Wer die aktuell wichtigsten Bedrohungen der mobilen Datensicherheit im Unternehmen recherchiert, stößt unweigerlich auf den Begriff „Mobile Phishing“. Mobile Phishing ist ein regelrechter Trend und eine der größten Gefahren für Mobile Security. Das hat verschiedene Gründe. Wir gehen im Folgenden auf einige dieser Gründe ein und erklären Ihnen, wie Sie sich und Ihr Unternehmen sinnvoll gegen die Folgen von Mobile Phishing schützen können.
Warum ist Mobile Phishing so gefährlich für Unternehmen?
Im Rahmen der aktuellen Wirtschaftsschutzstudie des Branchenverbandes Bitkom gaben 11 % der befragten Unternehmen an, Opfer von digitalem Social Engineering geworden zu sein. 32 % berichteten von gestohlenen IT- oder Telekommunikationsgeräten, 23 % von gestohlenen sensiblen digitalen Daten und sogar 19 % gaben an Opfer digitaler Sabotage von Informations- und Produktionssystemen und Betriebsabläufen geworden zu sein. Zu jeder dieser Gruppen kommen noch einmal so viele Unternehmen, die einen entsprechenden Schadensfall vermuten, aber (noch) nicht belegen können. Fast die Hälfte der befragten Industrieunternehmen mussten Schäden durch digitale IT-Angriffe verzeichnen. 16 % dieser Angriffe wurden als Phishing-Angriff klassifiziert. Die meisten sensiblen Daten, die gestohlen wurden, waren E-Mails (48 %), Kundendaten (21 %) und Finanzdaten (20 %) aber auch allgemeinere Business Informationen wie Marktanalysen und Preisgestaltung, Mitarbeiterdaten und geistiges Eigentum des Unternehmens wurden entwendet. Das schiere Ausmaß lässt bereits vermuten, wie groß der entstandene Schaden für die Unternehmen war: Er ging insgesamt in die Milliarden.
Vor diesem Hintergrund lohnt es sich, einen genaueren Blick auf die mobile Datensicherheit und die speziellen Risikofaktoren mobiler Endgeräte zu werfen.
Was unterscheidet Mobile Phishing von Phishing und warum ist es gefährlicher?
In Methode und Folgen unterscheidet sich Mobile Phishing nicht grundsätzlich von „normalem“ Phishing. Zu letzterem stellen wir Ihnen Informationen auf unserer Seite zur Verfügung. Typische Phishing-Ansätze sind E-Mails mit Aktionsangeboten, gefälschte Service-Updates und gefälschte Bank-Logins. Gezieltere Attacken, die bestimmte User anvisieren, nennt man Speer-Phishing und wenn die Zielperson einen besonders großen Einfluss im Unternehmen hat, insbesondere wenn sie millionenschwere Zahlungen auslösen darf, nennt man die Phishing-Bemühungen „Whaling“. Es gibt zwei Phishing-Methoden, die vor allem bei mobilen Endgeräten ihre Stärken ausspielen, die eine, „URL-Padding“, nutzt Besonderheiten der Hardware aus, die andere, „Benign-Apps“, setzt auf die Besonderheiten von Apps und gefährdet so ebenfalls die mobile Datensicherheit.
„URL-Padding“
Das URL-Padding nutzt den Umstand aus, dass die Ansicht von Webseiten auf Smartphones wegen ihres kleineren Displays verkleinert dargestellt wird, insbesondere die Adressleiste von Browsern bietet erheblich weniger Platz als in den Desktopvarianten. Durch das Verlängern der URL schaffen es die Phisher, die eigentliche URL hinter einem harmlos wirkenden Anfang zu verstecken. Alles, was sie dafür brauchen, sind eine Menge Bindestriche. Wie bei fast allen digitalen Phishing-Attacken ist das Ziel dann eine Seite, auf der persönliche Login-Daten abgefragt werden.
„Benign-Apps“
Nichts ist selbstverständlicher in der Welt mobiler Endgeräte als die Installation von Apps. Im Code dieser Apps, die an sich vollkommen harmlose Funktionen bereitstellen, können URLs hinterlegt werden, mit denen die App in Echtzeit kommuniziert und die in der Folge ein Sicherheitsrisiko darstellen: die gutartige Anwendung greift dann auf bösartige Webseiten zu. Hierfür nutzen die Angreifer sogenannte Anzeigen-SDKs. Nicht die App ist dann bösartig, sondern erst die Webseite, auf die die eingeblendete Werbung verlinkt ist und wo sensible Daten des Users abgefragt werden.
Phishing lässt sich nicht verhindern …
Die Aussage, dass sich Phishing nicht verhindern lässt, klingt vielleicht provokant, es gibt aber starke Argumente für diese Aussage:
Grenzen der Kontrolle
Bestehende Unternehmenssicherheitssysteme bieten vor Mobile Phishing leider oft keinen Schutz, da mobile Geräte in den meisten Fällen über ein öffentliches Netz (WiFi, 3G/4G) auf das Internet zugreifen. Etwaige Schutzmaßnahmen, die im Firmennetzwerk eingerichtet werden, wie Web-Gateways und Firewalls, sind in diesen Netzen nicht verfügbar und können den Datenverkehr der mobilen Endgeräte nicht filtern oder stoppen. Noch dazu fehlt oft die Möglichkeit, im Nachhinein festzustellen, ob ein Angriff stattgefunden hat: Dafür müsste die Unternehmens-IT die Aktivitäten der mobilen Endgeräte protokollieren können, was aber gerade bei privat genutzten Geräten der Mitarbeiter sehr problematisch ist.
Die psychologische Hintertür
Die größte Stärke der Methode liegt aber in einer bestimmten Eigenschaft ihres Ziels, des Menschen, begründet. Was uns zu lernfähigen, kreativen und erfinderischen Wesen macht, macht uns leider auch anfällig für Angriffe von außen: unsere Neugierde.
Laut einer Studie der FAU Erlangen-Nürnberg klickt jeder zweite User auf E-Mails, deren Absender ihm nicht bekannt sind. Natürlich kann es etwas helfen, Mitarbeiter für das Thema Phishing zu sensibilisieren und ebenso sinnvoll ist es, effektive Spamfilter einzusetzen. Aber die Neugierde wird bleiben. Noch dazu nutzt Mobile Phishing neben der Neugier der User auch den Umstand aus, dass sie ihre mobilen Endgeräte eher beiläufig oder in stressigen Momenten nutzen und Details dann oft weniger Aufmerksamkeit schenken. So werden kleinere Unterschiede in der Darstellung von E-Mails und Webseiten schneller übersehen und Risiken falsch eingeschätzt.
… die Folgen von Phishing schon.
Vergleichen wir eine mobile Phishing-Attacke mit einem Banküberfall. Üblicherweise erbeuten Hacker durch ihre Phishing-Methoden Login-Daten und Kontrolle über das mobile Endgerät, was ihnen den Zugang zum Unternehmensnetzwerk ermöglicht. Die gehackten Endgeräte oder Zugangsdaten sind dann mit dem Generalschlüssel zu einem Bankgebäude vergleichbar.
Statt die Tür bei Tag aufbrechen zu müssen, spazieren die Angreifer einfach durch den Haupteingang in das Gebäude. In ungeschützten Umgebungen haben sie dann freien Zugang zu allen Daten. Banken wissen, dass Räuber wissen, dass etwas Wertvolles in der Bank liegt. Und Banken wissen, dass es Räuber gibt, die auf diese wertvollen Inhalte Jagd machen. Es gibt daher bereits verschiedene Methoden, einen noch größeren Schaden zu verhindern. Da wäre als erste Möglichkeit die Verschlüsselung der Daten, was in etwa den Schließfächern einer Bank entspricht.
Darüber hinaus können die Wege mit Sicherheitsschranken ausgestattet werden, an denen man sich ausweisen muss, wenn man ein Schließfach erreichen möchte und seinen Inhalt entnehmen will. In unserem Beispiel entspricht das den verschlüsselten Kommunikationswegen zwischen mobilen Endgeräten und der Unternehmens-IT.
SecurePIM ist die Bank in der Bank
SecurePIM bietet alle diese Funktionen und Sicherheitsvorkehrungen und geht noch einen Schritt weiter: Sollte ein Angreifer tatsächlich Zugang zum mobilen Endgerät erhalten haben, also durch den Haupteingang eingetreten sein, um bei dem Bild zu bleiben, muss er feststellen, dass er vor einer weiteren Bank steht. Und die ist stark gesichert und lediglich eine Filiale einer noch größeren und stärker gesicherten Zentralbank: der Unternehmens-IT. Von hier aus lässt sich im Fall eines Einbruchs der Inhalt der Container-App vollständig löschen, alle Apps, die in ihr installiert sind, sind mit eigenen Schlüsseln gesichert und haben keinerlei Kontakt zur Software außerhalb. Denn letztlich gibt der User mit der Installation von SecurePIM nur einen Teil seines Gerätes frei. So kann alles, was innerhalb von SecurePIM geschieht, überwacht und geschützt werden, ohne in private oder ungesicherte Bereiche der mobilen Endgeräte vordringen zu müssen oder zu können.
Fazit
Nun ist Mobile Phishing nicht das einzige Sicherheitsrisiko, das mobile Endgeräte betrifft. Die mobile Datensicherheit wird von verschiedenen Seiten aus bedroht und es gibt nicht die eine Technik, die alle Gefährdungen gleichzeitig ausschaltet. Vielmehr ist es notwendig, verschiedene Faktoren zu berücksichtigen. Welche das sind, können Sie gerne in unserem Whitepaper „Datensicherheit für Smartphone & Co.“ nachlesen.
Falls Sie über aktuelle Blogartikel informiert werden möchten, stehen Ihnen verschiedene Möglichkeiten zur Auswahl, um dem Blog zu folgen: