[datensicherheit.de, 20.02.2025] Zimperium hat eine neue Studie über Phishing-Angriffe auf mobile Endgeräte veröffentlicht. Die datengestützte Analyse mobiler Phishing-Vektoren im Jahr 2024 dokumentiert auf Unternehmensseite einen wachsenden Bedarf nach mobilspezifischen Sicherheitsstrategien, die immer komplexere Bedrohungen bekämpfen. Angreifer setzen mittlerweile auf eine „Mobile-First“-Strategie, um Firmennetze kompromittieren und sensible Informationen rauben zu können.

Mobile-Phishing tritt in verschiedenen Formen auf

Mobile Phishing umfasst verschiedene Formen wie SMS-Phishing (Smishing), Voice-Phishing (Vishing), App-basiertes Phishing, E-Mail-Phishing und Social-Media-Phishing. Viele Phishing-Kampagnen richten sich primär gegen private Verbraucher, aber einmal infizierte Mobilgeräte gefährden auch Geschäftsumgebungen. Unerkannte Malware auf Smartphones zielt auf wiederverwendbare Passwörter, kapert aber auch Einmalpasswörter (OTP, One-Time Password), um Unternehmensnetzwerke und -anwendungen zu infiltrieren.

Wichtige Erkenntnisse aus Zimperiums Mishing-Studie:

• Smishing (SMS-/textbasiertes Phishing) bleibt der häufigste Mobile-Phishing-Angriffsvektor.
• E-Mail-Phishing-Kampagnen auf Mobilgeräten — Angriffe werden speziell darauf ausgerichtet, Sicherheitsmaßnahmen auf Desktops zu umgehen und nur mobile Endgeräte zu attackieren.
• Quishing (QR-Code-basiertes Phishing) greift immer mehr um sich und nimmt insbesondere Mobilnutzer in den USA, Indien und Japan ins Visier.
• Drei Prozent der Phishing-Webseiten setzen gerätespezifische Umleitungen ein, so dass auf Desktop-Rechnern harmlose Inhalte angezeigt, aber auf Mobilgeräten gefährliche Phishing-Payloads heruntergeladen werden.
• Untersuchungen zeigen, dass Angreifer CIDR-Blöcke (Classless Inter-Domain Routing) zur Allokation von IP-Adressen verwenden, mit denen sich mehrere Phishing-Domains hosten sowie die Reichweite und Persistenz der Angriffe erhöhen lassen.
• Die höchste Mishing-Aktivität wurde im August 2024 mit täglich über 1.000 Angriffen registriert.

Übersicht über mobile Gefahrenlage

Da sich Organisationen zunehmend auf mobile Geräte im Geschäftsbetrieb verlassen, einschließlich Multi-Faktor-Authentifizierung und Mobile-First-Anwendungen, stellt Mobile Phishing ein ernsthaftes Risiko für die Unternehmenssicherheit dar. Angreifer nutzen Sicherheitslücken in Cloud-Umgebungen und mobilen Geschäftsanwendungen aus, vergrößern die Angriffsfläche und erhöhen die Anfälligkeit für den Diebstahl von Anmeldeinformationen und die Kompromittierung von Daten. Herkömmliche Anti-Phishing-Maßnahmen, die für Desktops entwickelt wurden, erweisen sich als unzureichend — erforderlich ist eine Umstellung auf Mobile-Threat-Defense-Lösungen zur Abwehr von Bedrohungen auf mobilen Endgeräten.

Nico Chiaraviglio, Chief Scientist bei Zimperium, Bild: Zimperium

„Mishing-Angriffe sind mehr als eine Weiterentwicklung klassischer Mobile-Phishing-Taktiken—es handelt sich um eine völlig neue Angriffskategorie, die zielgenau spezifische Fähigkeiten und Schwachstellen mobiler Geräte, wie Kameras zum Beispiel, ausnutzt“, sagte Nico Chiaraviglio, Chief Scientist bei Zimperium. „Unsere Untersuchungen zeigen, dass Angreifer das Nutzerverhalten ausnutzen, die Angriffsfläche vergrößern und zunehmend mehrere mobilspezifische Kanäle nutzen – darunter SMS, E-Mail, QR-Codes und Voice-Phishing (Vishing).“

Weitere Informationen zum Thema:

Zimperium
Studie Mishing Report 2024

[datensicherheit.de, 19.08.2022] „So schnell wie das Home-Office für Unternehmen und Angestellte zur Routine wurde, so schnell kamen auch die Gefahren. Aktuell setzen viele Firmen weiterhin auf VPN-Tunnel für den Zugriff auf das Unternehmensnetzwerk, obwohl die Technologie den Sicherheitsanforderungen dieser neuen Rahmenbedingungen schlicht nicht mehr gerecht wird“, so Lothar Geuenich, „VP Central Europe / DACH“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme. Eine aktivierte VPN-Verbindung leite jeden Datenverkehr durch das Unternehmensnetzwerk. Dies könne besonders für Institutionen mit hochsensiblen Daten, wie Banken und Finanzdienstleister, zur Gefahr werden. Geuenich erläutert: „Surft man dann entweder mit dem Firmenlaptop privat im Netz oder nutzt umgekehrt den privaten Laptop für die Arbeit, entstehen Sicherheitsrisiken. Denn jede Malware, die das Gerät befällt, kann sich über den VPN-Tunnel direkten Zugang zum Unternehmen verschaffen – erleichtert durch den Umstand, dass man sich zuhause außerhalb der geschützten Umgebung der Firmen-IT befindet.“

Foto: CHECK POINT

Lothar Geuenich: Besonders beim Surfen im Internet und bei der Nutzung von E-Mail- und Collaboration-Apps gilt es, ganzheitliche Schutzmaßnahmen zu implementieren…

Im Home-Office jedes Gerät potenzielle Gefahrenquelle – insbesondere für Banken

Mehr noch als andere Einrichtungen brauchten Kreditanstalten daher einen fortschrittlichen Schutz für sogenannte Remote-Mitarbeiter – und dieser sollte alle Geräte, einschließlich Tablets, mobile, BYOD- (Bring-Your-Own-Device) und von der hauseigenen IT verwaltete Geräte umfassen. Geuenich betont: „Besonders beim Surfen im Internet und bei der Nutzung von E-Mail- und Collaboration-Apps gilt es, ganzheitliche Schutzmaßnahmen zu implementieren und einen Wildwuchs an Lösungen verschiedener Anbieter zu vermeiden.“ Obendrein müssten Banken einen vertrauenswürdigen Zugriff auf Unternehmensanwendungen von jedem Ort aus sicherstellen.

Hinzu komme ein weiterer Risikofaktor, welcher branchenübergreifend häufig übersehen werde: „Die Absicherung Dritter, einschließlich Auftragnehmer, Berater und Partner, die auf Geräte und Anwendungen zugreifen.“ Deren Umsetzung von Compliance- und IT-Richtlinien könne von außen nicht nachvollzogen werden, weswegen eine standardmäßige Absicherung ab Werk zu empfehlen sei.

Tipps zur Absicherung der Mobilgeräte von Banken

Grundsätzlich beschränkten sich die Arbeitsgeräte von Angestellten in Fernarbeit und Home-Office meist auf Smartphones und Laptops. Die Prioritäten und Fokuspunkte der IT-Sicherheit unterschieden sich hierbei jedoch und es stelle sich die Frage: „Worauf kommt es bei der Absicherung von mobilen und anderen Endgeräten jeweils an?“

Die Absicherung von Mobilgeräten bei Banken braucht laut Geuenich:

• Vollständigen Schutz vor Netzwerkangriffen, einschließlich Phishing, Smishing (Phishing über SMS oder Textnachrichten) und anderen Angriffstypen.
• Blockierung von nicht konformen Geräten und Schwachstellen im Betriebssystem.
• Verbesserte Einhaltung der DSGVO/GDPR (Datenschutzgrundverordnung).
• Vollständigen Schutz der Privatsphäre der Nutzer.
• Hohe Skalierbarkeit mit „Mobile Device Management“ für die Zero-Touch-Bereitstellung für alle Mitarbeiter.

Geuenichs Empfehlungen zur Absicherung von Endgeräten bei Banken:

• Vollständigen Endpunktschutz und EDR (Endpoint Detection and Response).
• Eine konsolidierte Sicherheitsarchitektur, welche Bedrohungen in Echtzeit verhindert.
• Nahezu vollständige Automatisierung der Erkennung, Untersuchung und Behebung von Angriffen.
• Schutz vor und automatische Behebung sowie Wiederherstellung nach erfolgten Ransomware-Angriffen.
• Hohe Produktivität mit „Content Disarm and Reconstruction“ (CDR).
• Reduzierte TCO (Total Cost of Ownership) mit einer einzigen Lösung, die erweiterte Überwachungs- und Berichterstattungsfunktionen für schnelle Problemlösung enthält.

Banken haben Verantwortung über sensible Geschäfts- und Finanzinformationen ihrer Kunden

Abgesicherte Endgeräte reichten jedoch nicht aus. Geuenich macht indes deutlich: „Auch der Datenverkehr zwischen ihnen muss lückenlos geschützt sein. E-Mail und Collaboration-Apps sind heutzutage zu den wichtigsten Tools für Unternehmen, aber auch zu den beliebtesten Zielen von Hackern geworden. BEC-Angriffe (Business-E-Mail Compromise) haben in der Vergangenheit bereits zahlreichen Institutionen hohe Verluste beschert.“ Um beim Schutz der vielen täglich verwendeten Applikationen wie „Outlook“, „SharePoint“, „Teams“, „OneDrive“, etc. nicht den Überblick zu verlieren, empfiehlt er die Verwendung einer einzigen Anwendung zur Überwachung aller. Dabei komme es besonders auf den Schutz vor Malware, Phishing, bösartigen Links, Kontoübernahmen und mehr an. Denn es gelte zu bedenken: Banken hätten die Verantwortung über sensible Geschäfts- und Finanzinformationen ihrer Kunden, „die diese nicht im Darknet wiederfinden wollen“.

Aus diesem Grund sollte auch nicht weniger als das sogenannte Zero-Trust-Konzept oberster Leitfaden der Sicherheitsarchitektur sein. Bei der aktuellen Bedrohungslage sei eine Null-Vertrauen-Policy alternativlos und Banken sollten bei der Umsetzung von „Zero Trust“ folgendes sicherstellen:

• Least-Privilege-Zugriff auf Webanwendungen.
• Sichere Shell-Server, Remote-Desktops und Datenbanken.
• Zugriffsmanagement für Plattformen wie „Splunk“, interne WeApps, AWS-Ressourcen, etc.
• Administratoren die Verfolgung von Benutzeraktivitäten mit aufgezeichneten Sitzungen und Prüfpfaden ermöglichen.

Insbesondere Banken sollten IT-Sicherheit der Endgeräte ihrer Tele-Mitarbeiter im Blick behalten

Besonders für Finanzinstitute und Kredithäuser sei es entscheidend, die IT-Sicherheit der Endgeräte ihrer Mitarbeiter trotz Telearbeit im Blick zu behalten. „Denn unmittelbar mit ihrer Sicherheit ist die ihrer Kunden und deren Daten verbunden.“

Geuenich Fazit zur Motivation: „IT-Verantwortliche, die zusätzlich den Mailverkehr und die Apps zur gemeinsamen Zusammenarbeit im Blick haben und ,Zero Trust’ als Grundlage für alle Sicherheitsentscheidungen nehmen, sind den Herausforderungen der modernen IT-Landschaft gewachsen.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.11.2019
Zero Trust: Warum die Zeit gerade jetzt dafür reif ist / Laut einer aktuellen Studie befassen sich bereits 78 Prozent der befragten Unternehmen damit

datensicherheit.de, 15.08.2019
Firmennetzwerke bedroht: Nathan Howe empfiehlt Zero Trust Network Access / Ein Hacker verkauft gefälschte und manipulierte Apple-Ladekabel, die einen WLAN-Chip beinhalten

datensicherheit.de, 19.06.2019
Einfache Implementierung des Zero-Trust-Modells in Netzwerken / Palo Alto Networks empfiehlt Fünf-Stufen-Methode

Ein Gastbeitrag von unserem Gastautor Christoph Volkmer, VP DACH bei Tanium

[datensicherheit.de, 05.06.2020] Die Zahl der Cyberangriffe steigt, ebenso wie die Raffinesse der Angreifer. Hinzu kommt die Sorge der IT-Verantwortlichen, den Überblick über die zunehmende Zahl an Endgeräten in ihrem Unternehmensnetzwerk, wie Laptops, Servern, virtuellen Maschinen, Container oder Cloud-Infrastrukturen zu verlieren, so dass bei weitem nicht alle Systeme ausreichend geschützt werden können. Zieht man außerdem in Betracht, dass die Methodenvielfalt der Cyberattacken nahezu täglich steigt, menschliche Fehler aufgrund erfolgreicher Phishing-Kampagnen hinzukommen und die Verwaltung der physischen und virtuellen Unternehmensinfrastruktur immer komplexer wird, stehen IT-Verantwortliche vor großen Herausforderungen. Dreh- und Angelpunkt, diese zu meistern, ist die Sichtbarkeit und Kontrolle der Endpoints.

Christoph Volkmer, VP DACH bei Tanium, © Tanium

Ganzheitliche IT-Sicherheitsstrategie empfohlen

Wenn ein Unternehmen nicht ausreichend Einblick in seine IT-Infrastruktur und damit auch keine Kontrolle über die potenziellen Schwachstellen ihrer IT-Umgebung hat, ist es von Natur aus anfällig für Angriffe. Um optimal gegen jede Art von Bedrohung gerüstet zu sein oder sich im Fall der Fälle von unerwarteten Angriffen schützen zu können, müssen sie sicherstellen, dass sie über eine ganzheitliche IT-Sicherheitsstrategie verfügen. Diese Punkte gilt es dabei zu beachten:

• Bewertung der organisatorischen Hindernisse: Arbeiten die Sicherheits- und IT-Betriebsteams zusammen oder herrscht Unklarheit darüber, welche Abteilung für die Gewährleistung der Widerstandsfähigkeit gegen Cyberangriffe zuständig ist? 42 Prozent der deutschen Unternehmen klagen über Unstimmigkeiten zwischen IT-, Betriebs- und Sicherheitsteams. Jedoch ist es nur über eine erfolgreiche Verzahnung der verschiedenen Kompetenzen in den Abteilungen möglich, das Netzwerk sowie Unternehmens- und Kundendaten zu schützen. Denn ohne diese Zusammenarbeit lässt sich keine echte Transparenz der Umgebung und Endpunkte erreichen, was das Risiko, Opfer von Cyberangriffen zu werden, erhöht.
• Die IT-Umgebung kennen: Zu verstehen, welche Komponenten sich in einer IT-Umgebung befinden, ist ein entscheidender Schritt. Wenn ein CISO beim IT-Team vorbeischaut und fragt, wie viele nicht gepatchte Geräte sich in einem Netzwerk befinden, kann diese Frage dann detailliert beantwortet werden? Für den Aufbau einer erfolgreichen Sicherheitskultur ist es von entscheidender Bedeutung, dass alle IT-Verantwortlichen auf zuverlässige und exakte Daten zurückgreifen können, um Überblick und Kontrolle über alle Endpoints zu erlangen. Dies ermöglicht es ihnen, präventiv auf technische Störungen oder Bedrohungen zu reagieren, sich darauf einzustellen und umgehend zu reagieren.
• Die Infrastruktur entrümpeln: Bei Sicherheitsdebakeln wie WannaCry berichten viele IT-Verantwortliche, dass insbesondere die Aktualisierung der Betriebssysteme in einer Umgebung voller überholter Anwendung eine große Herausforderung darstellte. Wenn ein Unternehmen eine kritische Anwendung ausführt, die es erfordert, sich auf ein veraltetes Betriebssystem zu verlassen, ist es an der Zeit, diese Strukturen zu überdenken. Die Nutzung veralteter Systeme geht mit immensen Risiken einher – dies sollten alle Mitarbeiter verstehen, sodass sie sich vor Augen halten können, wie verhältnismäßig einfach es für Cyberkriminelle ist, überholte Software als Einfallstor ins Unternehmensnetzwerk zu missbrauchen.
• Beseitigung der Fragmentierung: Die meisten IT-Sicherheits- und Betriebsteams arbeiten mit einem Wildwuchs an Insellösungen – schwer zu verwalten, unmöglich vollständig zu integrieren. Um allen Teams einen klaren Überblick über ihre gesamte IT-Umgebung zu ermöglichen, müssen Informationssilos und isolierte Arbeitsweisen beseitigt werden. Stattdessen sollten Unternehmen in eine einheitliche Endpunktverwaltungs- und Sicherheitsplattform investieren.
• Schulung der Mitarbeiter: Prognosen zufolge erfolgen bis zu 83 Prozent der Ransomware-Attacken über infizierte Links oder E-Mail-Anhänge. Die Gefahr, dass Mitarbeiter auf diese Weise in eine Falle tappen, ist groß. Zum einen werden die Angriffe mithilfe künstlicher Intelligenz und maschinellem Lernen immer ausgefeilter. Und zum anderen sind viele Stand heute nicht in der Lage, solche gefälschten E-Mails zu erkennen. Umso wichtiger ist es, in die kontinuierliche Schulung von Mitarbeitern zum Schutz vor Phishing-Angriffen zu investieren. Diese Trainings sollten ein wichtiger Bestandteil der IT-Sicherheitsstrategie darstellen.

Eine effektive IT-Sicherheitsstrategie sollte daher nicht nur die physische und virtuelle Infrastruktur umfassen, sondern auch den Mitarbeiter nicht aus den Augen verlieren. Entscheidend für die Bekämpfung jeder Art von Bedrohung – sei es ein raffinierter Angriff, ein Mitarbeiter, der auf einen infizierten Link klickt, oder einer, der überholte Software nutzt – ist die Sichtbarkeit aller Endpunkte im gesamten Netzwerk und die Fähigkeit, umgehend auf Netzwerkunterbrechungen reagieren zu können.

Weitere Informationen zum Thema:

datensicherheit.de, 14.05.2020
Samsung: Sicherheitslücke bei Smartphones potentielle Gefahr für Firmennetzwerke

[datensicherheit.de, 30.03.2020] Die Statistiken sind erstaunlich – 50 Prozent Steigerung bei der Internetnutzung, 37,5 Prozent neue Benutzerin Microsoft-Teams, 112 prozentigeZunahme der VPN-Nutzung – einige Zahlen, die die aktuelle Situation beschreiben, in der sich Mitarbeiter weltweit bereits befinden oder in einigen Wochen oder Monaten befinden werden. Trotz der Einführung von Cloud-basierten Diensten in den letzten Jahren laufen viele gängige und proprietäre Anwendungen immer noch im Hause. Mitarbeiter in der öffentlichen Verwaltung, im Gesundheitswesen und in kritischen Infrastrukturen benötigen Zugang zu Netzwerken.

Unternehmen verlassen sich auf VPNs

Viele Unternehmen aus allen Branchen verlassen sich auf VPN, um den Kommunikationsweg von Remote-Benutzern zu einem Unternehmensnetzwerk mit einem verschlüsselten End-to-End-Tunnel abzusichern. Ein VPN bietet keinen ganzheitlichen Ansatz und kann ein falsches Sicherheitsgefühl vermitteln. Es schützt zwar den Kommunikationsweg zum Unternehmensnetzwerk, aber sie erzwingt weder Sicherheit auf dem Gerät selbst, noch überwacht sie dessen Aktivität, wenn es mit dem Unternehmensnetzwerk verbunden ist.

Bild: Forescout

Chris Sherry, Regional Vice President EMEA bei Forescout

„Mit dieser massiven ‚Work-from-home‘-Community und potenziellen Sicherheitslücken gibt es bereits einige Beispielevon Bedrohungsakteuren, die auf diese neue Angriffsfläche abzielen. Wenn Unternehmen nicht über etablierte oder ausgereifte Endgeräte-Hygienepraktiken verfügen, könnten sie sich selbst in Gefahr bringen“, sagt Chris Sherry, Regional Vice President EMEA bei Forescout.

Es gibt mehrere Gründe dafür, dass die Arbeit von zu Hause aus ein hohes Maß an Endgeräte-Hygiene erfordert:

• Eingeschränkte Sichtbarkeit und Verwaltung.
  Wenn eine so große Anzahl von Unternehmensgeräten von der Vor-Ort- zur Außer-Haus-Umgebung wechseln, tragen sie alle Belastungen für IT-Aufgaben wie Patchen, Monitoring und Sicherheit mit sich. Im Laufe der Zeit haben Unternehmen somit trotz des Einsatzes von Management- und Sicherheitsagenten möglicherweise weniger Transparenz darüber, wie diese Geräte konfiguriert, gepatcht und abgesichert werden.
• Unzureichende Netzwerkkontrollen.
  Die meisten Wi-Fi-Heimnetzwerke verfügen nicht über die gleichen Netzwerkkontrollen wie Unternehmensnetzwerke (wie NGFW, IPS, ATD, NTA). Auf dem Firmengelände arbeiten Netzwerk- und Gerätesteuerungen zusammen, um die IT-Umgebung zu schützen und Zugriffsversuche zu erkennen. Bei unzureichenden Netzwerkkontrollen in Heimnetzwerken sind Endgerätesicherheit und -Hygiene die erste Verteidigungslinie.
• BYOD.
  Unternehmen haben wegen des plötzlichen Übergangs zu einer „Remote-Belegschaft“ und den Herausforderungen in der Lieferkette, die Beschränkungen für die Konnektivität der Fernmitarbeiter mittels eigenem Gerät mit dem Firmennetzwerk gelockert. Es ist wenig wahrscheinlich, dass diese Geräte regelmäßig gewartet werden. Darüber hinaus ist es wahrscheinlicher, dass sie ungepatcht, ungeschützt und unkontrolliert bleiben. Die einfache Installation von VPN-Clients auf diesen Geräten ist unzureichend, kann zu unerwünschten Ergebnissen führen und einen Bedrohungsvektor darstellen.
• Chaotische Umgebung mit mehr Einfallstoren.
  Anwender, die von zu Hause aus arbeiten, können kompromittierendes Verhalten, nicht genehmigte Anwendungen und risikoreichen Datenfluss in Unternehmensnetzwerke bringen. Darüber hinaus bieten IoT-Geräte in Heimnetzwerken Möglichkeiten für die seitliche Bewegung von Bedrohungen. In solchen Situationen sind eine kontinuierliche Schulung und Kommunikation der Endbenutzer unerlässlich.

Best Practices für den Schutz von Home Office-Mitarbeitern:

1. Verschaffen Sie sich einen vollständigen Überblick über alle mit Ihrem Netzwerk verbundenen Remote-Geräte.
   Dies sollte die Priorität Nr. 1 sein – man kann nicht absichern, was man nicht sehen kann. Über die Benutzer- und VPN-Authentifizierung hinaus ist es wichtig, Geräte zu identifizieren und sie auch als unternehmenseigene oder persönliche Geräte zu kategorisieren. Dadurch können spezifische Sicherheitsrichtlinien auf BYOD-Geräte angewendet werden und deren Verhalten und Netzwerkverkehr gemonitored werden. Darüber hinaus kann es riskant sein, sich ausschließlich auf installierte Agenten zu verlassen, um einen Einblick in die Unternehmensgeräte zu erhalten, da ein geringeres IT-Monitoring und -Governance dazu führen kann, dass Agenten falsch konfiguriert oder veraltet sind.
2. Setzen Sie das gleiche Sicherheitsniveau der Cyber-Hygiene für Remote-Geräte um.
   Heimnetzwerke sind weniger sicher, deshalb sind Endgeräte-Hygiene und Security Posture (Sicherheits-Status quo) von größter Bedeutung – sowohl für Firmen- als auch für BYOD-Geräte. Bevor Geräte im Unternehmensnetzwerk zugelassen werden, müssen grundlegende Überprüfungen durchgeführt werden, auch wenn sie sich über VPN korrekt authentifiziert haben. Laufen die vorgeschriebenen Sicherheitsagenten und sind sie auf dem neuesten Stand? Führen Remote-Benutzer nicht genehmigte oder anfällige Anwendungen aus? Sind die Remote-Geräte mit den neuesten Sicherheitsupdates gepatcht? Ein einzelnes anfälliges, nicht konformes oder kompromittiertes Remote-Gerät in Ihrem Netzwerk kann einen Einstiegspunkt für Bedrohungsakteure darstellen.
3. Durchsetzen von Zugriffskontrollen und Segmentierungsrichtlinien, um die durchschnittliche Reaktionszeit zu verkürzen.
   Bei einer so groß angelegten Verlagerung der Belegschaft ins Home Office arbeiten die Unternehmen bereits außerhalb der normalen Bedingungen. Während dieser Zeit ist eine kontinuierliche Überwachung und Durchsetzung von Richtlinien unerlässlich, um zu verhindern, dass Sicherheitsvorfälle außer Kontrolle geraten. Bewährte Praktiken wie der Zugang mit den geringsten Privilegien sollten durchgesetzt werden. Benutzer sollten automatisch über Probleme bei der Einhaltung von Richtlinien über ein firmeneigenes Webportal und Ballon-/Popup-Benachrichtigungen informiert werden. Außerdem sollten VPN-Verbindungen beendet werden, wenn die Nichteinhaltung weiterhin besteht. Am wichtigsten ist, dass die Netzwerkaktivität von Home Office-Geräten kontrolliert wird, um Normabweichungen zu erkennen und sicherzustellen, dass die Segmentierungs-Hygiene eingehalten wird.

Weitere Informationen zum Thema:

Forescout
The VPN is Back but Don’t Forget Device Hygiene

datensicherheit.de, 26.03.2020
Corona: Verunsicherte Nutzer im Fokus von Cyber-Betrügern

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

datensicherheit.de, 23.03.2020
Home-Office: TeleTrusT veröffentlicht Liste kostenfreier IT-Sicherheitslösungen

datensicherheit.de, 20.03.2020
digitronic stellt Gratis-Lizenzen für die sichere Arbeit im Home-Office bereit

datensicherheit.de, 20.03.2020
COVID-19: Kriminelle Verkäufer gewähren Rabatte auf Malware

datensicherheit.de, 18.03.2020
SANS Institute: Kostenloses „Securely Working from Home“ Deployment Kit veröffentlicht

datensicherheit.de, 17.03.2020
COVID-19: Pandemie erzwingt Arbeit im Home-Office

datensicherheit.de, 12.02.2020
Corona-Virus: Gefährliche E-Mails virulent

[datensicherheit.de, 10.06.2019] Trotz der Notwendigkeit, private Mobilgeräte von Mitarbeitern im Unternehmensumfeld zu sichern, sieht die Realität offensichtlich häufig anders aus: Private Endgeräte würden sozusagen als „stille Teilnehmer“ in der Unternehmens-IT hingenommen. Gründe dafür und Herausforderungen der mobilen Sicherheit, aber auch die Klärung der Frage „warum BYOD nicht so einfach umsetzbar ist, wie es zunächst erscheint“ erörtert Michael Scheffler, „Regional Director CEEU“ bei Bitglass.

Private Mobilgeräte im Unternehmensumfeld als Einfallstore

Mitarbeiter nutzten sie wie selbstverständlich jederzeit auch für geschäftliche Zwecke und so böten private Mobilgeräte Hackern vielfältige Möglichkeiten für Datendiebstahl. Das Risikopotenzial hätten viele Unternehmen bereits erkannt, jedoch sei die Sicherung der mobilen Endgeräte mit einigen Hürden verbunden.
In den vergangenen zehn Jahren seien private Mobilgeräte wie Smartphones und Tablets ein fester Bestandteil des Unternehmensalltags geworden. Dies zeige durchaus positive Auswirkungen: Die Zufriedenheit der Mitarbeiter, die dadurch Arbeitsprozesse stärker nach ihren Präferenzen gestalten könnten, ließe sich steigern und auch die Effizienz könne sich im Zuge dessen verbessern.
Für böswillige Akteure hingegen eröffne sich mit Mobilgeräten im Unternehmensumfeld eine ganze Fülle von Wegen, um in die IT-Infrastruktur eines Unternehmens vorzudringen und sensible Daten zu erbeuten. In einer Umfrage von Bitglass unter „Black Hat“-Hackern im Jahr 2017 hätten 61 Prozent von ihnen nicht-verwaltete Geräte als die Top-Schwachstelle in Unternehmen angegeben. Scheffler: „Vereinfacht dargestellt, birgt jedes Endgerät ein individuelles Risikopotenzial. Dieses setzt sich zusammen aus Faktoren wie der Version des Betriebssystems, den darauf installierten Apps und nicht zuletzt aus dem Grad der Sorglosigkeit des Nutzers. Hacker, die gezielt in die IT-Umgebung eines Unternehmens eindringen wollen, müssen lediglich das Gerät mit dem niedrigsten Sicherheitsniveau als Einfallstor nutzen.“
Trotz der offensichtlichen Notwendigkeit, Mobilgeräte von Mitarbeitern zu sichern, sehe die Realität häufig anders aus. „In vielen Unternehmen werden private Endgeräte in der Hoffnung, dass schon nichts passieren wird, sozusagen als ,stille Teilnehmer‘ in der Unternehmens-IT hingenommen“, berichtet Scheffler. Dies habe vielfältige Gründe.

BYOD: Der häufig unterschätzte Aufwand

Das Verhaltensmuster „Bring Your Own Device“ (BYOD) sei tatsächlich mit deutlich mehr Aufwand verbunden, als der Wortlaut zunächst vermuten lasse. Vor allem die rechtliche Seite sorge bei deutschen Unternehmen für Kopfzerbrechen. Datenschutzrechtliche Auflagen verlangten die strikte Trennung von privaten und Unternehmensdaten auf den Endgeräten der Arbeitnehmer.
Es müsse gewährleistet werden, dass die Daten des Unternehmens problemlos gesichert werden könnten, darüber hinaus sollten private Daten von jeglicher Unternehmensnutzung unbeeinträchtigt bleiben.
Neben den Daten sei auch die Nutzung der Unternehmenssoftware eine entscheidende Frage: Softwareanbieter unterschieden zwischen privatem und gewerblichem Gebrauch. „Für Unternehmen bedeutet dies, sie müssen prüfen, inwieweit die Nutzung auf privaten Geräten mit ihrer erworbenen Lizenz abgedeckt ist“, betont Scheffler.
Auch könnten im Zuge dessen steuerrechtliche Fragen auftreten. Schließlich müssten auch personelle interne Bestimmungen sowie Haftungsfragen gelöst werden. Scheffler: „Ein hoher Aufwand, den viele Betriebe scheuen, da sich dieser für sie nicht lohnt.“

MDM-Software kommt schnell an ihre Grenzen

Als geeignete Lösung, die Datensicherheit auch auf privaten Geräten mit vertretbarem Aufwand zu gewährleisten, erscheine vielen Unternehmen der Einsatz von „Mobile Device Management“ (MDM). Dieses ermögliche die Mobilgerätenutzung im Einklang mit den Sicherheitsrichtlinien des Unternehmens. „Auf den Geräten wird eine Software installiert, die dafür sorgt, dass der Nutzer das Gerät nur mit eingeschränkten Befugnissen und einige Anwendungen nur mit begrenztem Funktionsumfang nutzen kann. Im Falle eines Verlusts oder Diebstahls hat die IT-Verwaltung die Möglichkeit, sämtliche Unternehmensdaten auf dem Gerät aus der Ferne zu löschen“, erläutert Scheffler.
Wenn es um den Einsatz im BYOD-Kontext geht, gerate MDM-Software jedoch schnell an ihre Grenzen. Ursprünglich sei diese für die Nutzung in regulierten Branchen entwickelt worden, in denen Mitarbeitern meist vom Unternehmen Mobilgeräte zur geschäftlichen Nutzung zur Verfügung gestellt würden. „Handelt es sich hingegen um zahlreiche verschiedene Gerätemodelle mit entsprechend unterschiedlichen Betriebssystemen, können Schwierigkeiten bei der Kompatibilität auftreten“, so Scheffler. Bei den Nutzern mache sich dies mit Funktionsstörungen, wie zum Beispiel App-Abstürzen bemerkbar. Zudem seien nicht alle Verwaltungsfunktionen der Software für jeden Gerätetyp verfügbar.
Neben den Risiken in Bezug auf die Funktionalität habe MDM auch sehr häufig mit der Zurückweisung seitens der Mitarbeiter zu kämpfen – und dies nicht nur auf Grund der verringerten Performance. Die Software räume der IT-Verwaltung weitreichende Zugriffsrechte ein. Diese könnten theoretisch auch in böser Absicht missbraucht werden – mit Hilfe von MDM wäre es für berechtigte Nutzer wie die IT-Abteilung kein Problem, das Surfverhalten zu beobachten, in den E-Mail-Verkehr einzugreifen und Dateien auf dem Gerät zu löschen oder dieses auf Werkseinstellungen zurückzusetzen.
Wie aus der Umfrage zum aktuellen „BYOD Security“-Report von Bitglass hervorgeht, sei die Hälfte der Befragten (51 Prozent) davon überzeugt, dass die Akzeptanz von MDM-Software deutlich höher wäre, wenn die IT-Verwaltung nicht die Möglichkeit zu einem derart tiefen Einblick in die Privatsphäre hätte.

„Mobile Application Management“-Lösungen etwas weniger invasiv

Ähnlich verhalte es sich mit „Mobile Application Management“-Lösungen (MAM), die im Vergleich zu MDM etwas weniger invasiv seien. Damit könnten unternehmenseigene Apps auf den Endgeräten der Mitarbeiter sicher bereitgestellt und unternehmenseigene Daten notfalls aus der Ferne gelöscht werden.
Allerdings übernähmen „Mobile Application Manager“ auch die Kontrolle über den Austausch von Daten zwischen den mobilen Apps auf dem Gerät, was zu Funktionseinbußen des Geräts und anderer Anwendungen führen könne.
„So benannten die 400 der für den ,BYOD Security‘-Report Befragten ,Bedenken über die Einhaltung der Privatsphäre‘ mit 36 Prozent als die größten Vorbehalte, die Mitarbeiter gegen MAM hegen“, berichtet Scheffler.
Nachteile durch MDM und MAM entstünden außerdem auch der IT-Abteilung: Für sie sei es mit einem erhöhten Aufwand verbunden, zunächst jedes einzelne Gerät mit der Software auszustatten und anschließend trotz vereinzelter technischer Schwierigkeiten sicherzustellen, „dass die Datensicherheit auf allen Installationen in ausreichendem Maße gegeben ist“.

Datensicherheit mit „Mobile Information Management“ ermöglichen!

Das Vorhaben, private Mobilgeräte zu sichern, scheine im Unternehmenskontext stets mit Verlusten verbunden. Mit MDM- und MAM-Lösungen könnten Datensicherheit, Benutzerkomfort, Effizienz und Vertrauen nur suboptimal miteinander in Einklang gebracht werden, was schließlich für Frust auf Unternehmens- als auch Mitarbeiterseite sorge.
„Geräte sichern zu wollen, wirkt letztendlich wie ein Selbstzweck, der im Zeitalter der Daten längst überholt ist“, so Scheffler.
Der Ausweg aus dem Dilemma führe über den Blick auf das Wesentliche: Der unmittelbare Schutz der Daten. Auf dieser Ebene setzten Lösungen an, die aus dem „Mobile Information Management“ (MIM) hervorgegangen seien. Sie verschlüsselten alle Daten, die sich im Umlauf befinden, und kämen ohne Installation auf den Endgeräten aus.
Der IT-Abteilung böten sie ohne Einschränkung die Funktionen, die auch MDM mit sich bringe, wie „Data Loss Prevention“ und das Datenlöschen via Fernzugriff.
Für die Nutzer bleibe der Bedienkomfort erhalten und ihre Privatsphäre sei keinem Risiko ausgesetzt. Schefflers Fazit: „Auf diese Weise kann Datensicherheit auf eine für alle Beteiligten zufriedenstellende Weise erzielt werden.“

Foto: Bitglass

Michael Scheffler: Verschlüsselung aller im Umlauf befindlichen Daten empfohlen

Weitere Informationen zum Thema:

bitglass, 15.11.2018
„Bitglass 2018 BYOD Report: More Than Half of Companies See Rise in Mobile Security Threats“

datensicherheit.de, 07.03.2019
Multicloud-Umgebungen: Fünf Tipps für Datensicherheit

datensicherheit.de, 06.12.2018
Datenzentrierte Sicherheit mit Cloud Access Security Brokern

datensicherheit.de, 20.09.2018
Kryptojacking: Wie Cyberkriminelle sich die Cloud zu Nutze machen

datensicherheit.de, 08.08.2018
Passwort-Missbrauch: Phishing wesentliches Risiko für Datenverlust in Unternehmen

[datensicherheit.de, 26.02.2019] Forescout Technologies hat die Ergebnisse einer aktuellen Studie in Deutschland bekanntgegeben; diese sei von Censuswide im Auftrag von Forescout durchgeführt worden. Durch die immer stärkere Vernetzung und eine zunehmende Anzahl an Endgeräten änderten sich die Anforderungen an Sicherheitsstrategien. Diese Erkenntnisse bestätigt demnach die der Studie zugrundeliegende Erhebung unter 500 Führungskräften und IT-Leitern in Deutschland im Januar 2019.

Sicherheitslage: Große Selbstzweifel im Mittelstand

Im Rahmen der Untersuchung sei deutlich geworden, dass sich größere Unternehmen sicherer und besser auf die Herausforderungen vorbereitet fühlten. Trotzdem bestünden weiterhin, unabhängig von der Unternehmensgröße, Sicherheitsbedenken:
So hätten 29,5 Prozent der Organisationen mit mehr als 10.000 Angestellten angegeben, dass sie nicht oder nur eingeschränkt in der Lage seien, alle Geräte im Netzwerk zu inventarisieren und deren Compliance sicherzustellen. Typische Mittelständler (250 bis 500 Mitarbeiter) hätten sogar noch größere Zweifel. Von ihnen hätten 43,9 Prozent angemerkt, kein oder nur geringes Vertrauen in die eigenen Möglichkeiten im Bereich Compliance und Erkennung von Endpunkten zu haben.

Digitalisierung führt zu regelrechten Geräte-Tsunamis

„Im Zeitalter der Digitalisierung müssen Unternehmen sich einen Überblick über die regelrechten Geräte-Tsunamis verschaffen, sonst verlieren sie die Kontrolle über ihr Netzwerk und wichtige Assets“, warnt Stephan von Gündell-Krohne, „Sales Director DACH“ bei Forescout.
„Deshalb ist unser erster Grundpfeiler ‚Sicherheit durch Sichtbarkeit‘. Wir versetzen IT-Teams in die Lage jedes Gerät umgehend zu erkennen und zu verwalten – egal, wie viele Devices sich im Netzwerk befinden und wie hoch das Datenvolumen ist.“

Größere Unternehmen mit Zehntausenden Endgeräten im Netzwerk

Die vorliegende Analyse zeigt laut Forescout, dass das Verhältnis von Personal und Endpunkten immer weiter auseinanderdriftet. Organisationen aller Größen hätten mit immer mehr Devices zu kämpfen. Dabei trieben nicht nur das Internet der Dinge (IoT), sondern auch virtuelle Maschinen das Wachstum an.
Firmen mit weniger als 100 Mitarbeitern hätten beispielsweise im Schnitt bereits 2.909 Devices in ihrem Netzwerk. Bei 250 bis 499 Angestellten ergebe sich ein Durchschnitt von 7.844 Endpunkten. Bei einer Belegschaft von über 10.000 Mitarbeitern komme man bereits auf 70.309 Geräte in einer einzelnen Organisation. 59,1 Prozent aller Unternehmen mit mehr als 5.000 Angestellten hätten mehr als 10.000 Endgeräte in ihrem Netzwerk.

Dritte könnten oft unbemerkt Geräte mit Unternehmens-Netzwerk verbinden

Gerade in Großunternehmen seien viele IT-Abteilungen nicht entsprechend ausgestattet. 50 Prozent aller befragten Großunternehmen (1.000 bis 5.000) geben demnach an, dass Dritte unbemerkt Geräte mit ihrem Netzwerk verbinden könnten, da keine Mechanismen implementiert wurden, um fremde Geräte zu segmentieren oder zumindest zu erkennen – und das, obwohl 80 Prozent innerhalb der gleichen Befragungsgruppe einen großen Sicherheitsvorteil durch verbesserte Sichtbarkeit, besonders in Bezug auf Devices aus den Bereichen IoT und „Operation Technology“ (OT) erkennen.
Unter allen Befragten aller Unternehmensgrößen würden die zunehmende Vernetzung von IT und OT (25 Prozent) und die Erkennung von Geräten sowie Schwachpunkten in Echtzeit (21 Prozent) als die größten Herausforderungen genannt.

Bild: ForeScout

Stephan von Gündell-Krohne: „Sicherheit durch Sichtbarkeit“ als erster Grundpfeiler

Weitere Informationen zum Thema:

datensicherheit.de, 16.02.2019
Münchner Sicherheitskonferenz: Internet der Dinge als Schwerpunktthema

datensicherheit.de, 03.08.2018
Internet der Dinge: Aufbau sicherer Systeme

[datensicherheit.de, 06.11.2018] Über die Sicherheit und Nutzung von Endgeräten sprach Carsten J. Pinnow, Herausgeber und Chefredakteur von datensicherheit.de (ds), mit Marco Rottigni, CTSO bei Qualys

ds: Wie steht es aus Ihrer Sicht im Jahr 2018 um die Endgerätesicherheit im Unternehmen? Besser oder schlechter als in der Vergangenheit?

Rottigni: Es wird immer schwieriger, die IT-Umgebung genau einzuschätzen. Alles ist vernetzt, die Zahl der Endgeräte hat sich vervielfacht, und diese Geräte werden sowohl für private als auch berufliche Zwecke verwendet. Mehr und mehr Unternehmen haben Projekte zur digitalen Transformation durchlaufen und haben jetzt Mühe, Überblick über alle Dienste zu gewinnen, die dadurch verfügbar werden. Und mit der wachsenden Bedeutung der Cloud ist ein weiterer neuer Bereich hinzugekommen, den die IT-Sicherheitsteams einbeziehen müssen, obwohl noch nicht einmal die traditionellen Endpunkte und Geräte, wie etwa Drucker, als wirklich sicher bezeichnet werden können.

Es ist schwer, sich gegen Angriffe zu verteidigen, wenn man keinen Überblick über die vorhandenen Assets hat.

Bild: Qualys

Marco Rottigni, CTSO bei Qualys

ds: Wie groß ist heute noch die Sicherheitsbedrohung, die von den Endpunkten ausgeht, und was ist der Grund dafür?

Rottigni: Aus meiner Sicht ist die Bedrohung zweifacher Natur. Aus technischer Sicht führt die Vielfalt und Menge der Endpunkte dazu, dass sich die Unternehmensperimeter auflösen. Das macht es schwierig, Probleme und Kompromittierungen zu erkennen.

Von der reinen Sicherheitsperspektive aus betrachtet, sind die Benutzer anfällig für Angriffe, die auf Social Engineering basieren oder auf der Ausnutzung von Schwachstellen durch sehr komplexe Exploits. Die Bedrohung existiert definitiv weiter, auch wenn eine Vielzahl von Sicherheitslösungen für Endgeräte entwickelt wurden, um diese Risiken zu minimieren.

ds: Was muss getan werden (und von wem), um die Endpunktsicherheit im Unternehmen zu verbessern?

Rottigni: Der erste Schritt muss sein festzustellen, was im Unternehmen vorhanden ist – von Endpunkten wie PCs bis hin zu anderen Geräten wie Druckern oder IoT-Devices. Ohne eine solche präzise Liste ist die Vorausplanung schwieriger. Mithilfe dieser Liste können Sie ein Programm für schnelle Abhilfemaßnahmen entwickeln, um potenzielle Kompromittierungen oder Sicherheitsverstöße zu vermeiden.

Auch denke ich, dass jede neu eingeführte technische Lösung mit einem kontinuierlichen Security-Awareness-Programm kombiniert werden muss, um alle Mitarbeiter darüber auf dem Laufenden zu halten, worauf sie achten müssen. Außerdem können Sie mit einem solchen Programm auch überprüfen, ob Ihre Sicherheitsmitarbeiter die Incident Response-Playbooks verstehen und befolgen.

ds: Warum attackieren die Angreifer immer noch Endpunkte, und wie leicht ist es, diese auszunutzen?

Rottigni: Hier kommen mehrere Faktoren zusammen. Das Endgerät ist der einfachste Ansatzpunkt, um schwache Sicherheitsvorkehrungen auszunutzen, sei es durch Social Engineering, durch bösartige Makros in manipulierten Office-Dokumenten oder mithilfe anderer Schwachstellen, wie etwa bei Browserangriffen. Alle diese Vektoren können Verbindung zu Command-and-Control-Servern aufnehmen, über die der Benutzer und das Endpunkt-System ausgespäht und weiter kompromittiert werden können. Die Benutzer verzögern häufig die Installation von Patches, wenn sie nicht im Büro sind oder mobil arbeiten. Diese schlechte Angewohnheit lässt eine anfällige Oberfläche in Umgebungen entstehen, in denen oft nur minimale oder gar keine Sicherheitsmaßnahmen existieren.

Eine weitere Herausforderung ist, dass es heute mehr Geräte gibt, die als Endpunkte angesehen werden sollten. Traditionelle IT-Ressourcen wie Drucker können gekapert werden, und IoT-Geräte, die ins Netzwerk eingebunden sind, können auch im Rahmen von Malware-Angriffen ausgenutzt werden. In der Regel beziehen die IT-Sicherheitsteams diese Geräte aber nicht ins Schwachstellenmanagement und Scannen mit ein, was dazu führen kann, dass Geräte nicht gepatcht werden und unsicher bleiben.

Unsere Sicherheitsforscher haben einen Scan auf Exploits für eine Schwachstelle in gSOAP durchgeführt, einem Code, der vielfach für physische Sicherheitsprodukte verwendet wird und auch für das IoT-Botnetz Mirai. Bei diesem Scan fanden wir insgesamt 7.328 Geräte, doch nur auf 1.206 waren die verfügbaren Updates installiert worden. Hier ging es also um bekannte Schwachstellen, für die Patches existieren, und trotzdem waren diese kritischen Sicherheitslücken bei 83 Prozent der anfälligen IoT-Geräte in der untersuchten Stichprobe immer noch offen.

ds: Warum werden solche Schwachstellen nicht behoben?

Rottigni: Manchmal lassen sich Geräte dieser Art überhaupt nicht aktualisieren; manchmal nur unter großen Schwierigkeiten; und manchmal ist nicht klar, wer im Unternehmen eigentlich für das Einspielen vorhandener Patches und Updates verantwortlich ist. Die präzise Auflistung sämtlicher Endgeräte ist der erste Schritt. Als Nächstes muss dann ein Plan für alle diese Geräte erstellt werden, damit kein vernetztes Gerät verbleibt, das ein Risiko darstellt.

Weitere Informatioinen zum Thema:

datensicherheit.de, 20.08.2018
Mit Automated Endpoint Security Cyber-Attacken in Echtzeit stoppen

[datensicherheit.de, 07.03.2018] In einer aktuellen Stellungnahme betont Virtual Solution, dass es mit dem herkömmlichen Schutz der mobilen Endgeräte von Mitarbeitern „nicht getan“ sei – die sichere Kommunikation auf Smartphones und Tablets müsse mindestens drei Anforderungen erfüllen: mobile Sicherheits-Container, Ende-zu-Ende-Verschlüsselung und eine zertifikatsbasierte Authentifizierung.

2017 in etwa zwei Dritteln der Unternehmen Sicherheitsverletzungen

Mobiles Arbeiten verbreitet sich immer mehr in Unternehmen, gleichzeitig aber nehmen damit auch die mobilen Sicherheitsrisiken zu: Je mehr Mitarbeiter unterwegs mit einem Tablet oder einem Smartphone geschäftskritische Apps und Informationen mit der Firmenzentrale austauschen, desto lukrativer werden die Daten auch für Angreifer.
Nach einer Schätzung des Marktforschers IDC in seiner Studie „Mobile Security in Deutschland 2017“, hätten 2017 etwa zwei Drittel der Unternehmen, in denen mit mobilen Endgeräten gearbeitet wird, diesbezügliche Sicherheitsvorfälle verzeichnetet. Da viele Angriffe unentdeckt blieben, dürfte die Dunkelziffer noch deutlich höher liegen.

Datenschutz und Datensicherheit: Gezielt Maßnahmen implementieren!

Unternehmen müssen sich der hohen Sicherheitsrisiken mobiler Technologien bewusst werden und gezielt Maßnahmen in den Bereichen Datenschutz und Datensicherheit implementieren.
Der Datenschutz betrifft unter anderem die EU-Datenschutzgrundverordnung (EU-DSGVo), deren Umsetzung bis Ende Mai 2018 abgeschlossen sein muss. Diese stellt die Sicherheit personenbezogener Daten von Mitarbeitern, Geschäftspartnern und Kunden in den Mittelpunkt, egal, ob sich diese im Rechenzentrum eines Unternehmens oder auf mobilen Geräten befinden.
Wirksame Vorkehrungen zur Verbesserung der Datensicherheit seien daher notwendig, da Mitarbeiter die mobilen Endgeräte für den Zugang ins Unternehmensnetzwerk nutzten. Bei unzureichendem Schutz stiegen die Risiken, dass sich über das mobile Endgerät Malware jeder Art im Unternehmen verbreiten und dass Hacker ungehindert Daten stehlen könnten.

Empfehlungen von Virtual Solution:

Durch die Umsetzung einiger grundlegender Maßnahmen könnten Unternehmen mobile Sicherheitsrisiken reduzieren und den Datenschutz sowie die -sicherheit verbessern:

• Mit einem Sicherheits-Container sind Unternehmen demnach in der Lage, Apps und Daten auf dem mobilen Gerät in einer isolierten und geschützten Umgebung zu betreiben. Damit könnten keine Daten mehr unkontrolliert ab- oder einfließen beziehungsweise manipuliert werden. Darüber hinaus ermöglichten Sicherheits-Container eine klare Trennung von privaten und geschäftlichen Daten.
• Die Unternehmensdaten müssten erstens im Sicherheits-Container verschlüsselt sein – damit seien die Daten selbst bei einem Geräteverlust oder Diebstahl vor Missbrauch geschützt. Zweitens sei es aber auch notwendig, dass die Daten bei der Kommunikation mit dem Firmennetzwerk verschlüsselt sind.
• Zusätzlich zur Verschlüsselung könne der Zugriff auf sensible Systeme im Firmennetz durch den Einsatz einer zertifikatsbasierten Authentifizierung abgesichert werden. Ein spezielles Gateway solle das Zertifikat überprüfen und die Identität des Zugreifenden sicherstellen. Nach erfolgreicher Authentifizierung erfolge der Zugriff auf interne Server. So werde sichergestellt, dass nur bestimmte Anwendungen Zugriff auf den Firmenserver bekommen.

Weitere Informationen zum Thema:

datensicherheit.de, 30.07.2014
Mobile Endgeräte: Keine Kompromisse bei der Sicherheit

Von unserem Gastautor Sven Janssen

[datensicherheit.de, 30.07.2014] Für die IT in den Unternehmen bedeuten mobile Endgeräte eine doppelte Herausforderung: Mitarbeiter aus den Fachabteilungen nutzen eine Vielfalt privater und unternehmenseigner Smartphones, Tablets und Notebooks, damit sie unabhängig von fixen Arbeitszeiten kreativ tätig sein können. Die IT dagegen würde am liebsten die Gerätevielfalt reduzieren. Dadurch wäre es einfacher, einheitliche, unternehmensweit geltende IT-Sicherheitsvorschriften festzulegen, umzusetzen und deren Einhaltung zu kontrollieren. Unternehmen müssen daher eine Balance finden, die einerseits keine Kompromisse bei der Sicherheit macht und andererseits den Erwartungen der Mitarbeiter im Hinblick auf eine flexible Nutzung ihrer bevorzugten Endgeräte genügt.

Organisatorische und technische Maßnahmen sollten sich dabei optimal ergänzen. Wichtig ist, dass Unternehmen ihre Angestellten in regelmäßigen Abständen schulen, auf aktuelle Sicherheitsrisiken und Gefahren hinweisen und damit für IT-Sicherheit sensibilisieren. Eine der Grundvoraussetzungen besteht darin, dass es ohne die verpflichtende Passworteingabe beim Einsatz mobiler Endgeräte nicht geht. Dies ist ein essenzieller Bestandteil einer ersten Verteidigungslinie. Der Passwortschutz muss zweitens ergänzt werden um Funktionen, die einen sicheren, mobilen Zugriff gewährleisten. Dazu zählt beispielsweise die kontextbezogene Authentifizierung, die Überwachung der Zugriffe auf das Netzwerk im Unternehmen und der Einsatz von VPN-Verbindungen, damit nur autorisierte Benutzer und Apps auf interne Ressourcen zugreifen können.

Unternehmen benötigen heute eine ganzheitliche Sicht auf die Sicherheit ihrer mobilen Endgeräte. IT-Security sollte daher zu einem festen Bestandteil von Enterprise Mobility Management werden. Zu dessen Eckpunkten gehört es auch, Daten auf mobilen Endgeräten grundsätzlich zu verschlüsseln – eine Maßnahme, die oft vernachlässigt wird. Zur Prävention gehört darüber hinaus die Einrichtung von Sicherheits-Containern, wenn Mitarbeiter unternehmenseigene Smartphones oder Tablets auch für private Zwecke oder ihre privaten Geräte für berufliche Aufgaben einsetzen wollen.

Ein Container schützt wirksam unternehmensbezogene Apps und Daten vor Missbrauch.

© Dell Software

Sven Janssen ist Regional Sales Manager bei Dell, SonicWALL Products

Weitere Informationen zum Thema:

datensicherheit.de, 09.04.2014
Ausgaben für IT-Sicherheit steigen weiter