Beispiele für Bedrohungen
Im Folgenden finden Sie einige beispielhafte Bedrohungen, die Unternehmen beim Einsatz von Smartphones und Apps bedenken sollten:
1. Datenspionage durch die Cloud
Neben der massenhaften Erhebung und Speicherung von Kommunikationsdaten durch die NSA und andere Geheimdienste sind insbesondere Cloud-Dienste anfällig für Spionageattacken. Die bekannten Cloud-Anbieter haben ihren Sitz in den USA und unterliegen somit dem Patriot Act. Sie müssen die Daten ihrer Nutzer auf Anfrage der Regierungsbehörden jederzeit herausgeben, auch ohne den konkreten Verdacht einer Straftat.
Dass diese Möglichkeiten in der Vergangenheit verstärkt missbraucht wurden, ist hinreichend bekannt. Cloud-Dienste sollten nur verwendet werden, wenn der Anbieter in Deutschland oder mindestens in Europa sitzt und die abgelegten Daten hochverschlüsselt sind, so dass selbst der Betreiber keine Möglichkeit der Einsicht hat.
2. Systematische Angriffe auf E-Mail-Accounts
Im Januar 2013 berichtete die New York Times, dass über den Zeitraum von vier Monaten ihre E-Mail-Accounts systematisch ausspioniert wurden. Seit Februar 2014 wird REWE mit Daten erpresst, die ein Hacker aus dem E-Mail-Account eines Vorstandmitglieds gestohlen hatte. Ob dies über einen stationären Zugriff oder den Zugang über sein Smartphone geschehen ist, ist bisher nicht bekannt. Es macht jedoch deutlich, wie wichtig eine vernünftige Absicherung der Smartphones und Email-Apps ist.
- Die 5 größten BYOD-Fallen
Bring your own Device ohne Stress gibt es nicht, dazu existieren zu viele Sollbruchstellen. Möglich ist aber - und zwar für Arbeitgeber und Arbeitnehmer - die gängigsten Fallen in diesem Zusammenhang zu entschärfen beziehungsweise ihnen auszuweichen. - Falle 1: Offene Türen für jede Art von App
Wer immer Angry Bird auf seinem iPhone gespielt hat, will nicht plötzlich damit aufhören, nur weil er das Gerät jetzt auch im Job einsetzt. Nun stiehlt der wütende Vogel lediglich Zeit, andere Apps sind dagegen gefährlich, Dropbox zum Beispiel. Wer sein iPhone beruflich nutzen will, muss Einschränkungen hinnehmen. Um dessen Akzeptanz zu erhöhen, sollte die Policy nicht rigider sein als nötig, aber ohne Blacklists und Whitelists für Apps geht es nicht. - Falle 2: Big Brother is watching you
Das sogenannte Geofencing, also die Möglichkeit, einem iPad bestimmte Zugriffe in Abhängigkeit von seinem Standort zu erlauben oder zu verbieten, ist praktisch, aber unbeliebt. Weil der Chef dadurch auch weiß, wo sich der Besitzer des Geräts gerade aufhält. Allerdings gibt es die Möglichkeit, das Monitoring nur während der Arbeitszeit einzuschalten. - Falle 3: Hohe Kosten durch mangelnde Kontrolle
Mitarbeiter, die auf irgendwelche Download-Fallen hereinfallen oder oder ohne betriebliche Erfordernis kostenpflichtige Nummern anrufen, müssen diese Kosten auch dann selbst tragen, wenn das ganze unabsichtlich geschah. Generell gibt es in den meisten Unternehmen kaum sinnvolle Anlässe, um mit mobilen Endgeräten große Datenmengen woher auch immer downzuloaden. - Falle 4: Jeden Mist ins Netzwerk einbinden
Natürlich liegt der Charme von BOYD in der Wahlmöglichkeit; jeder kann sich aussuchen, welches Gerät (zu) ihm am besten passt. Und der Chef erreicht den Abteilungsleiter vielleicht auch mal am Wochenende. In jedem Fall muss der CIO die Möglichkeit haben, sämtliche Geräte, die im Unternehmensnetzwerk angemeldet werden sollen, vorher zu checken. - Falle 5: Schlechte oder gar keine Kommunikation
Angestellte müssen wissen, was genau überwacht wird und was nicht, welche Apps potenziell gefährlich sind für ein Firmennetzwerk und welche unbedenktlich, welche Geräte und Betriebssysteme akzeptiert werden und welche nicht. Was passiert bei Verlust? Wie sie die Regeln beim Ausscheiden aus der Firma und welche Sanktionen drohen dem, der sich nicht an die Regeln hält.
3. Übermittlung der Standortdaten (GPS)
Die unverschlüsselte Übermittlung von Geo-Daten ist eine der häufigsten, unbemerkten Sicherheitslücken in Smartphone Apps. Für Unternehmen ergibt sich daraus das Risiko der Überwachung von Mitarbeitern und somit der Verlust vertraulicher und schützenswerter Informationen.
Hinzu kommt, dass durch die Erhebung von Standortdaten nicht nur der aktuelle Aufenthaltsort ermittelt, sondern auch der zukünftige vorhergesagt werden kann, was kürzlich Britischen Studenten eindrucksvoll geglückt ist. Sie konnten auf Basis von Telefonnummern, GPS-Verläufen, Anrufen, versendeten SMS, Adressbüchern sowie Bluetooth- und WLAN-Verbindungen bei 200 freiwilligen Smartphone-Nutzern in einer Genauigkeit von bis zu drei Metern vorhersagen, wo sich der Nutzer zukünftig befinden wird.
4. Internationale Spionage
Immer häufiger finden Sicherheitsexperten chinesische Schadsoftware auf Geräten mittelständischer Unternehmen. In diesem Fall steht das Ziel der Industriespionage im Vordergrund, was sich nicht zuletzt in der Marktüberschwemmung mit Plagiaten manifestiert. Vertrauliche Konstruktionszeichnungen und Fotos aus Forschungsabteilungen stehen hoch im Kurs.
Diese Bedrohung ist eins von vielen Beispielen, bei denen die Gefahr aus dem stationären PC-Bereich auf die mobile Infrastruktur übergeht. Einige Unternehmen schützen sich bereits vor diesen Gefahren, indem sie die Smartphone-Kameras deaktivieren. Da jedoch sensible Daten wie Fotos und Zeichnungen nicht nur per Kamera sondern über E-Mails, Cloud-Dienste oder Messenger-Apps auf die Geräte gelangen, sollte die Software-Seite ebenso gewissenhaft überprüft werden.