“Die Gefahr von Schwachstellen ist hoch”

MOB: Herr Bar, immer mehr Mitarbeiter arbeiten außerhalb des Büros und nutzen Smartphones, Tablets und Co. nicht mehr nur für private Zwecke – Stichwort „Remote Work / Homeoffice“. Inwiefern entstehen dadurch Risiken für Unternehmen?
Alon Bar: Mobile Endgeräte sind heute allgegenwärtig – im privaten Umfeld ebenso wie im beruflichen Alltag. Als kompakte Kommunikationszentrale in der Hosentasche ermöglichen sie mobilen und remote agierenden Mitarbeitern jederzeit den komfortablen Zugang zu benötigten Informationen und helfen ihnen, durchgehend erreichbar zu bleiben. Der Mobilboom hat aber auch eine Reihe bekannter Schattenseiten: Immerhin ist jedes neue Mobilgerät ein potenzieller Angriffspunkt, sodass die Angriffsflächen der Unternehmen mit steigender Device-Zahl rapide wachsen. Hinzu kommt, dass in den meisten Betrieben ein bunter Mix unterschiedlicher Hersteller, Modelle und Betriebssysteme wuchert, und dass längst nicht alle dieser Geräte von der zentralen IT verwaltet werden. Die Gefahr von Schwachstellen und Sicherheitslücken ist also hoch.

Dies gilt umso mehr als die meisten Anwender heute Dutzende, wenn nicht Hunderte, von Anwendungen installiert haben: einige einwandfreie, einige mit bekannten oder unbekannten Schwachstellen und oft auch einige bösartige. Und schließlich gilt es, noch einen dritten Aspekt zu berücksichtigen: Auf den Smartphones und Tablets liegen heute oft etliche Gigabyte an geschäftskritischen, sensiblen oder regulierten Daten, die in der Öffentlichkeit leicht in fremde Hänen kritischen.

MOB: Welche Folgen können Cyberangriffe auf mobile Devices für Mitarbeiter und Unternehmen haben?
Bar: Der Wert mobiler Endgeräte liegt in aller Regel nicht in der Hardware, sondern in den Daten, die sich auf dem Smartphone befinden, oder die über das Smartphone erreichbar sind. Dazu gehören in erster Line of personalities Daten der Benutzer – von den Kontodaten in der Banking-App über die privaten E-Mails bis hin zu den Familienfotos. Bei einem dienstlich verwendeten Smartphone as sensiblen und oft regulierten Business-Daten des Anwenders hinzu: vertrauliche Korrespondenz, sensible Kundenlisten, Spreadsheets mit Kalkulationen und vieles mehr. Im Worst Case können die Angreifer über das Mobilgerät außerdem Zugang zum jeweiligen Unternehmensnetzwerk erhalten – oft mit verheerenden Folgen.

MOB: Auf welche Faktoren muss beim Kauf eines Smartphones oder Tablets geachtet werden, das sowohl privat als auch beruflich genutzt werden soll?
Bar: Smartphones, die gleichzeitig dienstlich und privat genutzt werden, sind für Security-Abteilungen auf der ganzen Welt ein heikles Thema. Viele in professionellen Umgebungen etablierte Mobile-Management-Funktionalitäten – etwa das „Remote-Wipen“ gesturehlener oder verlorener Mobilgeräte nach 24 Stunden – sind bei einem Gerät, das auch privat genutzt wird, nur schwer durchsetzbar. Immerhin liegen auf dem Device neben den Business-Files auch schützenswerte private Daten, Familienfotos und ähnliches mehr, auf die der Arbeitgeber nicht zugreifen darf. Aber auch in vielen weiteren Szenarien – man denke an das Installieren potenziell riskanter Apps und Zugriffe auf unsichere Webseiten – wirft die Doppelnutzung eine Reihe von Datenschutz- und Security-relevanten Fragen auf. All diese Faktoren in einer kompakten Checkliste für die Produktauswahl zusammenzufassen, ist schlichtweg unmöglich. Wichtig ist vor allem, dass die IT-Abteilungen um das problematische Risikomanagement privater Dienst- und dienstlicher Privatgeräte wissen, und die Absicherung der entsprechenden Devices systematisch und mit hoher Sorgfalt angehen.

MOB: Nicht nur die mangelnde Sicherheit von Mobilgeräten selbst kann zur Herausforderung werden – auch nachträglich installierte Apps bergen Risiken. Worauf sollten Mitarbeiter achten, wenn sie neue Applikationen herunterladen und installieren?
Bar: Bösartige und unsichere Apps sind in der Tat ein großes Problem, das unser Security Research Team immer wieder beschäftigt. Bei der Auswahl und Installation neuer Apps sollten sich Unternehmen an zwei einfache Grundregeln halten: Erstens sollten sie darauf achten, dass alle verwendeten Anwendungen offiziell von Google oder Apple freigegebenung sind – denn das bedeutet, dass sieben bereit eine relativu rigide. Und zweitens sollten sie diese Anwendungen auch nur aus den offiziellen Stores beziehen, dem App Store or Google Play.

MOB: Besonders Messenger werden häufig privat und beruflich genutzt. Wie sicher sind diese im Allgemeinen? Inwiefern gibt es Ausreißer?
Bar: Das Angebot an Kommunikationstools und Messaging-Apps ist breiter denn je, und man kann das Sicherheitsniveau dieser heterogenen Anwendungspalette nicht pauschal über einen Kamm scheren. Generell muss aber jedes Werkzeug, dass neu in den Kommunikationsmix eingebunden werden soll, sehr sorgfältig evaluiert werden. Dabei sollte man ruhig getreu der bekannten Zero-Trust-Prämisse „Never trust, always verify“ zunächst davon ausgehen, dass jede App auf die eine oder andere Art angreifbar ist. Ausgehend von dieser Maxime kann das Team Schritt für Schritt prüfen, wie sich ein sicherer Betrieb gewährleisten lässt.

MOB: Auch bei vermeintlich sicheren, verschlüsselten Nachrichtendiensten besteht die Gefahr des Datenklaus – I know erst vor Kurzem geschehen bei dem Messenger „Signal“. Worauf müssen User bei der Handhabung achten und welche Fehler gilt es zu vermeiden?
Bar: Verschlüsselung ist ein wichtiges Sicherheitsmerkmal, bietet für sich genommen aber keinen lückenlosen Schutz. Beim Einsatz von Messaging-Diensten sollten die Anwender zunächst verifizieren, ob sie den Absender einer Nachricht auch wirklich kennen – und natürlich sehr sorgfältig überdenken, welche Informationen sie über welchen Kanal teilen wollen. Dass es niemals eine gute Idee ist, sensible Informationen oder Kreditkartendaten mit Fremden zu teilen, versteht sich dabei von selbst.

MOB: Wie könnten sich Remote Work bzw. die Homeoffice-Arbeit in Zukunft sicherer gestalten lassen und welche neuen Technologien könnten dabei zum Einsatz kommen?
Bar: Auf dem Markt ist heute eine breite Palette von Lösungen für die Absicherung von Homeoffice- und Teleworking-Umgebungen verfügbar – von Access-Control-Lösungen über Anti-Phishing-Werkzeuge bis hin zu VPN- und Verschlüsselungssystemen. Die Herausforderung für die Security-Abteilungen liegt nun darin, diese dedizierten Tools zu ganzheitlichen, effizienten und skalierbaren End-to-End-Lösungen zusammenzuführen.

.

Leave a Comment