Transformation in die Cloud - welche Cloud darf es sein?
Blickwinkel Security

Mobile Geräte als Sicherheitsrisiko?

18.08.2016

Mobile Geräte werden auch im Berufsleben schon wie selbstverständlich genutzt. Die Sicherheit bleibt dabei häufig auf der Strecke.
Cyberkriminelle haben es immer mehr auf mobile Geräte abgesehen. So können Unternehmen sich schützen.
Unterwegs die E-Mails checken, an einer Präsentation weiterarbeiten oder die neuesten Geschäftszahlen an den Kollegen schicken: Mobile Geräte zu nutzen, ist im Berufsleben inzwischen Alltag. In Deutschland, Frankreich, UK, Spanien und Italien statten drei Viertel der Unternehmen ihre Mitarbeiter mit Smartphones aus, ergab eine Studie des IT-Onlineverlags NetMediaEurope. Diese sowie Tablets und Laptops machen das Arbeiten flexibel und produktiver, bergen aber auch Risiken. Unter anderem, weil viele Mitarbeiter sorglos mit ihren mobilen Geräten umgehen.

Im Visier von Cyberkriminellen

Cyberkriminelle sind darauf längst aufmerksam geworden – und nehmen mobile Geräte immer häufiger ins Visier. Nach Angaben des IT-Verbands Bitkom ist bereits jedes zweite deutsche Unternehmen zwischen 2013 und 2015 Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Der Schaden: 51 Milliarden Euro – pro Jahr. Weltweit sind es nach Schätzungen des „Center for Strategic and International Studies“ (CSIS) mehr als 400 Milliarden Euro.
Der Sicherheit von mobilen Geräten sollte also die gleiche Aufmerksamkeit geschenkt werden wie der von Desktops. Laut des „BYOD and Mobile Security Report 2016“ von Crowd Research Partners hatte fast ein Fünftel der Unternehmen in der Vergangenheit ein Sicherheitsproblem durch unternehmenseigene Mobilgeräte oder die berufliche Nutzung privater Geräte (Bring Your Own Device).

Sicherheitsrisiko Apps

Das deutsche „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) kritisiert in seinem jährlichen Bericht zur „Lage der IT-Sicherheit in Deutschland 2015“, dass Anbieter und Nutzer funktionalen und ökonomischen Faktoren größere Beachtung schenken würden als der Sicherheit. Im Mobilbereich geht – den Sicherheitsexperten zufolge – das größte Sicherheitsrisiko von Apps aus, die nicht aus den offiziellen Stores von Apple, Google und Microsoft geladen werden.
Ein hohes Risiko bestehe auch darin, dass Hersteller Software oft nicht schnell genug aktualisieren können, um Sicherheitslücken zu schließen. „Updates werden manchmal gar nicht, oft nur für eine kurze Zeitspanne nach dem Kauf oder nur mit erheblicher Verspätung bereitgestellt“, erklärt das BSI. Darüber hinaus lauern Gefahren, wenn sich Mobilgeräte automatisch mit öffentlichen Hotspots verbinden. „Diese sind oftmals offen“, warnt das BSI. „So können die Daten unverschlüsselt übertragen und somit von unbefugten Dritten mitgelesen werden.“

Abgehörte Gespräche

Ein Sicherheitsrisiko geht auch von der Ortung mobiler Geräten aus: Cyberkriminelle könnten laut BSI in Kombination mit anderen ausgespähten Informationen ein umfassendes Bewegungsprofil des Opfers anlegen. Das Bundesamt gibt außerdem zu bedenken, dass Telefonate, die über die Mobilfunktechnologie der zweiten Generation (2G/GSM) geführt werden, auf der Funkschnittstelle abgehört werden können. In bestimmten Fällen seien auch 3G- und 4G-Telefonate abhörbar. „Beispielsweise wenn der Angreifer zunächst veranlasst, dass diese auf 2G-Standard umgeschaltet werden“, so das BSI.
Dirk Backofen, Programmleiter Portfolio Management, Engineering und Operations der Telekom Security
Für Unternehmen gilt es, sich gegen die Vielzahl von Gefahren zu schützen. Nur wie? Abwehrmechanismen müssten auch Jagd auf noch unbekannten Code machen, schreibt Dirk Backofen vom neuen Geschäftsbereich „Telekom Security“ in einem Beitrag für das Buch „Security Einfach Machen – IT-Sicherheit als Sprungbrett für die Digitalisierung“, das im Oktober 2016 in den Handel kommt. Vor allem für kleinere Betriebe ist ein eigenes Sicherheitskonzept jedoch kaum zu stemmen. Unterstützung bieten intelligente Dienste. Im Zeitalter der Digitalisierung kommt der beste Schutz gegen Angriffe aus dem Internet womöglich ebenfalls aus dem Internet, erklärt Backofen. „Sogenannte Managed Services bieten Unternehmen ein einfach einsetzbares Rundumschutzpaket aus der Cloud, das ihre Firmennetze, Daten und Anwendungen absichert sowie frühzeitig vor Cyberattacken warnt.“
Einen effektiven Schutz bieten zudem Security-Apps, deren selbstständig lernender Algorithmus durch die Echtzeitanalyse tausender Parameter im Betriebssystem auch unbekannte Risiken identifizieren kann. Die dauernde Überwachung wirkt beim mobilen Gerät praktisch wie ein Dauer-EKG beim Menschen: Die App prüft das mobile Gerät permanent auf Bedrohungen, analysiert Anomalien in einer geschützten Umgebung (Sandbox) und veranlasst im Fall des Falles durch Kommunikation mit dem Server automatisch geeignete Gegenmaßnahmen, etwa die vollständige Abkopplung des infizierten Gerätes vom Unternehmensnetz durch ein Mobile Device Management (MDM).

Trennung von Beruf und Privat

Das BSI bescheinigt Mobile-Device-Management-Systemen, sich weiterentwickelt zu haben. So kann in Kooperation mit den Herstellern vorgegeben werden, welche Apps installiert werden dürfen. MDM-Systeme adressieren zudem Szenarien mit kombinierter privater und geschäftlicher Nutzung der mobilen Geräte. Systemübergreifende Standards gibt es in dem noch recht jungen Markt zwar noch nicht. Aber: „Eine gut vorbereitete Integration eines MDM-Systems, verbunden mit kontinuierlicher Überwachung und Wartung, kann entscheidende Vorteile im Bereich der Sicherheit mobiler Geräte mit sich bringen“, so die Sicherheitsexperten.
Eine gute Kombination aus geringen Kosten und Sicherheit erhalten Unternehmen mit Cloud-Angeboten. Kostspielige und langwierige Eigenentwicklungen sind nicht mehr nötig. Stattdessen ermöglichen große Anbieter den Nutzern Zugang zu den Anwendungen in der Cloud und halten sie stets auf dem aktuellsten Stand. Auf diese Weise bleiben Unternehmen immer neuen Gefahren und Bedrohungen dicht auf den Fersen.