[datensicherheit.de, 02.12.2025] „Vor einigen Tagen wurde ein neuer Bericht über mobile Bedrohungen, Betrugsmaschen und Phishing-Aktivitäten während der Einkaufssaison rund um ,Black Friday’ und Weihnachten veröffentlicht“, meldet Dr. Martin J. Krämer, „CISO-Advisor“ bei KnowBe4, in seiner aktuellen Stellungnahme zur Adventszeit 2025. Das Ergebnis: „Phishing-Kampagnen, die auf mobile Endgeräte abzielen, nehmen in den Wochen vor und nach den großen Feiertagen um ein Vierfaches zu.“ Betrügerische E-Mails und Mobilnachrichten imitierten dabei bevorzugt bekannte Marken und Online-Händler, darunter „amazon“ und „eBay“.

Foto: KnowBe4

Dr. Martin J. Krämer: Unternehmen benötigen einen strukturierten, umfassenden und kontinuierlichen Ansatz für das Management digitaler Risiken!

Phishing-Angriffe in mehreren Schritten

Cyberkriminelle nehmen demnach allerdings nicht nur Online-Shops ins Visier – sie nutzten systematisch die gesamte Transaktionskette der Verbraucher aus. Gefälschte Nachrichten gäben vor, von Zahlungsabwicklern, digitalen Geldbörsen oder Versanddiensten zu stammen.

• „Der Zeitpunkt richtet sich nach dem Kauf, der Zahlung und der Lieferung. Auf diese Weise wirkt die Kommunikation während des gesamten Prozesses legitim.“

In der Regel führten Angreifer ihre kriminellen Operationen in mehreren Schritten durch. Der Ablauf könnte wie folgt aussehen: „Zuerst eine Nachricht über eine fehlgeschlagene Zahlung, dann eine Versandaktualisierung mit einem Tracking-Link, dann eine Aufforderung zur Überprüfung der Kontodaten.“

Im Visier der Phishing-Betrugskampagnen nicht nur Verbraucher – auch Unternehmen gefährdet

Bei jedem Schritt würden die Benutzer aufgefordert, gewisse Informationen wie Anmeldedaten, Zahlungsdaten, Einmalcodes oder Lieferbestätigungen einzugeben. Dieser Ansatz erschwere es Benutzern, die betrügerischen Aktivitäten als solche zu erkennen, und erhöhe die Erfolgsquote der Phishing-Attacken, da viele Menschen in der Shopping-Saison derartige Nachrichten erwarteten.

• Krämer betont und warnt: „Im Visier der Betrugskampagnen sind aber nicht nur die Verbraucher. Sind Angreifer erstmals erfolgreich bei der Infiltration der Geräte und Konten von Einzelpersonen, so schaffen sie im gleichen Zug oft auch einen ersten Zugang zu Unternehmensumgebungen.“

Mitarbeiter erhielten dann Shopping- und Versandnachrichten auch auf Firmengeräten oder privaten Geräten, welche sie zusätzlich beruflich nutzen. Ein unachtsamer Klick auf einen Link könne dann Single-Sign-On-Anmeldedaten offenlegen oder mobile Malware installieren, „die eine Brücke zwischen privaten und geschäftlichen IT-Umgebungen schlägt“.

Phishing-Attacken starten durchaus auch mit SMS-Nachricht oder Benachrichtigungen einer Messaging-App

Die Cyberkriminellen tarnten sich oft hinter falschen Identitäten und gäben sich z.B. als Lieferanten oder Mitarbeiter im Versand aus. „Das ermöglicht es ihnen, die mobile Kommunikation in der Lieferkette zu kompromittieren. Gefälschte Lieferportale und Zahlungsseiten ermöglichen Rechnungsmanipulationen, Warenumleitungen, Finanzbetrug oder Datendiebstahl.“

• Was Organisationen und Nutzer häufig nicht auf dem Schirm hätten: In vielen Fällen sei der Eintrittspunkt ins System keine E-Mail, sondern beispielsweise eine SMS-Nachricht oder eine Benachrichtigung in einer Messaging-App.

Eine einfache Anti-Phishing-Schulung einmal im Jahr reiche in Anbetracht dieser Bedrohungslage nicht aus. „Unternehmen benötigen einen strukturierten, umfassenden und kontinuierlichen Ansatz für das Management digitaler Risiken und die Förderung des Sicherheitsbewusstseins der Belegschaft.“

Nutzer und Organisationen besser gegen Phishing schützen

Um den Risiken entgegenzuwirken, müssten Organisationen sowohl technische als auch organisatorische Sicherheitsvorkehrungen verstärken. Moderne KI-gestützte „Security Awareness Trainings“ stellten einen wichtigen Baustein dar, „denn sie helfen Mitarbeitern dabei, betrügerische Nachrichten über verschiedene Kanäle hinweg zu erkennen, darunter SMS-Nachrichten und mobile Apps“.

• Sicherheitslösungen zur Bedrohungserkennung auf Mobilgeräten, die Filterung verdächtiger Links, Phishing-resistente Authentifizierung und klare Regeln für die Nutzung privater Geräte im beruflichen Kontext schafften zusätzliche Schutzebenen.

Dabei gilt laut Krämer: „Wenn Sicherheitsmaßnahmen einfach zu befolgen und an das Alltagsverhalten der Mitarbeitenden angepasst werden, fällt es Mitarbeitenden leichter, souverän und schnell auf ungewöhnliche Nachrichten zu reagieren und zu einer insgesamt sichereren Umgebung beitragen.“ So blieben Nutzer und Organisationen besser geschützt – auch im Umfeld der kommenden Feiertage.

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer / Recent Posts

ZIMPERIUM, Ignacio Montamat & Santiago Rodriguez, 2025
The Mobile Shopping Report / From Carts to Credentials: Inside the Holiday Surge of Mobile Threats

datensicherheit.de, 22.12.2023
Insbesondere zu Weihnachten: Vorsicht vor Phishing-Betrügereien / Cyber-Kriminelle missbrauchen Attraktivität bekannter Marken für Phishing-Attacken

datensicherheit.de, 04.12.2023
Hacker missbrauchen Weihnachtszeit: ESET warnt vor fiesen Phishing-Kampagnen / Gefälschte SMS-Nachrichten der Hacker fordern zur Datenpreisgabe und Installation von Malware auf

datensicherheit.de, 15.11.2021
Black Friday, Cyber Monday und Weihnachten: 5 Tipps für sicheres Online-Shopping / Viele Verbraucher machen sich bereit, große Schnäppchen und Weihnachtsgeschenke online zu kaufen – dabei sollten sie Tipps zur Sicherheit beachten

[datensicherheit.de, 22.06.2025] „Drei Viertel der befragten Opfer von Betrugsmaschen berichten von schwerwiegenden emotionalen Folgen; fast die Hälfte leidet unter psychischen Problemen wie Angstzuständen, Depressionen und Vertrauensverlust“ – Malwarebytes hat die Ergebnisse einer neuen Studie veröffentlicht, aus der demnach hervorgeht, dass Betrugsfälle auf mobilen Endgeräten im Jahr 2025 nicht mehr die Ausnahme, sondern die Norm sind. Für die aktuelle Studie „Tap, Swipe, Scam: How everyday mobile habits carry real risk“ seien insgesamt 1.300 Nutzer mobiler Endgeräten in den Vereinigten Staaten, Großbritannien, Deutschland, Österreich und der Schweiz befragt worden.

Abbildung: Malwarebytes

Malwarebytes hat die Studie „Tap, Swipe, Scam: How everyday mobile habits carry real risk“ veröffentlicht

Cyberbedrohungen mobiler Endgeräte umfassen auch tiefgehende zwischenmenschliche Aspekte

Fast die Hälfte der Befragten sei täglich mit Betrugsversuchen konfrontiert, „von denen selbst jüngere Generationen überfordert und unzureichend geschützt sind“ – mit teils schwerwiegenden emotionalen Folgen. „Wie die Studie zeigt, sind neue Ansätze für den Schutz von mobilen Endgeräten und die Aufklärung von Nutzern dringend notwendig und müssen nicht nur die technischen, sondern auch die zwischenmenschlichen und emotionalen Dimensionen von Cyberbedrohungen berücksichtigen.“

• David Ruiz, „Senior Privacy Advocate“ bei Malwarebytes, kommentiert: „Inzwischen ist offensichtlich geworden, dass Cyberbedrohungen auf mobilen Endgeräten nicht nur technische Aspekte, sondern auch tiefgehende zwischenmenschliche Aspekte umfassen.“ Ihre neue Studie zeige nicht nur das Ausmaß von dieser Art Cyberbedrohung, sondern auch deren psychischen Folgen.

„Da Cyberbedrohungen immer ausgefeilter werden und Cyberkriminelle zunehmend Deepfake- und KI-Technologien in großem Maßstab einsetzen, braucht es mehr als nur Sensibilisierung für diese Risiken – Endnutzer müssen die entsprechenden Werkzeuge und das notwendige Wissen an die Hand bekommen, um sich zu schützen!“, betont Ruiz. Niemand sollte hinnehmen müssen, Opfer eines Betrugsfalls zu werden, nur weil er sich online bewegt. Wenn dies dennoch passiert, liege die Schuld nicht bei den Opfern – „und wir wollen erreichen, dass sich Endnutzer sicher und selbstbewusst genug fühlen, um auch potenziell beschämende Betrugsversuche zu erkennen, zu unterbinden und zu melden“.

Zentrale Ergebnisse der aktuellen Malwarebytes-Studie:

• Bedrohungen auf mobilen Endgeräten sind überall
  Fast die Hälfte der Befragten (44% weltweit) sei täglich mit Betrugsversuchen auf ihren mobilen Endgeräten konfrontiert. In der sogenannten DACH-Region seien es 38 Prozent.
  Eine Mehrheit (66% international, 69% DACH) habe zudem angegeben, dass es für sie schwierig sei, einen Betrugsversuch als solchen zu identifizieren. Nur 15 Prozent der Befragten seien fest davon überzeugt, einen Betrugsversuch erkennen zu können – in der DACH-Region seien es sogar nur neun Prozent.
• Die Folgen sind schwerwiegend
  Mehr als die Hälfte der Opfer von Betrugsfällen habe mit finanziellen Folgen zu kämpfen und mehr als ein Viertel habe Zugang zu wichtigen digitalen Ressourcen wie Konten, Endgeräten oder unersetzbaren Dateien verloren.
  „Dennoch gab insgesamt jeder vierte Befragte an, dass er Betrugsversuche inzwischen als unvermeidliche Konsequenz seines Online-Lebens akzeptiert.“
• Betrugsversuche sind persönlich, weit verbreitet und betreffen vor allem jüngere Generationen
  36 Prozent (40% DACH) der befragten Nutzer seien bereits Opfer eines Betrugsversuchs über ihr mobiles Endgerät geworden – und drei von vier Befragten seien bereits mit „Social Engineering“-Angriffen wie Phishing oder Identitätsbetrug konfrontiert worden.
  Am stärksten betroffen sei die „Generation Z“: „Insgesamt 58 Prozent der ,Gen Z’-Befragten sind bereits mit solchen Betrugsmethoden in Berührung gekommen und 28 Prozent sind Opfer von Erpressungsmethoden geworden, beispielsweise in Form von Deepfakes oder Sextortion – weit mehr als Befragte der ,Generation X’, von denen 35 Prozent damit konfrontiert wurden und 15 Prozent Opfer geworden sind, oder ,Baby-Boomer’, von denen 23 Prozent damit in Berührung gekommen sind und sieben Prozent Opfer wurden.“
• KI-bedingte Risiken
  KI-Tools seien mittlerweile für jedermann zugänglich, einschließlich für Cyberkriminelle, wodurch Betrugsfälle schwieriger zu erkennen seien als je zuvor.
  „Zwei Drittel der Befragten sind hinsichtlich der Zukunft von KI besorgt und darüber, wie glaubwürdig Betrugsversuche durch KI in Zukunft werden können.“
• Emotionale Folgen sind weit verbreitet
  75 Prozent der Opfer berichteten von schwerwiegenden emotionalen Folgen, 46 Prozent (43% DACH) litten deshalb unter psychischen Problemen wie Angstzuständen, Depressionen und Vertrauensverlust.
• Die meisten Betrugsfälle werden nicht gemeldet
  Das „Internet Crime Complaint Center“ (IC3) des FBI berichtet, dass US-amerikanische Verbraucher im Jahr 2024 insgesamt 16,6 Milliarden US-Dollar durch Cyberkriminalität verloren hätten, wobei fast 83 Prozent aller dem IC3 gemeldeten Verluste auf Betrugsfälle zurückzuführen seien.
  Dennoch hätten nur 17 Prozent der Opfer ihren Betrugsfall den Behörden gemeldet – bei jüngeren Generationen seien es sogar nur 14 Prozent gewesen.

Malwarebytes bietet KI-gestütztes Sicherheitstool zum Schutz vor Betrugsversuchen

Angesichts des Ausmaßes und der Auswirkungen moderner Betrugsversuche hat Malwarebytes „Scam Guard“ gelauncht: „Ein neues ,Sicherheitstool’, das in Echtzeit Informationen zu Betrugsversuchen, Cyberbedrohungen und Malware sowie Empfehlungen zur Verbesserung von Online-Schutz liefert.“

Diese in die „Malwarebytes Mobile Security App“ integrierte Funktion solle dazu beitragen, das Stigma und die Scham abzubauen, welche Opfer von digitalen Betrugsfällen oftmals verspürten – „indem sie Nutzer aufklärt und unterstützt, bevor sie tatsächlich zum Opfer werden“. Nutzer könnten einfach auf eine Chat-Oberfläche in einer mobilen App tippen, um verdächtige Inhalte zu melden.

Weitere Informationen zum Thema:

Malwarebytes, März 2025
2025 HANDY-BETRUGSBERICHT: Tippen. Durchziehen. Betrug. / Wie alltägliche mobile Gewohnheiten ein echtes Risiko darstellen

Malwarebytes
What is social engineering? Learn effective strategies to safeguard your personal information and defend against social engineering, a cunning tactic used by cybercriminals to manipulate individuals.

Malwarebytes
Phishing / Learn about phishing, a form of cybercrime where fraudsters pose as reputable organizations. It can turn online communications into dangerous scenarios with severe consequences

FBI, INTERNET CRIME COMPLAINT CENTER, 2024
Federal Bureau of Investigation: Internet Crime Report 2024

datensicherheit.de, 04.05.2025
Zimperiums Global Mobile Threat Report 2025: Mobilgeräte als bevorzugter Angriffsvektor Cyber-Krimineller / Zimperium-Forscher der „zLabs“ analysierten Bedrohungsdaten, um sich entwickelnde und komplexe Angriffe sowie Schwachstellen aufzudecken

datensicherheit.de, 20.02.2025
Zimperium-Studie: Deutliche Zunahme von Mobile-Phishing-Angriffen / Neuer „zLabs Mishing Report“ ermittelt Anstieg von Betrug per SMS, QR-Code oder E-Mail

datensicherheit.de, 01.03.2024
Mobile Geräte: Cyber-Angriffe haben 2023 deutlich zugenommen / Kaspersky-Experten haben 2023 weltweit einen deutlichen Anstieg der Angriffe auf rund 33,8 Millionen verzeichnet

[datensicherheit.de, 04.05.2025] Zimperium hat den „Global Mobile Threat Report 2025“ veröffentlicht, welcher die Auswertung wichtiger Trends bei mobilen Bedrohungen aufzeigt. Forscher von „zLabs“ analysierten Bedrohungsdaten, um sich entwickelnde und komplexe Angriffe sowie Schwachstellen aufzudecken, welche sowohl auf mobilen Geräten als auch in mobilen Apps gefunden wurden. „Der Security-Report ermittelt, dass Mobilgeräte der bevorzugte Angriffsvektor für Cyber-Kriminelle sind.“

Wichtige Zimperium-Erkenntnisse zur mobilen Sicherheitslage im Überblick:

• Mobilgeräte bevorzugter Angriffsvektor bei unbefugten Zugriffen im Unternehmen
• Starke Zunahme sogenannter Smishing-Bedrohungen, welche mehr als zwei Drittel der mobilen Phishing-Angriffe ausmachten
• „Voice Phishing“ (Vishing) verzeichne eine Zunahme um 28 Prozent, „SMS-Phishing“ (Smishing) um 22 Prozent
• Ein Viertel der Mobilgeräte könne nicht auf die neuesten Betriebssystemversionen aktualisiert werden
• Über 60 Prozent der „iOS“- und bis zu 34 Prozent der „Android“-Apps hätten keinen grundlegenden Code-Schutz
• Fast 60 Prozent der „iOS“-Anwendungen und 43 Prozent der „Android“-Apps seien anfällig für Datenlecks mit personenbezogenen Daten

Zimperium-Warnung: „Mishing“ eine der größten Bedrohungen für Unternehmen

Die Mehrzahl der Unternehmen und Sicherheitsteams seien sich der Gefahrenlage durch klassisches Phishing bewusst. Bedrohungsakteure gingen deshalb dazu über, mit „Mishing“-Bedrohungen (Mobile Targeted Phishing) unterschiedliche Schwachstellen mobiler Endgeräte und Benutzerfehler gezielt auszunutzen.

Zimperiums „zLabs“-Forscher stellten eine kontinuierliche Zunahme von „Mishing“-Angriffen fest. Neben PDF-Phishing hätten insbesondere „Vishing“- und „Smishing“-Angriffe auf mobile Geräte dramatisch zugenommen – sie würden mittlerweile zwei Drittel aller „Mishing“-Attacken betreffen.

Angriffe per „Voice Phishing“ (Vishing) hätten um 28 Prozent zugenommen, und die Anzahl an „SMS-Phishing“-Attacken (Smishing) sei um 22 Prozent gestiegen. Hierbei wirke sich auch der wachsende Einsatz von KI-Werkzeugen aus.

Cyber-Kriminelle setzen laut Zimperium-Erkenntnissen auf „Mobile-First“-Angriffsstrategie

Cyber-Kriminelle setzten weiterhin stark auf mobile Malware-Angriffe und „Advanced Persistent Threats“ (APT), um anhaltende Cyber-Bedrohungen auszunutzen. Die Zimperium-Sicherheitsforscher hätten einen Anstieg der Angriffe mit „Trojanern“ um 50 Prozent im Vergleich zum Vorjahr (2024) beobachtet. Dabei seien auch ganz neue Banking-Trojaner-Familien wie „Vultur“, „DroidBot“, „Errorfather“ und „BlankBot“ erkannt worden.

Als Top-Kategorie bei mobilen Sicherheitsgefahren sei soegannte Spyware einzustufen: „Über die Spionageprogramme lassen sich sensible Daten wie Anmeldeinformationen oder sogar Einmalpasswörter unbemerkt abgreifen.“ Außerdem kämen durch „App-Sideloading“ immer mehr Programme zum Einsatz, welche nicht aus den offiziellen App-Stores stammten. „Auf jedem vierten geschäftlichen Smartphone (23,5%) waren 2024 riskante Anwendungen aus unbekannten Quellen installiert.“ Mobile Benutzer gingen damit ein deutlich höheres Risiko ein, dass Schadprogramme auf ihren Geräten installiert werden.

„Unternehmen auf der ganzen Welt nutzen mobile Endgeräte, um die Produktivität und Kundenbindung zu verbessern – Cyber-Kriminelle verfolgen deshalb eine Mobile-First-Angriffsstrategie“, berichtet Shridhar Mittal, Zimperiums „CEO“. Er führt hierzu weiter aus: „In modernen, hybriden Arbeitsumgebungen, bei denen 70 Prozent der Unternehmen private Mobilgeräte erlauben und aktiv Apps für Mitarbeiter und Kunden entwickeln, lässt sich die mobile Angriffsfläche nur über eine umfassende Mobile-Security-Strategie verringern, die sowohl Mobilgeräte als auch mobile Anwendungen abdeckt.“

Zimperium-Zahlen zeigen auf, dass sich 25,3% der Mobilgeräte gar nicht mehr aktualisieren lassen

Ohne eine Sicherheitsüberprüfung der eingesetzten Apps könnten von Benutzern heruntergeladene Mobilprogramme schwerwiegende Folgen haben. Die Risiken durch „App-Sideloading“ reichten von weiterbverbreiteter Malware und installierten „Trojanern“ bis zum Verlust sensibler Daten – ein erhebliches Risiko für Unternehmen.

Bei intern entwickelten Mobil-Apps auf Kunden-, Lieferanten- oder Mitarbeiter-Geräten fehlten mitunter grundlegende Schutzmechanismen, so dass die Anfälligkeit für „Reverse Engineering“, Manipulation und Datenraub steige. Selbst gut abgesicherte Apps könnten zu weitergehenden Risiken in BYOD-Szenarien führen, weil über 50 Prozent der mobilen Endgeräte mit veralteten oder kompromittierten Betriebssystemen betrieben würden. Die Zimperium-Zahlen deckten auf, dass sich 25,3 Prozent der Mobilgeräte aufgrund des Betriebsalters gar nicht mehr aktualisieren ließen.

„Böswillige Akteure, die es auf mobile Endgeräte und Apps abgesehen haben, entwickeln ihre Taktiken ständig weiter, um einer Erkennung zu entgehen und unbemerkt im Verborgenen agieren zu können“, kommentiert Kern Smith, „Vice President, Global Solutions Engineering“ bei Zimperium. Für die sichere Navigation in einer sich permanent verändernden mobilen Bedrohungslandschaft benötigten Unternehmen indes Echtzeit-Transparenz und umfassenden Schutz gegen Bedrohungen. Smith unterstreicht: „Von entscheidender Bedeutung ist dabei ein ganzheitlicher Ansatz, der das gesamte ,mobile Ökosystem’ berücksichtigt und böswilligen Akteuren stets einen Schritt voraus ist, um sensible Daten und Abläufe im Unternehmen schützen zu können.“

Weitere Informationen zum Thema:

ZIMPERIUM, 2025
GLOBAL MOBILE THREAT REPORT

datensicherheit.de, 20.02.2025
Zimperium-Studie: Deutliche Zunahme von Mobile-Phishing-Angriffen / Neuer „zLabs Mishing Report“ ermittelt Anstieg von Betrug per SMS, QR-Code oder E-Mail

datensicherheit.de, 01.03.2024
Mobile Geräte: Cyber-Angriffe haben 2023 deutlich zugenommen / Kaspersky-Experten haben 2023 weltweit einen deutlichen Anstieg der Angriffe auf rund 33,8 Millionen verzeichnet

datensicherheit.de, 28.03.2023
BYOD-Risiken so hoch wie nie: Mobile Phishing nimmt zu / Jedes dritte private Gerät und jedes dritte Gerät in Unternehmen mindestens einem Angriff per Mobile Phishing pro Quartal ausgesetzt

[datensicherheit.de, 20.02.2025] Zimperium hat eine neue Studie über Phishing-Angriffe auf mobile Endgeräte veröffentlicht. Die datengestützte Analyse mobiler Phishing-Vektoren im Jahr 2024 dokumentiert auf Unternehmensseite einen wachsenden Bedarf nach mobilspezifischen Sicherheitsstrategien, die immer komplexere Bedrohungen bekämpfen. Angreifer setzen mittlerweile auf eine „Mobile-First“-Strategie, um Firmennetze kompromittieren und sensible Informationen rauben zu können.

Mobile-Phishing tritt in verschiedenen Formen auf

Mobile Phishing umfasst verschiedene Formen wie SMS-Phishing (Smishing), Voice-Phishing (Vishing), App-basiertes Phishing, E-Mail-Phishing und Social-Media-Phishing. Viele Phishing-Kampagnen richten sich primär gegen private Verbraucher, aber einmal infizierte Mobilgeräte gefährden auch Geschäftsumgebungen. Unerkannte Malware auf Smartphones zielt auf wiederverwendbare Passwörter, kapert aber auch Einmalpasswörter (OTP, One-Time Password), um Unternehmensnetzwerke und -anwendungen zu infiltrieren.

Wichtige Erkenntnisse aus Zimperiums Mishing-Studie:

• Smishing (SMS-/textbasiertes Phishing) bleibt der häufigste Mobile-Phishing-Angriffsvektor.
• E-Mail-Phishing-Kampagnen auf Mobilgeräten — Angriffe werden speziell darauf ausgerichtet, Sicherheitsmaßnahmen auf Desktops zu umgehen und nur mobile Endgeräte zu attackieren.
• Quishing (QR-Code-basiertes Phishing) greift immer mehr um sich und nimmt insbesondere Mobilnutzer in den USA, Indien und Japan ins Visier.
• Drei Prozent der Phishing-Webseiten setzen gerätespezifische Umleitungen ein, so dass auf Desktop-Rechnern harmlose Inhalte angezeigt, aber auf Mobilgeräten gefährliche Phishing-Payloads heruntergeladen werden.
• Untersuchungen zeigen, dass Angreifer CIDR-Blöcke (Classless Inter-Domain Routing) zur Allokation von IP-Adressen verwenden, mit denen sich mehrere Phishing-Domains hosten sowie die Reichweite und Persistenz der Angriffe erhöhen lassen.
• Die höchste Mishing-Aktivität wurde im August 2024 mit täglich über 1.000 Angriffen registriert.

Übersicht über mobile Gefahrenlage

Da sich Organisationen zunehmend auf mobile Geräte im Geschäftsbetrieb verlassen, einschließlich Multi-Faktor-Authentifizierung und Mobile-First-Anwendungen, stellt Mobile Phishing ein ernsthaftes Risiko für die Unternehmenssicherheit dar. Angreifer nutzen Sicherheitslücken in Cloud-Umgebungen und mobilen Geschäftsanwendungen aus, vergrößern die Angriffsfläche und erhöhen die Anfälligkeit für den Diebstahl von Anmeldeinformationen und die Kompromittierung von Daten. Herkömmliche Anti-Phishing-Maßnahmen, die für Desktops entwickelt wurden, erweisen sich als unzureichend — erforderlich ist eine Umstellung auf Mobile-Threat-Defense-Lösungen zur Abwehr von Bedrohungen auf mobilen Endgeräten.

Nico Chiaraviglio, Chief Scientist bei Zimperium, Bild: Zimperium

„Mishing-Angriffe sind mehr als eine Weiterentwicklung klassischer Mobile-Phishing-Taktiken—es handelt sich um eine völlig neue Angriffskategorie, die zielgenau spezifische Fähigkeiten und Schwachstellen mobiler Geräte, wie Kameras zum Beispiel, ausnutzt“, sagte Nico Chiaraviglio, Chief Scientist bei Zimperium. „Unsere Untersuchungen zeigen, dass Angreifer das Nutzerverhalten ausnutzen, die Angriffsfläche vergrößern und zunehmend mehrere mobilspezifische Kanäle nutzen – darunter SMS, E-Mail, QR-Codes und Voice-Phishing (Vishing).“

Weitere Informationen zum Thema:

Zimperium
Studie Mishing Report 2024

[datensicherheit.de, 07.03.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Mindeststandard für Webbrowser nun auch auf solche für mobile Plattformen ausgedehnt. „Webbrowser dienen als zentrale Software, um sich im Internet zu bewegen. Dabei verarbeiten sie auch Daten aus nicht vertrauenswürdigen Quellen, die schädlichen Code enthalten. Rechner, Handys und Tablets können sich so unbemerkt infizieren.“ Gleichzeitig nähmen die Funktionen und Schnittstellen von Webbrowsern stetig zu. Damit böten sie auch eine zunehmende Angriffsfläche für Cyber-Kriminelle. Die dynamische Entwicklung von Software-Produkten, die fortschreitende mobile Nutzung und die zentrale Rolle von Webbrowsern mache daher die Berücksichtigung aktueller Sicherheitsanforderungen notwendig.

Mindeststandard für Webbrowser in der neuen Version 3.0 veröffentlicht

Das BSI hat nun dazu den Mindeststandard für Webbrowser in der neuen Version 3.0 veröffentlicht. Für die Cyber-Nation Deutschland sei es wichtig, Cyber-Sicherheit aktiv zu gestalten. „Darum legen wir mit dem Mindeststandard die Anforderungen fest, die Webbrowser erfüllen müssen, um in der Bundesverwaltung eingesetzt zu werden – jetzt auch mobil!“, erläutert BSI-Präsidentin Claudia Plattner. Mit ihren Standards formulierten sie unter Beteiligung Dritter den Stand der Technik übersichtlich, einheitlich, praxisrelevant, unterstützend und zielgruppengerecht. Sie könnten also auch außerhalb der Bundesverwaltung als Maßstab dienen. „Damit erhöhen wir automatisch die Cyber-Resilienz in Deutschland.“

Wesentlich erweitert gegenüber der Vorgängerversion habe sich der Anwendungsbereich: Die neue Version gelte erstmals auch für Webbrowser auf mobilen Plattformen („mobile Browser“) der Bundesverwaltung. Der Mindeststandard enthalte entsprechende Hinweise und Ergänzungen, welche die technischen Besonderheiten mobiler Betriebssysteme berücksichtigten. So seien die Anforderungen sowohl auf Arbeitsplatzrechnern als auch auf mobilen Plattformen anwendbar.

Grundsätzlich kann jeder Webbrowser zum Einsatz kommen, der den Mindeststandard erfüllt

Zusammen mit dem Mindeststandard habe das BSI auch die zugehörige Browser-Abgleichstabelle aktualisiert. Diese diene als Arbeitshilfe für Anwender in der Bundesverwaltung. Diese beschreibe für die dort am häufigsten eingesetzten Webbrowser die Umsetzung der Mindeststandard-Anforderungen. Grundsätzlich könne aber jeder Webbrowser zum Einsatz kommen – „mit dem der Mindeststandard erfüllt werden kann“.

Der erstmals 2017 nach § 8 Abs. 1 BSIG veröffentlichte Mindeststandard für sichere Webbrowser richtet sich laut BSI in erster Linie an IT-Verantwortliche, IT-Betriebspersonal und Informationssicherheitsbeauftragte der Bundesverwaltung. Er könne aber auch Ländern, Kommunen sowie der Wirtschaft und Verbrauchern als Orientierung dienen. Weitere Mindeststandards, etwa für die Nutzung externer „Cloud“-Dienste oder das Mobile-Device-Management, sind auf der BSI-Website veröffentlicht. Das BSI hat nach eigenen Angaben einen Newsletter eingerichtet, „der über alle neuen Entwicklungen im Bereich der Mindeststandards informiert“.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Mindeststandard des BSI für Webbrowser

Bundesamt für Sicherheit in der Informationstechnik
Mindeststandards des BSI nach § 8 Abs. 1 Satz 1 BSIG

[datensicherheit.de, 28.03.2023] Gestohlene Zugangsdaten von Mitarbeitern sind offensichtlich eine der effektivsten Möglichkeiten für Angreifer, die Infrastruktur eines Unternehmens zu infiltrieren: Sobald sie die Anmeldeinformationen eines der Konten in der Hand haben, ist es für sie viel einfacher, die Sicherheitsmaßnahmen zu umgehen und Zugang zu sensiblen Daten zu erhalten. Da stellt sich die Frage, wie die Angreifer an diese Anmeldedaten kommen – die Antwort lautet demnach in vielen Fällen Mobile Phishing. Eine weltweite Studie von Lookout hat nach eigenen Angaben ergeben, dass die Zahl der Mobile-Phishing-Angriffe im Jahr 2022 so hoch war wie nie zuvor: „Jedes dritte private Gerät und jedes dritte Gerät in Unternehmen war mindestens einem Angriff pro Quartal ausgesetzt.“ Auch im ersten Quartal 2023 sei dieser Trend ungebrochen.

Foto: Lookout

Sascha Spangenberg: Gerade der Schutz vor mobilen Phishing-Bedrohungen muss dabei Priorität haben, wenn hybrides Arbeiten Realität ist!

Jedes mobile Gerät anfällig für Phishing-Versuche

Sascha Spangenberg, „Global MSSP Solutions Architect bei Lookout“, erläutert hierzu: „Hybride Arbeitsumgebungen und Bring-your-own-device (BYOD)-Richtlinien könnten zwei Gründe für den Anstieg sein. Die Unternehmen mussten akzeptieren, dass immer häufiger persönliche Mobilgeräte für berufliche Zwecke zum Einsatz kommen.“

Es gelte jedoch zu bedenken, dass jedes mobile Gerät – ob privat oder unternehmenseigen, verwaltet oder nicht verwaltet, „iOS“ oder „Android“ – anfällig für Phishing-Versuche sei.

BYOD hat Phishing-Landschaft verändert

Smartphones und Tablets hätten es für Mitarbeiter einfacher gemacht, von überall aus produktiv zu sein – „aber sie haben auch neue Herausforderungen für IT- und Sicherheitsteams mit sich gebracht“. BYOD-Richtlinien bedeuteten, dass mehr Menschen als je zuvor ihre privaten Geräte für die Arbeit nutzten.

„Dies bedeutet, dass die Risiken, denen sie bei der Nutzung dieser Geräte aus persönlichen Gründen begegnen, auch Risiken für das Unternehmen darstellen“, warnt Spangenberg. IT- und Sicherheitsteams hätten außerdem einen deutlich geringeren Einblick in diese Geräte als in die unternehmenseigenen Geräte – „was bedeutet, dass es schwieriger ist, diese erhöhten Risiken zu kontrollieren“.

Über 50% der privaten Geräte mindestens einmal pro Quartal mobilem Phishing-Angriff ausgesetzt

Diese Faktoren führten dazu, dass Angreifer nun gezielt die privaten Geräte der Benutzer angriffen, um in Unternehmensumgebungen einzudringen. Ein Mitarbeiter könne über private Kanäle wie Soziale Medien, „WhatsApp“ oder E-Mail Opfer eines Social-Engineering-Angriffs werden. „Sobald dies der Fall ist, können Angreifer Zugang zu den Netzwerken oder Daten seines Arbeitgebers erhalten“, so Spangenberg.

Dies sei zudem kein einmaliges Ereignis – so zeigten Daten von Lookout, dass im Jahr 2022 mehr als 50 Prozent der privaten Geräte mindestens einmal pro Quartal einer Art von mobilem Phishing-Angriff ausgesetzt gewesen seien.

Phishing-Betrug: Millionenbeträge stehen auf dem Spiel

„Daten sind nicht das Einzige, was Unternehmen riskieren, wenn Mitarbeiter auf einen Phishing-Betrug hereinfallen“, stellt Spangenberg klar. Lookout schätzt, „dass die maximalen finanziellen Auswirkungen eines erfolgreichen Phishing-Angriffs für Unternehmen mit 5.000 Mitarbeitern auf fast vier Millionen US-Dollar gestiegen sind“. Stark regulierte Branchen wie Versicherungen, Banken und das Rechtswesen gälten als die lukrativsten Märkte und seien aufgrund der großen Menge an sensiblen Daten in ihrem Besitz besonders anfällig für Angriffe.

„Diese hohen Kosten fallen in eine Zeit, in der die Zahl der Phishing-Angriffe so hoch ist wie nie zuvor.“ Im Vergleich zu 2020 sei die Zahl der Phishing-Angriffe auf Unternehmensgeräten jetzt um zehn Prozent und auf privaten Geräten um 20 Prozent höher. Außerdem klickten die Menschen häufiger auf Phishing-Links als noch im Jahr 2020, „was bedeuten könnte, dass die Angreifer immer besser darin werden, authentisch aussehende Nachrichten zu erstellen“. Spangenberg betont: „Da mehr Risiken und mehr Geld auf dem Spiel stehen als je zuvor, müssen Unternehmen ihre Sicherheitsstrategien anpassen, um ihre Daten zu schützen.“

Wie Daten gegen mobile Phishing-Bedrohungen geschützt werden können

Die Mobile-Phishing-Landschaft sei tückischer als je zuvor, vor allem, da das standortunabhängige Arbeiten zunehme. IT- und Sicherheitsteams müssten Strategien anwenden, welche es ihnen ermöglichten, die von Phishing-Angriffen ausgehenden Datenrisiken auf allen Mitarbeitergeräten zu visualisieren, zu erkennen und zu minimieren. Dies gelte unabhängig davon, ob es sich um unternehmenseigene oder private Geräte handelt. Mit der richtigen Strategie, basierend auf dem Zero-Trust-Prinzip und SASE (Secure Access Service Edge), sei es möglich, die hybride Arbeitswelt sicher zu gestalten.

„Eine geräteinterne und KI-gestützte Phishing-Erkennung über eine ,cloud’-basierte Sicherheitsplattform ermöglicht es, Angriffe dort zu stoppen, wo sie beginnen. Eine entsprechende Sicherheitslösung hindert Benutzer daran, sich sowohl auf Unternehmens- als auch Privatgeräten mit Phishing-Websites zu verbinden“, erklärt Spangenberg. Er führt abschließend hierzu aus: „Eine solche Lösung erkennt und blockiert Phishing-Angriffe über jede beliebige mobile App und hindert Mitarbeiter daran, Zugangsdaten preiszugeben oder bösartige Software herunterzuladen.“ Gerade der Schutz vor mobilen Phishing-Bedrohungen müsse beim hybriden Arbeiten Priorität haben.

Weitere Informationen zum Thema:

Lookout
The Global State of Mobile Phishing Report

[datensicherheit.de, 06.04.2022] In seiner aktuellen Stellungnahme erläutert Hendrik Schless, „Senior Manager Security Solutions“ bei Lookout, die aktuelle und zukünftige Bedrohungslage für Unternehmen durch mobile Malware:

Foto: Lookout

Hendrik Schless: Angreifer sehen in mobilen Geräten Möglichkeit, sich seitlich zu bewegen, um sensible Daten von Konten oder Anwendungen zu sammeln…

Ernste Situation: Bedrohung für Unternehmen durch mobile Malware

Mobile Malware werde immer häufiger zu einer Bedrohung für Unternehmen: „Die Zahl der Angreifer, die ihre Werkzeuge diversifiziert haben, um neben Desktop-Zielen auch mobile Ziele anzugreifen, ist deutlich gestiegen.“ Dafür gebe es wahrscheinlich mehrere Gründe. Bestimmte Malware-Kategorien – wie z.B. Ransomware – hätten sich bei Angriffen auf die nicht-mobile Infrastruktur als erfolgreich erwiesen.

Die Angreifer hofften nun auf finanzielle Gewinne, indem sie sich einer Benutzerbasis zuwendeten, die oft nicht damit rechne, von mobilen „Spind“- oder Ransomware-Anwendungen angegriffen zu werden. Schless erläutert: „Mobile Ransomware wirkt sich zwar nicht direkt auf die Unternehmensinfrastruktur aus, kann aber den Zugang der Mitarbeiter zu den Unternehmensressourcen auf ihren Geräten beeinträchtigen.“

Überwachungs-Malware bietet Angreifern Möglichkeit, sensible Informationen zu sammeln

Überwachungs-Malware biete Angreifern eine zuverlässigere Möglichkeit, sensible Informationen über ein Unternehmen oder seine Mitarbeiter zu sammeln. Diese Informationen könnten für ausgeklügelte Spear-Phishing-Angriffe auf die Unternehmensinfrastruktur oder Unternehmensressourcen verwendet werden, selbst wenn diese vom Gerät eines angegriffenen Mitarbeiters aus nicht zugänglich seien.

Generell nutzten immer mehr Mitarbeiter mobile Geräte, um sich mit der Unternehmensinfrastruktur zu verbinden, „wenn sie von unterwegs aus arbeiten“. Diese zunehmende Abhängigkeit von mobilen Geräten für die Arbeit – und sogar für persönliche Erledigungen wie Bankgeschäfte – biete Angreifern eine größere Angriffsfläche.

Malware-Ziele Mobiltelefone mit zunehmender Bedeutung für Zugriff auf Konten

Eine größere Bedrohung für das Unternehmen sei zu erwarten – durch die größere Abhängigkeit von mobilen Geräten für die Arbeit und den Zugriff auf Konten.

Viele Benutzer setzten ihre mobilen Geräte auch für private Anwendungen ein und seien nicht unbedingt so versiert darin, Angriffe zu vermeiden oder wichtige Sicherheitsupdates auf dem neuesten Stand zu halten. „Angreifer sehen in mobilen Geräten daher oft eine Möglichkeit, sich seitlich zu bewegen, um sensible Daten von anderen Konten oder Anwendungen zu sammeln, die auf dem Gerät des Opfers installiert sind“, warnt Schless.

Adware: Laut neuester Bedrohungsanalyse von Malwarebytes größte Kategorie mobiler Malware

Adware könne eine Reihe verschiedener Funktionen umfassen, die über die Fälschung von Werbeeinnahmen hinausgingen. „Unternehmen, die von mobiler Werbung abhängig sind, kostet dies eine beträchtliche Menge Geld.“ Anspruchsvollere Adware könne Geräte lahmlegen, so dass ein komplettes Zurücksetzen des Geräts auf Werkseinstellungen erforderlich werde oder Benutzer nicht mehr auf Unternehmenskonten und -anwendungen zugreifen könnten.

Manche Adware könne im Rahmen ihrer Kampagnen auch sensiblere Daten über den Benutzer und sein Gerät ausspähen. Es sei dennoch unwahrscheinlich, dass eine Adware-Familie ein Unternehmen auf dieselbe Weise ernsthaft gefährde wie eine Überwachungsanwendung oder ein Ransomware-Sample. „Sie kann jedoch Geräte stören oder mehr Daten als nötig über die Mitarbeiter eines Unternehmens sammeln“, so Schless.

Mobile Malware in Zukunft größere Bedrohung für Unternehmen

Es sei sehr wahrscheinlich, dass mobile Malware in Zukunft eine größere Bedrohung für Unternehmen darstellen werde. „Die ,Pandemie‘ hat die Art und Weise, wie viele von uns arbeiten, verändert, und es ist unwahrscheinlich, dass wir unsere Abhängigkeit von mobilen Geräten für diese Arbeit verringern werden.“

Die Menschen verstünden zwar immer besser, dass ihre mobilen Geräte genauso anfällig für Angriffe seien wie ihre Desktop-Computer, aber es gebe immer noch wenig Wissen darüber, wie sie ihre Geräte schützen und Kompromittierungen vermeiden könnten.

Mobile Geräte immer bedeutender – Bedrohungsakteure werden Malware weiter diversifizieren, um Abhängigkeit auszunutzen

Mobilgeräte seien im Grunde das perfekte Spionage-Werkzeug: Sie könnten sensible Daten über ein potenzielles Ziel sammeln, passive Audioaufnahmen, Fotos und Details über das Soziale Netzwerk des Opfers aufzeichnen und seien fast immer mit einem Netzwerk verbunden. „Diese Funktionen, auf die wir zurückgreifen, sind verlockend für Angreifer, die auf der Suche nach Details für ausgeklügelte Spear-Phishing-Angriffe sind.“

Sie könnten sich auch als hilfreich erweisen, um zu versuchen, die Unternehmensinfrastruktur zu kompromittieren oder auf sie zuzugreifen, wenn der Zugriff über ein Mitarbeitergerät erfolge. „Da wir uns bei der Arbeit und im Privatleben immer mehr auf mobile Geräte verlassen, werden Bedrohungsakteure ihre Malware weiter diversifizieren, um diese Abhängigkeit auszunutzen“, so Schless‘ Fazit.

Weitere Informationen zum Thema:

datensicherheit.de, 06.01.2021
Malware macht mobil: Zunehmend Schadsoftware auf Smartphones / PSW GROUP warnt vor DDoS-Attacken über mobile Botnetze und Verteilung von Malware über offizielle App-Stores

[datensicherheit.de, 03.09.2021] „Bluetooth“-Angriffe hätten einst den Beginn von Bedrohungen mobiler Plattformen markiert: So sei der erste bekannte mobile Wurm „Cabir“ über „Bluetooth“ verbreitet worden. Heutzutage sei dies jedoch nicht mehr der Hauptinfektionsvektor für mobile Bedrohungen – fast alle solche Kompromittierungen seien heute in den Betriebssystemen der Nutzer verortet und würden mithilfe von Standardfunktionen des Betriebssystems erstellt.

Kaspersky-Sicherheitsexperte kommentiert Ausnutzung von Schwachstellen im Bluetooth-Stack

„Meiner Meinung nach ist die Wahrscheinlichkeit gering, dass diese Attacken über die Ausnutzung von Schwachstellen im ,Bluetooth‘-Stack verbreitet werden“, so Victor Chebyshev, Sicherheitsexperte bei Kaspersky, in einem aktuellen Kommentar. Denn es sei recht kompliziert, einen Massenangriff über diesen Kanal zu initiieren. Cyber-Kriminelle müssten demnach folgende Punkte erfüllen, um einen solchen Angriff möglich zu machen:

• Online-Betrüger müssten sich an einem öffentlichen Ort befinden und zahlreiche Geräte angreifen. „Sobald sie sich jedoch im offenen Raum aufhalten, verliert die Angriffsquelle ihre Anonymität und Täter versuchen natürlich, unnötige Aufmerksamkeit zu vermeiden.“ Das Auftauchen eines mobilen Computer-Wurms zur Ausnutzung dieser Schwachstellen scheine ebenfalls unwahrscheinlich, „da für den Betrieb des Wurms eine Interaktion auf niedriger Ebene mit dem ,Bluetooth‘-Modul erforderlich wäre, während moderne mobile Betriebssysteme einen solchen Zugang nicht bieten“.
• Cyber-Kriminelle müssten sich in der Nähe des Ziels aufhalten, „da die ,Bluetooth‘-Reichweite nur zehn Meter beträgt, was wiederum die Möglichkeiten einen Angriff durchzuführen und dabei anonym zu bleiben, erheblich einschränkt“.

Kaspersky-Tipps zum Schutz vor Angriffen auf Schwachstellen über Blootooth

• „Mobilfunknutzer sollten herausfinden, ob sie ein potenzielles Ziel sind und das ,Bluetooth‘-Modul ihres Geräts verwundbar ist oder nicht.“
• Wenn eine hohe Wahrscheinlichkeit besteht, dass ein Anwender Ziel eines Angriffs sein könnte – etwa wenn er in einem hochsensiblen Bereich wie der Diplomatie arbeitet oder Zugang zu wertvollen Informationen hat – wäre die radikale Lösung, das Gerät auszutauschen oder „Bluetooth“ zu deaktivieren.
• In Fällen, in denen der Austausch anfälliger Geräte nicht in Frage kommt, rät Kaspersky nach eigenen Angaben „zur Verwendung einer bewährten und leistungsstarken Sicherheitslösung“.

Weitere Informationen zum Thema:

datensicherheit.de, 19.05.2019
Update erforderlich: Sicherheitslücke in Googles Bluetooth / Mark Miller von Venafi kommentiert Rückrufaktion

[datensicherheit.de, 06.01.2021] Sogenannte Smartphones kommen privat wie beruflich immer häufiger zum Einsatz – in der „Corona-Pandemie“ hat es offensichtlich zunehmend als digitaler Helfer Einzug in den Alltag genommen: „Das Smartphone ist Kommunikationszentrale und Bezahl-Terminal für kontaktloses Bezahlen geworden“, so die PSW GROUP. In diesem Zusammenhang wird zugleich Alarm geschlagen: „Die ,Always-on‘-Mentalität macht mobile Malware für Cyber-Kriminelle sehr reizvoll. Insbesondere die Verteilung von Malware über offizielle App-Stores hat stark zugenommen“, warnt Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Foto: PSW GROUP

Patrycja Schrenk: Mobile Malware Report von G DATA zeigt deutlich, dass schädliche Android-Apps im Sekundentakt im App Store landen

Mobile Malware nach Auswertungen von kaspersky immer mehr zweckgebunden

Die IT-Sicherheitsexpertin verweist nach eigenen Angaben auf den aktuellen „Mobile Malware Report“ des Cyber-Defense-Unternehmens G DATA. Dieser zeige deutlich, dass schädliche „Android“-Apps im Sekundentakt im „App Store“ landeten.
Das Unternehmen mache dabei vor allem auf „Corona“-Tracker im „App Store“ aufmerksam und warne, „dass sich Nutzer mit den praktischen Übersichts-Apps, die eigentlich Infektionszahlen in Echtzeit liefern sollen, Adware oder manchmal sogar Ransomware auf ihr Smartphone laden“. Allein in den ersten sechs Monaten 2020 seien im Schnitt mehr als 11.000 Malware-Apps pro Tag aufgespürt worden.
Ähnliche Ergebnisse liefere auch Security-Spezialist kaspersky: Zwar seien Angriffe mobiler Schädlinge 2019 im Vergleich zum Vorjahr um mehr als 35 Millionen Attacken weltweit auf 80 Millionen Angriffe zurückgegangen. Von Entwarnung könne allerdings keine Rede sein. Denn die mobile Malware werde nach Auswertungen von kaspersky mehr zweckgebunden – die Angriffe auf persönliche Daten der Nutzer seien häufiger geworden und es würden vermehrt Trojaner in den beliebtesten App-Stores gefunden.

Mobile Security sollte neuen Stellenwert bekommen

„Malware kann der Beginn der Kaperung des Smartphones sein, weshalb ,Mobile Security‘ einen neuen Stellenwert bekommen sollte“, fordert Schrenk. Die IT-Sicherheitsexpertin macht gleich auch auf einen weiteren, neuen Trend aufmerksam: „Zunehmend werden mobile Botnetze für DDoS-Angriff benutzt.“ Konventionellerweise würden DDoS-Angriffe über Rechner oder Server realisiert.
Der IT-Sicherheitsspezialist ESET habe erst kürzlich einen DDoS-Angriff per Mobile-Botnet aufgedeckt. Die Angreifer hätten sich der App „Updates for Android“ für ihre DDoS-Attacke bedient: In einer ersten Version hätten sie eine saubere Version der App in den „Google Play Store“ geladen, in welche per Update die Malware implementiert worden sei, „womit die Schadsoftware auf die Smartphones wanderte“.
Wie beim konventionellen Botnet hätten die Cyber-Kriminellen jedes infizierte Smartphone individuell ansteuern können. Per „Command & Control“-Konsole hätten sie die für den DDoS-Angriff notwendigen Befehle verteilen können, um anvisierte Websites dann im Sekundentakt durch die ferngesteuerten „Zombie“-Smartphones aufrufen zu lassen – „so lange, bis die Server der Websites überlasteten und die Online-Angebote nicht mehr erreichbar waren“.

Mobile Apps sollte ausschließlich aus offiziellen Quellen bezogen werden

„Es verwundert mich leider kaum, dass Smartphones zunehmend für Botnetze missbraucht werden. Denn mobile Endgeräte werden immer leistungsfähiger bei immer schneller werdender Internetverbindung. Es wird wohl nicht mehr lang dauern, bis ihr Anteil am gesamten Internetdatenverkehr im privaten Bereich größer als der von Computern sein wird. Das wiederum macht Smartphones zum lohnenswerten Ziel für Cyber-Kriminelle“, sagt Schrenk und fordert: „Mobile Security“ müsse an Relevanz gewinnen, denn Smartphone und Tablet seien zum ständigen Begleiter geworden, ersetzten hier und da bereits den konventionellen Rechner und seien nahezu „24/7“ online.
Wie Smartphone-Nutzer ihre mobile Sicherheit erfolgreich steigern könnten, um nicht Ziel von oben beschriebenen Angriffe zu werden, erklärt die IT-Sicherheitsexpertin: „Mobile Apps sollten ausschließlich aus offiziellen Quellen bezogen werden. Für ,Android‘-Geräte ist das Googles ,Play Store‘, für ,iOS‘-Geräte Apples ,iTunes‘. Um zu verhindern, dass andere Verwender des Gerätes Apps aus inoffiziellen Quellen laden, etwa wenn die Tochter das Tablet mitnutzen möchte oder auch ein Kollege Zugriff auf das Gerät hat, können Installation von Apps aus unbekannten Quellen in den Einstellungen des Smartphones oder Tablets unterbunden werden.“
Was für Rechner gilt, gilt laut Schrenk auch für Smartphones – nämlich System- oder App-Updates zügig einzuspielen. „Mit Updates können eventuell bestehende Sicherheitslücken geschlossen werden. Wichtig ist dabei, Updates nie von externen Ressourcen herunterzuladen. Ich rate auch hier dazu, in den Einstellungen zu bestimmen, dass Updates automatisch eingespielt werden. So können sie nicht vergessen werden“, erläutert Schrenk. Auch für Smartphones gebe es zuverlässige Sicherheitslösungen, welche Schutz vor einer Vielzahl von Bedrohungen böten. „Um den Überblick zu behalten, welche Antiviren-Lösung für das jeweilige Gerät am besten geeignet ist, helfen Bewertungen und Test in der einschlägigen Fachpresse.“

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 17.11.2020
IT-Security / Mobile Security: DDoS-Attacken per Mobile-Botnet

datensicherheit.de, 06.01.2021
Sichere Smartphones: Umfrage zu Maßnahmen der Nutzer / bitkom gibt zehn Tipps zur Smartphone-Sicherheit

[datensicherheit.de, 16.09.2018] Mobile Schatten-IT ist zu einer Herausforderung für die Unternehmens-IT geworden: Mitarbeiter nutzen nicht genehmigte Geräte und Apps und kümmern sich dabei wenig um rechtliche Regelungen, Sicherheitsvorschriften oder Compliance-Vorgaben. Virtual Solution zeigt, was Unternehmen gegen den Wildwuchs tun können.

Die Schatten-IT ist für Unternehmen schon immer ein Problem gewesen: Waren es früher vor allem persönliche Excel-Sheets oder Datenbanken, die eine weitgehend unkontrollierte und nicht autorisierte IT-Struktur bildeten, so geht es mittlerweile mehr und mehr um mobile Systeme und Anwendungen. Smartphones und Tablets werden von Mitarbeitern an den Vorschriften der Unternehmens-IT vorbei genutzt. Sie verwenden Apps wie WhatsApp und Evernote oder Fileshares wie Dropbox oder Google Drive auch für ihre beruflichen Aufgaben.

Solche unkontrollierten Systeme stellen Unternehmen nicht zuletzt vor rechtliche Herausforderungen, denn die Einhaltung von Be­stimmungen zum Datenschutz, zum Urheberrechtsschutz oder zu Aufbewahrungspflichten ist in keiner Weise sichergestellt. Darüber hinaus stellen sie eine ständige Gefahr für die IT-Sicherheit dar, weil Angreifer über unzureichend gesicherte mobile Anwendungen leichten Zugang zur Unternehmens-IT finden könnten.

Virtual Solution gibt Empfehlungen, was Unternehmen gegen die mobile Schatten-IT tun können:

1. Mitarbeiter informieren: Die Sorglosigkeit von Mitarbeitern beim Umgang mit Smartphones und Tablets beruht vielfach auf Wissensdefiziten, beispielsweise hinsichtlich rechtlicher Implikationen; erst wenn Mitarbeiter umfassend informiert sind, welche Probleme die Nutzung von nicht autorisierten Apps mit sich bringt, kann erwartet werden, dass sie sorgsamer damit umgehen.
2. Von Mitarbeitern lernen: Unternehmen sollten sich gut anschauen, welche Apps Mitarbeiter privat nutzen. Daraus können sie lernen, welche Funktionalitäten benötigt werden und welche die Unternehmens-Anwendungen nicht zur Verfügung stellen; wenn „offizielle“ Alternativen verfügbar sind, verringert sich das Risiko durch mögliches Fehlverhalten der Mitarbeiter.
3. Abteilungen einbeziehen: Mittlerweile entscheiden viele Abteilungen selbst, welche Tools sie nutzen. Unternehmen sollten sicherstellen, dass IT und Fachabteilungen eng zusammenarbeiten, so dass sinnvolle Apps bereit gestellt und dabei auch Sicherheitsstandards eingehalten werden. IT- und Compliance-Verantwortliche dürfen dabei nicht als „Bremser“ fungieren, sondern als konstruktive Business-Enabler.
4. Infrastruktur-Zugriffe steuern: Unternehmen müssen genau definieren, welche App auf welche internen Ressourcen oder Cloud Services zugreifen dürfen. Sie müssen zum Beispiel festlegen, welche E-Mail-App auf den Exchange- oder Office365-Server zugreifen darf; nicht autorisierte Apps dürfen keinen Zugriff bekommen.
5. Richtige Apps zur Verfügung stellen: Bei der Auswahl zugelassener Apps sind Sicherheit und Kompatibilität mit der stationären IT wichtig. Dennoch hat auch die Usability einen hohen Stellenwert. Nur wenn die Nutzer mit den Apps zufrieden sind und ihre Arbeit problemlos erledigen können, werden sie nicht auf die Suche nach Schatten-Apps gehen.

„Das Grundproblem der Schatten-IT sind nicht die uneinsichtigen Nutzer, sondern die IT-Entscheider, die die Bedürfnisse der Mitarbeiter zu wenig berücksichtigen“, erklärt Günter Junk, CEO der Virtual Solution AG in München. „Sie wollen in der Regel produktiv arbeiten, Schatten-IT ist daher immer auch ein Stück praktizierte Kritik; das sollte die Unternehmens-IT sehr ernst nehmen und in Zukunft die Anforderungen der Mitarbeiter mehr in den Mittelpunkt stellen.“

Weitere Informationen zum Thema:

Virtual Solution
Mobiles Arbeiten, einfach und sicher mit SecurePIM

 datensicherheit.de, 11.08.2016
Die dunklen Seiten der betrieblichen Schatten-IT

datensicherheit.de, 14.09.2018
Lernkultur – Richtige Reaktion auf Datenschutzverletzungen durch Mitarbeiter

datensicherheit.de, 26.07.2018
Der Mensch als Schlüsselfaktor Cybersicherheit