Mobile Security

Jedes zweite Unternehmen hat ein nicht-konformes Gerät im Einsatz

Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Eine Untersuchung von MobileIron Security Labs (MISL) deutet an, dass neben den Möglichkeiten auch die Risiken von mobilen Geräten vielerorts unterschätzt werden. So gibt es in mehr als der Hälfte der Unternehmen mindestens ein nicht kompatibles Gerät, das damit eine größere Angriffsfläche für Malware, Exploits und Datendiebstahl bietet.
Wenn ein Nutzer die PIN-Eingabe deaktiviert, öffnet er indirekt ein Einfallstor für Angreifer.
Wenn ein Nutzer die PIN-Eingabe deaktiviert, öffnet er indirekt ein Einfallstor für Angreifer.
Foto: Georgejmclittle - shutterstock.com

Ein Mobilgerät kann aus vielerlei Gründen die Unternehmens-Richtlinien verletzen: Ein Benutzer kann den PIN-Schutz deaktiviert oder das Gerät verloren haben oder er hat versäumt, die auf dem Gerät installierten Richtlinien auf dem aktuellen Stand zu halten, um nur einige Beispiele zu nennen. Damit vergrößert sich jedoch automatisch die Angriffsfläche für das Einschleusen von Schadsoftware oder Exploits und die Möglichkeiten für Angreifer, Daten zu stehlen, nehmen zu.

"Ein großes Risiko besteht nicht zuletzt darin, dass die Unternehmen den Ernst des Problems unterschätzen", betont Mike Raggo, Leiter der neu gegründeten Forschungsabteilung des EMM-Anbieters MobileIron. So stelle ein einziges Problem-Gerät, das unentdeckt bleibt, eine Sicherheitslücke dar und könne Schadsoftware in das Unternehmensnetz schleusen oder dem Diebstahl sensibler Unternehmensdaten hinter der Firewall Vorschub leisten. "Eine Sicherheitslücke ist eine Sicherheitslücke", konstatiert Raggo, ganz gleich, ob eine Firma Millionen Datensätze verliere oder nur einen einzigen. Dies sei ein großes Problem für alle Unternehmen, vor allem solche in stark regulierten Branchen.

Die Vielfalt der mobilen Bedrohungen
Die Vielfalt der mobilen Bedrohungen
Foto: MobileIron

Steigende Zahl der Problem-Geräte

Was laut MobileIron Security Labs (MISL) erschwerend hinzukommt: Der Anteil der gefährdeten Mobilgeräte, der Gerätesicherheitslücken und der Apps mit Schadsoftware nimmt zu - und damit steigt auch die Möglichkeit von Angriffen. So habe es zu Beginn des vierten Quartals 2015 in einem von zehn Unternehmen mindestens ein via Jailbreak (iOS) oder Rooting (Android) manipuliertes Gerät gegeben. Während des Quartals erhöhte sich dann die Zahl der Unternehmen mit solchen Problem-Geräten um 42 Prozent.

Zur selben Zeit setzten kriminelle Angreifer verschiedene Tools ein, die die Identifizierung solcher manipulierter Geräte erschweren sollen. Die MobileIron Security Labs haben sowohl verschiedene Spielarten von Jailbreaking-Tools gefunden als auch von Tools, die das Aufdecken von manipulierten Geräten verschleiern sollen. Die Absicht ist klar: die Unternehmen sollen sich in einem trügerischen Gefühl von Sicherheit wiegen.

Die weltweit bei MobileIron-Kunden vorgenommene Untersuchung (Registrierung) ergab außerdem, dass über 95 Prozent der Unternehmen keinen Schutz gegen mobile Schadsoftware nutzen. Weniger als zehn Prozent erzwingen ein regelmäßiges Patching, sodass die entsprechenden Geräte verwundbar für Datenabflüsse sind. In 22 Prozent der Firmen gab es zudem Benutzer, die den PIN-Schutz auf ihrem Gerät und damit die erste Verteidigungslinie entfernt haben.

Blacklisting - der Wettlauf zwischen Hase und Igel

Wie die Untersuchung zudem zeigte, versuchen Unternehmen immer noch mit alten Sicherheitskonzepten den Bedrohungen von Mobilgeräten der nächsten Generation zu begegnen. Ein gutes Beispiel dafür ist der Versuch, mit dem Blacklisting von EFSS-Apps (Enterprise File Sync & Share) wie Dropbox oder Box die Gefahr des Datenverlusts durch Speichern in der privaten Cloud zu reduzieren. MobileIron weist zu Recht darauf hin, dass dieses Konzept dem Wettlauf zwischen Hase und Igel gleicht: Es gibt so viele EFSS-Apps und Dienste, dass eine Blacklist-Richtlinie niemals alle davon erfassen kann. Wenn gewollt, finden die Benutzer mit Sicherheit eine andere EFSS-App, um ihre Unternehmensdaten in der Cloud zu speichern.

Die Top-10 der Apps, die in den Unternehmen auf die Schwarze Liste (Blacklist) gesetzt werden.
Die Top-10 der Apps, die in den Unternehmen auf die Schwarze Liste (Blacklist) gesetzt werden.
Foto: Screenshot/MobileIron

Fazit: Gefahr erkannt, Gefahr gebannt

Das Pikante der teilweise erschreckenden Untersuchungsergebnisse: Der Bericht basiert auf aggregierten anonymisierten Nutzerdaten von MobileIron-Kunden. Mit anderen Worten: Da die Unternehmen eine EMM-Lösung installiert haben, verfügen sie im Allgemeinen über viele der benötigten Funktionen - sie müssen sie nur kennen und aktivieren. Hier die Empfehlungen von MobileIron:

  • Erzwingen Sie die Durchsetzung der Compliance-Richtlinien und stellen Sie Geräte in Quarantäne, die die Compliance-Anforderungen nicht erfüllen.

  • Verzichten Sie auf Blacklists für private Cloud-Speicher und nutzen Sie stattdessen die von der EMM-Plattform angebotenen, verwalteten App-Lösungen oder eine Kapselung in Containern, um den Mitarbeitern eine sichere Cloud-Speicherlösung für Unternehmen anzubieten. Ein weiterer Vorteil dabei ist, dass die Unternehmensdaten von privaten Daten getrennt bleiben.

  • Ergänzen Sie eine Lösung zur Prüfung der App-Reputation oder zur Vermeidung mobiler Bedrohungen, die sich in Ihre EMM-Lösung integriert. Solche Lösungen erkennen Apps mit Schadsoftware, Malware, App-Risiken, Netzwerkangriffe usw.

  • Erzwingen Sie Patches für Ihre verwalteten Geräte. Sie müssen dazu auf der EMM-Konsole die gewünschte Mindestversion des Betriebssystems einstellen. Bei iOS ist dies ganz einfach, bei Android-Betriebssystemen aufgrund der Fragmentierung komplexer.

 

hirnwuehler

Also ich würde die Anzahl wesentlich höher (mindestens 90 %) ansetzen.
Wer kennt nicht Orwell's "Animal Farm"?
Um ein höheres Maß an Sicherheit zu erhalten müssen zuerst diejenigen welche die Sicherheitsvorgaben verantworten sich selbst an die Regeln halten und selbst die Admins sollten ihre Position nicht ausnutzen um sich selbst dem Regelwerk zu entziehen.
Nicht zuletzt sollte man auch die Finger von Lösungen lassen welche die Umsetzung der vorhandenen Security Vorgaben nicht unterstützen anstatt die Security Anforderungen zu reduzieren. Die passiert weil gerade das Wunschprodukt dies (noch) nicht hat, aber aus vermeintlich strategischen Gründen als Entscheider nicht den "A... in der Hose hat" seinen Fehler bei der Entscheidung zuzugeben. Hauptsache man hat zig-tausende Geräte termingerecht in Umlauf gebracht.

comments powered by Disqus