Fachartikel

Security-Strategien für Mobilgeräte (1)

Aus der Unternehmenswelt sind mobile Endgeräte nicht mehr wegzudenken. Smartphones begleiten uns als kleine Helfer in unserem Alltag. Doch bereits bei der Anbindung und spätestens mit der Nutzung mobiler Endgeräte muss sich der Administrator mit sicherheitskritischen Aspekten auseinandersetzen. In diesem Artikel betrachten wir die strategische Bewertung der mobilen Sicherheit und leiten konkrete Vorschläge zur Absicherung ab. Der erste Teil erklärt, warum die hohe Verbreitung von Mobilgeräten angesichts immer keativerer Angreifer ein Umdenken bei Security-Konzepten erfordert.
Mobilgeräte geraten schon seit Jahren immer mehr ins Visier von Cyberkriminellen.
Anforderungen durch die Digitalisierung oder auch schlichtweg der Druck, im Zuge des zunehmenden Fachkräftemangels engagierte und motivierte Mitarbeiter akquirieren und halten zu können, führen dazu, dass Geräteklassen, die vor wenigen Jahren noch als Spielzeug belächelt wurden, in die Unternehmensinfrastrukturen integriert werden. Die dadurch gewonnene Flexibilität birgt naturgemäß auch Risiken. Risiken, bei denen die über die Jahre lieb gewordenen Antworten der IT-Sicherheit nicht helfen.

Mobilgeräte erfordern Umdenken
Galt früher das Credo, dass der beste Schutz gegen Angriffe eine nach außen hin gut abgesicherte (gehärtete) Infrastruktur sei, ist heutzutage ein radikales Umdenken erforderlich. Die mobilen Endgeräte in der Hosentasche machen dies nötig.

Die Bedrohungen haben sich nun von der Netzwerk- auf die Applikationsebene (Apps) verlagert. Firewalls, Proxys und Antivirus bieten hier höchstens einen grundlegenden Schutz. Gegen ungewollte Datenabflüsse und Angriffe auf mobile Clients helfen sie aber nicht.

Beim Einsatz von Smartphones im Unternehmen ergibt sich eine Vielzahl von Bedrohungen. Einige sind aus dem klassischen PC-Umfeld bekannt, andere begründen sich vor allem durch den mobilen Charakter der Geräte – Smartphones können leicht verloren gehen oder gestohlen werden. Einem Angreifer mit physischem Zugang zum Gerät bieten sich andere Zugriffsvektoren als einem entfernten Angreifer. Smartphones im Unternehmenseinsatz beherbergen oft zahlreiche vertrauliche Informationen, die vor Zugriffen Unbefugter zu schützen sind. Dies sind beispielsweise Unternehmens-E-Mails und daran angehängte Dokumente.

Die Leistungsfähigkeit von Smartphones hat in den letzten Jahren so stark zugenommen, dass auf ihnen nicht nur E-Mails, sondern auch klassische Büroanwendungen wie Textverarbeitung oder Tabellenkalkulation Verwendung finden. Eine weitere Eigenheit beim Einsatz von Smartphones im Unternehmen ist, dass Anwendern oftmals auch die private Nutzung der Geräte gestattet ist und sie eigene Apps installieren. Ob wir nun das Szenario "Bring Your Own Device" (BYOD) oder "Corporate Owned, Personally Enabled" (COPE) betrachten – Malware kann auf vielfältige Weise auf das Smartphone gelangen und Zugriff auf Unternehmensdaten erlangen. Angreifern steht eine Vielzahl verschiedener Einfallstore offen, um ihre Ziele zu erreichen. Es ist wichtig, diese möglichen Sicherheitslücken zu kennen, um sie mit passenden Maßnahmen zu schließen. Hierzu zählen unter anderem technische sowie logische Schwachstellen.

Bei technischen Schwachstellen erfolgt ein Angriff durch unmittelbaren Zugriff auf das Endgerät. Ein typisches Beispiel ist der Zugriff auf die Speicherkarte eines Smartphones oder dessen SIM-Karte. Hierzu muss der Angreifer meist nur wenige Minuten lang in den Besitz der Hardware gelangen. Für logische Schwachstellen hingegen wird kein physischer Zugriff auf das Endgerät benötigt.

Unter logische Schwachstellen fallen konzeptionelle Fehler innerhalb der Sicherheit eines Systems. Dadurch sind auch mehrere potenzielle Opfer gleichzeitig effizient angreifbar – auch wenn natürlich der gezielte Angriff eines speziellen Opfers ebenso möglich ist. Um das Gerät oder die bereitgestellte Infrastruktur zu attackieren, kann ein Angreifer die unterschiedlichsten Schwachstellen in Software, Schnittstellen oder Systemdiensten ausnutzen.
Kreative Angreifer
Viele denken sich an dieser Stelle "Wer hat es schon auf uns abgesehen?" Die Wahrheit ist erschreckend, denn sowohl in Motivation als auch in der Herkunft sind Angreifer verschiedenen Kategorien und damit auch verschiedenen Eintrittswahrscheinlichkeiten und Risikoklassen zuzuordnen. Angreifer sind in vielen Fällen kreativer, als Sie denken und sehr experimentierfreudig. Ruft ein klassischer Anwender bei der ersten Fehlermeldung den Helpdesk an, sind Angreifer eher motiviert weiterzukommen.

Dabei muss bei Angreifern zwischen verschiedenen Profilen unterschieden werden. Mit geringen IT-Kenntnissen ausgestattet sind sogenannte Skript-Kiddies. Diese wenden auf Social Media veröffentlichte Anleitungen mit frei erhältlichen Werkzeugen und Exploits an. Hierbei handelt es sich um Standardangriffstechniken. Etwas professioneller, mit grundlegenden IT-Kenntnissen im Ausnutzen bekannter Schwachstellentypen sind die Einsteiger im Hackerumfeld. Auch sie nutzen Standardwerkzeuge, die öffentlich im Internet verfügbar sind. Gerade Angreifer aus diesem Profil sind sehr wahrscheinlich auch in Ihrem Unternehmen vorhanden.

Kritischer wird es bei den professionellen Angreifern. Diese weisen umfangreiche Kenntnisse und längerfristige Erfahrungen auf. Sie haben sich ihre Kompetenz durch das regelmäßige Durchführen von Penetrationstests und Angriffen erworben. Natürlich gibt es in diesem Umfeld auch ausgewiesen Experten. Diese weisen zusätzlich ein hohes Detailwissen auf und entwickeln eigenständig die Exploits, die sie aufgrund ihres Zugangs zu nicht öffentlichen Informationen erstellen können.

Je größer die Kompetenz des Angreifers ist, desto schwerer fällt der Schutz der eigenen Daten und Infrastruktur. Aber dies ist dennoch nur eine Seite der Medaille. Die Motivation für einen kriminellen Angriff auf Ihre Infrastruktur ist ungleich höher zu bewerten. Die Motivation für einen Angriff kann sich bereits aus Neugierde oder akademischem Interesse ergeben.

Aber auch finanzielle Beweggründe spielen eine Rolle. So sind Datendiebstahl, Erpressung, das Verursachen von digitalem oder sogar physischem Schaden an Anlagen durchaus nicht zu verachten. Je nach Unternehmenstyp können auch politische Interessen eine Rolle spielen. Skript-Kiddies die aus Protest, Vergeltung oder einfach aus Protest einen Angriff verursachen, stehen hier unter anderem auf der Liste.

Der ersten Teil des Workshops erklärt, warum die hohe Verbreitung von Mobilgeräten angesichts immer keativerer Angreifer ein Umdenken bei Security-Konzepten erfordert. In der zweiten Folge beschäftigen wir uns mit dem STRIDE-Modell und wichtigen Schutzmaßnahmen, die sich daraus ergeben. Im dritten Teil des Workshops geht es vor allem darum, wie sich Risiken anhand eines Modells objektiv bewerten lassen.
4.04.2022/ln/dr/Mark Zimmermann

Nachrichten

Gefährliches HTML-Phishing im Trend [16.05.2022]

Security-Experten von Kaspersky warnen vor der wachsenden Bedrohung durch Phishing-E-Mails mit HTML-Dateien. Von Januar bis April 2022 blockierte das Unternehmen demnach fast zwei Millionen Phishing-E-Mails mit solchen Anhängen. Die Verwendung von HTML-Dateien in Phishing-Nachrichten scheint bei Betrügern einer der neuesten und beliebtesten Tricks, um Sicherheitssysteme zu umgehen. [mehr]

Mehr Attacken treffen auf weniger Cyberexperten [16.05.2022]

Laut "Hiscox Cyber Readiness Report" sind Cyberangriffe größtes unternehmerisches Risiko und ein Viertel des IT-Budgets deutscher Unternehmen fließt mittlerweile in die IT-Sicherheit. Deutschland verzeichnet dabei die höchsten Gesamtschadenkosten. Die Zahl der Experten auf diesem Feld hierzulande sinkt jedoch um 17 Prozentpunkte auf nur noch drei Prozent. [mehr]

Tipps & Tools

AWS Summit 2022 Berlin: Cloud more in Germany [17.05.2022]

Nach zwei Jahren pandemiebedingtem Onlineformat startete der AWS Summit 2022 wieder als Präsenzveranstaltung in Berlin. Rund 7000 Teilnehmer folgten der Einladung von Amazon Web Services für die zwei Tage mit den inhaltlichen Schwerpunkten "Sicherheit im Cloudbereich" sowie "Machine Learning für jedermann" und sorgten für ein ausgebuchtes Event. [mehr]

Online-Intensivseminar "Office 365" – nur noch wenige Plätze verfügbar [16.05.2022]

Die Clouddienste von Office 365 vereinfachen die Bereitstellung der Office-Applikationen für die Anwender und können Lizenzgebühren sparen. Doch auf den Admin kommen ganz neue Aufgaben zu, die unser dreitägiges Intensivseminar "Office 365 bereitstellen und absichern" praxisnah adressiert. So widmen wir uns neben der Auswahl der geeigneten Lizenzform der Vorbereitung der Infrastruktur und zeigen die Verwaltung und Absicherung von Exchange, SharePoint Online und Teams. Sie sollten sich rasch einen der wenigen noch verfügbaren Plätze für die Mitte Juli stattfindende Online-Veranstaltung sichern. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen