehen. Vielmehr treffen Benutzer versehentlich unbedachte Entscheidungen darüber, welche Apps ihre Daten sehen und übertragen können.
„Die größte Herausforderung besteht darin, einen App-Überprüfungsprozess zu implementieren, der den Administrator nicht überfordert und die Benutzer nicht frustriert“, sagt Dionisio Zumerle, Research Director für mobile Sicherheit bei Gartner. Er schlägt vor, Lösungen für das Mobile Threat Defense (MTD) zu nutzen, also Produkte wie Endpoint Protection Mobile von Symantec, SandBlast Mobile von CheckPoint und zIPS Protection von Zimperium. Solche Dienstprogramme scannen Apps auf „undichtes Verhalten“, sagt Zumerle, und können das Blockieren problematischer Prozesse automatisieren.
Aber selbst das dichtet nicht immer Lecks ab, die durch offensichtliche Benutzerfehler entstehen – etwas so Einfaches wie das Übertragen von Unternehmensdateien in einen öffentlichen Cloud-Speicherdienst, das Einfügen vertraulicher Informationen an der falschen Stelle oder das Weiterleiten einer E-Mail an einen unbeabsichtigten Empfänger. Für diese Art von Lecks sind Tools zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) möglicherweise die effektivste Form des Schutzes. Solche Software ist explizit darauf ausgelegt, die Offenlegung vertraulicher Informationen zu verhindern, auch in versehentlichen Szenarien.
3. Abgehörte WLANs
Ein mobiles Endgerät ist nur so sicher wie das Netzwerk, über das es Daten überträgt. In einer Zeit, in der wir uns alle ständig mit Netzwerken verbinden, die möglicherweise nicht optimal gesichert sind – seien es falsch konfigurierte Heimnetzwerke für Mitarbeiter im Homeoffice oder öffentliche WiFi-Netzwerke – sind unsere Daten häufig nicht so geschützt, wie wir vielleicht annehmen.
Wie groß ist dieses Problem? Laut einer Studie des Mobile-Security-Anbieters Wandera nutzen Business-Smartphones in einem typischen Jahr fast dreimal häufiger WLAN als Mobilfunk zur Datenübertragung. Fast ein Viertel der Geräte verbindet sich mit offenen und potenziell unsicheren WiFi-Netzwerken, und vier Prozent der Devices werden innerhalb eines durchschnittlichen Monats Opfer eines Man-in-the-Middle-Angriffs – bei dem jemand die Kommunikation zwischen zwei Parteien böswillig abfängt. Im vergangenen Jahr sind diese Zahlen aufgrund der geringeren Reisetätigkeit und der Tatsache, dass während der COVID-19-Pandemie weniger Geschäfte geöffnet sind, gesunken. Das bedeutet aber nicht, dass die Bedrohung verschwunden ist – oder man sich nicht dafür wappnen muss, selbst wenn die Mitarbeiter meist von zu Hause aus arbeiten.
„Anstatt sich auf die reaktive Erkennung von Man-in-the-Middle-Angriffen zu verlassen, empfehlen wir Unternehmen, einen proaktiveren Ansatz zur Sicherung von Remote-Verbindungen zu wählen“, sagt Michael Covington, VP of Product bei Wandera. „Das Einfachste, was Unternehmen tun können, um eine angemessene WiFi-Sicherheit umzusetzen, ist, einfach ein Zero-Trust-Zugangsmodell für Remote Work einzuführen.“
4. Veraltete Geräte
Smartphones, Tablets und kleinere vernetzte Geräte aus dem IoT-Bereich stellen ein Risiko für die Unternehmenssicherheit dar, da sie im Gegensatz zu traditionellen Business-Devices in der Regel keine Garantie für rechtzeitige und laufende Software-Updates bieten. Dies zeigt sich vor allem an der Android-Front, wo die überwiegende Mehrheit der Hersteller nicht eben mit Ruhm bekleckert, wenn es darum geht, ihre Produkte auf dem neuesten Stand zu halten – sowohl mit Betriebssystem-Updates als auch mit den kleineren monatlichen Sicherheits-Patches.
Ganz zu schweigen von der Situation bei IoT-Geräten: Hier sind viele nicht einmal dafür ausgelegt, Updates zu erhalten. „Viele von ihnen haben nicht einmal einen eingebauten Patching-Mechanismus, und das wird heutzutage mehr und mehr zu einer Bedrohung“, sagt Kevin Du, ein Informatikprofessor an der Syracuse University, der sich auf Smartphone-Sicherheit spezialisiert hat.
Im Jahr 2020 verließen sich laut Wandera etwa 28 Prozent der Unternehmen auf Geräte, die nicht nur veraltete Betriebssystemversionen, sondern auch Software mit einer bekannten Sicherheitsschwachstelle hatten. „Obwohl es sicherlich einen Trend gibt, dass mehr nicht verwaltete Geräte von Remote-Mitarbeitern verwendet werden, scheint die aktuelle Situation ein Schlaglicht auf die realen Risiken zu werfen, die auftreten, wenn die Sicherheitsvorkehrungen zu lax werden“, sagt Covington.
Zusätzlich zu den pandemiebedingten Sorgen zeigen die Daten von Wandera einen 100-prozentigen Anstieg der Verbindungen zu „unangemessenen Inhalten“ während der Arbeitszeit seit Beginn der COVID-Krise – und, nun ja, diese Art von Websites sind berüchtigt dafür, dass sie versuchen, Besucher zum Herunterladen von fragwürdigem Zeug zu verleiten (so zumindest das Hörensagen). Ein veraltetes Betriebssystem macht jede Art von riskantem Material noch riskanter, da möglicherweise keine angemessenen Schutzmechanismen vorhanden sind.
Abgesehen von der erhöhten Wahrscheinlichkeit eines Angriffs, erhöht die extensive Nutzung mobiler Plattformen laut Ponemon die Gesamtkosten eines Datenverstoßes – und die Menge an IoT-Produkten, die am Arbeitsplatz angeschlossen sind, lässt diese Zahl noch weiter steigen. Das IoT ist „eine offene Tür“, wie der Cybersecurity-Anbieter Raytheon es ausdrückt. Raytheon hat eine Studie gesponsert, die zeigt, dass 82 Prozent der IT-Fachleute vorhersagen, dass ungesicherte IoT-Geräte in ihrem Unternehmen eine – wahrscheinlich „katastrophale“ – Datenpanne verursachen werden.
Was tun? Mit einer starken Policy kommt man schon mal recht weit. Außerdem erhalten einige Android-Geräte rechtzeitig und zuverlässig fortlaufende Updates, und es können Maßnahmen ergriffen werden, um die Sicherheit von praktisch jedem Smartphone zu verbessern. Und bis die IoT-Landschaft ihren Wild-West-charakter verliert, ist es Aufgabe der Unternehmen, ihr eigenes Sicherheitsnetz um sie herum zu schaffen.
5. Mangelnde Passwort-Hygiene
Man könnte denken, dass wir längst über diesen Punkt hinaus sein müssten, aber irgendwie sichern Anwender nach wie vor ihre Konten immer noch nicht richtig ab. Besonders problematisch wird es, wenn sie Smartphones mit sich führen, die sowohl Firmenkonten als auch persönliche Anmeldedaten enthalten.
Eine Umfrage (PDF-Download) von Google und Harris Poll ergab, dass etwas mehr als die Hälfte der Amerikaner – und da sind sie sicher nicht allein – Passwörter für mehrere Konten wiederverwenden. Ebenso besorgniserregend ist, dass fast ein Drittel keine 2FA verwendet (oder nicht weiß, ob sie sie verwenden – was vielleicht noch schlimmer ist). Nur ein Viertel der Nutzer verwendet aktiv einen Passwort-Manager, was darauf hindeutet, dass die überwiegende Mehrheit wahrscheinlich keine sicheren Passwörter hat, da sie diese vermutlich selbst erstellen und sich merken (müssen).
Aber es geht noch schlimmer: In einer LastPass-Umfrage (PDF-Download) gab die Hälfte aller Teilnehmer zu, die selben Passwörter für berufliche und private Konten zu verwenden. Und falls das noch nicht reicht, hier ein weiteres brisantes Ergebnis der Studie: Im Durchschnitt teilt ein Mitarbeiter im Laufe seines Arbeitsverhältnisses etwa sechs Passwörter mit einem Kollegen.
Viel Lärm um nichts? Von wegen: 2017 stellte Verizon fest, dass schwache oder gestohlene Passwörter für mehr als 80 Prozent der Hacking-Vorfälle in Unternehmen verantwortlich waren. Sie müssen sich nur vorstellen, wie riskant es für Ihre Unternehmensdaten ist, wenn auch nur eine einzige Person aus Nachlässigkeit dasselbe Passwort, das sie für ein Unternehmenskonto verwendet, auch für die Anmeldung auf einer Shopping-Website, einer Chat-App oder einem Nachrichtenportal nutzt. Gerade von einem mobilen Endgerät, wo sich ein Mitarbeiter schnell mal in Apps, Websites und Diensten einloggen wollen, ist die Gefahr besonders hoch. Und nun nehmen Sie dieses Risiko und verknüpfen Sie es mit dem bereits erwähnten Risiko der Man-in-the-Middle-Attacken bei WLANs und multiplizieren Sie es mit der Gesamtzahl der Mitarbeiter an Ihrem Arbeitsplatz.
Am ärgerlichsten ist vielleicht, dass die meisten Menschen sich ihrer Versäumnisse in diesem Bereich gar nicht bewusst sind. In der von Google und Harris Poll durchgeführten Umfrage gaben 69 Prozent der Befragten an, dass sie ihre Online-Konten mit „Passwort A“ oder „Passwort B“ schützen, obwohl die nachfolgenden Antworten etwas anderes vermuten ließen. Offensichtlich kann man der eigenen Risikoeinschätzung eines Nutzers nicht trauen.
6. Physische Attacken
Zum Abschluss noch etwas, das auf den ersten Blick ungewöhnlich erscheint, aber dennoch eine beunruhigend reelle Bedrohung darstellt: Ein verlorenes oder unbeaufsichtigtes Gerät kann ein großes Sicherheitsrisiko darstellen, insbesondere wenn es nicht über eine starke PIN oder ein Passwort und eine vollständige Datenverschlüsselung verfügt.
Zur Einordnung: In einer Ponemon-Studie (PDF-Download) aus dem Jahr 2016 gaben 35 Prozent der Befragten an, dass ihre Arbeitsgeräte über keine vorgeschriebenen Maßnahmen zur Sicherung der zugänglichen Unternehmensdaten verfügen. Schlimmer noch: Fast die Hälfte der Befragten räumten ein, dass sie ihre Geräte nicht mit Passwörtern, PINs oder biometrischen Sicherheitsmerkmalen schützen – und etwa zwei Drittel gaben an, dass sie keine Verschlüsselung verwenden. Achtundsechzig Prozent der Befragten gaben an, dass sie manchmal Passwörter für private und berufliche Konten, auf die sie über ihre mobilen Geräte zugreifen, gemeinsam nutzen.
Seitdem haben sich die Dinge verbessert, zumindest, was die meisten Werte angeht. In seiner Analyse der mobilen Bedrohungslandschaft 2020 stellte Wandera jedoch fest, dass der Sperrbildschirm noch immer bei drei Prozent der beruflich genutzten Geräte deaktiviert war. Noch beunruhigender war, dass das Risiko anderer Bedrohungen auf Devices, bei denen der Zugriff nicht richtig gesichert war, deutlich höher war. Dabei braucht es nur eine kleine Anzahl von Schwachstellen bei einzelnen Anwendern, um ein massives Problem für die ganze Company zu verursachen.
Die Botschaft, die man mitnehmen kann, ist einfach: Es reicht nicht aus, die Verantwortung in die Hände der Benutzer zu legen. Treffen Sie keine Vermutungen, sondern erstellen Sie Richtlinien. Sie werden sich selbst später dafür bedanken.
*JR Raphael ist freier Mitarbeiter bei der Computerworld.
Be the first to comment