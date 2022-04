Security-Strategien für Mobilgeräte (3)

Aus der Unternehmenswelt sind mobile Endgeräte nicht mehr wegzudenken. Smartphones begleiten uns als kleine Helfer in unserem Alltag. Doch bereits bei der Anbindung und spätestens mit der Nutzung mobiler Endgeräte muss sich der Administrator mit sicherheitskritischen Aspekten auseinandersetzen. In diesem Artikel betrachten wir die strategische Bewertung der mobilen Sicherheit und leiten konkrete Vorschläge zur Absicherung ab. Im dritten Teil geht es vor allem darum, wie sich Risiken anhand eines Modells objektiv bewerten lassen.

Mobilgeräte geraten schon seit Jahren immer mehr ins Visier von Cyberkriminellen.

Gesperrte sowie verlorene Endgeräte

Stört ein Angreifer die Verfügbarkeit einer Anwendung, spricht man von einem Denial of Service (DoS). Dies kann beispielsweise durch das gezielte Verbrauchen von Bandbreite, Speicher oder CPU-Zyklen geschehen. Derartige Angriffe lassen sich etwa durch Botnetze auch von außerhalb als Distributed Denial of Service Attacks (DDoS) durchführen.



Aber auch gezielte Angriffe auf anfällige Applikationen, die nach der Eingabe bestimmter Daten abstürzen, gehören zu einem DoS-Szenario. In Verbindung mit mobilen Endgeräten ist dieses Bedrohungsszenario sehr einfach herzuleiten. Zum einen können Dritte ein Gerät sperren, indem sie die Geräte-PIN mehrfach falsch eingeben. Dies sorgt bei modernen Endgeräten für eine Sperre des Geräts. Je öfter ein Code falsch eingegeben wird, desto länger sperrt sich das Gerät.



Auch ein verlorengegangenes Gerät, das nicht gesperrt ist, stellt natürlich ein Problem dar. Ein solches kann für Anfragen direkt im eigenen Netzwerk genutzt werden und den Angreifer so hinter die Schutzmauer der IT-Infrastruktur führen [3]. Gegenmaßnahmen auf mobilen Geräten sind hier einfach identifiziert. Verwenden Sie ein MDM-System, um die Geräte zu verwalten. Dies erlaubt es Ihnen, verlorengegangene Geräte aus der Ferne zu sperren. Außerdem können Sie einen vergessenen PIN-Code temporär entfernen. Mithilfe eines MDM-Systems lassen sich damit sowohl die Verfügbarkeit als auch die Zuverlässigkeit erhöhen.



Findet ein Angreifer einen Weg, seine Berechtigungen in Ihrer IT-Infrastruktur zu erhöhen, ist von einer Elevation of Privileges die Rede. Dabei stellen die umfangreichen administrativen Rechte das erstrebte Ziel dar. Klassisch versuchen Angreifer über sogenannte Pufferüberläufe (Buffer Overflows) höhere Rechte zu erlangen. Diesem Szenario können Sie auf einem mobilen Endgerät nur bedingt entgegenwirken. Geeignete Gegenmaßnahmen sind hier auf Backend-Seite einzuführen. Achten Sie auf robusten Code, Privilegien und Eingabeprüfungen im Infrastruktur-Backend. Eine App kann diese Tätigkeit höchstens als Komfortfunktion mitbringen. Eine App darf aber niemals entscheiden, ob sie ein bestimmtes Recht hat (oder haben soll). Dies muss immer im Backend validiert werden.



Datenschutz berücksichtigen

Mit dem Begriff Datenschutz wird das Recht des Einzelnen auf informationelle Selbstbestimmung umschrieben. Bedenken Sie, dass die Menge an personenbezogenen Daten enorm sein kann. Diese umfassen beispielsweise IP-Adresse, Geräte- und Kartenkennung (IMEI, UDID, MAC-Adresse), Mobilfunknummer, Name des Telefons, Standortdaten, Foto-/Video-/Audiodateien, biometrische Daten, Nutzungsdaten, Kontaktdaten, Kalendereinträge, Registrierungsdaten, Anruflisten, Nachrichten, Kontoverbindungsdaten und vieles mehr [4]. Es gibt keine Unterscheidung zwischen personenbezogenen Daten einer Person in ihrer jeweiligen privaten, öffentlichen oder berufsbezogenen Rolle – alle unterliegen dieser Verordnung. Im Zweifel geht die DSGVO von einem Personenbezug aus.



Dies betrifft somit nicht nur die erfassten Daten auf dem Endgerät, sondern auch die gespeicherten Daten im Rahmen der beschriebenen Maßnahmen. Als Organisation unterliegen Ihnen Aufklärungspflichten bei Datenerhebung zur wirksamen Einwilligung. Auch müssen Sie organisatorische und technische Maßnahmen treffen, um dieses Recht zu gewährleisten. An dieser Stelle kann der Artikel jedoch keine juristische Beratung leisten, wenden Sie sich hierzu an die Datenschutzexperten.