Heutzutage sind mobile Geräte aus der Arbeitswelt nicht mehr wegzudenken. Viele Mitarbeiter wechseln häufig zwischen Mobiltelefon und Laptop. [...]
Während die meisten Unternehmen über eine solide Cybersicherheitsstrategie zum Schutz ihrer Laptops und Unternehmensnetzwerke verfügen, sind mobile Geräte, womit hier insbesondere private Mobiltelefone gemeint sind, oft nicht ausreichend geschützt. Dies ist ein großes Problem, denn mobile Geräte sind häufig mit Risiken wie Phishing-Angriffen und Schwachstellen im Betriebssystem konfrontiert.
Sascha Spangenberg, Global MSSP Solutions Architect beim IT-Sicherheitsanbieter Lookout, benennt sechs weit verbreitete Mythen über die Sicherheit mobiler Geräte und welche Fähigkeiten Unternehmen benötigen, um ihre mobile Sicherheit zu verbessern.
Mythos Nr. 1: Mobile Geräte sind sicherer als Desktops und Laptops
Einer der am weitesten verbreiteten Mythen über mobile Sicherheit besagt, dass mobile Geräte von Natur aus sicherer sind als herkömmliche Endgeräte wie Desktops und Laptops. Dies ist jedoch ein gefährlicher Irrglaube, denn mobile Geräte haben einfach eine andere Reihe von Schwachstellen, die sie für eine Vielzahl von Cybersicherheitsrisiken anfällig machen.
Benutzer laden zahlreiche ungeprüfte mobile Apps auf ihre Geräte herunter, und diese müssen nicht unbedingt bösartig sein, um ein Risiko darzustellen. Viele mobile Apps bitten um Berechtigungen wie den Zugriff auf das Adressbuch des Telefons, lokale Dateien und den Standort, was sich als riskant erweisen kann, wenn die Anwendung kompromittiert wird. Veraltete Betriebssysteme können mobile Geräte auch anfällig für Zero-Day-Angriffe machen.
Zusätzlich zu den Schwachstellen in Betriebssystemen und Anwendungen sind mobile Geräte in gewisser Weise anfälliger für Phishing-Angriffe als herkömmliche Endgeräte. Spezifische Angriffe wie Smishing und Quishing machen mobile Geräte zu attraktiven Zielen für Angreifer und können zu Einschleusung von Malware und Kompromittierung von Konten führen.
Mythos Nr. 2: Benutzer müssen sich keine Sorgen um sensible Daten auf mobilen Geräten machen
Ein weiterer Irrglaube ist, dass auf mobilen Geräten keine sensiblen Daten gespeichert werden und Benutzer sich daher nicht um die Datensicherheit kümmern müssen, wie es bei Laptops und Desktops der Fall ist.
Die meisten Mitarbeiter speichern zwar keine sensiblen Daten direkt auf ihren Mobilgeräten, aber sie verwenden diese für den Zugriff auf Cloud-Anwendungen, in denen zahlreiche sensible Daten gespeichert sind. Diese Geräte sind auch eng mit den Benutzern verbunden und werden oft als zweite Form der Authentifizierung für Einzelanmeldungen und Kontoverifizierungen verwendet.
Wenn ein mobiles Gerät kompromittiert wird, kann ein Angreifer leicht Zugangsdaten stehlen, sich Zugang zur Infrastruktur verschaffen und die Daten in geschäftskritischen Anwendungen gefährden. Deshalb ist es von entscheidender Bedeutung, Datenverluste erkennen und verhindern zu können – auch auf mobilen Geräten.
Mythos Nr. 3: MDM reicht aus, um mobile Geräte zu schützen
Wenn es darum geht, mobile Geräte in den Griff zu bekommen, setzen viele Unternehmen auf MDM-Lösungen (Mobile Device Management). MDM eignet sich hervorragend, um ein Inventar der unternehmenseigenen mobilen Geräte zu erstellen.
Für die mobile Sicherheit ist es jedoch nicht so gut geeignet. Einer der Hauptgründe für die Unzulänglichkeit von MDM-Lösungen ist die Tatsache, dass viele Mitarbeiter heute persönliche Geräte für die Arbeit verwenden, anstatt Geräte, die dem Arbeitgeber gehören, und dass MDM-Lösungen nicht auf persönliche Geräte anwendbar sind.
MDM-Lösungen können auch nicht viel dazu beitragen, um mobile Sicherheitsrisiken zu verfolgen und zu beheben. Mittels MDM lassen sich zwar verlorene Geräte aufspüren und Daten löschen, Unternehmensanwendungen verteilen und sonstige Apps sperren.
MDM ist aber nicht in der Lage, Risiken und Bedrohungen, denen die Geräte ausgesetzt sind, zu erkennen und entsprechend zu reagieren. Aus diesem Grund benötigen Unternehmen eine mobile Sicherheitslösung, die mit ihrem MDM zusammenarbeitet und die Managementfunktionen durch einen robusten Schutz ergänzt.
Mythos Nr. 4: Persönliche Geräte sind sicher genug
Da Bring-Your-Own-Device (BYOD)-Programme heutzutage praktisch allgegenwärtig sind, machen sich IT-Abteilungen und Sicherheitsteams wahrscheinlich Gedanken über die Risiken, die diese persönlichen, nicht verwalteten mobilen Geräte mit sich bringen. Schließlich sind die Mitarbeiter bei einem BYOD-Modell selbst für die Aktualisierung ihrer Software verantwortlich und wechseln ständig zwischen privater und beruflicher Nutzung.
Einer der schlimmsten Fehler ist, zu glauben, dass es generell nicht möglich ist, die nicht verwalteten Geräte unter Kontrolle zu bringen, oder, dass diese Geräte von sich aus sicher genug sind. Mit der richtigen mobilen Sicherheitslösung können Unternehmen alle mobilen Geräte schützen, egal ob sie verwaltet oder nicht verwaltet werden, ohne die Privatsphäre ihrer Mitarbeiter zu gefährden.
Mythos Nr. 5: Die einmalige Authentifizierung reicht aus, um mobile Geräte zu schützen
Da mobile Geräte von überall her für den Zugriff auf Unternehmensdaten genutzt werden, ist es wichtig zu wissen, wer diese Geräte tatsächlich nutzt. Es ist eine falsche Annahme, dass eine einmalige Authentifizierung ausreicht, um die Identität zu bestätigen, aber das ist nicht der Fall. Wenn ein Gerät nach der Authentifizierung kompromittiert wird, gibt es keine Möglichkeit, das zu erkennen. Jegliche Bedrohungen oder Risiken, die das Gerät für das Unternehmen darstellt, können völlig unbemerkt bleiben.
Stattdessen sollten Unternehmen einen Zero-Trust-Ansatz anstreben, der auf einer kontinuierlichen Zugangskontrolle basiert. Durch die konsequente Überwachung von Elementen wie Gerätezustand und Benutzerverhalten zusätzlich zu den Identitätsprüfungen erhalten Sicherheitsverantwortliche ein besseres Verständnis für die Risikostufen jedes Geräts, das Zugriff auf ihre Ressourcen hat.
Mythos Nr. 6: Mobile Bedrohungsdaten sind ein „Nice to have“
Einige IT-Abteilungen und Sicherheitsteams priorisieren Bedrohungsdaten, die sich hauptsächlich auf Desktops, Laptops oder Server konzentrieren. Da mobile Geräte jedoch ein so attraktives Ziel für Cyberkriminalität darstellen, sind Bedrohungsdaten, die sich auf mobilspezifische Bedrohungen beziehen, entscheidend.
Mobile Bedrohungsdaten helfen dabei, sich ein Bild von den mobilen Bedrohungen zu machen, mit denen das Unternehmen konfrontiert ist, um eine wirksame Reaktion darauf aufbauen zu können. Dies sollte nicht als optional behandelt werden.
Mit aktuellen Informationen zu mobilen Bedrohungen sind Sicherheitsteams in der Lage, Trends bei Angriffen zu erkennen, die Kill Chains zu verknüpfen, um das gesamte Ausmaß der Bedrohung zu erfassen, den Gegner zu erkennen und so die mobile Sicherheit des Unternehmens zu verbessern.
Entschärfung der Sicherheitsrisiken für mobile Geräte
Mobile Geräte gehören heute genauso zum Arbeitsalltag wie Desktops und Laptops, und deshalb reicht es nicht aus, die herkömmlichen Endpunkte zu schützen. Die Sicherheit mobiler Geräte muss Teil der gesamten Cybersicherheitsstrategie sein. Die Implementierung mobiler Sicherheit ist für den Datenschutz entscheidend und Unternehmen benötigen entsprechende Fähigkeiten, um die Sicherheitsrisiken für mobile Geräte zu minimieren.
*Sascha Spangenberg ist Global MSSP Solutions Architect beim IT-Sicherheitsanbieter Lookout.
Be the first to comment