Dank der unzähligen Anwendungsmöglichkeiten werden Smartphones vermehrt auch zu geschäftlichen Zwecken verwendet. Die Anwender greifen mit ihren mobilen Mini-Computern auf Kundendatenbanken und vertrauliche E-Mails, aber auch auf interne Applikationen etwa für die Buchhaltung zu. Sie gefährden damit die Sicherheit der firmeninternen Informationen. Das ist zum einen auf mangelnde technische und organisatorische Sicherheitsmechanismen zurückzuführen.
Zum anderen liegt es aber auch daran, dass in vielen der neuen Applikationen die IT-Security nicht transparent dargestellt ist. Die Erfahrung zeigt beispielsweise, dass Anwender meistens keine oder falsche Informationen über den aktuellen Stand der Technik bekommen, wenn sie sich nach den Security-Mechanismen in den Apps erkundigen. Der Grund ist oft banal: Die Softwarehersteller wissen es selbst nicht.
Bei bestimmten Applikationen, wie zum Beispiel Apps von Apple und Nokia, setzen die Anwender die Sicherheit als selbstverständlich voraus. Doch die Anbieter stellen im Wettbewerb um die Anwendergunst zurzeit die Funktionen in den Vordergrund.
Tipps für eine sichere IT
Erstellen Sie eine Risikoanalyse für alle Daten und Services, die Mitarbeiter via Smartphone nutzen.
Softwareprodukte, die auf Smartphones ausgerollt werden, müssen nachweisbar dem aktuellen Stand der Sicherheitstechnik entsprechen.
Achten Sie bei der Neuanschaffung von Smartphones auf ein zentrales Policy-Management und dazugehörige Sperrmechanismen.
Empfehlenswert ist eine "Whitelist" für Smartphone-Applikationen.
Betriebssysteme und Anwendungen auf Smartphones ohne proaktives Patch-Management sollten auf keinen Fall zugelassen werden.
Firewall, Antivirus-Lösungen, Verschlüsselung etc. am Smartphone müssen zentral steuerbar und sicher sein. Die neuesten Untersuchungen zeigen, dass die Sicherheitssoftware immer häufiger selbst ein Risiko darstellt.
Beschränken Sie die Smartphones auf wenige Gerätetypen. So vereinfachen Sie die bestehenden Sicherheitskonzepte und deren Umsetzung.
Die Mitarbeiter sollten in regelmäßigen Abständen auf den sicheren Umgang mit Smartphones hingewiesen werden.
Vielfalt wichtiger als Sicherheit
Zeit, sich darum zu kümmern, dass die Applikationen aktuellen Sicherheitsstandards entsprechen, bleibt da nicht. Hinzu kommt, dass trotz Warnsignalen und steigender Bedrohung das Sicherheitsbewusstsein vieler Anwender erstaunlich gering ausgeprägt ist. Die Kombination aus mangelnden technischen Schutzmaßnahmen und dürftiger persönlicher Verantwortung des Smartphone-Users ist gefährlich.
Gezielte Angriffe häufen sich
Weil mit der Anzahl der SmartphoneNutzer auch die Gefahr durch Cyberattacken steigt, wurde bereits im letzten Jahr im Rahmen eines Forschungsprojekts das meistverbreitete Mobil-Betriebssystem Symbian OS genau unter die Lupe genommen. Die Sicherheitsanalyse der vorinstallierten Read-only-Memory- (ROM-) Software stellte sich als unerwartet schwierig dar, weil die entsprechenden Tools fehlten. Letztendlich mussten die Experten eigene Methoden und Werkzeuge entwickeln, um die handelsüblichen Smartphones statischen und dynamischen Sicherheitsanalysen zu unterziehen.
In einem ersten Testlauf des Toolsets wurden die in Nokia-Multimedia-Smartphones integrierten Video- und Audio-Codecs untersucht. Dabei traten Schwachpunkte auf, die es erlauben, dass sich Schadcodes auf Smartphones einschleusen und ausführen lassen. Zudem ließen sich die Folgen solcher Fehler nachweisen. Eine über MMS verschickte Videodatei kann als Basis dafür dienen, dass sich ein MMS-Wurm verbreitet, im Betriebssystem festsetzt und sich in der Folge auf andere User überträgt.
Weitere simulierte Angriffe zeigen: Qualitätsmängel der eingesetzten System- und Anwendungssoftware sind herstellerübergreifend die häufigste Ursache für Schwachstellen. Da Cyberkriminelle Sicherheitslücken in Software nicht erzeugen, sondern nur entdecken, liegt die Verantwortung eindeutig beim Softwarehersteller. Er ist daher dringend gefordert, entsprechende Gegenmaßnahmen zu ergreifen. Wichtig wären ein Softwarequalitäts-Management, das auch die Security umfasst, sowie automatische Update-Funktionen für Smartphone-Software.
Auf Security-Standards achten
Um die Sicherheitsrisiken zu reduzieren, sollten Anwender auf keinen Fall Software zweifelhafter Qualität herunterladen. Unternehmen können das Risiko durch mobile Geräte langfristig reduzieren, indem sie gegenüber ihren Lieferanten darauf bestehen, dass die Betriebssysteme und verwendeten Applikationen dem aktuellen Stand der Sicherheitstechnik entsprechen. Anerkannte Standards (zum Beispiel ÖNORM A 7700, OWASP und BSI) helfen dabei, herauszufinden, ob die jeweilige Anwendung den Sicherheitsanforderungen entspricht.
Zudem sollten die Anwender sich intensiver der "Endpoint-Security" widmen, indem sie ihre Laptops, Desktops, Smartphones und weiteren Endgeräte schützen. Dabei helfen Verschlüsselungssoftware, Sperrsoftware, Firewall und Antivirus-Tools etc. Diese Produkte sollten auf Smartphones aufgespielt und zentral gesteuert werden. Verfügt ein Unternehmen aber über kein organisatorisch verankertes Sicherheits- und Risiko-Management oder mangelt es an den nötigen Ressourcen im internen IT-Bereich und Anwendersupport, steigt automatisch die Wahrscheinlichkeit erfolgreicher Angriffe. Die wirtschaftlichen Folgen für Unternehmen können erheblich sein. (jha)