[datensicherheit.de, 06.02.2023] Vom 27. Februar bis 2. März 2023 findet in Barcelona der diesjährige „Mobile World Congress“ (MWC) statt: „Bei der Leistungsschau der Mobile-Communications-Industrie werden neben dem ,Höher, Schneller, Weiter’ auch kritische Themen auf der Agenda stehen, und eines davon ist die löcherige Sicherheitsumgebung der mobilen Endpoints“, so Torsten George, „VP“ von Absolute Software), in seiner aktuellen Stellungnahme. Absolute Software hat demnach „hierzu Millionen an User-Daten analysiert“. Für diese Analyse wurden laut Absolute Software anonymisierte Daten von verschiedenen Untergruppen von mehr als 14 Millionen „Absolute-fähigen Geräten“ – aktiv bei fast 18.000 Kunden weltweit – über einen Zeitraum von zwei Wochen im August 2022 analysiert. Daten und Informationen seien auch von vertrauenswürdigen Drittquellen bezogen worden.

Foto: Absolute Software

Torsten George: Beträchtliche Anzahl von Endgeräten in Bezug auf Patches nicht auf dem neuesten Stand und daher anfällig für Ausnutzung und Angriffe!

2022 bisher 20.265 neue Software-Schwachstellen identifiziert und gemeldet

Im Jahr 2022 seien bisher 20.265 neue Software-Schwachstellen identifiziert und gemeldet worden. George: „Dies ist ein Anstieg gegenüber 20.171 im gesamten Jahr 2021 und 18.325 im Jahr 2019.“

Das sei nicht wenig angesichts der für IT- und Sicherheitsteams erforderlichen Schritte, um jede dieser Schwachstellen zu erkennen und Updates für jeden einzelnen Endpunkt, der sich im Besitz eines Unternehmens befindet oder von ihr verwaltet wird, bereitzustellen.

Für Unternehmen mühsam, Windows-Geräte mit Patches stets auf dem neuesten Stand zu halten

Für „Windows 10“-Geräte gebe Microsoft jeden Monat am „Patch Tuesday“ neue Updates heraus. „Es kann für Unternehmen mühsam werden, ,Windows’-Geräte mit den neuesten Patches auf dem neuesten Stand zu halten. Wenn dies jedoch nicht erfolgt, öffnen sie ihre Umgebungen für potenzielle Kompromittierungen“, gibt George zu bedenken.

Er erläutert: „Die Analyse von Absolute Software ergab, dass das durchschnittliche ,Windows 10 Enterprise’-Gerät 59 Tage mit Patches im Rückstand ist, wobei Behörden und Einzelhändler die längsten Verzögerungen im Enterprise-Bereich (83 bzw. 77 Tage) aufweisen.“ Wenn man das Bildungswesen mit einbeziehe, sei der Rückstand bei den Patches sogar noch größer – im Durchschnitt 115 Tage.

Betroffene Unternehmen mit extrem geringem Aufwand anzugreifen

„Betrachtet man die Gesamtzahl der Schwachstellen, die allein im Juli und August am ,Patch Tuesday’ behoben wurden, so zeigt sich, dass diese Geräte für mehr als 200 Schwachstellen anfällig sind, für die es bereits eine Lösung gibt – darunter 21, die als kritisch eingestuft sind, und eine, die bereits ausgenutzt wird“, berichtet George.

Als „kritische Schwachstellen“ seien jene CVEs definiert, für welche „ein öffentlich zugänglicher Mechanismus zu deren Ausnutzung existiert“. Er erklärt: „Das bedeutet, dass Hacker im Internet Code veröffentlicht haben, mit dem sie die Geräte von Unternehmen ausnutzen können, sofern die Schwachstelle noch nicht behoben wurde.“ Mit anderen Worten: Betroffene Unternehmen könnten mit extrem geringem Aufwand angegriffen werden.

Behebung von Sicherheitslücken: Kleinere Unternehmen – mit weniger Geräten – oft mit längeren Verzögerungen

George führt aus: „Angesichts dieser Tatsache sollte man meinen, dass die Dringlichkeit, Sicherheitslücken zu schließen, hoch ist.“ Dennoch blieben die Geräte von Unternehmen möglicherweise aus Monotonie oder einfach aus Mangel an Ressourcen und Zeit über längere Zeiträume ungepatcht.

Der interessanteste Trend, den die Daten von Absolute Software aufgezeigt hätten, „war jedoch, dass kleinere Unternehmen – mit weniger Geräten – längere Verzögerungen hinnehmen mussten“.

Torsten Georges Schlussfolgerungen:

Die Analyse von Absolute Software zeige, „dass eine beträchtliche Anzahl von Endgeräten in Bezug auf Patches nicht auf dem neuesten Stand ist und daher anfällig für Ausnutzung und Angriffe ist“. Dies sei in stark regulierten Branchen wie Behörden, Dienstleistungsunternehmen und Bildungseinrichtungen der Fall. „Diese Institutionen sind eigentlich dafür verantwortlich, dass ihre Daten und Endgeräte sicher bleiben“, betont George.

Sichtbarkeit sei immer der erste Schritt, um ein solches Problem zu beheben: „Wenn IT-Administratoren wissen, wie viele Geräte veraltet sind und welches Risiko dies darstellt, können sie Maßnahmen ergreifen, um sicherzustellen, dass Patches installiert werden – und dass die Geräte ohne diese Maßnahmen nicht funktionieren.“

Weitere Informationen zum Thema:

CVE Details
Browse Vulnerabilities By Date

SANS Internet Storm Center, Renato Marinho, 12.07.2022
Microsoft July 2022 Patch Tuesday

[datensicherheit.de, 31.10.2022] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zur „Awareness“-Veranstaltung zum Thema „Mobile Security – Smartphones und Tablets sicher einsetzen“ ein – dieses Web-Seminar wird demnach in Kooperation mit der IHK Berlin organisiert:

Abbildung: it’s.BB

Mobile Security: it’s.BB lädt zur Online-Veranstaltung ein

Einsatz eines Mobile Device Management Systems empfohlen

„In diesem Seminar erfahren Sie, wie Sie Ihren Kollegen produktives mobiles Arbeiten ermöglichen, ohne die Einhaltung der DSGVO und die Sicherheit Ihrer Firmendaten aus den Augen zu verlieren.“

Anhand der Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) könne gelernt werden, welche Bedrohungsszenarien existieren und wie ihnen unter Einsatz eines „Mobile Device Management“-Systems am besten begegnet werden kann.

Mobile Security – Smartphones und Tablets sicher einsetzen

Mittwoch, 16. November 2022, 16.00 bis 17.00 Uhr
Online über die „MS Teams“-Plattform

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung:
Michael Rödiger, Cortado Mobile Solutions GmbH
Andreas Polzer, IHK Berlin

16.10-16.45 Uhr
• Einleitung
• Auszüge aus der BSI-Studie
• Mobile Device Management
• Bedrohungen mit Mobile Device Management abwehren
• Zusammenfassung
Michael Rödiger, Cortado Mobile Solutions GmbH

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema:

it’s.BB
Nov. 16 / Mobile Security – Smartphones und Tablets sicher Einsetzen / Einen Platz reservieren

[datensicherheit.de, 25.07.2019] Check Point® Software Technologies Ltd. hat seinen Cyber Attack Trends: 2019 Mid-Year Report veröffentlicht, der verdeutlicht, dass keine IT-Umgebung gegen Cyber-Angriffe immun ist. Die Bedrohungsakteure entwickeln weiterhin neue Programme und Techniken, die auf sensible Unternehmens-Ressourcen abzielen. Besonders betroffen sind jene Daten, die auf einer Cloud-Infrastruktur, auf mobilen Geräten von Einzelpersonen, Anwendungen von Drittanbietern oder beliebten Mail-Plattformen gespeichert sind:

• Mobile banking: Ein Anstieg der Angriffe um über 50 Prozent im Vergleich zu 2018 belegt, dass sich Malware gegen Banken zu einer sehr verbreiteten Bedrohung entwickelt hat. Mittlerweile ist Banken-Malware in der Lage, gezielt Zahlungsdaten, Anmeldeinformationen und Gelder von Kunden zu stehlen. Neue Versionen sind sogar bereit für eine massive Verbreitung durch jeden, der für sie bezahlt.
• Software supply chain attacks: Bedrohungsakteure erweitern ihre Angriffsvektoren, unter anderem um die Konzentration auf die Lieferkette. Bei Angriffen fügt der Kriminelle typischerweise einen bösartigen Code in eine legitime Software ein, indem er einen der Bausteine, auf die sich diese Software stützt, ändert.
• E-Mail: E-Mail-Betrüger haben begonnen, verschiedene Techniken einzusetzen, um Sicherheitslösungen und Anti-Spam-Filter zu umgehen. Sie wenden Kniffe an, wie verschlüsselte E-Mails, Bilder im E-Mail-Textkörper und komplexen, der Nachricht zugrunde liegenden Code, der Klartextbriefe mit HTML-Zeichen mischt. Weitere Methoden, die es Betrügern ermöglichen, unter dem Radar der Anti-Spam-Filter zu fliegen und den Posteingang ihrer Zielpersonen zu erreichen, sind Social Engineering-Techniken, sowie die Variierung und Personalisierung von E-Mail-Inhalten.
• Cloud: Die wachsende Popularität von Public Cloud-Umgebungen führt zu einer Zunahme von virtuellen Angriffen. Sie visieren die enormen Ressourcen und sensiblen Daten an, die sich gewöhnlich auf diesen Plattformen befinden. Der Mangel an durchdachter IT-Sicherheit, außerdem Fehlkonfigurationen und schlechte Verwaltung der Cloud-Ressourcen stellen die größte Bedrohung für das Cloud-Ökosystem im Jahr 2019 dar.

© Check Point

Maya Horowitz, Threat Intelligence and Research Director bei Check Point

„Ob Cloud, Mobile oder E-Mail – keine Umgebung ist immun gegen Cyber-Angriffe. Altbekannte Bedrohungen, wie gezielte Ransomware-Angriffe, DNS-Angriffe und Cryptominer werden auch im Jahr 2019 relevant sein. Alle Sicherheits-Experten müssen sich daher auf die neuesten Varianten und Winkelzüge dieser Gefahren einstellen, um ihren Unternehmen den besten Schutz zu versichern“, mahnt Maya Horowitz, Director Threat Intelligence & Research Products bei Check Point, die IT-Verantwortlichen zur Vorsicht.

Top Botnet Malware im ersten Halbjahr 2019

1. Emotet (29%) – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet wurde früher als Banking-Trojaner eingesetzt, aber dient derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
2. Dorkbot (18%) – IRC-basierter Wurm, der entwickelt wurde, um die Ausführung von Remote-Code, sowie den Download zusätzlicher Malware auf das infizierte System zu ermöglichen. Ziel ist es, sensible Informationen zu stehlen und Denial-of-Service-Angriffe durchzuführen.
3. Trickbot (11%) – Trickbot ist eine Dyre-Variante, die im Oktober 2016 auf den Markt kam. Zu Beginn seines Erscheinens hat sich der Banking-Trojaner auf Kunden in Australien und Großbritannien konzentriert. Danach gerieten Indien, Singapur und Malaysia ins Visier – mittlerweile auch Deutschland.

Top Cryptominer im ersten Halbjahr 2019

1. Coinhive (23%) – Krypto-Miner, der Online-Mining der Krypto-Währung Monero durchführt, während ein Benutzer eine entsprechende Webseite besucht. Der Nutzer merkt nichts, kann nicht zustimmen oder ablehnen und wird nicht am Gewinn beteiligt. Das implementierte JavaScript nutzt große Anteile der Rechenkraft des infizierten Computers, um Münzen zu schürfen und kann sogar das System durch Überlastung zum Absturz bringen.
2. Cryptoloot (22%) – Ein JavaScript Cryptominer, der entwickelt wurde, um das Online-Mining von Monero-Kryptowährung durchzuführen, wenn ein Benutzer eine entsprechende Webseite besucht. Er arbeitet ohne Zustimmung des Benutzers heimlich im Hintergrund und benötig viel Leistung.
3. XMRig (20%) – XMRig ist eine Open-Source-CPU-Mining-Software, die für den Mining-Prozess der Monero-Kryptowährung verwendet wird und im Mai 2017 erstmals an die Arbeit ging.

Top Mobile Malware im ersten Halbjahr 2019

1. Triada (30%) – Modulare Hintertür für Android, die Super-Nutzer-Rechte für heruntergeladene Malware gewährt und dieser hilft, sich in Systemprozesse einzubetten. Bei Triada haben Sicherheitsforscher auch gesehen, wie URLs, die im Browser geladen wurden, gefälscht waren.
2. Lotoor (11%) – Hacking-Tool, das Schwachstellen im Android-Betriebssystem ausnutzt, um Root-Rechte auf kompromittierten mobilen Geräten zu erlangen.
3. Hidad (7%) – Hauptsächlich schaltet der Android-Schädling betrügerische Werbung, aber er ist auch in der Lage sich Zugriff auf wichtige Sicherheitsbereiche und -informationen zu verschaffen, die in das Betriebssystem integriert sind. Ein Angreifer kann auf diese Weise an sensible Benutzerdaten gelangen. Außerdem kann Hidad legitime Anwendungen neu verpacken und dann im App-Store eines Drittanbieters anbieten.

Top Banking Malware im ersten Halbjahr 2019

1. Ramnit (28%) – Ramnit ist ein Wurm, der hauptsächlich über Wechseldatenträger und infizierte Dateien, die auf öffentliche FTP-Server hochgeladen wurden, verbreitet wird. Die Malware erstellt eine Kopie von sich selbst, um neue Wechseldatenträger und Festplatten zu infizieren. Außerdem stiehlt Ramnit Bankdaten, FTP-Passwörter, Session-Cookies und persönliche Daten. Der Wurm fungiert auch als Hintertür für weitere Malware.
2. Trickbot (21%) – Trickbot ist eine Dyre-Variante, die im Oktober 2016 auf den Markt kam. Zu Beginn seines Erscheinens hat sich der Banking-Trojaner auf Kunden in Australien und Großbritannien konzentriert. Danach gerieten Indien, Singapur und Malaysia ins Visier – mittlerweile auch Deutschland.
3. Ursnif (10%) – Ursnif ist ein Trojaner, der auf Windows-Systeme zielt, und wird normalerweise durch Exploit-Kits verbreitet. Er hat die Fähigkeit, vertrauliche Informationen über die Zahlungs-Software Verifone Point-of-Sale (POS) zu stehlen. Danach kontaktiert Ursnif einen Remote-Server, um die gesammelten Informationen hochzuladen und weitere Anweisungen zu erhalten. Außerdem lädt der Schädling fremde Dateien auf das infizierte System herunter und führt sie aus.

Der Cyber Attack Trends: 2019 Mid-Year Report auf das erste Halbjahr gewährt einen genauen Überblick der IT-Bedrohungs-Landschaft. Die Ergebnisse basieren auf Daten, die zwischen Januar und Juni 2019 der ThreatCloud von Check Point entnommen wurden. Sie zeigen die wichtigsten Taktiken, mit denen Cyber-Kriminelle derzeit Unternehmen angreifen.

Weitere Informationen zum Thema:

Check Point Researcch
Cyber Attack Trends: 2019 Mid-Year Report

datensicherheit.de, 25.07.2019
Cloud-Sicherheit: Mehr als 34 Millionen Schwachstellen in AWS, Azure und GCP

datensicherheit.de, 24.07.2019
Winnti: Zahlreiche Cyberangriffe auf DAX-Unternehmen

datensicherheit.de, 15.06.2019
Check Point: Top Malware im Mai 2019

[datensicherheit.de, 19.03.2018] Sicherheitsforscher des Unternehmens Check Point haben mit RottenSys eine mobile Adware entdeckt. Zuerst auf einem Xiaomi Redmi Smartphone geortet, wurde die bösartige und auf den Geräten vorinstallierte App nach ihrer ursprünglichen Aufgabe benannt, Wifi-Verbindungen herzustellen. Der Systemdienst gibt vor, sichere Verbindungen zu Wifi-Hotspot herzustellen. In Wirklichkeit erschleicht sie sich heimlich zahlreiche Rechte auf dem Android Betriebssystem, darunter erleichterte Bedienung, Zugriff auf den Kalender und die Berechtigung für den stillen Download.

Die Angreifer haben den Dienst so programmiert, dass er nicht sofort nach den Zugriffsrechten fragt, sondern erst nach einer Weile. Darüber hinaus enthält RottenSys eine Dropper-Komponente, die sich anfangs ebenso wenig bösartig verhält. Sowie das Gerät jedoch aktiviert wird und der Dropper installiert wurde, kontaktiert dieser den C&C Server, der weiteren Code sendet, damit die Adware ihre Aktivitäten starten kann. Dabei wird die Berechtigung Download_Without_Notification genutzt.

Schadwirkung nach Download der benötigten Komponenten

Sobald alle benötigten Komponenten heruntergeladen wurde, beginnt die eigentliche bösartige Aktivität der Adware. Dabei nutzt sie das Android Framework „Small“ zur Virtualisierung von Anwendungen. Dadurch können alle Komponenten zeitgleich ablaufen und der Nutzer bekommt Werbung auf seinem Gerät angezeigt. Die Werbung wird als Pop-Up Bildschirm oder als komplette Vollbild-Werbung angezeigt.

© Check Point

Dietmar Schnabel, Regional Director Central Europe, Check Point

„Cyberkriminelle passen ihre Malware immer besser an und wissen, dass viele Organisationen gerade bei Mobilgeräten nur unzureichende Sicherheitsmechanismen implementiert haben. RottenSys ist ein Paradebeispiel für effiziente Schadsoftware“, sagt Dietmar Schnabel, Regional Director Central Europe bei Check Point. „Durch einfache Modifikationen des Schädlings lassen sich klassische Schutzansätze umgehen. Dabei nutzen die Angreifer das Nutzerverhalten geschickt für ihre Zwecke.“

Malware-Kampagne

Nach Informationen von Check Point handelt es sich hierbei um eine ganze Kampagne, bei der unterschiedliche Komponenten genutzt werden. Seit der ersten Installation der App auf einem Smartphone im Jahr 2016 hat sich die bösartige Adware auf fünf Millionen Geräten verbreitet. Betroffene Gerätemarken sind z.B. Honor, Huawei und Xiaomi.

Weitere Informationen zum Thema:

Check Point Research
RottenSys: Not a Secure Wi-Fi Service At All

datensicherheit.de, 09.05.2016
KRBanker: Angriffe mittels Adware und Exploit-Kits

[datensicherheit.de, 18.04.2016] Laut aktueller Medienberichte ist es dem FBI gelungen, ohne die Hilfe von Apple die Sicherheitsmechanismen des „iPhones“ zu umgehen.

Angreifbarkeit lockt auch Cyber-Kriminelle

Bastian Klein, „Sales Manager Mobile Security“ bei Check Point Software Technologies Ltd., weist in seiner Stellungnahme zu diesem Vorfall darauf hin, dass dieser die Angreifbarkeit von Apple-Produkten demonstriert, und er warnt, dass auch Cyber-Kriminelle früher oder später Mittel und Wege finden werden, es dem FBI gleichzutun. Vielleicht seien ihnen diese sogar schon bekannt.
Demnach können Organisationen und Anwender aus diesem Vorfall lernen, dass alle Mobilgeräte angreifbar sind, ganz egal, welches Betriebssystem, welcher Hersteller und welche Philosophie dahinter steht. Der scheinbare Schutz durch MDM- oder EMM-Lösungen könne trügen – da die Betriebssystemebene ebenfalls angreifbar sei, könnten Schutzmechanismen leicht ausgehebelt werden, so Klein.

Foto: Check Point Software Technologies

Bastian Klein: Alle Mobilgeräte angreifbar!

Mobile Geräte grundsätzlich Einfallstore für Cyber-Angriffe

Viele Organisationen unterschätzten die Gefahr im Bereich Mobile. Es gehe nicht nur darum, einzelne Geräte zu verwalten, sondern alle Unternehmensdaten im Netzwerk zu schützen und Betriebsabläufe zu sichern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spreche in diesem Zusammenhang vom Paradigma „Assume the Breach“ – „Statt einer reinen Abwehr gegen Angriffe gehört es zum Risikomanagement einer Organisation, sich darauf einzustellen und darauf vorzubereiten, dass ein IT-Sicherheitsvorfall eintritt oder ein Cyber-Angriff erfolgreich ist. Dazu müssen Strukturen geschaffen, Verantwortlichkeiten benannt und Prozesse geübt werden, wie mit einem anzunehmendem Vorfall umzugehen ist”.
Mobile Geräte seien „grundsätzlich Einfallstore für erfolgreiche Cyber-Angriffe“, betont Klein. Daher müssten für „BYOD“ und „IoT“ die Reaktionsfähigkeit und die Durchsetzung von Richtlinien jederzeit gewährleistet werden. Die Nutzung von privaten Geräten für Business-Zwecke werde weiter zunehmen, was die Anzahl der Angriffsvektoren zusätzlich erhöhe. Laut aktuellen Untersuchungen sei die Anzahl mobiler Geräte in 91 Prozent aller Unternehmen weltweit gestiegen. Schockierend dabei sei, dass trotz der vielen Schwachstellen nur 44 Prozent der Unternehmen Firmendaten auf Privatgeräten schützten.

„Threat Intelligence“ gefordert

„Advanced Mobile Threats“ müssten durch eine entsprechende „Threat Intelligence“ erkannt und diese Information dann an die EMM-Lösungen weiterleitetet werden, erläutert Klein.
Moderne Sicherheitskonzepte automatisierten diesen Prozess und ermöglichten intelligente Echtzeit-Reaktionen auf Bedrohungen. Dadurch könne auch unbekannte Malware erkannt werden und zeitgleich Compliance zu jedem Zeitpunkt gesichert werden. „Der Zugriff auf Firmendaten wird rechtzeitig blockiert, bevor es zu einer illegalen Kopie kommen kann“, so Klein.
Durch die frühzeitige Erkennung werde die Gefahr von Angriffen minimiert und Unternehmensprozesse würden zusätzlich gesichert. Kompromittierte mobile Geräte ermöglichten nicht nur den Diebstahl von Informationen, sondern bedrohten auch Betriebsabläufe durch die Verbindung zum Firmennetzwerk. Unternehmen sollten dies bei der Umsetzung ihrer Sicherheitsstrategie bedenken, unterstreicht Klein.

[datensicherheit.de, 09.05.2014] Bereits die neunte Auflage der „M-Days“ wird vom 13. bis zum 14. Mai 2014 in Frankfurt/Main Innovationen in den fünf „Mobile Business“-Kernbereichen, „Strategy“, „Commerce“, „Enterprise“, „Marketing“ und „Media“, präsentieren. Im erstmals angebotenen ergänzenden Kongressangebot referieren mehr als 160 Sprecher in unterschiedlichen Panels, Keynotes, Diskussionen und Workshops.

Lösungen für echte Bedürfnisse finden

Mit diesem neuen Konzept, d.h. Fachmesse mit integriertem Kongress, ermögliche die Veranstaltung einen intensiven Austausch von Ausstellern und Besuchern in diesem innovationsstarken Markt, betont Iris Jeglitza-Moshage, Mitglied der Geschäftsleitung der Messe Frankfurt Exhibition. Die Kommunikation miteinander sei essenziell, um Lösungen für echte Bedürfnisse zu finden und Mobile-Innovationen nicht am Markt vorbei zu entwickeln.

„Internet of Everything“ ante portas

Die „M-Days“ sollen alle Facetten der Mobile-Branche widerspiegeln, denn inzwischen könne sich keine Branche dem Internet und dem Medium „Mobile“ mehr entziehen – das „Internet der Dinge“ („Internet of Things“, IoT) werde in naher Zukunft allgegenwärtig sein und im nächsten Schritt sogar vom „Internet of Everything“ (IoE) abgelöst werden, sagt Alex Green, „Senior Director Information Technology“ bei IHS Technology in London.

Bild: Messe Frankfurt Exhibition GmbH/ Pietro Sutera

M-Days  – spezialisierte Fachmesse mit integriertem Kongress für das „Mobile Business“

Hierzu zählten nicht nur die „Connected Devices“ wie im IoT, sondern auch nicht verbundene elektronische Geräte, wie beispielsweise
Straßenlaternen oder sogar Mausefallen. Diese sendeten automatisch eine Mitteilung, sobald eine Maus eingefangen wurde. Die nicht-elektronischen Geräte könnten in das IoE-Netzwerk mit Hilfe eines Codes oder Tags aufgenommen werden. In Zukunft kommunzierten Alltagsgegenstände völlig eigenständig und erhielten so das Potenzial, Geschäftsprozesse zu optimieren. In seiner Keynote auf dem „Enterprise-Hub“ am ersten Messetag werde er zahlreiche Beispiele präsentieren, wie IoE sowohl das private als auch das geschäftliche Leben beeinflussen wird, kündigt Green an.

Datenbrillen und vernetzte Armbänder: Fluch oder Segen?

Der Öffentlichkeit bekannt ist IoT z.T. bereits durch die zunehmende Verbreitung von sogenannten „Wearables“, wie beispielsweise Datenbrillen oder vernetzten Armbändern. Diese kleinen tragbaren Computer zeichnen z.B. Fitness-Aktivitäten auf und übertragen diese per Funk an das Smartphone. Eine Vielzahl dieser Gadgets können „M-Days“-Besucher live in der „Mobile Monday (MoMo) Lounge“ erleben und ausprobieren – am Stand D47 A+B.

Erfolgsgeschichte: Mobile IKT-Verfügbarkeit in Afrika

Eine ganz andere Mobile-Erfolgsgeschichte als die im eher App-getriebenen Europa hat Afrika – und die zeigen erstmals in Deutschland drei exklusive Kongressredner der „M-Days“. Die Mobile-Experten Raymond Buckle und Candice Goodman aus Südafrika sowie
Jessica Colaço aus Kenia präsentieren in ihrem Panel am ersten Messetag, d.h. am 13. Mai 2014, um 16.30 Uhr im „Mobile Strategy Hub“ die „erstaunliche Mobile-Geschichte Afrikas“, regionale Unterschiede in einzelnen afrikanischen Ländern sowie einige der relevanten Unternehmensbeispiele auf. Angesichts großer Entfernungen und damit schlechter Erreichbarkeit etwa von Banken oder Gesundheitseinrichtungen spielen in Afrika Enterprise-Anwendungen bereits eine größere Rolle als in Europa. Zudem investieren viele Unternehmen stark in Mobile-Marketing, um so die Endkunden besser zu erreichen.

Mobile-Sicherheit im Sonderareal

Dem Thema „IT- und Mobile-Security“ widmet die Fachmesse „M-Days“ das Sonderareal „Mobile Security Section – M-Sec“. Gemeinsam bieten dort verschiedene Aussteller ihren Besuchern am Stand konkrete Lösungen, Beratung und Testversionen an. Im direkten Umfeld des „Mobile Enterprise“-Vortragsforums und den Ständen der Fachverbände, wie etwa des BITKOM, werden zudem Vorträge, Diskussionsrunden und Produktpräsentationen zum Themenkomplex veranstaltet. Das Vertrauen, das viele Leute in ihr Smartphone und in Apps hätten, verwundere, so Kelly Robertson, Director WhiteHat Security Inc. aus den USA. Man müsse
erkennen, dass alles viel schneller passiere, als man es aus der Geschichte des Internets kenne. Das Internet habe eine lange Tradition,
Sicherheitsfragen erst dann zu lösen, wenn die Katastrophe schon eingetreten ist, bringt Robertson die Problematik auf den Punkt.
Zwischen dem Bestreben der Verkäufer, schnell auf den Markt zu drängen, diffusen Umsetzungs-Standards und von anderen Anbietern übernommenem großen Vertrauen, sei Platz für erhebliche Schwachstellen, warnt Robertson. Mehr zu dem Thema erläutert der Sicherheitsexperte in seinem Vortrag „Keeping secrets in the vast Internet of Things“ am zweiten Messetag um 13.30 Uhr auf der „Enterprise“-Bühne.
Im Sonderareal „M-Sec“ ist neben den Spezialanbietern Tekit Consult Bonn GmbH und der in Hannover angesiedelten mediaTest digital GmbH auch die Sirrix AG vertreten. Das Thema „Mobile“ komme spätestens seit der NSA-Affäre nicht länger ohne „Mobile Security“ aus, was sie auch zu einer Teilnahme an den „M-Days“ bewogen habe, erläutert Markus Bernhammer, „CSO“ der Sirrix AG. In der „Mobile Security“ müssten sich höchste Sicherheitsstandards für sensible Unternehmensdaten praktikabel und nah an den Bedürfnissen bewähren.
Die Redaktion von „datensicherheit.de“ ist ebenfalls mit einem Messestand (C21) vertreten.

Mobile Payment- und Commerce-Lösungen sowie digitaler Lebenszyklus

Vor allem im Einzelhandel existiert eine Vielzahl an innovativen Anwendungen, die auf den Messeständen präsentiert werden sollen.
Anwendungen des Einzelhandels nutzten laut einer Studie von comScore vom März 2014 mehr als 27 Prozent der deutschen Smartphone-Besitzer regelmäßig. Im Ranking der meistgenutzten Apps im Bereich M-Commerce lägen die Anwendungen aus dem Einzelhandel damit noch vor Programmen für Auktionen oder Kleinanzeigen und Bankkonten. Bei SAP können die Besucher an einem intelligenten Warenautomaten eine Mobile-Payment-Lösung live ausprobieren. Zudem zeigt das Walldorfer Unternehmen, wie mit
„mPayment“, „mLoyalty“ und „Couponing“ umfangreiche Kundenanalysen durchgeführt und damit Auswertungen erstellt werden können.
Auch PayPal präsentiert einige Neuheiten auf den „M-Days“. Mit „Einchecken mit PayPal“ wird eine Lösung für mobiles Bezahlen
vorgestellt, die bereits in Berlin im Rahmen eines Pilotprojekts im Einsatz ist. Mittels der PayPal-App kann bargeldlos „geshoppt“ oder in Restaurants konsumiert werden. Die Validierung der Bezahlung erfolgt per Foto oder Eingabe eines Codes. Am PayPal-Stand kann diese Technologie außerdem anhand eines Snackautomaten getestet werden. Zudem wird eine Lösung aus dem Bereich In-TV-Payment zu sehen sein. Damit weitet PayPal den Omnichannel-Handel auf die Medien „Smart TV“ und „Hybrid Broadcast Broadband TV“ (HbbTV) aus.
IBM lässt die Besucher die Mobile-Erfolgsgeschichte eines Unternehmens erleben. An größen Touchscope-Monitoren werden unter anderem Lösungen und Anwendungsbeispiele aus den Bereichen „App Lifecycle“, „Mobile Device Management“, „Mobile Security“ oder „Customer Experience“ gezeigt. Mit „Tealeaf“ könne bereits heute die „Customer Journey“ eines jeden Kunden in Echtzeit nachvollzogen werden. Dabei spiele es keine Rolle, ob der Kunde klassisch mit PC, einem mobilen Device oder einer App auf den Shop zugreift. So könnten beispielsweise Probleme innerhalb einer Transaktion erkannt und schnell sowie kundenfreundlich durch
„Co-Browsing“ gelöst werden.

Mobile-Lösungen für den Mittelstand

Um kleinen und mittelständischen Unternehmen (KMU) den Durchblick im Mobile-Dschungel und den richtigen Einstieg ins Mobile-Zeitalter zu erleichtern, hat das Bundesministerium für Wirtschaft und Energie (BMWi) den Förderschwerpunkt „Mittelstand-Digital“ initiiert. Dieser umfasst das „eKompetenz-Netzwerk“ mit 38 „eBusiness-Lotsen“ sowie die Förderinitiativen „eStandards“ und „Usability“. Auf den „M-Days“ präsentiert das BMWi 68 Aussteller, Projekte und ein zweitägiges Kongressprogramm auf dem „Mittelstand-Digital“-Areal. Unterstützt wird die Aktion durch Staatssekretärin Brigitte Zypries. Sie werde persönlich vor Ort sein – am zweiten Messetag nehme sie außerdem um 15 Uhr am Panel „Sicherheit und Glaubwürdigkeit im Netz“ teil.

Orientierungshilfe: „M-Days Navigator App“

Allen Messebesuchern und -ausstellern soll mit der Navigator-App der Messe Frankfurt eine Informations- und Orientierungsanwendung zur Verfügung gestellt werden. Diese Smartphone-App wurde Ende März 2014 im Rahmen der Fachmesse „Social Media Summits“ in Washington D.C., USA, mit dem „Digital Excellence Award“ ausgezeichnet. Sie biete neben der Aussteller- und Produktsuche einen Newsbereich und einen Gelände- sowie Hallenplan mit einem Überblick über das gesamte Messegelände. Dank GPS könne die eigene Position dargestellt werden. Mit der „My People“-Funktion sei es möglich, ein Netz mit Freunden, Kollegen, Ausstellern und Kunden aufzubauen, mit denen man während der Messe in Kontakt bleiben möchte.

Rahmenprogramm zu den „M-Days“

Die „Mobile-Media-Night“ am Ende des ersten Messetages gilt bereits als eine Institution der „M-Days“. Im „Depot 1899“ in
Frankfurt-Sachsenhausen treffen sich „Mobilistas“ zum Entspannen und Netzwerken.
In diesem Jahr werden die „Best of Mobile Awards“ verliehen. In Kooperation mit dem Verlagshaus Haymarket soll der Preis für die besten Apps, Websites, Services oder Kampagnen vergeben werden, die es ohne Mobile nicht gegeben hätte. Alle Gewinner der einzelnen Kategorien sollen zudem die Möglichkeit erhalten, ihr Projekt auf einem der fünf „Hubs“ vorzustellen.
Auch sollen wieder die besten Apps im Rahmen des „Show your App Award“ ausgezeichnet werden. Die Gewinner-Apps werden von einer Expertenjury und einem Online-Consumer-Voting ermittelt und nehmen ihre Preise auf den „M-Days“ entgegen.
Für das Netzwerken der vernetzten Branche stehen außerdem die Veranstaltungen von MedienMittwoch, BVDW Do Mobile! und das Podium der Frankfurt School of Finance & Management am ersten Tag der „M-Days“.
Parallel zur Fachmesse findet die „Email-Expo“ zeitgleich in fünfter Auflage statt – eine Fachmesse mit Kongress für „Data-Driven-Marketing“. Als etablierter Branchentreff soll deren Kongress gezielt rund um die Themen „Marketing-Automation“, „CRM“, „Leadgenerierung“, „Content-Marketing“ und dessen Nachbardisziplinen informieren.

Weitere Informationen zum Thema:

m-days
13.-14.5.2014, Frankfurt / Willkommen zu den M-Days

[datensicherheit.de, 08.05.2014] Vieles spricht dafür, dass die Bedeutung mobiler Informations- und Kommunikationstechnologie (IKT) gegenüber jener auf Basis von Festnetzen noch wachsen wird. Kurz vor Eröffnung der inzwischen neunten Auflage der „M-Days“, nach eigenem Verständnis „die spezialisierte Fachmesse mit Kongress für das Mobile Business“, sollte unter Datensicherheits-Gesichtspunkten die Thematik kritisch-konstruktiv beleuchtet werden.

Datensicherheit: Vergesst nie die Verfügbarkeit!

Dass sich die Datensicherheit bzw. IT-Sicherheit im Wesentlichen auf die drei Säulen Verfügbarkeit, Integrität und Vertraulichkeit gründet, wird in der aufgeregten Diskussion um Hackerangriffe, Identitätsdiebstahl und Ausforschung häufig zu selektiv thematisiert. Es gilt indes, das Eine zu tun und das Andere nicht zu lassen. Sonst läuft man Gefahr, etwa angesichts der Meldungen über Verletzungen des Datenschutzes und angeheizt durch empörte Meinungsbekundungen in einschlägigen Foren zu fatalistischen Schlüssen zu kommen – etwa derart, dass es besser wäre, gar keine Weiterentwicklung der IKT mitzumachen.
In der Tat: Gäbe es keine Smartphones, gäbe es auch weniger Sicherheitsprobleme – aber eben auch keine Verfügbarkeit von seriösen und nützlichen Apps bzw. Diensten. Gehen wir also nachfolgend aus, dass sich die Verfügbarkeit mobiler IKT, die weit über die reine Telefonie hinausgeht, rasant weiterentwickeln wird.

Lesen bildet und schafft Sicherheit

Auf dem Webportal der Tech-Newmedia GmbH z.B. finden sich aktuelle Meldungen aus den Gebieten „Technik“ und „Shopping“ zu einer Vielzahl von Entwicklungen im Umfeld mobiler IKT, wobei auch Sicherheitsfragen behandelt werden – so wurde in einem Beitrag vom 16. April 2014, „Passwörter mit Bedacht auswählen“, betont, dass Passwörter mindestens acht Zeichen umfassen sollten, sowohl Zahlen als auch Buchstaben (gemischte Groß- und Kleinschreibung) sowie Sonderzeichen.
Wer im Baumarkt eine Bohrmaschine oder Stichsäge ersteht, sollte auch vor Inbetriebnahme die Sicherheitshinweise sorgsam lesen und umsetzen – es liegt letztlich am mündigen Nutzer von Instrumenten und Werkzeugen bzw. IKT-Hard- und -Software, Nutzen zu generieren oder Schaden zuzulassen. Im Falle der IKT gebietet es die rasante Fortentwicklung gerade im mobilen Bereich, sich immer wieder neu zu informieren – über aktuelle Publikationen und auch Informationsveranstaltungen.

Wertschöpfung und Teilhabe

Bei einer Gesamtbetrachtung der Sicherheitsfrage im Kontext mobiler IKT sollte man sich auch vor einer zu engen Betrachtungsweise hüten, denn es gibt große Regionen auf der Erde, so etwa in Afrika, welche noch lange keine verlässliche Infrastruktur an Festnetzen aufweisen werden, die aber über Provider mobiler Dienste Teilhabe an der globalen Kommunikation und Wertschöpfung auch für kleine Gewerbe finden. Wenn wir also in den Straßen und Verkehrsmitteln deutscher Großstädte gelangweilte, fast schon autistisch wirkende (Möchtergern-)Jugendliche mit dubiosen Apps spielen oder fragwürdige Meldungen verschicken sehen, deren „Inhalte“ zuweilen Paul Watzlawicks Axiom „Man kann nicht nicht kommunizieren!“ auf eine harte Probe stellen, so sollten wir eben nicht vergessen, dass es Millionen von Menschen in anderen Gegenden gibt, die über Mobilfunk ihr Leben im 21. Jahrhundert organisieren.
Spielerei (die es auch wohldosiert geben muss) ist nur eine Facette, Wertschöpfung, Autonomie und Teilhabe stehen dagegen für die ernsthaften Seiten mobiler IKT. Es war schon immer in der Menschheitsgeschichte so: Verlagern sich Wertschöpfung und Werte selbst mit Hilfe neuer Medien und Methoden auf eine andere Ebene, so sind Missbrauch, Kriminalität und staatliche Willkür auch nie weit – dass spricht aber nicht gegen das Medium und seine Nutzer, sondern gegen Trittbrettfahrer, Verbrecher und Überwachungswahnsinnige.
Dass wir heute mit großem Nachdruck verstärkt Datensicherheitsfragen im Kontext von Mobilfunk und -diensten diskutieren müssen, ist auch als ein Indiz für den Erfolg mobiler IKT zu sehen. Auch Behinderten, Arbeitslosen oder Älteren kann diese neue Entfaltungsmöglichkeiten und Chancen bieten. Blogs, Webzines oder -portale, kleine Webshops, Newsletter oder E-Mail-Marketing seien hier nur stichwortartig genannt. Egal welche dieser neuen Möglichkeiten zur Kommunikation oder zum Angebot von Waren und Dienstleistungen genutzt werden, bleibt das Streben nach Datensicherheit auf Basis einer hochqualitativen Verfügbarkeit (Funktionalität und Zuverlässigkeit) nebst Integrität (Schutz vor Verfälschung bzw. Zerstörung) und Vertraulichkeit (Schutz der Privatsphäre) eine ständige Aufgabe für uns alle.

[datensicherheit.de, 20.08.2012] Während der kanadische Blackberry-Hersteller RIM in jüngster Vergangenheit meist mit schlechten Nachrichten aufwarten muss, gibt es zumindest bei der Sicherheit der Smartphones Positives zu berichten: „BlackBerry 7.0“ ist das mit Abstand sicherste Betriebssystem (2,89 Punkte), gefolgt von „Apple iOS5“ (1,7) und „Windows Phone 7.5“(1,61). Erst auf dem vierten und letzten Platz folgt „Android 2.3“ (1,29) –der Marktführer ist auch bei Cyberkriminellen klare Nummer Eins. Das zeigt eine Studie der Analystenhäuser Altimeter Group, Enterprise Mobility Foundation und Bloor Research in Zusammenarbeit mit Trend Micro, die angesichts der immer zahlreicher werdenden Sicherheitsvorfälle die Sicherheit der vier führenden Plattformen unter die Lupe genommen hat. Untersucht wurden unter anderem integrierte Sicherheitsfunktionen, mobiles Gerätemanagement, Authentifizierung, Firewall und Virtualisierung.
Am sichersten ist der Untersuchung zufolge die BlackBerry-Plattform mit ihren auf Unternehmensanforderungen ausgelegten Sicherheits- und Verwaltungsfunktionen. Dies ist bei den unterschiedlichen Richtlinien für unterschiedliche Benutzerrollen von Vorteil, wenn beispielsweise leitenden Angestellten andere Rechte zugewiesen werden als externen Mitarbeitern. Allerdings gibt es eine Einschränkung im Hinblick auf Funktionen und Schutzvorkehrungen: Solche Vorkehrungen, die im Normalfall aktiviert sind oder sich über den „BlackBerry Enterprise Server (BES)“ aktivieren lassen, greifen nicht, wenn die Benutzer mithilfe von „BlackBerry Internet Services (BIS)“ selbst Änderungen vornehmen. Wenn das Gerät nicht über BES bereitgestellt wird, werden einige der stärksten Schutzvorkehrungen ausgehebelt, beispielsweise das Entfernen des Passwortschutzes.
Mit deutlichem Abstand folgt Apple iOS. Hier ist die Bedrohungslage geringer, weil es sich um ein geschlossenes „Ökosystem“ handelt, bei dem Apple die Kontrolle über Hardware, Software und Apple-Store hat und die Anwendungen filtert, bevor diese für die Allgemeinheit verfügbar sind. Die Plattform bietet von Haus aus viel Schutz, weil die Anwendungen in einer so genannten „Sandbox“ in ihren eigenen Speicherumgebungen ausgeführt werden; das macht es schadhaften Anwendungen sehr schwer, nach Informationen zu spionieren und andere Anwendungen zu beeinflussen. Während bei BlackBerry die IT-Verantwortlichen vollständige Kontrolle über das Endgerät haben, können sie bei iOS-Geräten nur Einstellungen vornehmen, wenn die Benutzer auch die Erlaubnis dazu erteilt haben.

Unterschiedliche Ansätze

Microsoft hat aus den Fehlern der Vergangenheit gelernt und mit Windows Phone ein relativ robustes und sicheres Betriebssystem für Smartphones entwickelt, so das Ergebnis der Studie. Zwar ist die aktuelle Version noch nicht lange genug auf dem Markt, um sich im Unternehmensumfeld durchgesetzt zu haben, aber es lassen sich doch einige gesichert Erkenntnisse aufzeigen: Ähnlich wie bei Android erstellt das Betriebssystem mithilfe von Privilegien und Isolationstechniken Sandbox-Prozesse. Diese bei Windows „Kammern“ genannten Prozesse basieren auf einem Richtliniensystem, das im Gegenzug festlegt, auf welche Systemfunktionen die Prozesse innerhalb einer solchen Kammer zugreifen können.
Bei Android werden die meisten Geräte noch mit Version 2.x und nicht der aktuellen Version 4 ausgeliefert. Es gibt daher keine zentrale Möglichkeit, Betriebssystem-Updates bereitzustellen – so dass viele Benutzer für eine unnötig lange Zeit ohne entsprechenden Schutz auskommen müssen. Demgegenüber stehen Vorteile wie die Tatsache, dass Anwendungen auf das Netzwerk nicht ohne vorherige Zustimmung durch die Benutzer zugreifen können. Doch weil die Benutzer die entsprechende Berechtigung erteilen, ohne die Einzelheiten genau zu studieren, bleibt oft unklar, was die einzelnen Apps genau tun.
Nigel Stanley, Practice Leader Security bei Bloor Research, ist einer der Autoren der Studie. Er sagt: „Viele Sicherheits-Experten, mit denen ich zu tun habe, äußern noch immer große Bedenken, wenn es um den Einsatz privater mobiler Endgeräte im Unternehmen geht, der ja auch noch immer zunimmt. Neben den technischen Herausforderungen stehen Unternehmen vor einem weiteren Problem: Sie müssen erkennen, dass eine durchdachte Sicherheitspolitik sowie Benutzerschulungen unerlässlich sind.”
Raimund Genes, Chief Technical Officer bei Trend Micro und ebenfalls einer der Autoren, ergänzt: „Gerade angesichts des weiter anhaltenden BYOD-Trends muss man festhalten: Jedes mobile Endgerät stellt aus Unternehmenssicht ein potentielles Sicherheitsrisiko dar. Die Studie hat in diesem Zusammenhang einige interessante Ergebnisse zutage gefördert. So haben sich einige mobile Plattformen bei ihrer Weiterentwicklung deutlich sichtbar an Unternehmensanforderungen orientiert, während andere noch immer deutliche Spuren eines endkundenorientierten Ansatzes aufweisen. Die mobilen Plattformen sind also noch nicht in jeder Hinsicht reif für den Unternehmenseinsatz.“