Die Einschläge rücken näher – mobile Geräte im Fokus

Smartphones sind Teil des täglichen Lebens, in jedem Fall privat und häufig auch beruflich. Doch während viele Anwender für ihren stationären PC oder Laptop ganz selbstverständlich grundlegende Schutzmaßnahmen einsetzen, sieht es beim mobilen Begleiter deutlich schlechter aus. Eine Studie von Consumerreports.org zeigte 2014, dass ein Drittel aller amerikanischen Smartphones keine einzige Sicherheitsmaßnahme aufwies, weder PIN-Code, noch Anti-Virus Software geschweige denn Verschlüsselung. Das mag bei beruflich genutzten und vom Unternehmen verwalteten Geräten anders aussehen, doch viele Anwender verwenden ihr persönliches mobiles Endgerät zumindest zum Teil auch für berufliche Zwecke. Dann sind Links, Dateien, Fotos, Kontakte und andere Firmeninterna auch im ungeschützten Speicher des privaten Smartphones zu finden. Leichte Beute für einen Dieb oder digitalen Angreifer.

Kein Wunder, dass jüngst auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Verbraucher vor immer mehr Hackangriffen auf Smartphones, Tablets und Laptops warnte. Die Geräte seien oft nur unzureichend geschützt und „werden so zur leichten Beute für Cyberkriminelle“, so BSI-Präsident Arne Schönbohm. Das BSI entdeckt Schönbohm zufolge im Schnitt jeden Tag drei kritische Schwachstellen in den meistverbreiteten Softwareprodukten. Für das Smartphone-Betriebssystem Android existierten inzwischen allein mehr als 15 Millionen Schadprogramme. Eine starke Zunahme gibt es laut BSI auch bei der Verbreitung von Spam-Nachrichten mit infizierten Dateianhängen.

Angreifer denken und handeln ökonomisch. Wenn Rechner im Firmen-LAN zu gut geschützt sind, gehen sie eben weichere Ziele an. Ein Smartphone ohne Schutzmaßnahmen kann genau die Informationen enthalten, die eine Spear-Phishing Attacke zum Erfolg machen. Spear-Phishing wird oft im Zusammenhang mit CEO-Fraud verwendet, zurzeit ein echter Trend bei gezielten Angriffen. Dabei wird Mitarbeitern vorgespielt, E-Mails oder Anrufe würden von einem hochrangigen Vorgesetzten kommen, der nun dringend eine Überweisung oder Dokumente benötigt. Eine Studie von Cybersecurity-Hersteller Proofpoint ergab, dass Angriffe auf Basis von CEO-Betrug im drei-Monatsvergleich Juli – September 2016 und Oktober – Dezember 2016 um 45 Prozent zugelegt haben. Dabei wurden Unternehmen aller Größen angegriffen, besonders aus den Bereichen Fertigung, Einzelhandel und der Technologiesektor. Damit die Empfänger auf die Anfragen hereinfallen, müssen die Angreifer über umfangreiche und eigentlich nicht öffentlich verfügbare Firmeninterna verfügen. Nicht unbedingt harte Fakten, aber E-Mail-Verläufe, Zuständigkeiten in Projekten, Verweise auf vorhandene Dokumente und ähnliches. Also genau die Art von Daten, die auch ein Smartphone enthält, wenn es auch nur zum Teil beruflich genutzt wird.

Berufliche Informationen auf mobilen Endgeräten müssen geschützt werden, egal ob das Gerät nun komplett oder nur zum Teil in der Firma zum Einsatz kommt. Das kann beispielsweise über digitale Container geschehen, die sensible Daten wie ein virtueller Safe innerhalb des Smartphones wegschließen und die Informationen dann freigeben, wenn eine geschützte Verbindung mit dem Firmennetz besteht. Dass diese Verbindung über ein Virtual Private Network (VPN) läuft und mit Zwei-Faktor-Authentifizierung abgesichert ist, versteht sich von selbst. Aber auch die Standard-IT-Sicherheitsmaßnahmen dürfen nicht vernachlässigt werden, nur weil das Endgerät unter Android oder iOS läuft. Backup, Anti-Virus-Software und Spamfilter sorgen für das Sicherheits-Grundrauschen und verhindern viele unnötige Vorfälle.