Security-Strategien für Mobilgeräte (1)

Aus der Unternehmenswelt sind mobile Endgeräte nicht mehr wegzudenken. Smartphones begleiten uns als kleine Helfer in unserem Alltag. Doch bereits bei der Anbindung und spätestens mit der Nutzung mobiler Endgeräte muss sich der Administrator mit sicherheitskritischen Aspekten auseinandersetzen. In diesem Artikel betrachten wir die strategische Bewertung der mobilen Sicherheit und leiten konkrete Vorschläge zur Absicherung ab. Der erste Teil erklärt, warum die hohe Verbreitung von Mobilgeräten angesichts immer keativerer Angreifer ein Umdenken bei Security-Konzepten erfordert.

Mobilgeräte geraten schon seit Jahren immer mehr ins Visier von Cyberkriminellen.

Anforderungen durch die Digitalisierung oder auch schlichtweg der Druck, im Zuge des zunehmenden Fachkräftemangels engagierte und motivierte Mitarbeiter akquirieren und halten zu können, führen dazu, dass Geräteklassen, die vor wenigen Jahren noch als Spielzeug belächelt wurden, in die Unternehmensinfrastrukturen integriert werden. Die dadurch gewonnene Flexibilität birgt naturgemäß auch Risiken. Risiken, bei denen die über die Jahre lieb gewordenen Antworten der IT-Sicherheit nicht helfen.



Mobilgeräte erfordern Umdenken

Galt früher das Credo, dass der beste Schutz gegen Angriffe eine nach außen hin gut abgesicherte (gehärtete) Infrastruktur sei, ist heutzutage ein radikales Umdenken erforderlich. Die mobilen Endgeräte in der Hosentasche machen dies nötig.



Die Bedrohungen haben sich nun von der Netzwerk- auf die Applikationsebene (Apps) verlagert. Firewalls, Proxys und Antivirus bieten hier höchstens einen grundlegenden Schutz. Gegen ungewollte Datenabflüsse und Angriffe auf mobile Clients helfen sie aber nicht.



Beim Einsatz von Smartphones im Unternehmen ergibt sich eine Vielzahl von Bedrohungen. Einige sind aus dem klassischen PC-Umfeld bekannt, andere begründen sich vor allem durch den mobilen Charakter der Geräte – Smartphones können leicht verloren gehen oder gestohlen werden. Einem Angreifer mit physischem Zugang zum Gerät bieten sich andere Zugriffsvektoren als einem entfernten Angreifer. Smartphones im Unternehmenseinsatz beherbergen oft zahlreiche vertrauliche Informationen, die vor Zugriffen Unbefugter zu schützen sind. Dies sind beispielsweise Unternehmens-E-Mails und daran angehängte Dokumente.



Die Leistungsfähigkeit von Smartphones hat in den letzten Jahren so stark zugenommen, dass auf ihnen nicht nur E-Mails, sondern auch klassische Büroanwendungen wie Textverarbeitung oder Tabellenkalkulation Verwendung finden. Eine weitere Eigenheit beim Einsatz von Smartphones im Unternehmen ist, dass Anwendern oftmals auch die private Nutzung der Geräte gestattet ist und sie eigene Apps installieren. Ob wir nun das Szenario "Bring Your Own Device" (BYOD) oder "Corporate Owned, Personally Enabled" (COPE) betrachten – Malware kann auf vielfältige Weise auf das Smartphone gelangen und Zugriff auf Unternehmensdaten erlangen. Angreifern steht eine Vielzahl verschiedener Einfallstore offen, um ihre Ziele zu erreichen. Es ist wichtig, diese möglichen Sicherheitslücken zu kennen, um sie mit passenden Maßnahmen zu schließen. Hierzu zählen unter anderem technische sowie logische Schwachstellen.



Bei technischen Schwachstellen erfolgt ein Angriff durch unmittelbaren Zugriff auf das Endgerät. Ein typisches Beispiel ist der Zugriff auf die Speicherkarte eines Smartphones oder dessen SIM-Karte. Hierzu muss der Angreifer meist nur wenige Minuten lang in den Besitz der Hardware gelangen. Für logische Schwachstellen hingegen wird kein physischer Zugriff auf das Endgerät benötigt.



Unter logische Schwachstellen fallen konzeptionelle Fehler innerhalb der Sicherheit eines Systems. Dadurch sind auch mehrere potenzielle Opfer gleichzeitig effizient angreifbar – auch wenn natürlich der gezielte Angriff eines speziellen Opfers ebenso möglich ist. Um das Gerät oder die bereitgestellte Infrastruktur zu attackieren, kann ein Angreifer die unterschiedlichsten Schwachstellen in Software, Schnittstellen oder Systemdiensten ausnutzen.