Enterprise Mobility und Sicherheit
Büro mit Aussicht – und Einsicht?
Ein Angriff auf die Mobile Devices schadet nicht nur dem Unternehmensimage, sondern kann auch zu hohen wirtschaftlichen Verlusten führen. Es gilt daher, das Handling von Informationen und Daten im Mobile Office vor unberechtigtem Zugriff abzuschotten und eine sichere mobile Umgebung zu schaffen.
Im Café, im Zug oder Flugzeug, im Urlaub oder auf dem heimischen Balkon: Mobiles Arbeiten ist dank Smartphone, Tablet und Co. für viele Berufstätige mittlerweile Alltag. Wie kleine mobile Büros ermöglichen die handlichen Alleskönner die Bearbeitung und Abstimmung von Dokumenten, die Organisation und Durchführung von Meetings, den Austausch mit Kunden und Geschäftspartnern. Die mobile Zugriffsmöglichkeit auf das Unternehmensnetzwerk und damit auf sensible Daten macht die smarten Endgeräte zu einem interessanten Angriffsziel. Laut einer aktuellen Bitkom-Studie wurden bei rund einem Drittel der befragten Unternehmen in den vergangenen zwei Jahren IT- oder Telekommunikationsgeräte gestohlen, bei knapp einem Viertel sind sensible digitale Daten abgeflossen.
Vielfältige Angriffspunkte auf mobilen Geräten
Vor den Sicherheitsgefahren beim mobilen Arbeiten ist kaum jemand geschützt: Die Verbreitung von Schadsoftware nimmt rasant zu und der Verlust sowie Diebstahl mobiler Endgeräte stellt für viele Unternehmen ein großes Problem dar. Ebenso ist das Risiko von Datenverlust im Mobile Office allgegenwärtig: Im klassischen Büro – und selbst im Home-Office – legen Mit-arbeiter und Führungskräfte ihre Daten in der Regel zentral auf dem gesicherten Unternehmensserver ab. Im Mobile Office ist das aufgrund schlechter oder fehlender Internetverbindung oft nicht möglich, weshalb die Daten lokal auf dem Mobilgerät zwischengespeichert werden. Ein Ausfall des Geräts – sei es durch fehlerhafte Synchronisierung, schwachen Akku oder (Transport-)Schäden – führt zum unwiderruflichen Verlust der Daten. Mobile Devices, die nicht ausreichend abgesichert sind, bieten daher eine große Angriffsfläche für Kriminelle. Der Zugriff auf unternehmenskritische Daten wird für sie denkbar einfach. In Unternehmen sind die folgenden drei Einfallstore besonders häufig zu erkennen:
1) Apps
Haben Benutzer weitreichende Zugriffsrechte auf dem Mobilgerät oder fehlen unternehmensinterne Mobility Guidelines, besteht die Gefahr, dass sie unbeabsichtigt unsichere Apps installieren. Diese sind vorgeblich kostenlos oder werbefrei – tatsächlich aber besteht der Business Case der Entwickler im Abgreifen von Daten. „Sideloaded Apps“ (Apps, die nicht aus den offiziellen App Stores kommen) bergen dabei ein besonders hohes Risiko. Unternehmen, die Messenger-Dienste wie WhatsApp für die berufliche Kommunikation nutzen, riskieren zudem einen Verstoß gegen DSGVO-Vorgaben. Häufig erfüllen solche Dienste beispielsweise nicht das Auskunftsrecht der betroffenen Person und das Recht auf Löschen der Daten. Gerade bei außereuropäischen Messenger-Diensten ist oft nicht bekannt, wo genau die Daten liegen.
2) WLAN
Laut einer Umfrage des Unternehmens Lookout sind acht von 1.000 mobilen Geräten von sogenannten Man-in-the-Middle- Angriffen (MITM) betroffen. Nutzer, die sich in ein öffentliches oder fremdes WLAN – beispielsweise am Flughafen oder im Café – einloggen, öffnen die Türen für diese Art von Angriffen. Über eine Sicherheitslücke im Router oder über einen Hotspot, der eigens für kriminelle Absichten eingerichtet wurde, verfolgt der Angreifer jegliche Kommunikation zwischen dem Anwender und dem Router. Besonders tückisch: Hat der Nutzer die WLAN-Funktion auf seinem Mobilgerät aktiviert, sucht es automatisch nach Netzen in der Umgebung und stellt – je nach Geräteeinstellung – ohne Zutun des Nutzers eine Verbindung her.
3) Web und Content
In den vergangenen Jahren haben Phishing-Angriffe in Deutschland enorm zugenommen. Über gefälschte Websites sowie über E-Mail, SMS, WhatsApp, Facebook und Co. verbreitete Links verschaffen sich Angreifer Zugriff auf sensible Daten. Ein bekanntes Beispiel ist der Pegasus-Trojaner, der Smartphones mit iOS-Betriebssystem ins Visier nahm und 2016 entdeckt wurde. Nach Anklicken eines Links führte die Spyware über Schwachstellen einen versteckten Jailbreak aus. Das Schadprogramm konnte so unter anderem Nachrichten und E-Mails mitlesen, Anrufe verfolgen, Passwörter abgreifen, Tonaufnahmen machen und den Aufenthaltsort des Nutzers feststellen.
- Büro mit Aussicht – und Einsicht?
- Mobiles Arbeiten zuverlässig verwalten
Lesen Sie mehr zum Thema
