Bei den meisten Unternehmen hinkt das Risikomanagement der zunehmenden Verwendung von Smartphones und Tablets massiv hinterher.

Um es gleich auf den Punkt zu bringen: Wenn Unternehmen die Verwendung mobiler Geräte wie Smartphones und Tablets zulassen und fördern, müssen sie diese auch in ihrem Risikomanagement respektive ihre Security-Strategie mitberücksichtigen. In der Praxis ist es aber leider nach wie vor so, dass Sicherheitsverantwortliche den Schwerpunkt vor allem auf konventionelle PC-Endgeräte und Laptops legen. Selbstverständlich gibt es Risiken, die sowohl PC als auch mobile Endgeräte betreffen. Die Sicherheitsstrategie für die PC Flotte einfach auf Smartphones und Tablets auszuweiten, bleibt aber leider ohne Wirkung. Hinzu kommt, dass sich Security-Verantwortliche auch noch anderweitig in falscher Sicherheit wiegen. Sie nutzen zwar Anwendungen für das Management mobiler Geräte, gehen aber fälschlicherweise davon aus, dass ihre EMM-oder MDM-Lösungen (Enterprise Mobility Management oder Mobile Device Management) sie auch vor mobilen Bedrohungen schützen. Dem ist aber nicht so. EMM-Anwendungen sind gut darin, Geräte zu verwalten, Daten auf Geräten zu löschen, eine Aufteilung auf den Geräten zwischen persönlichen und Unternehmensdaten vorzunehmen, Zugriffe auf Unternehmensanwendungen oder Inhalte zu erlauben oder Nutzer zu authentifizieren. Klar gibt es auch bei solchen Anwendungen zur Verwaltung von Geräten und Nutzern gewisse Sicherheitsfunktionen. Einen ausreichenden Schutz aber können nur dedizierte Lösungen bieten, welche das gesamte Spektrum mobiler Risiken oder zumindest die den konkreten Anwendungsfall betreffenden Gefahren für ungewollten Datenabfluss abdecken.

Apps, Geräte und Netzwerke betroffen

Sicherheitsrisiken für mobile Plattformen sind verglichen mit traditionellen Desktops vielseitiger und stärker abhängig von herstellerspezifischen Möglichkeiten. Diese Sicherheitsrisiken betreffen nicht nur die Apps selbst, sondern finden auch auf Geräte, Netzwerk- und Web- respektive Inhalte-Ebene statt. Dabei kann es sich jeweils um Bedrohungen, Schwachstellen oder Verhaltens- und Konfigurationsrisiken handeln. So können etwa bösartige Apps Informationen auslesen, Geräte-Hardware beschädigen oder unberechtigten Fernzugriff gewähren. Apps können aber ganz einfach auch Schwachstellen enthalten. Nicht umsonst liefern namhafte Software-Hersteller regelmässig Patches, um in ihren Apps enthaltene Lecks zu schliessen. Man berücksichtige, dass dies meistens erst dann geschieht, wenn ein Vorfall die Schwachstelle an den Tag bringt. In der Zwischenzeit aber bleibt die Geräteflotte den vielfältigen Angriffen aus dem Web ausgesetzt. Erschwerend kommt hinzu, dass viele Nutzer die zur Verfügung gestellten Releases nicht installieren. So ergab beispielsweise eine vom US-Cybersecurity-Spezialisten Lookout im letzten Jahr bei Millionen verwalteter Geräte durchgeführte Auswertung, dass einen Monat nach der Veröffentlichung des Apple-Betriebssystems iOS 10.3 lediglich 57 Prozent der iOS-Nutzer ihr Betriebssystem aktualisiert hatten. Dies ist insofern besorgniserregend, da diese Version Fehler ausgemerzt hatte, welche Geräte Angriffen über mobile Netzwerke aussetzten. Auch wenn in der Praxis vielleicht nur ein kleiner Prozentsatz mit tatsächlichen netzwerkbasierten, bösartigen Bedrohungen konfrontiert war, reicht dies aus, um Daten während der Verbindung über WLAN oder Mobilfunk abzufangen. Obwohl Mechanismen wie Certificate-Pinning eine starke Verbesserung mit sich gebracht haben, nimmt die Bedeutung von Netzwerkbedrohungen zu. Dies deshalb, weil aufgrund der zunehmenden Mobilität der Mitarbeitenden die Geräte einer Unternehmensflotte länger mit fremden Netzwerken als mit dem eigenen Unternehmensnetzwerk verbunden sind.

Zum Artikel

Erschienen in Organisator 10/18, www.organisator.ch

Start typing and press Enter to search