Mobile Security oder auch mobile Sicherheit, ist ein sehr weit gefasster Begriff. Gemeint ist der Schutz von persönlichen und geschäftlichen Informationen, die auf Smartphones und Tablets gespeichert und von diesen übertragen werden.
Wenn es um die Mobile Security auf Smartphone oder Tablet geht, gibt es zwei Dinge zu beachten: Datenschutz (Schutz der Privatsphäre und damit von personenbezogenen Daten) und Datensicherheit (Schutz vor jeglicher Art von Datenverlust, Manipulation oder unberechtigter Kenntnisnahme). Hinsichtlich der sicheren Kommunikation sind Mobilgeräte anderen Risiken ausgesetzt als beispielsweise stationäre PCs oder Laptops.
Welche mobilen Risiken gibt es – und wie lassen sie sich minimieren?
Mobile Sicherheit kann nur gewährleistet werden, wenn die möglichen Sicherheitsrisiken für Unternehmen bekannt sind. Die größten Risiken für die Mobile Security lassen sich folgendermaßen zusammenfassen:
Fehlende Updates
Betriebssystem
Updates für das Smartphone sind für den User oft lästig, aber unumgänglich, um Mobile Security zu gewährleisten. Sie schließen Sicherheitslücken und aktualisieren das Betriebssystem und das möglichst schnell, bevor ein Angreifer diese ausnutzen kann. Update ist aber nicht gleich Update, Apple ist hier Android immer noch voraus und versorgt auch ältere Geräte zuverlässig und schnell mit Updates. Bei Android-Geräten kann es sein, dass für ältere Geräte keine Updates mehr zur Verfügung gestellt werden. Mehr Informationen dazu erhalten Sie im Blogartikel „Android Security“.
Apps
Updates sind natürlich auch für Apps unabdingbar. Software-Entwickler arbeiten permanent daran, Fehler in den Anwendungen aufzuspüren und Schwachstellen zu beheben. Hierfür werden regelmäßig neue Software-Versionen veröffentlicht, solange es sich um Apps von vertrauenswürdigen Herstellern handelt.
Wie Sie das Risiko „fehlende Updates“ minimieren: Smartphones mit veralteten oder unsicheren Betriebssystemen den Zugriff auf Unternehmensdaten verwehren. Das gleiche gilt für Apps, nur aktualisierte Apps dürfen Zugriffe auf Firmeninformationen erhalten.
Nutzung unautorisierter Apps
Apps kommen und gehen und User sind es gewohnt, mal eben eine neue App auszuprobieren. Ob diese tatsächlich sicher ist bzw. die Grundsätze des Datenschutzes einhält, ist fraglich. Wer liest sich schon wirklich die Datenschutzerklärung durch, bevor er eine App installiert?
Zudem sollten die Mitarbeiter für das Thema Datenschutz sensibilisiert werden, damit sie dienstliche Dateien nicht in ihren privaten Dropbox-Accounts zwischenspeichern. Viele Unternehmen unterschätzen diesen Aspekt, aber das Risiko für Unternehmen durch die Nutzung von nicht autorisierten Apps ist größer als durch Malware. Und spätestens seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) muss jedes Unternehmen sicherstellen, dass personenbezogene Daten nicht in irgendeiner App landen.
Definieren Sie daher genau, welche Apps für welche Aufgaben eingesetzt werden dürfen und kommunizieren Sie das auch an Ihre Kollegen. Zugriffe auf Unternehmensdaten (Netzwerk, E-Mail Server, Intranet etc.) dürfen ausschließlich über diese definierten Apps erfolgen, Zugriffe aus anderen Apps müssen gesperrt werden.
Welche Risiken durch die Nutzung unautorisierter Apps bestehen und was Sie dagegen tun können, erfahren Sie im Blogartikel „Mobile Schatten IT: 5 Tipps, wie Sie Risiken durch mobile Apps minimieren“.
Unsicherer mobiler Browser
Der mobile Browser ist eine der wichtigsten Apps auf dem Smartphone. Cyberkriminelle nutzen diesen für ihre Zwecke aus und können damit Malware einschleusen und Daten abgreifen. Mitarbeiter sollten also nur über einen sicheren und aktualisierten Browser auf Firmeninformationen zugreifen und nicht auf Links aus zweifelhaften Quellen klicken. Denn dadurch wird möglicherweise Malware auf dem mobilen Gerät installiert. Das Stichwort lautet Phishing, auf das gleich noch näher eingegangen wird.
Stellen Sie Ihren Kollegen einen abgesicherten mobilen Browser für „dienstliches Surfen“ zur Verfügung. Damit können Sie dann problemlos auf Intranet- oder browserbasierte Anwendungen zugreifen.
Jailbreak & Rooting
Gleich vorab: beide Begriffe beschreiben das gleiche Problem. Bei iOS heißt es Jailbreak, bei Android Rooting. Es handelt sich um die Veränderung des Betriebssystems, um bestimmte Funktionen einzubauen. Damit bekommt der Nutzer bzw. Angreifer Zugriff auf das Datei-System des Endgeräts und damit Root-Rechte und kann dadurch nahezu alle Sicherheitsvorkehrungen deaktivieren.
Jailbreak bzw. Rooting ist recht aufwendig, da vor allem iOS alles daransetzt, es zu verhindern. Daher ist die Wahrscheinlichkeit einer solchen Attacke nicht so hoch. Wenn der Fall aber dann doch eintritt, können die Konsequenzen umso schlimmer sein.
Als IT-Abteilung sollten Sie daher die Zugriffe auf Unternehmensdaten von gerooteten Mobilgeräten aus unterbinden.
Verlorene & gestohlene Geräte
Mobile Endgeräte gehen gerne mal verloren oder werden gestohlen und kommen daher in die Hände von Unbefugten. Wenn das Smartphone ungenügend gesichert ist, also ein schwaches oder gar kein Passwort vorhanden ist, haben es „Kriminelle“ relativ leicht an die Daten auf dem Gerät zu kommen. Und sobald sie im Gerät „drin“ sind, haben Sie meist auch Zugriff auf Cloud, Filesharing oder Netzwerke und damit Zugang zu sensiblen Daten im Unternehmen.
Sorgen Sie daher vor und legen Sie für Ihre firmeneigenen Geräte eine Richtline für starke PINs fest. Ist ein Gerät verloren gegangen oder gestohlen worden, löschen Sie umgehend die (Firmen-) Daten auf dem Smartphone aus der Ferne. Zusätzlich können Sie Firmendaten mit einer Container-App absichern, die mit einer weiteren PIN versehen ist und es Dieben dadurch erschwert, auf Unternehmensdaten zuzugreifen. Auf die Daten innerhalb der Container-App können Sie auch aus der Ferne zugreifen und diese löschen, ohne sonstige Inhalte auf dem Gerät entfernen zu müssen.
Unsichere W-Lan Netzwerke und Man-in-the-Middle Attacken
Mobile Endgeräte nutzen WLAN-Verbindungen mittlerweile häufiger als das Mobilfunknetz. Im Hotel, in der Bahn, im Cafe, Gratis-WLAN ist heutzutage fast überall verfügbar. Problematisch dabei ist, dass in den meisten Hotspots nicht verschlüsselt wird, um Nutzern einen möglichst einfachen Zugang zu gewährleisten. Zudem können die Namen der Hotspots frei benannt werden. Betrüger können also einen vermeintlich bekannten Namen nutzen, um User in ihr WLAN zu locken. Dadurch stehen alle Tore offen, um Zugangsdaten abzugreifen, den kompletten Datenverkehr mitzulesen oder sogar verschlüsselte Verbindungen vorzutäuschen.
Dieses Risiko minimieren Sie am besten, indem Sie Verschlüsselung einsetzen. Unternehmensdaten sollten nur verschlüsselt übertragen werden können, zum Beispiel mittels eines speziellen Gateways oder über Ende-zu-Ende Verschlüsselung bei E-Mails (S/MIME).
Ransomware, Phishing & mobile Botnets
Ransomware
Ein weiteres Problem ist Ransomware, deren Verursacher nach der Devise „Geld her oder Daten weg“ handeln. Ransomware übernimmt die Kontrolle über ein Gerät oder Anwendungen, entweder indem sie die Dateien auf einem Gerät verschlüsselt (sogenannte Kryptotrojaner) und/oder dem Nutzer den Zugriff auf das Gerät verwehrt (Lockscreen-Trojaner). Gegen Zahlung eines Lösegelds, kann der Nutzer dann die Daten freikaufen. Bekannteste Ransomware ist das Schadprogramm WannaCry. Ransomware wird häufig über E-Mails bzw. getarnt als E-Mail-Anhang verbreitet. Daher stellt sie speziell ein Risiko für Mobilgeräte dar, über die man schnell mal (geschäftliche oder private) Mails abruft und bei Links und Anhängen nicht ganz genau prüft, ob sie vertrauenswürdig sind.
Phishing
Phishing ist wohl das größte Sicherheitsproblem auf Smartphones oder Tablets. Beim Phishing verschicken Betrüger meist gefälschte Mails mit Links zu Online-Händlern, Bezahldiensten, Paketdiensten oder sozialen Netzwerken. Zunehmen werden diese Links auch über Messenger-Apps und nicht mehr nur per Mail verschickt und stellen dadurch eine noch größere Gefahr für Mobilgeräte dar. Klickt das Opfer auf diesen Link, gibt es seine persönlichen Zugangsdaten preis oder startet automatisch Downloads und schleust dadurch Malware auf ein Gerät ein. Phishing bildet damit oft auch den Startpunkt für eine Cyberattacke, wie das beispielsweise bei der Spyware Pegasus der Fall war. Gerade weil man auf dem Smartphone E-Mails oder Links nicht so genau überprüft wie auf dem Desktop, besteht ein größeres Risiko.
Eine perfide Variante ist HTTPS-Phishing. Dabei nutzen die Angreifer vermeintlich sichere HTTPS-Seiten mit SSL-Zertifikaten, um zu suggerieren, dass ihre Seite sicher ist. Der Nutzer wittert dann keine Gefahr und gibt ohne Zögern seine Daten ein. Nicht zuletzt nutzen Phishing-Attacken auch Single Sign-On-Prozesse mit Fake-Login-Seiten, um die Daten abzugreifen.
Mobile Botnets
Ist Malware erstmal auf dem Gerät, kann eine große Anzahl mobiler Geräte in ein Botnet verwandelt werden, ohne dass der Nutzer davon etwas mitbekommt. Bekannte Botnets sind, z.B. Viking Horde oder HummingBad. Diese Botnets wurden ursprünglich dazu genutzt, um Anzeigen-Clicks ohne Wissen des Nutzers zu generieren und damit Geld zu verdienen. Zusätzlich können jedoch auch User-Details auf dem Gerät abgegriffen und weiterverkauft werden.
Die Risiken Ransomware, Phishing und mobile Botnets minimieren Sie, indem Sie sich an die bereits genannten Tipps halten und Zugriffe auf Firmendaten nur über saubere Apps zulassen. Zudem sollten Sie sicherstellen, dass andere Apps nicht auf Unternehmensdaten zugreifen können. Für eine höhere E-Mail-Sicherheit sorgen Sie durch den standardmäßigen Einsatz digitaler Signaturen.
Rechtliche Vorgaben
Neben den genannten IT-Sicherheitsrisiken bestehen für Mobilgeräte weitere Risiken in Hinblick auf die Datensicherheit und DSGVO. Nutzt ein Mitarbeiter beispielsweise eine für private Zwecke erworbene App auch für dienstliche Aufgaben, können hier weitreichende Folgen entstehen, da weder Bestimmungen zum Datenschutz, Urheberrecht oder Aufbewahrungspflichten sichergestellt sind – und der Arbeitgeber im Zweifel dafür haftet.
Daneben schreibt die DSGVO vor, dass personenbezogene Daten von Kunden, Geschäftspartnern und Mitarbeitern auf Mobilgeräten geschützt werden müssen. Unternehmen müssen entsprechende Schutzmechanismen vorweisen und dokumentieren und das auch bei der Auswahl von IT-Lösungen beachten.
Mehr über DSGVO-konformes mobiles Arbeiten erfahren.
Erstellen Sie daher gemeinsam mit Ihrer Geschäftsleitung und Compliance-Abteilung eine Sicherheitsrichtlinie, in der festgelegt ist, welche Informationen als sensibel und schutzbedürftig eingestuft werden.
Aus IT-Sicht können Sie rechtliche Risiken minimieren, indem Sie eine Ende-zu-Ende Verschlüsselung für Ihre digitale Kommunikation einführen und zusätzlich Daten auf Mobilgeräten und bei der Übertragung verschlüsseln. Und indem Sie geschäftliche und private Daten sauber voneinander trennen, beispielsweise mit einer Container-Lösung.
Mobile Security – geht das überhaupt?
Das hört sich jetzt alles ganz schrecklich an. Unzureichend gesicherte Smartphones und Tablets sind für Unternehmen ein großes Risiko. Erfolgreiche Angriffe können immense finanzielle Verluste verursachen und die Reputation nachhaltig beschädigen. Halten sich Unternehmen nicht an die Sicherheitsvorschriften der DSGVO, drohen zudem erhebliche Kosten durch Strafzahlungen; dazu muss gar kein Angriff erfolgt sein.
Soll man Mitarbeitern daher nicht lieber ganz verbieten, auf Smartphone und Tablet zu arbeiten? Nein, das ist auch nicht die richtige Lösung. Smartphone und Tablets gehören heute zum Alltag und richtig genutzt erhöhen sie den Spaß an der Arbeit und die Effizienz. Sicheres mobiles Arbeiten muss auch nicht kompliziert sein. Aber ist es wichtig, mobile Systeme durch eine technische Lösung von vorneherein zu schützen.
Container App: Mobile Security erhöhen mit nur einer Lösung
Mit einer Container App wie SecurePIM umgehen Sie die oben aufgeführten Risiken und deren Folgen. Der Fokus liegt dabei auf der Sicherung der Unternehmensdaten auf dem Mobilgerät und weniger die Absicherung des Geräts selbst. Für die IT-Abteilung fallen dadurch viele lästige Aufgaben weg, da ausschließlich über die App auf Unternehmensdaten zugegriffen wird und somit keine weitere Lösung zum Einsatz kommen muss.
Gleichzeitig besitzt SecurePIM alle Funktionen, die für das mobile Arbeiten wichtig sind. User können beispielsweise auch mobil verschlüsselte E-Mails senden und empfangen oder über ein gesichertes Gateway auf Unternehmensdokumente zugreifen.
Falls Sie über aktuelle Blogartikel informiert werden möchten, stehen Ihnen verschiedene Möglichkeiten zur Auswahl, um dem Blog zu folgen: