[datensicherheit.de, 28.03.2023] Gestohlene Zugangsdaten von Mitarbeitern sind offensichtlich eine der effektivsten Möglichkeiten für Angreifer, die Infrastruktur eines Unternehmens zu infiltrieren: Sobald sie die Anmeldeinformationen eines der Konten in der Hand haben, ist es für sie viel einfacher, die Sicherheitsmaßnahmen zu umgehen und Zugang zu sensiblen Daten zu erhalten. Da stellt sich die Frage, wie die Angreifer an diese Anmeldedaten kommen – die Antwort lautet demnach in vielen Fällen Mobile Phishing. Eine weltweite Studie von Lookout hat nach eigenen Angaben ergeben, dass die Zahl der Mobile-Phishing-Angriffe im Jahr 2022 so hoch war wie nie zuvor: „Jedes dritte private Gerät und jedes dritte Gerät in Unternehmen war mindestens einem Angriff pro Quartal ausgesetzt.“ Auch im ersten Quartal 2023 sei dieser Trend ungebrochen.

Foto: Lookout

Sascha Spangenberg: Gerade der Schutz vor mobilen Phishing-Bedrohungen muss dabei Priorität haben, wenn hybrides Arbeiten Realität ist!

Jedes mobile Gerät anfällig für Phishing-Versuche

Sascha Spangenberg, „Global MSSP Solutions Architect bei Lookout“, erläutert hierzu: „Hybride Arbeitsumgebungen und Bring-your-own-device (BYOD)-Richtlinien könnten zwei Gründe für den Anstieg sein. Die Unternehmen mussten akzeptieren, dass immer häufiger persönliche Mobilgeräte für berufliche Zwecke zum Einsatz kommen.“

Es gelte jedoch zu bedenken, dass jedes mobile Gerät – ob privat oder unternehmenseigen, verwaltet oder nicht verwaltet, „iOS“ oder „Android“ – anfällig für Phishing-Versuche sei.

BYOD hat Phishing-Landschaft verändert

Smartphones und Tablets hätten es für Mitarbeiter einfacher gemacht, von überall aus produktiv zu sein – „aber sie haben auch neue Herausforderungen für IT- und Sicherheitsteams mit sich gebracht“. BYOD-Richtlinien bedeuteten, dass mehr Menschen als je zuvor ihre privaten Geräte für die Arbeit nutzten.

„Dies bedeutet, dass die Risiken, denen sie bei der Nutzung dieser Geräte aus persönlichen Gründen begegnen, auch Risiken für das Unternehmen darstellen“, warnt Spangenberg. IT- und Sicherheitsteams hätten außerdem einen deutlich geringeren Einblick in diese Geräte als in die unternehmenseigenen Geräte – „was bedeutet, dass es schwieriger ist, diese erhöhten Risiken zu kontrollieren“.

Über 50% der privaten Geräte mindestens einmal pro Quartal mobilem Phishing-Angriff ausgesetzt

Diese Faktoren führten dazu, dass Angreifer nun gezielt die privaten Geräte der Benutzer angriffen, um in Unternehmensumgebungen einzudringen. Ein Mitarbeiter könne über private Kanäle wie Soziale Medien, „WhatsApp“ oder E-Mail Opfer eines Social-Engineering-Angriffs werden. „Sobald dies der Fall ist, können Angreifer Zugang zu den Netzwerken oder Daten seines Arbeitgebers erhalten“, so Spangenberg.

Dies sei zudem kein einmaliges Ereignis – so zeigten Daten von Lookout, dass im Jahr 2022 mehr als 50 Prozent der privaten Geräte mindestens einmal pro Quartal einer Art von mobilem Phishing-Angriff ausgesetzt gewesen seien.

Phishing-Betrug: Millionenbeträge stehen auf dem Spiel

„Daten sind nicht das Einzige, was Unternehmen riskieren, wenn Mitarbeiter auf einen Phishing-Betrug hereinfallen“, stellt Spangenberg klar. Lookout schätzt, „dass die maximalen finanziellen Auswirkungen eines erfolgreichen Phishing-Angriffs für Unternehmen mit 5.000 Mitarbeitern auf fast vier Millionen US-Dollar gestiegen sind“. Stark regulierte Branchen wie Versicherungen, Banken und das Rechtswesen gälten als die lukrativsten Märkte und seien aufgrund der großen Menge an sensiblen Daten in ihrem Besitz besonders anfällig für Angriffe.

„Diese hohen Kosten fallen in eine Zeit, in der die Zahl der Phishing-Angriffe so hoch ist wie nie zuvor.“ Im Vergleich zu 2020 sei die Zahl der Phishing-Angriffe auf Unternehmensgeräten jetzt um zehn Prozent und auf privaten Geräten um 20 Prozent höher. Außerdem klickten die Menschen häufiger auf Phishing-Links als noch im Jahr 2020, „was bedeuten könnte, dass die Angreifer immer besser darin werden, authentisch aussehende Nachrichten zu erstellen“. Spangenberg betont: „Da mehr Risiken und mehr Geld auf dem Spiel stehen als je zuvor, müssen Unternehmen ihre Sicherheitsstrategien anpassen, um ihre Daten zu schützen.“

Wie Daten gegen mobile Phishing-Bedrohungen geschützt werden können

Die Mobile-Phishing-Landschaft sei tückischer als je zuvor, vor allem, da das standortunabhängige Arbeiten zunehme. IT- und Sicherheitsteams müssten Strategien anwenden, welche es ihnen ermöglichten, die von Phishing-Angriffen ausgehenden Datenrisiken auf allen Mitarbeitergeräten zu visualisieren, zu erkennen und zu minimieren. Dies gelte unabhängig davon, ob es sich um unternehmenseigene oder private Geräte handelt. Mit der richtigen Strategie, basierend auf dem Zero-Trust-Prinzip und SASE (Secure Access Service Edge), sei es möglich, die hybride Arbeitswelt sicher zu gestalten.

„Eine geräteinterne und KI-gestützte Phishing-Erkennung über eine ,cloud’-basierte Sicherheitsplattform ermöglicht es, Angriffe dort zu stoppen, wo sie beginnen. Eine entsprechende Sicherheitslösung hindert Benutzer daran, sich sowohl auf Unternehmens- als auch Privatgeräten mit Phishing-Websites zu verbinden“, erklärt Spangenberg. Er führt abschließend hierzu aus: „Eine solche Lösung erkennt und blockiert Phishing-Angriffe über jede beliebige mobile App und hindert Mitarbeiter daran, Zugangsdaten preiszugeben oder bösartige Software herunterzuladen.“ Gerade der Schutz vor mobilen Phishing-Bedrohungen müsse beim hybriden Arbeiten Priorität haben.

Weitere Informationen zum Thema:

Lookout
The Global State of Mobile Phishing Report

[datensicherheit.de, 25.11.2020] Mobiles Arbeiten kann die öffentliche Verwaltung beschleunigen und den Mitarbeitern mehr Flexibilität ermöglichen. Werden allerdings private Smartphones verwendet, gingen Länder, Städte und Gemeinden „große Risiken“ ein, warnt Virtual Solution und klärt in einer aktuellen Stellungnahme über die „entscheidenden Fallstricke“ bei „Bring Your Own Device“-Modellen (BYOD) auf.

Foto: Virtual Solution AG

Sascha Wellershoff empfiehlt eine sogenannte Container-Lösung

Bei BYOD stellen sich wichtige rechtliche und technische Fragen

Mitarbeiter in der öffentlichen Verwaltung müssten auch von unterwegs oder im Home-Office mobil auf Dokumente und Fachanwendungen zugreifen können. Für die Kommunikation und Erledigung dieser Aufgaben verwendeten daher viele ihr privates Smartphone oder Tablet.
„Und selbst wenn dienstliche Geräte bereitgestellt werden, wollen die meisten weder veraltete Hard- und Software ihres Arbeitgebers verwenden noch mehrere Mobilgeräte mit sich führen.“ Bei BYOD, also der Integration privater Endgeräte in die behördliche IT-Struktur, stellten sich aber wichtige rechtliche und technische Fragen.

Warnung vor drei entscheidenden BYOD-Fallstricken und Empfehlungen zur Vermeidung:

1. Verbindliche Regelungen und Nutzungsvereinbarungen für Einsatz von Privatgeräten!
   Hat die Behörde die Nutzung privater Endgeräte nicht offiziell geregelt, gälten die gesetzlichen Bestimmungen. Daraus folge eine direkte Auswirkung auf die Haftung: Da die Nutzung des Privatgeräts für die Behörde und in deren Kenntnis und Interesse erfolge, sei sie auch dienstlich veranlasst. Bei einer Beschädigung oder dem Verlust des Geräts während der üblichen Arbeitszeit müssten Länder, Städte und Gemeinden grundsätzlich dafür aufkommen. Ein eventuelles Mitverschulden des Mitarbeiters, etwa wenn das Smartphone herunterfällt, sei aus Gründen der „beschränkten Arbeitnehmerhaftung“ ausgeschlossen. Aus diesem Grund sollten Behörden verbindliche Regelungen und Nutzungsvereinbarungen für den Einsatz von Privatgeräten am Arbeitsplatz festlegen.
2. Sicherheitsvorkehrungen und Datenschutz beachten!
   Neben den rechtlichen Problemen lauerten beim BYOD-Modell auch zahlreiche sicherheitstechnische und datenschutzrelevante Fallstricke. Veraltete Betriebssysteme, unsichere WLAN-Verbindungen „und die Nutzung von Apps, die es mit der Privatsphäre nicht so genau nehmen“, seien häufig Einfallstore für Cyber-Kriminelle und Gründe für die Verletzung der DSGVO. Bestes Beispiel sei „WhatsApp“, welche häufig für die informelle dienstliche Kommunikation innerhalb von Behörden genutzt werde: Diese App lese die Adressbücher der Mitarbeiter mit den Kontaktdaten von Kollegen und Lieferanten aus und gebe die Daten an die Konzernmutter Facebook weiter. Darüber hinaus erfasse „WhatsApp“ auch Metadaten, etwa GPS-Daten, Absturzberichte und Nutzerverhalten. Viele Länder und Kommunen hätten für „WhatsApp und Co.“ keine Nutzungsregelungen aufgestellt oder duldeten sie stillschweigend.
3. Kontrollverlust durch mangelnde Trennung zwischen dienstlich und privat vorbeugen!
   Werden dienstliche und private Daten und Anwendungen auf dem Smartphone nicht strikt voneinander getrennt, stünden die IT-Verantwortlichen vor einem weiteren großen Problem: „Sie verlieren auf einem Privatgerät die Kontrolle über die dienstlichen Daten und Systeme.“ Dies gelte insbesondere im Notfall, wenn etwa nach einem erfolgreichen Cyber-Angriff oder dem Verlust des Gerätes schnell sensible Informationen aus der Ferne gelöscht werden müssten.

Keine BYOD-Strategie ohne klare und sichere Trennung privater und dienstlicher Daten sowie Anwendungen

„Ohne eine klare und sichere Trennung von privaten und dienstlichen Daten und Anwendungen sollte eine BYOD-Strategie nicht verfolgt werden. Jetzt aber den Mitarbeitern die schnelle und unkomplizierte Kommunikation über das eigene Smartphone zu verbieten, ist ineffizient und demotivierend“, erläutert Sascha Wellershoff, Vorstand von Virtual Solution in München.
Er empfiehlt eine sogenannte Container-Lösung (wie z.B. „SecurePIM Government“), welche demnach auf dem Mobilgerät des Mitarbeiters den dienstlichen strikt vom privaten Bereich trennt. Die Daten und Dokumente würden nach höchsten Standards verschlüsselt gespeichert und auch Ende-zu-Ende verschlüsselt übertragen. Wellershoff: „Damit schützen sich Behörden und Ämter sicher vor Cyber-Angriffen und garantieren gleichzeitig die Einhaltung der DSGVO.“

Weitere Informationen zum Thema:

datensicherheit.de, 10.06.2019
Stille Teilnehmer: BYOD-Mobilgeräte in Unternehmen / Michael Scheffler erörtert, warum BYOD nicht so einfach umsetzbar ist, wie es zunächst erscheint

datensicherheit.de, 11.03.2014
Studie: BYOD-Trend hält an – Sicherheitskultur weiter mangelhaft / Ergebnisse der „2013 Mobile Enterprise Risk Survey“ von Absolute Software

datensicherheit.de, 24.08.2013
KASPERSKY-Umfrage 2013: Richtlinien für BYOD-Umgang in Unternehmen oft noch Mangelware / Laut der Studie „Global Corporate IT Security Risks: 2013“ hat jedes dritte deutsche Unternehmen hat noch gar keine Sicherheitsrichtlinien

datensicherheit.de, 11.04.2013
BYOD: Mitarbeiter verwenden ihre privaten Geräte für den Beruf / BITKOM veröffentlicht Leitfaden „Bring Your Own Device“

datensicherheit.de, 05.03.2013
BYOD: Hälfte der Unternehmen hat bereits ein Gerät mit wichtigen Daten verloren / Laut aktueller varonis-Studie seien 86 Prozent der Mitarbeiter sogar „süchtig nach mobilen Geräten“

[datensicherheit.de, 11.09.2020] Das Google-Betriebssystem „Android“ für Mobilgeräte sei weltweit in Millionen von Smartphones integriert – sowohl in privaten als auch in Firmen-Geräten. Entsprechend stehe es dauerhaft unter Beschuss durch Hacker. Nach eigenen Angaben haben Sicherheitsforscher der Check Point® Software Technologies Ltd. „Android 11“ nun genau unter die Lupe genommen und dabei festgestellt, „dass die Möglichkeit, zwei getrennte Profile auf einem Smartphone zu etablieren, eines für berufliche und eines für private Zwecke des Mitarbeiters, zwar eine gute Idee ist, jedoch nicht so viel Sicherheit bietet, wie gedacht“.

Christine Schönig, Foto: Check Point Software Technologies

Christine Schönig: Um mobile Geräte gegen Angriffe und Spionage wirksam zu schützen, benötigt es zusätzliche Software!

BYOD mit Android 11: Keine umfängliche Sicherheit für Unternehmen

Das Prinzip, auf einem mobilen Endgerät zwei getrennte Profile zu installieren, werde seit längerer Zeit genutzt, vor allem von Unternehmen, welche die Eingliederung privater Endgeräte in das Unternehmensnetzwerk erlauben (BYOD: Bring your own device). Dabei werde das Unternehmensprofil durch die betriebliche IT-Abteilung überwacht und gewartet. Entsprechend seien Zugriffsmöglichkeiten, Auswahl von Applikationen und dergleichen in der Hand der Firma und strikt geregelt.
Mit „Android 11“ sei diese Segregation nun ein Kern-Feature des Betriebssystems geworden. Allerdings garantiere die Abtrennung der Nutzerprofile keine umfängliche Sicherheit für das Unternehmen. „Wie die Sicherheitsforscher von Check Point feststellen mussten, reicht eine Malware-Infektion auf der privaten Seite des Mobilgerätes, um auch das Unternehmensprofil zu kompromittieren.“

Bei Kontrolle über Android’s Accessibility Services können diese missbraucht werden

Erlangten Angreifer beispielsweise die Kontrolle über „Android’s Accessibility Services“ (AAS), welche verschiedene Funktionen für behinderte Menschen zur Verfügung stellten, um die Bedienung des Geräts zu vereinfachen, so könnten diese missbraucht werden, um das Unternehmensprofil auszuspähen. Mittels dieser Funktionen ließen sich zudem Eingaben in den Bildschirm auslesen und somit Zugangsdaten ergattern – über die Profil-Grenze hinweg.
Daher sei es unabdingbar, neben der Profil-Trennung zusätzliche Sicherheitsvorkehrungen zu treffen, betont Christine Schönig, „Regional Director Security Engineering CER“, „Office of the CTO“, bei der Check Point Software Technologies GmbH. Die Abgrenzung von privaten und beruflichen Profilen sei wichtig und komme den Mitarbeitern entgegen – allerdings sei sie mitnichten sicher. Schönig: „Um mobile Geräte gegen Angriffe und Spionage wirksam zu schützen, benötigt es zusätzliche Software, die den Missbrauch von Funktionen und das unberechtigte Abfragen von Daten verhindert. Zusammen bilden die Funktionen des Betriebssystems und die externen Sicherheitslösungen dann eine umfangreiche, echte Absicherung des Smartphones.“

Weitere Informationen zum Thema:

Check Point SOFTWARE TECHNOLOGIES LTD., Yaelle Harel
Using Android Enterprise? Learn how to close security gaps for the different deployment models

datensicherheit.de, 07.09.2020
Check Point bringt Anti-Debug-Enzyklopädie gegen Malware heraus

[datensicherheit.de, 07.05.2020] In der digitalen Welt sind Unternehmen weit mehr als ein Bürogebäude, in dem Mitarbeiter ein und aus gehen. Legt man den kontinuierlichen Strom an digitalen Daten zu Grunde, die von Mitarbeitern hinzugefügt, bearbeitet, verschoben, versendet, gespeichert oder gelöscht werden, kann man sich ein dynamisches, in gewisser Hinsicht fast lebendiges Gebilde vorstellen. Kommt es an irgendeiner Stelle im Datenkreislauf zu einer fehlerhaften Funktion, beispielsweise im Falle eines Verstoßes, wäre die gesamte Struktur betroffen. Der Lockdown im Zuge der Pandemie hat gezeigt, wie schnell dieser Pulsschlag moderner Unternehmen zum Erliegen kommen kann. Plötzlich musste der Datenstrom auf andere Weise – vom persönlichen Standort jedes einzelnen Zugriffsberechtigten aus – aufrechterhalten werden. Ein Notfall, für den nicht alle Unternehmen vorgesorgt haben. Dabei gibt es zahlreiche wahrscheinliche Szenarien, die es erforderlich machen, die Voraussetzungen dafür zu schaffen, dass die Belegschaft ohne Vorbereitung einfach von jedem beliebigen Ort aus arbeiten kann. Dazu gehören zum Beispiel Ereignisse wie schwere Schneestürme, unvorhergesehene Reparaturarbeiten im Bürogebäude, Streik bei den öffentlichen Verkehrsbetrieben oder eine unter den Mitarbeitern grassierende Erkältungswelle.

Für Unternehmen, in denen ohnehin nicht vorgesehen ist, dass Mitarbeiter außerhalb des Büros arbeiten, scheint es in guten Zeiten schlicht unwirtschaftlich, jedem einzelnen Mitarbeiter ein verwaltetes Ersatzgerät zur Seite zu stellen. Zu groß ist die Gefahr, dass die angeschaffte Hardware weitgehend ungenutzt vor sich hin altert. Gleichzeitig entsteht für die IT-Abteilung, die dafür fortlaufend aktuelle Softwareanwendungen und Sicherheitsupdates bereitstellen muss, ein spürbarer zusätzlicher Aufwand. Zwar nutzen die meisten Unternehmen bereits Cloudanwendungen, was eine hervorragende Voraussetzung für Fernarbeit ist. Allerdings ist die Nutzung nicht optimal: In der Regel halten Unternehmen ihre Mitarbeiter im Zuge dessen dazu an, von außerhalb über VPNs auf das Unternehmensnetzwerk und Cloud-Ressourcen zuzugreifen. Dies kann allerdings eine Reihe von Latenzproblemen verursachen, die es schwierig machen, den gesamten Web-Datenverkehr auf den Geräten der Benutzer – einschließlich ihrer persönlichen Anwendungen – bereitzustellen und zu nachzuverfolgen.

BYOD als flexibler Ausweg im Notfall

Ein flexibler Ausweg, der im Notfall sofort verfügbar ist, wäre, allgemein Bring Your Own Device (BYOD) – also das Arbeiten der Mitarbeiter über ihre eigenen Geräte – zuzulassen. Ein Schritt, vor dem vor allem Unternehmen mit branchenspezifischen regulatorischen Anforderungen eher zurückschrecken. Daher entscheiden sie sich meist für Mobile Device Management (MDM) Software, um das erforderliche Sicherheitsniveau herstellen zu können. Allerdings ist diese in datenschutzrechtlicher Hinsicht problematisch, da sie weit in die Privatsphäre der Nutzer eindringt. Eine Problematik, die sich mit Einführung der DSGVO noch weiter verschärft hat: Der Einsatz von MDM ist mittlerweile nur mit ausdrücklicher Einwilligung der einzelnen Mitarbeiter und dann nur innerhalb engmaschiger, nachvollziehbarer Kontrollprozesse möglich. Schlussendlich ist MDM kaum mehr praktikabel, da nicht vorausgesetzt werden kann, dass alle Mitarbeiter mit diesem Eingriff in ihre Privatsphäre einverstanden sind.

Bild: Bitglass

Anurag Kahol, CTO, Bitglass

Zu MDM bestehen allerdings auch Alternativen, die auf der Datenebene ansetzen und es ermöglichen, die Datenschutzanforderungen zu erfüllen. Damit Unternehmen das Risiko einer Datenexposition, das beim Download auf private Geräte an entfernten Standorten und über ungesicherte Netzwerke entsteht, sicher managen können, sollten sie auf folgende Eigenschaften Wert legen:

1. Sichtbarkeit und Kontrolle über Daten
   Die Sichtbarkeit und Kontrolle über die Daten beim Zugriff durch nicht verwaltete Geräte sollte für Unternehmen stets gegeben sein. Andernfalls bestehen Gefahren durch unbefugten Datenzugriff, unzulässiger Weitergabe oder schlichtweg Verlust der unternehmenseigenen Daten. Von Vorteil ist eine Lösung, die über eine Data Loss Prevention (DLP) Funktion verfügt. Diese kann Datenverluste verhindern, indem sie sensible Informationen sowohl im Ruhezustand als auch beim Zugriff identifiziert und kontrolliert. So lässt sich sicherstellen, dass Daten nicht in die falschen Hände gelangen oder es zu einem Sicherheitsverstoß kommt.
2. Identitäts- und Zugriffsverwaltung mit MFA und UEBA
   Identitäts- und Zugriffsmanagement, wie zum Beispiel Multi-Faktor-Authentifizierung (MFA) oder Benutzer- und Entitätsverhaltensanalyse (UEBA), ist notwendig, um anormale Aktivitäten erkennen und gegen Sicherheitsbedrohungen vorgehen zu können. MFA erfordert für die Authentifizierung eine zweite Art der Identitätsüberprüfung, um sicherzustellen, dass der Benutzer derjenige ist, für den er sich ausgibt. Nach der Eingabe des Passworts wird der Benutzer aufgefordert, seine Identität zusätzlich durch ein SMS-Token zu verifizieren, das per E-Mail oder durch eine Textnachricht versandt wird.
   UEBA lernt kontinuierlich das typische Verhalten jedes einzelnen Nutzers, so dass anormale Aktivitäten sofort überprüft werden können. Wenn sich beispielsweise ein Benutzer, der sich normalerweise von München aus einloggt, plötzlich von Hamburg aus anmeldet, wird eine Warnung gesendet, um sicherzustellen, dass das Nutzerkonto des nicht kompromittiert wurde. Für den Fall, dass keine UEBA-Funktion besteht, sollte wenigstens Single Sign-On (SSO) genutzt werden, da dies Benutzer über alle Cloud-Anwendungen eines Unternehmens hinweg sicher authentifiziert.
3. Agentenlose Sicherheit
   Eine agentenlose Sicherheitslösung erfordert keine Installation von Software auf den einzelnen Geräten. Dies ist hilfreich, wenn die Belegschaft abrupt auf ihre Privatgeräte zurückgreifen muss, um den Betrieb aufrecht zu erhalten. Sie schützen darüber hinaus die Privatsphäre der Mitarbeiter. Unternehmensdaten können beispielsweise aus der Ferne gelöscht werden, während die persönlichen Daten erhalten bleiben. Sowohl Sicherheits- als auch Datenschutzanforderungen lassen sich auf diese Weise miteinander vereinbaren.
   Was ein Unternehmen ausmacht ist gewiss mehr als lediglich die Summe seiner Daten. Allerdings erweitern sich mit deren Verfügbarkeit rund um die Uhr die Möglichkeiten, Arbeitskraft zu nutzen. Auf der anderen Seite entsteht die Anforderung, die Datennutzung stets sicher zu gestalten. Der Einsatz von BYOD und geeigneter Sicherheitstools kann nicht nur dabei helfen, die Flexibilität, die Digitalisierung bietet, auszunutzen, sondern auch, die Arbeitskultur vielfältiger und innovativer zu gestalten.

Weitere Informationen zum Thema:

datensicherheit.de, 10.06.2019
Stille Teilnehmer: BYOD-Mobilgeräte in Unternehmen

datensicherheit.de, 18.02.2019
Wenn Kollegen zum Sicherheitsrisiko werden

datensicherheit.de, 11.03.2014
Studie: BYOD-Trend hält an – Sicherheitskultur weiter mangelhaft

[datensicherheit.de, 10.06.2019] Trotz der Notwendigkeit, private Mobilgeräte von Mitarbeitern im Unternehmensumfeld zu sichern, sieht die Realität offensichtlich häufig anders aus: Private Endgeräte würden sozusagen als „stille Teilnehmer“ in der Unternehmens-IT hingenommen. Gründe dafür und Herausforderungen der mobilen Sicherheit, aber auch die Klärung der Frage „warum BYOD nicht so einfach umsetzbar ist, wie es zunächst erscheint“ erörtert Michael Scheffler, „Regional Director CEEU“ bei Bitglass.

Private Mobilgeräte im Unternehmensumfeld als Einfallstore

Mitarbeiter nutzten sie wie selbstverständlich jederzeit auch für geschäftliche Zwecke und so böten private Mobilgeräte Hackern vielfältige Möglichkeiten für Datendiebstahl. Das Risikopotenzial hätten viele Unternehmen bereits erkannt, jedoch sei die Sicherung der mobilen Endgeräte mit einigen Hürden verbunden.
In den vergangenen zehn Jahren seien private Mobilgeräte wie Smartphones und Tablets ein fester Bestandteil des Unternehmensalltags geworden. Dies zeige durchaus positive Auswirkungen: Die Zufriedenheit der Mitarbeiter, die dadurch Arbeitsprozesse stärker nach ihren Präferenzen gestalten könnten, ließe sich steigern und auch die Effizienz könne sich im Zuge dessen verbessern.
Für böswillige Akteure hingegen eröffne sich mit Mobilgeräten im Unternehmensumfeld eine ganze Fülle von Wegen, um in die IT-Infrastruktur eines Unternehmens vorzudringen und sensible Daten zu erbeuten. In einer Umfrage von Bitglass unter „Black Hat“-Hackern im Jahr 2017 hätten 61 Prozent von ihnen nicht-verwaltete Geräte als die Top-Schwachstelle in Unternehmen angegeben. Scheffler: „Vereinfacht dargestellt, birgt jedes Endgerät ein individuelles Risikopotenzial. Dieses setzt sich zusammen aus Faktoren wie der Version des Betriebssystems, den darauf installierten Apps und nicht zuletzt aus dem Grad der Sorglosigkeit des Nutzers. Hacker, die gezielt in die IT-Umgebung eines Unternehmens eindringen wollen, müssen lediglich das Gerät mit dem niedrigsten Sicherheitsniveau als Einfallstor nutzen.“
Trotz der offensichtlichen Notwendigkeit, Mobilgeräte von Mitarbeitern zu sichern, sehe die Realität häufig anders aus. „In vielen Unternehmen werden private Endgeräte in der Hoffnung, dass schon nichts passieren wird, sozusagen als ,stille Teilnehmer‘ in der Unternehmens-IT hingenommen“, berichtet Scheffler. Dies habe vielfältige Gründe.

BYOD: Der häufig unterschätzte Aufwand

Das Verhaltensmuster „Bring Your Own Device“ (BYOD) sei tatsächlich mit deutlich mehr Aufwand verbunden, als der Wortlaut zunächst vermuten lasse. Vor allem die rechtliche Seite sorge bei deutschen Unternehmen für Kopfzerbrechen. Datenschutzrechtliche Auflagen verlangten die strikte Trennung von privaten und Unternehmensdaten auf den Endgeräten der Arbeitnehmer.
Es müsse gewährleistet werden, dass die Daten des Unternehmens problemlos gesichert werden könnten, darüber hinaus sollten private Daten von jeglicher Unternehmensnutzung unbeeinträchtigt bleiben.
Neben den Daten sei auch die Nutzung der Unternehmenssoftware eine entscheidende Frage: Softwareanbieter unterschieden zwischen privatem und gewerblichem Gebrauch. „Für Unternehmen bedeutet dies, sie müssen prüfen, inwieweit die Nutzung auf privaten Geräten mit ihrer erworbenen Lizenz abgedeckt ist“, betont Scheffler.
Auch könnten im Zuge dessen steuerrechtliche Fragen auftreten. Schließlich müssten auch personelle interne Bestimmungen sowie Haftungsfragen gelöst werden. Scheffler: „Ein hoher Aufwand, den viele Betriebe scheuen, da sich dieser für sie nicht lohnt.“

MDM-Software kommt schnell an ihre Grenzen

Als geeignete Lösung, die Datensicherheit auch auf privaten Geräten mit vertretbarem Aufwand zu gewährleisten, erscheine vielen Unternehmen der Einsatz von „Mobile Device Management“ (MDM). Dieses ermögliche die Mobilgerätenutzung im Einklang mit den Sicherheitsrichtlinien des Unternehmens. „Auf den Geräten wird eine Software installiert, die dafür sorgt, dass der Nutzer das Gerät nur mit eingeschränkten Befugnissen und einige Anwendungen nur mit begrenztem Funktionsumfang nutzen kann. Im Falle eines Verlusts oder Diebstahls hat die IT-Verwaltung die Möglichkeit, sämtliche Unternehmensdaten auf dem Gerät aus der Ferne zu löschen“, erläutert Scheffler.
Wenn es um den Einsatz im BYOD-Kontext geht, gerate MDM-Software jedoch schnell an ihre Grenzen. Ursprünglich sei diese für die Nutzung in regulierten Branchen entwickelt worden, in denen Mitarbeitern meist vom Unternehmen Mobilgeräte zur geschäftlichen Nutzung zur Verfügung gestellt würden. „Handelt es sich hingegen um zahlreiche verschiedene Gerätemodelle mit entsprechend unterschiedlichen Betriebssystemen, können Schwierigkeiten bei der Kompatibilität auftreten“, so Scheffler. Bei den Nutzern mache sich dies mit Funktionsstörungen, wie zum Beispiel App-Abstürzen bemerkbar. Zudem seien nicht alle Verwaltungsfunktionen der Software für jeden Gerätetyp verfügbar.
Neben den Risiken in Bezug auf die Funktionalität habe MDM auch sehr häufig mit der Zurückweisung seitens der Mitarbeiter zu kämpfen – und dies nicht nur auf Grund der verringerten Performance. Die Software räume der IT-Verwaltung weitreichende Zugriffsrechte ein. Diese könnten theoretisch auch in böser Absicht missbraucht werden – mit Hilfe von MDM wäre es für berechtigte Nutzer wie die IT-Abteilung kein Problem, das Surfverhalten zu beobachten, in den E-Mail-Verkehr einzugreifen und Dateien auf dem Gerät zu löschen oder dieses auf Werkseinstellungen zurückzusetzen.
Wie aus der Umfrage zum aktuellen „BYOD Security“-Report von Bitglass hervorgeht, sei die Hälfte der Befragten (51 Prozent) davon überzeugt, dass die Akzeptanz von MDM-Software deutlich höher wäre, wenn die IT-Verwaltung nicht die Möglichkeit zu einem derart tiefen Einblick in die Privatsphäre hätte.

„Mobile Application Management“-Lösungen etwas weniger invasiv

Ähnlich verhalte es sich mit „Mobile Application Management“-Lösungen (MAM), die im Vergleich zu MDM etwas weniger invasiv seien. Damit könnten unternehmenseigene Apps auf den Endgeräten der Mitarbeiter sicher bereitgestellt und unternehmenseigene Daten notfalls aus der Ferne gelöscht werden.
Allerdings übernähmen „Mobile Application Manager“ auch die Kontrolle über den Austausch von Daten zwischen den mobilen Apps auf dem Gerät, was zu Funktionseinbußen des Geräts und anderer Anwendungen führen könne.
„So benannten die 400 der für den ,BYOD Security‘-Report Befragten ,Bedenken über die Einhaltung der Privatsphäre‘ mit 36 Prozent als die größten Vorbehalte, die Mitarbeiter gegen MAM hegen“, berichtet Scheffler.
Nachteile durch MDM und MAM entstünden außerdem auch der IT-Abteilung: Für sie sei es mit einem erhöhten Aufwand verbunden, zunächst jedes einzelne Gerät mit der Software auszustatten und anschließend trotz vereinzelter technischer Schwierigkeiten sicherzustellen, „dass die Datensicherheit auf allen Installationen in ausreichendem Maße gegeben ist“.

Datensicherheit mit „Mobile Information Management“ ermöglichen!

Das Vorhaben, private Mobilgeräte zu sichern, scheine im Unternehmenskontext stets mit Verlusten verbunden. Mit MDM- und MAM-Lösungen könnten Datensicherheit, Benutzerkomfort, Effizienz und Vertrauen nur suboptimal miteinander in Einklang gebracht werden, was schließlich für Frust auf Unternehmens- als auch Mitarbeiterseite sorge.
„Geräte sichern zu wollen, wirkt letztendlich wie ein Selbstzweck, der im Zeitalter der Daten längst überholt ist“, so Scheffler.
Der Ausweg aus dem Dilemma führe über den Blick auf das Wesentliche: Der unmittelbare Schutz der Daten. Auf dieser Ebene setzten Lösungen an, die aus dem „Mobile Information Management“ (MIM) hervorgegangen seien. Sie verschlüsselten alle Daten, die sich im Umlauf befinden, und kämen ohne Installation auf den Endgeräten aus.
Der IT-Abteilung böten sie ohne Einschränkung die Funktionen, die auch MDM mit sich bringe, wie „Data Loss Prevention“ und das Datenlöschen via Fernzugriff.
Für die Nutzer bleibe der Bedienkomfort erhalten und ihre Privatsphäre sei keinem Risiko ausgesetzt. Schefflers Fazit: „Auf diese Weise kann Datensicherheit auf eine für alle Beteiligten zufriedenstellende Weise erzielt werden.“

Foto: Bitglass

Michael Scheffler: Verschlüsselung aller im Umlauf befindlichen Daten empfohlen

Weitere Informationen zum Thema:

bitglass, 15.11.2018
„Bitglass 2018 BYOD Report: More Than Half of Companies See Rise in Mobile Security Threats“

datensicherheit.de, 07.03.2019
Multicloud-Umgebungen: Fünf Tipps für Datensicherheit

datensicherheit.de, 06.12.2018
Datenzentrierte Sicherheit mit Cloud Access Security Brokern

datensicherheit.de, 20.09.2018
Kryptojacking: Wie Cyberkriminelle sich die Cloud zu Nutze machen

datensicherheit.de, 08.08.2018
Passwort-Missbrauch: Phishing wesentliches Risiko für Datenverlust in Unternehmen

[datensicherheit.de, 06.09.2017] In der Ausgabe von „The Times“ vom 5. September 2017 war detailliert nachzulesen, dass sich die Datenschutzverletzungen an renommierten britischen Universitäten in den letzten beiden Jahren nahezu verdoppelt haben soll: 1.152 Vorfälle von 2016 bis 2017 bisher. Dabei richteten sich die Angriffe auf Ziele wie wissenschaftliche und konstruktionstechnische Informationen, Informationen aus der medizinischen Forschung bis hin zu Untersuchungen innerhalb der Raketenforschung. Die Veröffentlichung der Daten folge den Vorgaben des britischen „Freedom of Information Act“. Diese Meldung hat Anton Grashion, „Senior Director Product and Marketing EMEA“ bei Cylance in einer aktuellen Stellungnahme kommentiert:

BYOD → „Bring your own Malware“

„Universitäten konkurrieren miteinander um die besten Studenten. Einer der Bereiche, der einen minimalen Vorsprung vor der Konkurrenz verspricht, ist es, Studenten flexibel auf das universitäre Netzwerk und das Internet zugreifen zu lassen. Historisch betrachtet hatten Universitäten schon immer die Tendenz zu einer eher offenen Infrastruktur inklusive BYOD (Bring your own Devices), wenn auch gemäß bestimmter Richtlinien. Allerdings führt BYOD nicht selten schnurstracks zu ,BYOM‘, ,Bring your own Malware’…“, erläutert Grashion.
Studentische Laptops seien sicherheitstechnisch oft löchrig und aus einer Reihe von Gründen tendenziell eher infektionsgefährdet als andere. Das liege beispielsweise an den Surf-Gewohnheiten und einem oftmals zu weit gefassten Vertrauensbegriff, gepaart mit einem weniger ausgeprägten Bewusstsein für IT-Sicherheit. Gewohnheiten wie das Nutzen von Streaming-Diensten, freien Online-Angeboten oder auch die Lektüresuche im Internet – all das berge ein hohes Risiko, sich auf einer der vielen unsicheren Websites wiederzufinden. Das führe dazu, dass potenziell alles Mögliche geöffnet wird, Ad-Ware oder Schlimmeres, und auf dem eigenen Mobilgerät landet.

Hochschulnetzwerke gehören zu den am schwierigsten zu verwaltenden Infrastrukturen

Allein vor diesem Hintergrund betrachtet sei es nicht sonderlich überraschend, dass die Zahl der Datenschutzverletzungen derart stark gestiegen sei. Grashion: „Und das sogar trotz der inzwischen praktizierten Trennung zwischen den Fakultätsnetzwerken und den reinen Forschungsnetzwerken.“ Üblicherweise gehörten Hochschulnetzwerke ohnehin zu den am schwierigsten zu verwaltenden Infrastrukturen – und das mit geringeren personellen und finanziellen Ressourcen.
Cyber-Kriminalität folge dem üblichen Triumvirat der Kriminalität – „Mittel, Motiv und Gelegenheit“. Mittel und Motive seien in diesem Fall einigermaßen offensichtlich. Die Art von Aktivitäten, die Verhaltensweisen der Studentenschaft und die Struktur von Fakultäts- und Forschungsnetzwerken böten die entsprechende Gelegenheit.

Weitere Informationen zum Thema:

THE TIMES, 05.09.2017
University secrets are stolen by cybergangs / Scientific research targeted by hackers

[datensicherheit.de, 27.06.2017] In Zeiten weitreichender Hackerangriffe sollte das Thema „Security“ gerade in Unternehmen oberste Priorität besitzen, denn vertrauliche Informationen müssen effektiv geschützt werden. Doch eine neue Studie von Sharp Business Systems und dem Marktforschungsinstitut Censuswide zeigt nun, dass Büroangestellte es mit den internen Datenschutzvorgaben oft nicht allzu genau nehmen – trotz interner Vorgaben werden sensible Informationen vielfach nicht mit der gebotenen Diskretion behandelt.

Wissentlich wird gegen Unternehmensrichtlinien verstoßen

Während sich Unternehmen immer stärker gegen Cyber-Kriminalität und Angriffe von außen wappnen, wird der internen Datensicherheit vergleichsweise wenig Beachtung geschenkt:
Mitarbeiter teilten Informationen in der öffentlichen Cloud, nähmen vertrauliche Dokumente mit nach Hause oder vergäßen ausgedruckte Seiten in der Druckerablage. Zu diesem Ergebnis kommt jetzt eine aktuelle Studie von Sharp Business Systems in Zusammenarbeit mit dem Marktforschungsinstitut Censuswide.
Ein Viertel (25 Prozent) der Befragten habe zugegeben, Arbeitsinformationen in der öffentlich zugänglichen Cloud zu speichern und damit wissentlich gegen die Unternehmensrichtlinien zu verstoßen. Von den so handelnden Mitarbeitern komme knapp ein Drittel (29 Prozent) aus dem HR-Bereich. Besonders im Hinblick auf personenbezogene Daten ist das heikel, denn durch die Verwendung ungesicherter Cloud-Dienste werden persönliche Informationen zu Mitarbeitern und Bewerbern einem hohen Risiko ausgesetzt.
27 Prozent der deutschen Studienteilnehmer nutzten zudem öffentliche File-Sharing-Dienste ohne die Zustimmung ihres Arbeitgebers. Ganze 40 Prozent gäben sogar zu, die Unternehmensvorgaben bewusst zu ignorieren und regelmäßig Arbeitsdokumente mit nach Hause zu nehmen. Damit sei Deutschland Spitzenreiter im Vergleich zum europäischen Durchschnitt von 29 Prozent.

BYOD als Risikofaktor

Komplizierte oder veraltete Hardware in Unternehmen kann Sicherheitsrisiken zusätzlich begünstigen: So nutzten beispielsweise 40 Prozent der Befragten lieber ihre eigenen Laptops oder Mobilgeräte für die Arbeit, weil sie neuwertiger und einfacher zu nutzen seien. Speziell die Studienteilnehmer aus der Generation der „Millenials“ könnten dies für sich bestätigen – mehr als die Hälfte von ihnen (51 Prozent) nutze zur Arbeit vorzugsweise private Geräte, bei denen keine hohen Sicherheitsstandards gewährleistet seien.
Das sicherheitskritische Verhalten betreffe digitale Informationen ebenso wie Papierdokumente: Über die Hälfte (54 Prozent) der Büroangestellten erlebe regelmäßig, wie Kollegen Dokumente ausdruckten und anschließend in der Druckerablage vergäßen. Das Risiko, dass vertrauliche Informationen von Unbefugten eingesehen werden, steige so um ein Vielfaches.

In der Verantwortung: die Arbeitgeber

Für Dr. Karen Renaud, Expertin im Bereich „Cybersecurity und Datenschutz“ an der Universität Glasgow, liegt auf der Hand, dass Unternehmen ihre Mitarbeiter besser unterstützen müssen: „Solange Unternehmen vorbehaltlos das risikoreiche Verhalten ihrer Mitarbeiter tolerieren oder unwissentlich sogar fördern, indem sie beispielsweise mangelhafte Alternativen zu öffentlichen Cloud-Diensten bereitstellen, kann eine vollständige Datensicherheit niemals gewährleistet werden. Bieten Unternehmen flexible Arbeitsmodelle – wie ,Homeoffice‘ – an, müssen sie den Mitarbeitern auch geeignete Mittel zum Schutz vertraulicher Informationen, wie beispielsweise einen unternehmensinterner VPN-Anschluss, zur Verfügung zu stellen.“
„Dass Angestellte von überall aus arbeiten und Zugriff auf Unternehmensdokumente haben, ist längst Alltag“, ergänzt Alexander Hermann, „Vice President Information Systems Europe“ bei Sharp. Unternehmen müssten Lösungen finden, die ein Gleichgewicht zwischen modernen Arbeitsmöglichkeiten und dem sicheren Teilen von Daten schafften. Gleichzeitig müssten sie das Sicherheitsbewusstsein und das Wissen um Risiken bei ihren Mitarbeitern schärfen. Hermann: „Spätestens wenn im Mai 2018 die neue EU-Datenschutzreglung in Kraft tritt, können Firmen für die Verletzung von Datenschutzrichtlinien mit hohen Bußgeldern belangt werden. Die Schaffung verbindlicher interner Richtlinien sowie die Bereitstellung adäquater Lösungen für die Angestellten muss daher hohe Priorität herhalten.“

Expertin für Datensicherheit

Dr. Karen Renaud, Expertin für Datensicherheit, ist IT-Wissenschaftlerin an der Universität Glasgow und Gastdozentin an der TU Darmstadt. Ihre Forschung konzentriert sich vor allem auf die Interaktion von Menschen mit IT-Sicherheitssystemen und modernen Technologien.
Gemeinsam mit Dr. Renaud hat Sharp Business Systems ein kostenloses Handbuch zur Verbesserung der Datensicherheit in Unternehmen veröffentlicht, das zum Herunterladen bereit steht.

Weitere Informationen zum Thema:

SHARP
Nimmt Ihr Büro das Thema Datensicherheit ernst?

[datensicherheit.de, 05.11.2014] Die Sicherheitsbedrohungen für unternehmenskritische Daten werden immer komplexer. Ganzheitliche Sicherheitskonzepte seien deshalb unerlässlich, so Absolute Software, ein  Anbieter von Lösungen zur Verwaltung und zum Schutz von Computern und mobilen Geräten. Das Unternehmen nennt vier Grundvoraussetzungen, die erfüllt sein müssen, um das Sicherheitsniveau zu erhöhen.

Unachtsamkeit der Mitarbeiter, Cyber-Attacken, verlorene oder gestohlene mobile Geräte: die Gefahren für vertrauliche Unternehmensdaten lauere an sehr vielen Stellen. Wirkungsvollen Schutz böten nur umfassende, durchgängige Sicherheitsstrategien und -lösungen, die interne und externe Gefahren gleichermaßen berücksichtigen.

Vier Punkte sind dabei nach Absolute Software besonders wichtig:

1. Verwaltung der mobilen Geräte
   Mobiles Arbeiten, BYOD-, CYOD- und COPE-Modelle: großartig für die Effizienz, aber gefährlich für die Daten. Denn klar ist: Mobile Geräte, die auch unterwegs genutzt werden, gehen leichter verloren als stationäre Rechner. Und wenn das passiert, bieten Smartphones, Tablets oder Notebooks ein leicht zu nutzendes Gateway für den Zugriff auf das Unternehmensnetz und damit auch auf kritische Daten. Deshalb ist es für jedes Unternehmen erforderlich, Lösungen zu finden, die die Sicherheit der mobilen Geräte gewährleisten. Es bieten sich zum Beispiel spezielle, zentral verwaltete Applikationen an, die eine Remote-Datenlöschung im Falle des Verlustes oder Diebstahls eines mobilen Gerätes ermöglichen.
2. Berücksichtigung aller installierten Apps
   Die App-Nutzung nimmt auf breiter Front zu und auch Apps stellen eine potenzielle Bedrohung für die Sicherheit der Unternehmensdaten dar. Sie sind zum Beispiel gefährlich, wenn sie Daten in nicht überwachten Repositories speichern oder wenn ein Download aus unsicheren Quellen erfolgt, denn Apps mit versteckter Malware sind heute bei Weitem keine Ausnahme mehr. Der einzige „sichere“ Weg ist die Konzeption und Umsetzung einer Sicherheitsstrategie, die auch alle genutzten Apps berücksichtigt. Konkrete Lösungswege sind zum Beispiel eine zentrale Verwaltung aller Apps der mobilen Geräte oder die Erstellung von Blacklists für potenziell gefährliche Anwendungen. Wichtig ist außerdem, dass das Unternehmen selbst entsprechende Apps anbietet, die die Anforderungen der Nutzer erfüllen. Für Mitarbeiter besteht dann deutlich weniger Bedarf für die Installation von Fremd-Apps – und das Unternehmen beugt so einer Schatten-IT vor.
3. Einweisung der Mitarbeiter
   Ein Viertel aller Mitarbeiter glaubt gemäß einer Studie von Absolute Software nicht, dass die Sicherheit der Unternehmensdaten in ihrem Verantwortungsbereich liegt (1). Das heißt: Für Unternehmen geht es nicht nur darum, Lösungen zum Schutz der Daten einzusetzen, sondern auch darum, die „Schwachstelle“ Mitarbeiter zu beseitigen. Zunächst muss gewährleistet sein, dass sie über die genutzten Sicherheitsmaßnahmen und deren Möglichkeiten informiert sind. Zudem ist es erforderlich, dass Mitarbeiter über ihre Verantwortlichkeiten aufgeklärt und für alle potenziellen Sicherheitsrisiken sensibilisiert sind.
4. Umsetzung ganzheitlicher Sicherheitskonzepte
   Die Gefahrenquellen für unternehmenskritische Daten können unterschiedlicher nicht sein: sie reichen von Malware bis zu menschlichen Fehlern. Alle potenziellen Gefahren müssen deshalb bei der Ausarbeitung einer Sicherheitsstrategie berücksichtigt werden. Das heißt zum Beispiel auch, dass es nicht nur um externe Cyber-Attacken geht, denen mit einem Perimeter-Schutz vorgebeugt werden kann. Ebenso wichtig ist es, dass die Datenzugriffsmöglichkeiten jedes einzelnen Mitarbeiters auf den Prüfstand kommen und jedes einzelne Gerät – auch ein privates –, das im Unternehmen beruflich genutzt wird, in die Sicherheitsbetrachtungen einbezogen wird.

„Für die vielfältigen Sicherheitsgefahren, mit denen Unternehmen heute konfrontiert sind, gibt es eine große Bandbreite von Lösungen. Zentrales Problem für IT-Verantwortliche ist dabei, dass unterschiedliche Lösungen auch zu einer aufwändigen, zeitintensiven Verwaltung führen“ erklärt Margreet Fortuné, Systems Engineer Team Leader EMEA bei Absolute Software.

„Genau diese Herausforderung hat auch Absolute Software aufgegriffen und zum Beispiel vor Kurzem mit der neuen Version Absolute Manage 6.6 eine Management- und Sicherheitslösung auf den Markt gebracht, die nicht nur mobile Geräte wie Tablets oder Smartphones, sondern auch Mac- und Windows-Rechner unterstützt. IT-Abteilungen wird damit eine komfortable, zentralisierte Verwaltung aller eingesetzten Endgeräte ermöglicht, auch im Hinblick auf unterschiedlichste Geräte- und Betriebssystemvarianten.“

(1) Ergebnis der Ende 2013 von Absolute Software durchgeführten Studie „Mobile Enterprise Risk Survey“, an der sich in Deutschland 750 Mitarbeiter größerer Unternehmen beteiligten.–

Weitere Informationen zum Thema:

datensicherheit.de, 11.03.2014
Studie: BYOD-Trend hält an – Sicherheitskultur weiter mangelhaft

[datensicherheit.de, 28.10.2014] Check Point® Software Technologies Ltd.  veröffentlicht seine dritte Studie zur mobilen Sicherheit. Daraus geht hervor, dass 95 Prozent der Befragten vor Herausforderungen bei der Sicherung und Unterstützung von Bring Your Own Device (BYOD) stehen. Zudem weist sie insbesondere auf den Bedarf an robusteren Sicherheitslösungen für persönliche Geräte, die mit dem Unternehmensnetzwerk verbunden sind, hin.

Basierend auf der Befragung von über 700 IT-Experten betont der Bericht die andauernde Besorgnis über die Leichtigkeit, mit der sensible Unternehmensinformationen aus verwalteten Umgebungen hinaus transportiert werden. Ferner beschreibt er die potentiellen Bedrohungen der mobilen Sicherheit aufgrund von mangelndem Sicherheitsbewusstsein oder von mangelnder Schulung.

Die wichtigsten Ergebnisse sind die folgenden:

• Die größte Bedrohung sitzt im Unternehmen – 87 Prozent der befragten Experten glauben, dass die größere Sicherheitsbedrohung für mobile Geräte sorglose Mitarbeiter sind. Fast zwei Drittel der Befragten sind der Ansicht, dass die Sorglosigkeit von Mitarbeitern möglicherweise Grund für die jüngsten öffentlichkeitswirksamen Verstöße bei Kundendaten war.
• Vermehrte Nutzung persönlicher Mobilgeräte im Unternehmensnetzwerk – Trotz der sorglosen Mitarbeiter als schwächstes Glied in Unternehmen erlebten 91 Prozent der IT-Experten einen Anstieg bei der Anzahl der persönlichen Mobilgeräte, die sich in den vergangenen zwei Jahren mit ihren Netzwerken verbanden. 2014 verwalteten 56 Prozent der Befragten Geschäftsdaten auf mitarbeitereigenen Geräten, 2013 waren es noch 37 Prozent.
• Anstieg mobiler Sicherheitsvorfälle erwartet – 2015 wird sich den Befragten zufolge zu einem risikoreichen Jahr entwickeln. Von den in diesem Jahr befragten Sicherheitsexperten erwarten 82 Prozent einen Anstieg der Sicherheitsvorfälle im Jahr 2015. Außerdem drücken fast alle Befragten (98 Prozent) ihre Besorgnis über die Auswirkungen eines mobilen Sicherheitsvorfalls aus, wobei das Potential für verlorengegangene und gestohlene Informationen die größte Sorge darstellt.
• Kosten mobiler Sicherheitsvorfälle steigen weiter – 2014 stiegen die Sanierungskosten für mobile Sicherheitsvorfälle. Von den befragten IT-Führungskräften gaben 42 Prozent an, dass mobile Sicherheitsvorfälle die Unternehmen mehr als $ 250.000 kosteten.
• Android wird weiterhin als System mit den größten Sicherheitsrisiken wahrgenommen – Das Risiko bei Android, als die Plattform mit dem größten wahrgenommenen Sicherheitsrisiko, stieg von 49 Prozent im Jahr 2013 auf 64 Prozent in diesem Jahr – verglichen mit Apple, Windows Mobile und Blackberry.

„Unsere Mobile Security Survey 2014 macht deutlich, dass IT-Experten kein Ende der mobilen Sicherheitsbedrohungen sehen und sich tatsächlich auf einen Anstieg dieser Vorfälle im Jahr 2015 vorbereiten“, erklärt Dorit Dor, Vizepräsidentin Products bei Check Point Software Technologies. „Check Point Capsule hilft, diese Herausforderungen zu meistern. Dabei handelt es sich um eine komplette Mobillösung, die problemlose Sicherheit gewährleistet, ungeachtet der Frage, wohin die Daten oder das Gerät ‚gehen‘.“

Der Mobile Security Report 2014 fällt mit der Markteinführung von Check Point Capsule zusammen, einer mobilen Einzellösung, die ortsunabhängigen Schutz für Geschäftsdaten und Mobilgeräte bietet soll. Die Lösung liefert nach Angaben des Herstellers mehrschichtige Sicherheit, die Geschäftsdaten auf mobilen Geräten durch sicheren Zugriff auf die Arbeit schützt. Zudem verhindere sie interne und externe Datenlecks durch Sicherheit, die mit dem Dokument reist, und erweitert die Sicherheitsrichtlinien von Unternehmen, um Geräte, vor Bedrohungen zu schützen, wenn sich diese außerhalb des Unternehmensnetzwerks befinden.

Über den Bericht

Im Rahmen des Berichts The Impact of Mobile Devices on Information Security wurden fast 800 IT-Experten in den Vereinigten Staaten, in Australien, Kanada, Deutschland sowie Großbritannien befragt. Hierbei handelt es sich um die dritte Studie zu diesem Thema. Der Bericht bewertet die Unterschiede bei den Antworten auf ähnliche Fragen, die in den letzten zwei Jahren gestellt wurden. Ziel dieser Studie war es, Daten zu sammeln, um die Auswirkungen mobiler Geräte auf die Informationssicherheit von Unternehmen zu quantifizieren.

Weitere Informationen zum Thema:

Check Point
Mobile Security Report 2014 / Vollständige Bericht

[datensicherheit.de, 11.03.2014] Rund 35 Prozent der auch beruflich genutzten Smartphones gehören den Mitarbeitern. So lautet ein Ergebnis der Studie „2013 Mobile Enterprise Risk Survey“ von Absolute Software. Der BYOD-Trend sei somit in den Unternehmen angekommen. Allerdings mangele es weiterhin an entsprechenden Sicherheitsmaßnahmen. Von der Umsetzung einer BYOD-Strategie seien viele Unternehmen noch meilenweit entfernt.

Für seine Studie „2013 Mobile Enterprise Risk Survey“ hat Absolute Software, Anbieter von Lösungen zur Verwaltung und zum Schutz von Computern und mobilen Geräten, rund 750 Mitarbeiter von Unternehmen in Deutschland mit mehr als 1.000 Beschäftigten zur beruflichen Nutzung von Smartphones befragt. Dabei antworteten fast 65 Prozent, dass diese Geräte von der Firma bereitgestellt werden. Umgekehrt verwenden somit immerhin rund 35 Prozent für geschäftliche Zwecke ihre privaten Endgeräte.

Der BYOD-Siegeszug hält also an und das damit verbundene Sicherheitsrisiko für Unternehmen liegt auf der Hand. Es kann nur beseitigt werden, wenn eine effiziente Einbindung der privaten, mobilen Endgeräte in die Unternehmens-IT und die Umsetzung einer Sicherheitsstrategie erfolgt. „Und hier liegt noch vieles im Argen. Unsere Studie zeigt ganz klar, dass viele Unternehmen das Thema ‚Sicherheit der mobilen Endgeräte’ nach wie vor nicht ausreichend ernst nehmen“, betont Margreet Fortuné, Regional Manager DACH, Benelux & Eastern Europe bei Absolute Software.

So beschreibt fast ein Drittel der Befragten die Sicherheitskultur im eigenen Unternehmen auch als „moderat“ beziehungsweise „lax“. Der Mangel an Sicherheitsstrategien zeigt sich beispielsweise auch daran, dass ebenfalls nur rund ein Drittel der Unternehmen überhaupt eine Policy für den Umgang mit gestohlenen Geräten festgelegt hat, obwohl sich auf diesen unter Umständen wichtige Daten befinden.

„BYOD wird für viele Unternehmen auch in der nächsten Zeit ein zentrales Thema bleiben“, so Fortuné. „Hauptaufgabe wird es dabei sein, die Sicherheit der Daten zu gewährleisten. Möglich ist dies nur mit der Entwicklung und konsequenten Umsetzung einer BYOD-Policy.“

Absolute Software empfiehlt bei der Implementierung einer BYOD-Lösung ein schrittweises Vorgehen: Ausgehend von einer Definition der IT-Anforderungen über eine Festlegung gültiger Richtlinien bis zu einer Technologie-Implementierung zur Umsetzung der Policies. Bei der Definition der Anforderungen geht es zum Beispiel um Formfaktoren, Betriebssysteme oder Netzwerk-Zugriffsmöglichkeiten. Im Hinblick auf den Aspekt Richtlinien sind Mobile Device Policies aufzustellen und auch entsprechende Vereinbarungen mit den Mitarbeitern zu treffen. Bei der Technologie-Implementierung wie der Einführung einer Mobile-Device-Management (MDM)-Software sind folgende Faktoren zu berücksichtigen: Plattformflexibilität, Administrationsoptionen und Sicherheit.

Fortuné erklärt: „Auf jeden Fall sollte ein Unternehmen zunächst sämtliche internen IT-Anforderungen und die rechtlichen Rahmenbedingungen klären, bevor es eine MDM-Software implementiert. Auch diese sollte dann aber im Hinblick auf ihr Funktionsspektrum genauestens evaluiert werden, um alle privaten und unternehmenseigenen mobilen Geräte auf geeignete Weise verwalten und sichern zu können. Die große Vielfalt von Endgeräten und Betriebssystemen macht es heute zudem erforderlich, dass eine zukunftsweisende MDM-Lösung nicht nur Aspekte des traditionellen Mobile Device Management abdeckt, sondern zusätzlich auch Mobile Application und Content sowie Security, Change und Configuration Management bietet.“

Weitere Informationen zum Thema:

Absolute Software
2013 Mobile Enterprise Risk Survey