Malwareschutz mangelhaft

Android-Anwender in der Schusslinie

Simon verantwortet auf Computerwoche online redaktionell leitend überwiegend alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz. Er entwickelt darüber hinaus innovative Darstellungsformate, beschäftigt sich besonders gerne mit Datenanalyse und -visualisierung und steht für Reportagen und Interviews vor der Kamera. Außerdem betreut der studierte Media Producer den täglichen Früh-Newsletter der Computerwoche. Aufgaben in der Traffic- und Keyword-Analyse, dem Content Management sowie die inoffizielle Funktion "redaktioneller Fußballexperte" runden sein Profil ab.
Die Sicherheitsbedenken mobiler Anwender wachsen - zu Recht. Standen bis vor kurzem eher stationäre Clients auf den Wunschzetteln Krimineller, verschiebt sich die Bedrohung zunehmend in Richtung Smartphones und Tablets. Das liegt in erster Linie an der steigenden Verbreitung der Android-Plattform.

Besonders dort, wo geistiges Eigentum über mobile Endgeräte erstellt, bearbeitet und geteilt wird, fängt die heutige Palette an Mobile-Security-Tools längst nicht alle Bedrohungsszenarien ab. Im aktuellen "Mobile Malware Report 2013" von Blue Coat Systems heißt es beispielsweise, dass "mobile Bedrohungen meist noch relativ ungefährlich" seien, weil sie "das Sicherheitsmodell der Geräte noch nicht durchbrochen" hätten. Das spricht einerseits für die Entwickler der mobilen Plattformen, stellt andererseits aber auch keine Sicherheitsgarantie für die Zukunft dar. Blue Coat warnt Unternehmen deshalb im gleichen Absatz schon einmal vor: "Die Ausweitung des Sicherheitskonzepts auf mobile Geräte, um Assets und Mitarbeiter zu schützen, ist unverzichtbar".

Neal Hindocha warnt vor Third-Party-Apps.
Neal Hindocha warnt vor Third-Party-Apps.
Foto: Anja Callius Fotograf / Trustwave

Schließlich steigt die Gefährdung unaufhaltsam - insbesondere auf der Android-Plattform. Zu dieser Erkenntnis gelangt der "2013 Global Security Report" aus den "Spiderlabs" des Sicherheitszertifikatsherausgebers Trustwave: Demnach sei die Menge der entdeckten Android-Schädlinge im Jahr 2012 um 400 Prozent im Vergleich zum Jahr 2011 gestiegen (von 50.000 auf 200.000 Samples). "Diese Malware stiehlt Daten und Geld", erklärt Neal Hindocha, Senior Security Consultant in den Trustwave SpiderLabs. Zumeist seien es verdeckte Premium-SMS-Dienste, die für finanzielle Schäden auf Seiten der Anwender sorgten, die sich eine verseuchte App heruntergeladen hätten. Es handelt es sich zumeist um Anwendungen aus dem Gaming-Bereich; aber auch das Mobile Banking ist zunehmend betroffen. "Wir erwarten für die kommenden Monate eine weitere Zunahme gefährlicher Android-Apps, die in Third-Party-App-Stores angeboten werden", so Hindocha.

Wer viel lädt, verliert

Sean Sullivan enttarnt lokalisierte Apps als Malware-Schleudern.
Sean Sullivan enttarnt lokalisierte Apps als Malware-Schleudern.
Foto: F-Secure / Jukka Mykkänen

Die Meinung, dass die App Markets die größte Gefahr für Android-Anwender darstellen, teilt Sean Sullivan, Security Advisor in den finnischen F-Secure Labs. Er empfiehlt sogar einen vorsichtigen Umgang mit dem Google-eigenen Market Google Play: "Passen Sie besonders auf scheinbar lokalisierte Versionen bekannter Anwendungen auf." Es komme beispielsweise gehäuft vor, dass die in exotische Sprachen übersetzten Versionen gut bewerteter englischsprachiger Apps mit Malware versehen seien. So habe man in den Labs jüngst die dänischen Varianten diverse Wetter-Apps wie Accuweather als Malware-Schleuder ausgemacht. Im Zweifelsfall seien immer die originalen Sprachfassungen vorzuziehen, so Sullivan. Er warnt zusätzlich vor der Verwendung von Nicht-Gmail-Clients zur Abfrage von E-Mails über Android-Geräte: Hier stellten die Angreifern derzeit vermehrt Spear-Phishing-Fallen auf, indem sie den Anwendern verseuchte Apps unterjubelten, über die sie den kompletten Mailverkehr abfangen könnten.

Wer auf seinem Smartphone sowohl private als auch geschäftliche Daten vorhält, muss besonders aufpassen: Anwendungen wie WhatsApp leiten Kontaktdaten weiter und zapfen dafür auch die Informationen aus den Firmenkonten an, sofern sie nicht daran gehindert werden. "IT-Sicherheitsverantwortliche müssen wissen, wo die Gefahren der einzelnen Apps liegen und genau prüfen, welche Anwendungen sie auf den Smartphones zulassen und mit welchen Rechten diese versehen werden dürfen", schreiben die Security-Berater von Trend Micro in ihrem Februar-Whitepaper "Android-Apps: Nicht schädlich heißt nicht ungefährlich". Mit dem Black- und Whitelisting von Apps über Mobile-Device-Management-Werkzeugen können Unternehmen bereits eine Menge dieser Probleme lösen.

Infrastrukturen absichern

Thorsten Rosendahl will eine Abkehr vom Endpunkt-Fokus.
Thorsten Rosendahl will eine Abkehr vom Endpunkt-Fokus.
Foto: Cisco

Voraussetzung ist, dass die Sicherheitsverantwortlichen wissen, welche Geräte sich in ihren Netzen tummeln und mit Geschäftsdaten hantieren. Erste Lösungsansätze für umfassende mobile Schutzkonzepte erleben derzeit ihren Praxistest in den Unternehmen. Einer ist die Abkehr vom Gerätefokus und damit dem Endpoint-Blickwinkel - das empfiehlt Thorsten Rosendahl, Consultant System Engineer bei Cisco. Angesichts der Mengen unterschiedlichster Devices und Formfaktoren, die heute und auch in Zukunft in die Anwenderlandschaft drängten, sollte der Datenverkehr im Zentrum der Sicherheitsbemühungen stehen. "Wir brauchen einen Security-Fokus auf die Infrastruktur", fordert Rosendahl und mahnt im Zuge vermehrt auftretender gezielter Angriffe auf bestimmte Unternehmen oder hochrangige Mitarbeiter ein tieferes Verständnis für das Monitoring und die Trafficanalyse innerhalb der Unternehmensnetze an.

Auch die Anbieter von Security-Lösungen seien gefragt, mit zeitgemäßen Produkten auf die sich verändernde Bedrohungslage zu reagieren. Zu vieles sei noch auf einfache Sicherheitsfragen im Web- und E-Mail/Anti-Spam-Umfeld zugeschnitten. "Wir brauchen neben der Sensibilisierung der Mitarbeiter auch die richtigen Tools", fordert der Cisco-Berater. Seine dritte Empfehlung betrifft der Nutzerauthentifizierung an Clients und Netzen, egal ob mobil oder stationär: "Die IT-Welt muss hier der klassischen physischen Security endlich einmal folgen." Türschlösser und Schlüsselpläne gebe es seit Jahrzehnten, so Rosendahl, der den per se unsichereren Nutzername/Passwort-Szenarien endlich abschwören möchte. Er hält ein Umdenken in seinem Sinne mittelfristig für durchaus realistisch, zumal die dafür nötigen technischen Standards bereits jahrelang verfügbar seien.

Sergej Schlotthauer macht keinen Unterschied zwischen mobilen und stationären Geräten.
Sergej Schlotthauer macht keinen Unterschied zwischen mobilen und stationären Geräten.
Foto: EgoSecure

In das gleiche Horn stößt Sergej Schlotthauer, CEO des Lösungsanbieters EgoSecure: "Smartphones und Tablets sind aus Security-Perspektive genauso zu behandeln wie ein normaler Rechner." Es komme hier jedoch noch vielmehr darauf an, die Daten abzusichern respektive zu verschlüsseln, damit sie nicht in die falschen Hände gelangten. Die Ver- und Entschlüsselung wiederum müsse so einfach wie möglich gestaltet werden - am besten als automatische Hintergrundaktivität beim Speichern und Öffnen von Dateien.

Nicht-Android-Nutzer nicht betroffen

Dem Anwender die Verantwortung und die Sorgen abnehmen - das ist derzeit das beste Rezept dafür, dass sich ein gewisses Sicherheitsniveau im mobilen Umfeld einstellt, insbesondere auf Android-Systemen. Nicht-Android-Nutzer hingegen können noch ruhig schlafen. Was die drei anderen mobilen Betriebssysteme angeht, hält Trustwave-Experte Hindocha die Gefahr für vernachlässigbar respektive nicht gegeben: "Im iOS-Umfeld sehen wir nur Angriffsvektoren, die die Plattform selbst angehen, aber schon sehr alt sind. Für Windows Phone 8 und Blackberry 10 haben wir noch überhaupt keine Malware entdeckt." Hier kommt es deshalb vielmehr darauf an, dass Anwender nicht wissentlich oder unbeabsichtigt Daten abfließen lassen, indem sie gefährliche oder gehackte Websites besuchen und sich durch Social Engineers und Phisher über den Tisch ziehen lassen.

Was die befragten Security-Experten mobilmachenden Anwenderunternehmen sonst noch empfehlen, lesen Sie hier: