Jeder zweite Mitarbeiter verwendet beim mobilen Arbeiten ein Smartphone oder Tablet. Die Mehrzahl greift dabei im Rahmen des Modells Bring Your Own Device (BOYD) auf private Geräte zurück. Denn lediglich jede fünfte Person wird vom Arbeitgeber mit einem mobilen Endgerät ausgestattet.
Das geht aus der Studie „Mobile Readiness for Work 2019“ des Beratungsunternehmens Deloitte hervor und ist ein echter Sicherheits-GAU: Mobile Devices, die nicht ausreichend abgesichert sind, bieten eine große Angriffsfläche für Cyberkriminelle. Laut Security Report 2020 waren knapp ein Drittel der befragten Organisationen im vergangenen Jahr von Cyber-Angriffen auf mobile Geräte betroffen. Zuletzt musste sich Amazon-Gründer Jeff Bezos mit der Bedrohung auseinandersetzen, als sein iPhone vermutlich via WhatsApp-Video gehackt wurde.
Die mobile Zugriffsmöglichkeit auf Unternehmensnetzwerk oder -cloud und damit auf sensible Daten macht die smarten Endgeräte zu einem interessanten Angriffsziel. Eine Attacke auf die Mobile Devices schadet nicht nur dem Unternehmensimage, sondern kann auch zu hohen wirtschaftlichen Verlusten führen. In der Praxis stellen wir vor allem drei Schwachstellen fest: WLAN, Web & Content und Apps.
WLAN, Web & Content: offene Einfallstore für Kriminelle
Sogenannte Man in the Middle-Angriffe (MITM) sind nach wie vor eine beliebte Masche von Hackern. Nutzer, die sich in ein öffentliches oder fremdes WLAN – beispielsweise am Flughafen oder im Café – einloggen, öffnen die Türen für diese Art von Angriffen. Über eine Sicherheitslücke im Router oder über einen Hotspot, der eigens für kriminelle Absichten eingerichtet wurde, verfolgt der Angreifer die Kommunikation zwischen dem Anwender und dem Router. Besonders tückisch: Hat der Nutzer die WLAN-Funktion auf seinem Mobilgerät aktiviert, sucht es automatisch nach Netzen in der Umgebung und stellt – je nach Geräteeinstellung – ohne Zutun des Nutzers eine Verbindung her.
In den vergangenen Jahren haben darüber hinaus Phishing-Angriffe in Deutschland stark zugenommen. Über gefälschte Websites sowie über E-Mail, SMS, WhatsApp, Facebook und Co. verbreitete Links verschaffen sich Angreifer einen Zugang zu sensiblen Informationen wie E-Mails, Passwörter oder Videokonferenzen.
Apps: Datenklau leicht gemacht
Nutzen Mitarbeiter ihr privates Handy im geschäftlichen Umfeld oder besitzen sie weitreichende Zugriffsrechte auf dem unternehmenseigenen Mobilgerät, besteht die Gefahr, dass sie (unbeabsichtigt) unsichere Apps installieren. Diese sind vorgeblich kostenlos oder werbefrei – tatsächlich aber besteht der Business Case der Entwickler im Abgreifen von Daten. „Sideloaded Apps“, also Apps, die nicht aus den offiziellen App Stores kommen, bergen dabei ein besonders hohes Risiko. Laut Deloitte-Studie werden gerade einmal 17 Prozent der von den Mitarbeitern genutzten Anwendungen vom Unternehmen selbst bereitgestellt.
Smartphones richtig schützen
Um die Sicherheit und den Betrieb der mobilen Endgeräte sicherzustellen, setzen große Unternehmen häufig auf ein umfassendes Enterprise Mobility Management (EMM) oder Unified Endpoint Management (UEM). Neben der professionellen Einrichtung und Verwaltung der Mobile Devices können Unternehmen damit transparent nachverfolgen, welches firmen- oder mitarbeitereigene Mobilgerät auf Unternehmensressourcen zugreift. Die IT-Abteilung erhält die nötige Kontrolle, um die Devices umfassend zu steuern und abzusichern. Dazu gehört auch, die Geräte zu verschlüsseln, starke Passwörter zu hinterlegen, Jailbreaks zu erkennen und im Notfall die Daten remote zu löschen. Bei Bedarf lassen sich auch E-Mail-Profile und WLAN-Verbindungen zentral steuern.
Mit der Integration von Mobile-Threat-Defense (MTD) in die bestehende Management-Lösung wird der Schutz noch erhöht. MTD-Systeme identifizieren app- und netzwerkbasierte Bedrohungen, erkennen gerootete Geräte sowie riskante Gerätekonfigurationen und schützen vor Cyber-Attacken. Dafür analysieren sie beispielsweise installierte Apps auf Schadbestandteile, überwachen Netzwerkaktivitäten und sperren bei Bedarf ausgewählte Funktionen und Zugriffe.
Ab in den Container
Bei kleinen und mittelständischen Unternehmen eignen sich insbesondere Container-Lösungen, um die mobilen Endgeräte vor unbefugten Zugriffen zu schützen. Denn der administrative und finanzielle Aufwand ist vergleichsweise gering. Spätestens wenn der Arbeitgeber die private Nutzung von Firmen-Smartphones gestattet, ist eine Container-Technologie ein absolutes Muss. Die Anwendungen helfen dabei, geschäftliche Informationen auf Smartphones in einem verschlüsselten Bereich abzuschirmen. Berufliche E-Mails, Kontakte, Kalender, Dokumente und Fotos sind von privaten Daten und Anwendungen strikt getrennt. Darüber hinaus lässt sich so verhindern, dass Mitarbeiter aus dem Container auf private Apps zugreifen und Daten in den ungesicherten Bereich übernehmen, zum Beispiel durch Copy-and-Paste. Während vor einigen Jahren vor allem externe Anbieter den Markt mit Container-Lösungen dominierten, bieten große Betriebssystemhersteller wie Android und Apple im Rahmen einer Mobile-Device-Management-Lösung inzwischen eigene Technologien zur Datentrennung an.
Unabhängig davon, für welche Option sich Unternehmen entscheiden, müssen sie Verantwortung für die mobile Infrastruktur übernehmen und Mitarbeiter sowie Führungskräfte für Sicherheitsrisiken sensibilisieren. Denn nur mit einem durchdachten Sicherheitskonzept können Mitarbeiter ohne Risiko Smartphones im Mobile Office verwenden.