In Zeiten, in denen Smartphones, Tablets und Wearables unser Leben zunehmend durchdringen, wird es auch immer schwieriger, die IT-Sicherheit für diese Devices sicherzustellen. Jedes mobile Gerät ist ein potentielles, neues Angriffsziel für Hacker, die auf der Jagd nach persönlichen Informationen oder Unternehmensdaten sind.
So schützen Sie Smartphone, Tablet & Co.
Die Zahl der Hackerangriffe und Datenlecks steigt kontinuierlich - sämtliche Branchen sind davon betroffen, egal ob Gesundheitswesen, Finanzbranche oder Regierungsinstitutionen. Die Folgen sind massive finanzielle Schäden und Reputationseinbußen. Umso wichtiger ist es - nicht nur im Unternehmensumfeld - einige grundlegende Mobile-Security-Regeln zu beachten. Sinan Eren, Vice President von Avast Software und General Manager von Avast Mobile Enterprise, gibt Ihnen sieben Tipps, wie Sie Ihr Smartphone, Tablet oder Wearable vor Hackerangriffen schützen können.
- Offenes Verderben
Öffentliche WLAN-Netzwerke stellen einen verbreiteten Angriffsvektor für Hacker dar, die auf der Suche nach privaten Daten sind. Sie sollten also wenn möglich stets den Umweg über VPN nehmen. Avast Software hat im Vorfeld des Mobile World Congress 2016 ein Experiment dazu am Flughafen von Barcelona durchgeführt. Das Ergebnis: Tausende MWC-Besucher hatten die Gefahr aus Bequemlichkeit ignoriert und ihre Devices und Daten aufs Spiel gesetzt. - Datenverzicht
Wo keine Daten sind, kann auch nichts gestohlen werden, verloren gehen oder missbraucht werden. Die erste Generation von Security-Lösungen für Mobile Devices versuchten die Geräte komplett abzuschirmen, um die Daten zu schützen. Inzwischen wissen wir, dass Device Management alleine nicht genügt. Verschiedene mobile Geräte und Betriebssysteme zu managen, kann dafür sorgen, dass IT-Abteilungen mit Anfragen überhäuft werden. Das wiederum fördert die allgemeine IT-Sicherheit in den betreffenden Unternehmen. Nicht. - Nonstop-No-Go
Ein weiterer Weg, Hacker vor den Kopf zu stoßen: Sorgen Sie dafür, dass Ihre Applikationen möglichst wenig Angriffsfläche bieten. Dazu sollten Sie sicherstellen, dass die Cyber-Bösewichte nicht massig Zeit haben, um einen strategischen Pfad zu Ihrer IP zu finden. Indem Sie dauerhafte Verbindungen gar nicht erst zulassen, machen Sie es den Angreifern schwer. - Vollstreckungsbescheid
Einer der schnellsten und einfachsten Wege, um Kontrolle über mobile Applikationen zu gewinnen: Prüfen Sie Ihre Richtlinien! Jedes Unternehmen sollte über einfach durchsetzbare Richtlinien verfügen, die sowohl den Zugriff der Mitarbeiter auf Mobile Apps als auch den Ressourcen-Zugriff der Applikationen selbst abdeckt. Angestellte, die nur über eine absehbare Zeit im Unternehmen sind, brauchen zum Beispiel keinen Zugriff auf das gesamte Netzwerk - stattdessen sollten sie nur auf die Applikationen zugreifen können, die sie für ihre Aufgaben benötigen. Übergreifende Berechtigungen von Third-Party-Apps sollten übrigens ebenfalls der Kontrolle der IT-Abteilung unterliegen und nicht den Mitarbeitern beziehungsweise Usern. - Schlüssel zum Glück
Security-Entwicklertools sind eine wunderbare Sache, wenn es um den Schutz Ihrer Daten geht. Mit jedem IT-Sicherheits-Layer wird es für die Netzschurken schwieriger, auf die Daten zuzugreifen. Klingt eigentlich logisch, oder? Und trotzdem ist das alles andere als "Business as usual". - Fusionsküche
IT-Sicherheit und der App-Entwicklungsprozess werden immer noch getrennt voneinander betrachtet. Dabei sollte Security längt im gesamten Entwicklungsprozess integriert sein - von den ersten Tests über die eigentliche Produktion bis hin zur Übermittlung an den App Store. Den Aspekt der IT-Sicherheit nicht in den Gesamtprozess mit einzubeziehen, kommt einem gewaltigen Fail gleich. Nur damit Sie Bescheid wissen. - Fremde Federn
Entwickler setzen bei der App-Entwicklung oft auf Komponenten von Dritten - zum Beispiel, wenn es um File-Format-Parsing oder Kompression geht. Diese modularen Bestandteile passen den Apps meist wie ein gut eingetragenes Paar Kampfhandschuhe und es wäre nicht effizient, diese jedesmal neu zu entwerfen. Allerdings sollten Ihre Entwickler in diesem Fall auf jeden Fall überprüfen, dass jede Komponente von Drittherstellern auf dem neuesten Stand ist. Auch nach Release!
Mobile Apps als Einfallstor für Hacker
Im vergangenen Jahr kam eine TecChannel-Umfrage unter mehr als 600 IT-Entscheidern zu dem Ergebnis, dass das Thema Mobile Security in vielen deutschen Unternehmen sträflich vernachlässigt wird. Dabei nahmen die Befragten den Diebstahl von Daten, Malware- und Viren-Befall sowie den Verlust mobiler Devices als die drei größten Sicherheitsrisiken wahr. Geht es hingegen um Mobile Apps, sanken die Sicherheitsbedenken der Befragten auf ein erstaunlich niedriges Niveau: Ganze 60 Prozent der Befragten bewerten das Sicherheits-Risiko, das von mobilen Applikationen ausgeht, lediglich als gering.
Eine aktuelle Studie von Techconsult kommt zu einem ganz ähnlichen Ergebnis: Unternehmen haben Probleme, wenn es darum geht, den Zugriff auf Daten über Mobilgeräte standesmäß abzusichern. Zwei Drittel der Unternehmen sehen laut der Umfrage bei Verschlüsselung, Mobile Device Management sowie der Integration privater Mobile Devices massive Probleme in der Umsetzung.
- Mobile Anwendungen
Die Mobilisierung von Geschäftsprozessen bekommt einen immer größeren Stellenwert für Unternehmen. - Mobile Probleme
Gleichzeitig hat die Mehrheit der Firmen massive Probleme mit der Umsetzung. - Berufliche - private Nutzung/Geräte
Die Nutzungsformen ByoD und COPE sind in den meisten Unternehmen inzwischen etabliert. - Mischung von privaten und geschäftlichen Daten
Mangels geeigneter Lösungen nehmen viele Unternehmen eine Vermischung privater und geschäftlicher Daten in Kauf.
Smartphone-Hack per Sprachbefehl
In Zukunft könnte auf Smartphone-Besitzer außerdem eine neue Angriffsart zukommen: der Remote-Hack per Sprachbefehl. Wissenschaftler der Universität Georgetown haben herausgefunden, dass ein solcher Hack sogar über ein einfaches Youtube-Video ausführbar wäre. Die ausführlichen Ergebnisse ihrer Untersuchungen haben die Forscher im Web veröffentlicht. Zudem gibt es eine Video-Demonstration des Smartphone-Voice-Hacks:
Diese Art des Angriffs könnten Hacker zum Beispiel dazu nutzen, die Smartphones ihrer Opfer per Sprachbefehl auf Schadseiten zu führen oder deren User über Foto- und Videoaufnahmen auszuspähen. Dabei dürfte auch bei diesem Vorgehen der Grundsatz "Die Masse macht’s" zur Anwendung kommen, wie Micah Sherr, Professor an der Uni Georgetown und Co-Autor der Untersuchung, in einem Statement unterstreicht: "Wenn eine Million Menschen ein Katzenvideo mit einem eingebetteten, geheimen Voice Command ansehen, haben vielleicht 10.000 davon ihr Smartphone zur Hand. Wenn nur die Hälfte davon auf eine bösartige URL gelockt wird, hat ein Hacker plötzlich 5.000 Smartphones unter seiner Kontrolle.
Um solchen Voice-Command-Hacks entgegenzuwirken, wären verschiedene Lösungen denkbar. Die Georgetown-Forscher schlagen etwa vor, dass die Entwickler der Spracherkennungs-Software einen Filter einsetzen, der menschliche von computergenerierter Sprache unterscheidet.
Mit Material von csoonline.com & IDG News Service