Fachartikel

Security-Strategien für Mobilgeräte (3)

Aus der Unternehmenswelt sind mobile Endgeräte nicht mehr wegzudenken. Smartphones begleiten uns als kleine Helfer in unserem Alltag. Doch bereits bei der Anbindung und spätestens mit der Nutzung mobiler Endgeräte muss sich der Administrator mit sicherheitskritischen Aspekten auseinandersetzen. In diesem Artikel betrachten wir die strategische Bewertung der mobilen Sicherheit und leiten konkrete Vorschläge zur Absicherung ab. Im dritten Teil geht es vor allem darum, wie sich Risiken anhand eines Modells objektiv bewerten lassen.
Mobilgeräte geraten schon seit Jahren immer mehr ins Visier von Cyberkriminellen.
Gesperrte sowie verlorene Endgeräte
Stört ein Angreifer die Verfügbarkeit einer Anwendung, spricht man von einem Denial of Service (DoS). Dies kann beispielsweise durch das gezielte Verbrauchen von Bandbreite, Speicher oder CPU-Zyklen geschehen. Derartige Angriffe lassen sich etwa durch Botnetze auch von außerhalb als Distributed Denial of Service Attacks (DDoS) durchführen.

Aber auch gezielte Angriffe auf anfällige Applikationen, die nach der Eingabe bestimmter Daten abstürzen, gehören zu einem DoS-Szenario. In Verbindung mit mobilen Endgeräten ist dieses Bedrohungsszenario sehr einfach herzuleiten. Zum einen können Dritte ein Gerät sperren, indem sie die Geräte-PIN mehrfach falsch eingeben. Dies sorgt bei modernen Endgeräten für eine Sperre des Geräts. Je öfter ein Code falsch eingegeben wird, desto länger sperrt sich das Gerät.

Auch ein verlorengegangenes Gerät, das nicht gesperrt ist, stellt natürlich ein Problem dar. Ein solches kann für Anfragen direkt im eigenen Netzwerk genutzt werden und den Angreifer so hinter die Schutzmauer der IT-Infrastruktur führen [3]. Gegenmaßnahmen auf mobilen Geräten sind hier einfach identifiziert. Verwenden Sie ein MDM-System, um die Geräte zu verwalten. Dies erlaubt es Ihnen, verlorengegangene Geräte aus der Ferne zu sperren. Außerdem können Sie einen vergessenen PIN-Code temporär entfernen. Mithilfe eines MDM-Systems lassen sich damit sowohl die Verfügbarkeit als auch die Zuverlässigkeit erhöhen.

Findet ein Angreifer einen Weg, seine Berechtigungen in Ihrer IT-Infrastruktur zu erhöhen, ist von einer Elevation of Privileges die Rede. Dabei stellen die umfangreichen administrativen Rechte das erstrebte Ziel dar. Klassisch versuchen Angreifer über sogenannte Pufferüberläufe (Buffer Overflows) höhere Rechte zu erlangen. Diesem Szenario können Sie auf einem mobilen Endgerät nur bedingt entgegenwirken. Geeignete Gegenmaßnahmen sind hier auf Backend-Seite einzuführen. Achten Sie auf robusten Code, Privilegien und Eingabeprüfungen im Infrastruktur-Backend. Eine App kann diese Tätigkeit höchstens als Komfortfunktion mitbringen. Eine App darf aber niemals entscheiden, ob sie ein bestimmtes Recht hat (oder haben soll). Dies muss immer im Backend validiert werden.

Datenschutz berücksichtigen
Mit dem Begriff Datenschutz wird das Recht des Einzelnen auf informationelle Selbstbestimmung umschrieben. Bedenken Sie, dass die Menge an personenbezogenen Daten enorm sein kann. Diese umfassen beispielsweise IP-Adresse, Geräte- und Kartenkennung (IMEI, UDID, MAC-Adresse), Mobilfunknummer, Name des Telefons, Standortdaten, Foto-/Video-/Audiodateien, biometrische Daten, Nutzungsdaten, Kontaktdaten, Kalendereinträge, Registrierungsdaten, Anruflisten, Nachrichten, Kontoverbindungsdaten und vieles mehr [4]. Es gibt keine Unterscheidung zwischen personenbezogenen Daten einer Person in ihrer jeweiligen privaten, öffentlichen oder berufsbezogenen Rolle – alle unterliegen dieser Verordnung. Im Zweifel geht die DSGVO von einem Personenbezug aus.

Dies betrifft somit nicht nur die erfassten Daten auf dem Endgerät, sondern auch die gespeicherten Daten im Rahmen der beschriebenen Maßnahmen. Als Organisation unterliegen Ihnen Aufklärungspflichten bei Datenerhebung zur wirksamen Einwilligung. Auch müssen Sie organisatorische und technische Maßnahmen treffen, um dieses Recht zu gewährleisten. An dieser Stelle kann der Artikel jedoch keine juristische Beratung leisten, wenden Sie sich hierzu an die Datenschutzexperten.
Risiken bewerten
Inwieweit es für Sie notwendig ist, jede identifizierte Sicherheitsmaßnahme umzusetzen, müssen Sie selbst bewerten [5]. Für eine einfachere Einschätzung können Sie sich des von Microsoft entworfenen DREAD-Risikomodells bedienen. Der Name steht für das Akronym der Abkürzungen der einzelnen zu bewertenden technischen Risikofaktoren:

  • Damage: Wie groß wäre der Schaden, wenn ein möglicher Angriff tatsächlich Erfolg hätte?
  • Reproducibility: Wie einfach wäre der Angriff für Dritte reproduzierbar?
  • Exploitability: Wieviel Zeit, Aufwand und Erfahrungen sind notwendig, um den Angriff durchzuführen?
  • Affected Users: Wieviele Anwender wären durch den möglichen Angriff betroffen?
  • Discoverability: Wie leicht ist die Bedrohung zu erkennen?
Das DREAD-Modell bewertet die Eintrittswahrscheinlichkeit anhand von Risikofaktoren. Dies erlaubt es Ihnen, die gefundenen Risiken anhand einfacher Fragen selbst einzuschätzen. Als Ergebnis erhalten Sie einen DREAD-Score. Dieser verbindet die potenzielle Schadenshöhe mit der zugehörigen Eintrittswahrscheinlichkeit. Hierzu ziehen Sie die folgenden einfachen Berechnungen heran.

Die Eintrittswahrscheinlichkeit (W) ist dabei definiert durch den Schweregrad, mit dem ein Angriff ausgeführt werden kann. Die Eintrittswahrscheinlichkeit ergibt sich aus der Summe der Werte "Exploitability" und "Discoverability":

"Exploitability" + "Discoverability" = X

Damit Sie den entsprechenden Score-Wert ableiten können, müssen Sie das Ergebnis noch einmal verdichten:

X < 4 -> W= 0
X = 4 -> W = 1
X = 5 -> W = 3
X > 5 -> W = 4

Die Auswirkung eines Schadens hängt hauptsächlich von der damit verbundenen Schadenshöhe (S) ab. Auch hier gibt es eine einfache Formel. Bilden Sie die Summe aus den Zeilen "Reproducibility" und "Affected Users":

"Wert Reproducibility" + "Wert Affected Users" = Y

Diesen Wert verdichten Sie nun wieder:

Y < 6 -> S = "Wert aus Damage" + 1
Y >= 6 -> S = "Wert aus Damage" + 2

Das Ergebnis dieser Rechnungen (DREAD-Score) können Sie in einer vereinfachten Risikomatrix aus Eintrittswahrscheinlichkeit (W) und Schadenshöhe (S) eintragen.

Bild 2: Exemplarische Darstellung einer Risikomatrix aus Eintrittswahrscheinlichkeit (W) und Schadenshöhe (S).

Die von Ihnen im roten Bereich identifizierten Risiken sollten Sie vermeiden beziehungsweise diesen aktiv nachgehen. Risiken im gelben Bereich sind von Ihnen kontrollierbar, sollten aber konsequent beobachtet werden. Falls sich Ereignisse in diesem Bereich häufen, müssen Sie auch hier eine Ablösung des Verfahrens in Erwägung ziehen. Risiken im grünen Bereich sind nach dieser Bewertung ausreichend abgedeckt.

Informiert bleiben und testen
Halten Sie öffentlich zugängliche Designrichtlinien ein und werfen Sie dabei einen Blick auf das Computer Security Resource Center (CSRC) sowie das Open Application Security Project (OWASP). Bleiben Sie stets informiert und informieren Sie andere. Abonnieren Sie hierzu Sicherheitsmailings und folgen Sie den verschiedenen Sicherheitsforschern, die Ihre Ergebnisse in Social-Media-Kanälen veröffentlichen.

Legen Sie Richtlinien für sicheres Programmieren fest und führen Sie regelmäßige Schulung aller Mitarbeiter – Entwickler wie Administratoren – zur Informationssicherheit durch.

Scheuen Sie sich nicht, ihre eigenen Systeme regelmäßig überprüfen zu lassen; hacken Sie sich selbst oder bezahlen Sie jemanden dafür. Eine auf diese Art gefunden Lücke ist günstiger, als dieser im Ernstfall ausgeliefert zu sein. Gefundene Probleme dürfen auch nicht als Fingerzeig verstanden werden. Und das Wichtigste: Verfallen Sie nicht in Panik. Wurde Ihre Infrastruktur angegriffen, machen Sie das Beste daraus und lernen aus dem Vorfall.

Fazit
Der Schutz von mobilen Endgeräten samt der darauf gespeicherten Daten sowie der erreichbaren Systeme muss oberstes Ziel einer strategischen Betrachtung sein. Auch die Marke eines Unternehmens in der Außendarstellung sowie die Kunden beziehungsweise Mitarbeiter und damit auch die Einnahmen eines Unternehmens unterliegen Gefahren – nicht nur, aber gerade aus dem mobilen Umfeld. Eine absolute Sicherheit gibt es jedoch nicht. Auch die hier abgebildeten Modelle sind nur einige der am Markt verfügbaren und werden je nach Anwender und Betrachter unterschiedlich ausgefüllt und bewertet.

Der ersten Teil des Workshops erklärt, warum die hohe Verbreitung von Mobilgeräten angesichts immer keativerer Angreifer ein Umdenken bei Security-Konzepten erfordert. In der zweiten Folge beschäftigen wir uns mit dem STRIDE-Modell und wichtigen Schutzmaßnahmen, die sich daraus ergeben. Im dritten Teil des Workshops geht es vor allem darum, wie sich Risiken anhand eines Modells objektiv bewerten lassen.
18.04.2022/ln/dr/Mark Zimmermann

Nachrichten

Gefährliches HTML-Phishing im Trend [16.05.2022]

Security-Experten von Kaspersky warnen vor der wachsenden Bedrohung durch Phishing-E-Mails mit HTML-Dateien. Von Januar bis April 2022 blockierte das Unternehmen demnach fast zwei Millionen Phishing-E-Mails mit solchen Anhängen. Die Verwendung von HTML-Dateien in Phishing-Nachrichten scheint bei Betrügern einer der neuesten und beliebtesten Tricks, um Sicherheitssysteme zu umgehen. [mehr]

Mehr Attacken treffen auf weniger Cyberexperten [16.05.2022]

Laut "Hiscox Cyber Readiness Report" sind Cyberangriffe größtes unternehmerisches Risiko und ein Viertel des IT-Budgets deutscher Unternehmen fließt mittlerweile in die IT-Sicherheit. Deutschland verzeichnet dabei die höchsten Gesamtschadenkosten. Die Zahl der Experten auf diesem Feld hierzulande sinkt jedoch um 17 Prozentpunkte auf nur noch drei Prozent. [mehr]

Tipps & Tools

AWS Summit 2022 Berlin: Cloud more in Germany [17.05.2022]

Nach zwei Jahren pandemiebedingtem Onlineformat startete der AWS Summit 2022 wieder als Präsenzveranstaltung in Berlin. Rund 7000 Teilnehmer folgten der Einladung von Amazon Web Services für die zwei Tage mit den inhaltlichen Schwerpunkten "Sicherheit im Cloudbereich" sowie "Machine Learning für jedermann" und sorgten für ein ausgebuchtes Event. [mehr]

Online-Intensivseminar "Office 365" – nur noch wenige Plätze verfügbar [16.05.2022]

Die Clouddienste von Office 365 vereinfachen die Bereitstellung der Office-Applikationen für die Anwender und können Lizenzgebühren sparen. Doch auf den Admin kommen ganz neue Aufgaben zu, die unser dreitägiges Intensivseminar "Office 365 bereitstellen und absichern" praxisnah adressiert. So widmen wir uns neben der Auswahl der geeigneten Lizenzform der Vorbereitung der Infrastruktur und zeigen die Verwaltung und Absicherung von Exchange, SharePoint Online und Teams. Sie sollten sich rasch einen der wenigen noch verfügbaren Plätze für die Mitte Juli stattfindende Online-Veranstaltung sichern. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen