Wer den Schaden hat, braucht für den Spot nicht zu sorgen – Warum sich Unternehmen mit dem Schutz mobiler Geräte schwertun und was sie dringend ändern müssen

bei

 / 3. July. 2020

Sie gehören längst zur Tagesordnung – die erschreckenden Nachrichten über gehackte Behörden, ausspioniert Unternehmen und lahmgelegte Organisationen. Der mit einem Cyberangriff einhergehende Imageschaden ist beträchtlich. Dennoch reißt die Liste derer, die von einer solchen Attacke betroffen sind nicht ab. Das liegt nicht zuletzt daran, dass die Verantwortlichen in den Unternehmen das Thema Mobile Security weitestgehend ignorieren.

Bedenkt man, dass laut Gartner 80 % aller Arbeitsaufgaben bis Ende 2020 über Mobilgeräte erledigt werden[1], ist zu befürchten, dass diese Fehleinschätzung der Wichtigkeit fatale Folgen haben wird. Nach wie vor sind die mobilen Geräte ein immer größer werdendes Einfalltor für Cyberkriminelle. Langfristig kann Missachtung von Cyber-Security-Anforderungen deshalb nicht nur zum Verlust von Vertrauen, Umsatz und Know-How führen, sondern ganz leicht auch zu einem Schwund des Technologie-Vorsprungs.

Selbst wissenschaftliche Institute oder fortschrittliche Universitäten sind vor keinem Angriff gefeit. Erst im Mai erwischte es die Ruhr-Universität Bochum[2]. Während des Corona-Lockdowns wurde das IT-System der Hochschule durch einen Angriff von außen lahmgelegt. Sofort wurde das System ausgeschaltet und erst nach Tagen und entsprechenden Vorsichtsmaßnahmen sukzessiv wieder hochgefahren.

Es muss aber nicht immer so glimpflich ablaufen. Datenschützer warnen, dass Hacker die Verunsicherung durch die Corona-Pandemie gnadenlos ausnutzen[3]. Gezielte Angriffe oder böswillige Apps nutzen gerade in Krisenzeiten das Bedürfnis nach Information und durch die inzwischen kommerzielle Verfügbarkeit von Spyware-Kits, wird es Cyberkriminellen immer einfacher gemacht, zuzuschlagen.

Es muss dringend was getan werden

Aber unabhängig von diesen Beispielen unterliegen Unternehmen oft dem Trugschluss, dass ihr Mobile Device Management automatisch auch für einen ausreichenden Schutz sorgt. Dass dem nicht so ist, wissen zwar die verantwortlichen IT-Spezialisten, aber ihre Vorgesetzten sehen hier keinen dringenden Handlungsbedarf. Obwohl man in Fachkreisen Angriffsmethoden wie Phishing, Tailgating, Whaling etc. kennt, schützen Unternehmen ihre Anwender nur unzureichend vor diesen perfiden Tricks. Nun stellt sich die Frage, wieso das so ist, wenn doch regelmäßig von Hackerangriffen berichtet wird?

Vielfach liegt es daran, dass sich die übergeordneten Instanzen nicht ausreichend mit dem Thema auseinandersetzen und gutgläubig Meinungen übernehmen, ohne diese kritisch zu hinterfragen, geschweige denn, Quellen zu vergleichen.  Häufig wird der Mythos verbreitet, dass Smartphones vor bösartigen Apps geschützt sind, solange der Benutzer die Software ausschließlich aus dem App oder Google Store bezogen hat. Des Weiteren wird im Hinblick auf Apple-Geräte davon gesprochen, dass diese nie bis kaum Bedrohungen ausgesetzt sind. Doch auch hier gibt es Schwachstellen, die gerne ausgenutzt werden, wie das Apple-Problem im April gezeigt hat, als es Angreifern möglich war, mithilfe einer versendeten E-Mail das Gerät zu manipulieren (bei iOS 13 sogar ohne, dass die E-Mail dafür geöffnet werden musste).[4]

Ein Geschäftsführer oder Sicherheitsexperte kann nicht jede Bedrohung auf dem Markt kennen.  Jedoch müssen sie dafür Sorge tragen, dass Sicherheitslösungen diese Aufgabe für sie übernehmen und das Unternehmen vor Bedrohungen schützt.

Helfen kann hier sehr einfach der Einsatz einer Mobile Threat Prevention Lösung (MTP). Eine solche Lösung ist schnell und unkompliziert als Cloud- Dienst aktivierbar und sorgt dafür, dass einerseits die Daten und andererseits das Gerät sofort abgesichert sind. Das Ganze geschieht ohne, dass personenbezogene Daten in die Cloud übertragen werden. Es sind somit keine datenschutzrelevanten Probleme zu erwarten. Lediglich Metadaten werden von der Lösung verarbeitet.

Voraussetzung ist, dass die IT-Verantwortlichen die fatalen Folgen mangelnder Schutzmechanismen[5] aufzeigen. Die DSGVO und auch die hohen IT-Sicherheits-Anforderungen für die Betreiber kritischer Infrastrukturen (KRITIS) schaffen die Grundlage, diese dringend notwendigen Security Maßnahmen beim Management zu platzieren und „durchzusetzen“.

Das abschreckende Beispiel eines Hardwareherstellers zeigt, welche Folgen mangelnde Datensicherheit haben kann. Gelingt es Kriminellen die IT eines Hardwareherstellers, der von 1-2 Prozent Marge lebt, zu kapern, kann dies für dessen Business tödlich sein. Denn sollten bei diesem Angriff personenbezogene Daten betroffen sein, darf laut DSGVO eine Strafe von bis zu 4 Prozent[6] des Jahresumsatzes veranschlagt werden – eine Summe, die das Unternehmen möglicherweise in die Insolvenz treibt. Vom Imageverlust ganz zu schweigen!

So hilft Mobile Threat Prevention (MTP)

Präventionsmaßnahmen sind unerlässlich. Moderne MTP-Lösungen können Unternehmen zuverlässig vor Sicherheitsbedrohungen schützen. Es muss jedoch festgelegt werden, welche Bereiche besonders schützenswert sind. Um mobile Geräte vollumfänglich zu sichern, sollten deshalb drei folgenden Angriffspunkte unbedingt in einer Mobile Device Security Strategie berücksichtigt werden.

Device

Der erste Gedanke, der einem Mobile Security in den Sinn kommt, ist natürlich die Absicherung des Gerätes selbst. Hierbei wird zum einen die Einhaltung vordefinierter Geräte-Konfigurationen betrachtet, wie beispielsweise die Verteilung einer einheitlichen Version des mobilen Betriebssystems. Zum anderen aber auch der Schutz oder die Warnung vor Jailbreak oder Root Attacken sowie OS Exploits und Schwachstellen.

Apps

Nicht nur das Gerät kann Einfallstor für Hacker sein, sondern auch Apps, die aus dem Google- oder App-Store bezogen wurden. Eine gute MTP Lösung schützt vor bösartigen Apps und blockt diese automatisch bei einem Downloadversuch. Auch bereits installierte Apps können von der Software auf bösartige Inhalte gescannt und blockiert werden. Das Unternehmen erhält einen ausführlichen Bericht über „gefährdete“ Devices und kann unverzüglich Maßnahmen treffen.

Netzwerk

Häufig wird dem Bereich Netzwerk eine zu geringe Aufmerksamkeit in Bezug auf Sicherheit geschenkt, obwohl genau hier ein enormes Potenzial für Cyberkriminelle steckt. Nicht nur Phishing Mails oder SMS werden in der heutigen Zeit verbreitet, sondern auch kompromittierte WiFi Verbindungen. Hierunter verbergen sich scheinbar harmlose WiFi Hotspots in bekannten Umgebungen wie beispielsweise im eigenen Lieblingscafé. Auch bösartige URLs werden immer ausgeklügelter und lassen sogar Sicherheitsexperten in die Falle tappen.

Das Prinzip Hoffnung funktioniert nicht mehr

Um derartige Horrorszenarien zu vermeiden, ist eine Bewusstseinsänderung überfällig. Unternehmen müssen die im Einsatz befindlichen Technologien bzw. Strategien und ihre Wirkungskraft unter Berücksichtigung der aktuellen Bedrohungslage analysieren und schnellstmöglich erweitern. Mitarbeiter müssen mit Hilfe von Schulungen und Security Awareness Trainings über  Bedrohungen aufgeklärt und entsprechend sensibilisiert werden. Sicherheitsexperten gehen sogar so weit und empfehlen Social Hacking Angriffe zu simulieren, um herauszufinden, wie Mitarbeiter in solchen Fällen reagieren.

Oft versteckt sich hinter einer SMS mit einer Gewinnbenachrichtigung oder einem kostenlosen WLAN-Hotspot ein ausgeklügelter Cyberangriff. Auf solche und ähnliche Gefahren müssen Benutzer aufmerksam gemacht werden, um diese als Gefahr zu erkennen und entsprechend zu reagieren.

Das Prinzip Hoffnung sollte längst ausgedient haben. Anwender müssen endlich vor Cyberkriminellen mit längst vorhandenen und bewährten Technologien geschützt werden!

 

Quellen und Referenzen:

[1] Gartner, „Prepare for Unified Endpoint Management to Displace MDM and CMT“, Juni 2018

[2] WDR-Nachrichten

[3] Hacker nutzen Covid19-Krise

[4] https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Warnung_iOS-Mail_230420.html

[5] https://www.youtube.com/watch?v=9HGxB9ij3Gc&t=41s (Check Point Video „Better safe than sorry“ )

[6] DSGVO

 

Michael Krause ist Gründer und Geschäftsführer der TAP.DE Solutions GmbH