Die 5 größten Gefahren für Mobile Security (Update)

Mobile Security Gefahren auch 2022 noch ein Thema

Was damals galt, gilt noch heute: Die aktuellen Gefahren gehen weit über Mobile Malware hinaus. Welche 5 großen Sicherheitsbedrohungen sollten Unternehmen und Anwender aktuell besonders ernst nehmen und schnell in den Griff bekommen?

Mobile Gefahren sind Alltag in der Arbeitswelt

Die Frage der IT-Sicherheit erstreckt sich längst nicht mehr nur auf Server, Desktops und Notebooks. Die aktuell am schwächsten und nachlässigsten geschützte Infrastruktur stellt die Mobilgeräteflotte mit Smartphones und Tablets dar – und dies unabhängig von Hardware- oder Betriebssystemherstellern, Nutzungskonzepten und bestehenden Security-Policies.

Nahezu jeder Mitarbeiter eines modernen Unternehmens greift heutzutage regelmäßig über sein Smartphone oder Tablet auf sensible Unternehmensdaten zu. Diese Daten strukturiert und nachhaltig zu schützen wird zunehmend zu einer komplizierten und hochkomplexen Herausforderung. Die Zahlen sprechen eine sehr klare Sprache: Laut einer 2018er Studie des Ponemon Instituts belaufen sich die durchschnittlichen Kosten für ein firmenweites Datenleck auf eine besorgniserregende Summe von mehr als 3,3 Mio. €, Tendenz klar steigend.

Wer nun glaubt, sich zur Eindämmung des Problems lediglich auf prominente Anti-Malware Maßnahmen beschränken zu können, der liegt klar daneben, denn Malware-Attacken kommen verhältnismäßig selten bis gar nicht vor. Sie werden teilweise schon von den Betriebssystemherstellern unterbunden. Doch welche Gefahren lauern in der Realität? Wir zeigen Ihnen die 5 größten Bedrohungen für Mobilgeräte, die sie unbedingt im Blick behalten und weitestgehend ausschließen sollten. Die folgenden aktuellen Gefahren lauern allesamt in Bereichen, die schnell übersehen werden und die dadurch zu immer wichtigeren und schützenswerten Infrastrukturen werden:

1. Datenverlust

Sämtliche Experten sind sich einig, dass die größte Gefahr für die Enterprise Security aktuell vom Verlust der Daten auf den Mobilgeräten ausgeht. Im Gegensatz zu der in der Praxis fast nichtexistenten Gefahr durch Malware stehen rund 28% der Unternehmen, also rund jedes vierte Unternehmen, in den kommenden zwei Jahren vor einem ernsthaften Datenverlust-Vorfall. Diese Fälle werden in erster Linie vom Zustand begünstigt, dass die Anwender falsche Entscheidungen bei der Auswahl ihrer Apps treffen. Ohne ein fundiertes Wissen über das Verhalten der Apps installieren Anwender mobile Anwendungen, die sich Zugriff auf ihre Daten verschaffen und diese übertragen.

Gelangen unsichere Apps auf die Geräte, besteht ein enorm hohes Risiko des Datenverlustes. App Risk Management Systeme wie APPVISORY prüfen sämtliche öffentlich verfügbaren wie auch Inhouse-Apps auf fragwürdiges Verhalten und machen ihren Einsatz unumgänglich. Im Zusammenspiel mit Mobile Device Management Systemen wie MobileIron können entsprechende Abläufe und Regeln standardisiert und das Blockieren von problematischen Anwendungen automatisiert werden. In diesem Zusammenhang besteht die größte Herausforderung darin, ein App-Freigabe-System einzuführen, dass zum einen die IT-Administratoren nicht überlastet und zum Anderen von den Endbenutzern akzeptiert wird. Insbesondere für die Anwender muss ein Nutzungserlebnis sichergestellt werden, dass sie aus ihrer privaten Nutzung gewohnt sind.

Weitere Probleme entstehen durch offensichtliche Benutzerfehler wie das Übertragen von Unternehmensdaten auf unsichere Public Cloud Speicherdienste, das Einfügen vertraulicher Informationen an falsche Stellen oder das unbeabsichtigte Weiterleiten vertraulicher E-Mails. Das versehentliche Offenlegen sensibler Daten zählt weiterhin zu einer der Hauptursachen für Datenlecks. Vor solchen Gefahren können sich Unternehmen mit speziellen Data Loss Prevention Tools (DLP) von Herstellern wie Symantec, McAfee oder Checkpoint schützen oder von vornherein nur vertrauenswürdigen Applikationen den Zugriff auf sensible Daten ermöglichen.

2. Social Engineering

Wie auch im Desktop-Bereich werden Mobilgeräte zunehmend zur Zielscheibe für Social Engineering Attacken. Das gefährliche an dieser Bedrohung ist der Umstand, dass es zu einfach erscheint, diese Gefahrenquellen auszuschließen. Ein 2018er Report der Security-Spezialisten von FireEye hat ergeben, dass 91% aller Cybercrime-Attacken mit einer E-Mail beginnen. Sie bringen Menschen schon ohne Einsatz von Malware über das Imitieren einer echten Person dazu, auf gefährliche Links zu klicken oder sensible Daten wie Bankverbindungen oder Kreditkartendaten preiszugeben.

Das sogenannte Phishing nimmt weiterhin rasant zu und mobile Nutzer sind dabei das attraktivste Ziel, weil mobile E-Mail Clients oft die Absender vereinfacht darstellen und die Anwender bei ihrer Nutzung oft in einer hektischen Umgebung und damit abgelenkt sind. Laut einer aktuellen IBM Studie sind mobile Nutzer im Vergleich zu Desktop-Nutzern dreimal so häufig bereit auf eine Phishing-Attacke hereinzufallen. Begünstigt wird diese Zahl zudem von der Tatsache, dass die Nachrichten in der Regel als erstes auf dem Mobilgerät wahrgenommen werden. Auch wenn statistisch nur ein kleiner Teil der Anwender auf Social Engineering hereinfällt, so sind diese Personen in aller Regel Wiederholungstäter.

Weiterhin wird die Gefahr durch Social Engineering dadurch begünstigt, dass zunehmend BYOD-Konzepte in Unternehmen realisiert werden. Die Anwender fühlen sich dadurch sicherer und heimischer auf ihren Geräten und die Grenzen zwischen privater und geschäftlicher Nutzung verschwimmen immer weiter. Es gibt mittlerweile diverse Unternehmen und Lösungen am Markt, die Trainingsmethoden und Simulationen für Unternehmen anbieten, um ihre Angestellten auf Phishing-Versuche vorzubereiten und zu sensibilisieren.

3. Unsichere Wi-Fi Netzwerke

Ein Mobilgerät ist am Ende nur so sicher, wie das Netzwerk, über das es kommuniziert. Im heutigen Berufsalltag wie auch privat ist es zur Normalität geworden, uns mit öffentlichen WLAN-Netzwerken zu verbinden. Dies führt dazu, dass unsere Informationen längst nicht immer so sicher sind, wie sie scheinen. Die Frage, die sich stellt ist somit, wie relevant und verbreitet ist dieses Szenario.

Eine aktuelle Untersuchung des Security-Unternehmens Wandera hat ergeben, dass Mobilgeräte dreimal so viele Daten über WLAN-Netze als über die Mobilfunkverbindung senden und empfangen. In derselben Untersuchung kam heraus, dass jedes vierte Gerät sich mit öffentlichen und damit potenziell gefährlichen WLANs verbindet. Gut die Hälfte aller Menschen gibt zu, sich um die Sicherheit ihrer Verbindung und damit ihrer Daten nicht zu sorgen. Bei insgesamt 4% aller Geräte wurden in den letzten 4 Wochen Man-In-The-Middle Attacken erkannt, über die sich jemand Externes ungefragt Zugriff auf die Kommunikation des Geräts verschafft hat.

Geht man aktuell von ca. 100 Millionen Mobilgeräten (Smartphones und Tablets) in Deutschland aus, würde sich allein die Zahl der Man-In-The-Middle-Attacken im aktuellen Monat auf mehr als 4 Millionen belaufen. Gleichzeitig unterstreicht der Security-Spezialist McAfee, dass die oben beschriebene Netzwerk-Piraterie drastisch zugenommen hat.

Als Lösung für diese Problematik sollten Nutzer darauf achten, sich nicht wahllos in öffentliche WLAN-Netze einzuwählen, insbesondere wenn sich auf Ihrem Mobilgerät sensible Firmendaten befinden. Die Nutzung von Unternehmens-VPNs hilft zudem, öffentliche WLANs zu umgehen. Hier muss jedoch auch die Technologieseite schnellstmöglich nachziehen. Smartere VPNs, die einen komfortableren Zugang für Mobilgeräte ermöglichen und gleichzeitig ressourcensparender und zielgerichteter arbeiten, z.B. intelligent entscheiden, bei welchen Verbindungen ein VPN überhaupt notwendig ist, sind das Ziel. So sollten sie beispielsweise beim Aufruf von Newsseiten oder der Nutzung nachweislich sicherer Apps die Einwahl umgehen können. Zeitgleich müssen die Betriebssystemhersteller aktuelle Sicherheitslücken schließen, die trotz vorhandener VPN-Verbindung einen Teil der Kommunikation unbeabsichtigt am VPN vorbeileiten.

4. Schwache Passwörter

Man sollte meinen, dass sich die Notwendigkeit von sicheren Passwörtern herumgesprochen hat. Aktuelle Studien haben jedoch eindrucksvoll bewiesen, dass die Mehrheit der Anwender ihre Accounts weiterhin nicht ausreichend schützt und dieselben Passwörter für mehrere Dienste nutzt. Besonders kritisch wird es dann, wenn auf einem Gerät sowohl Firmen-Accounts als auch Privat-Accounts genutzt werden.

Die Lösung scheint vergleichbar simpel zu sein: Mithilfe von Passwort-Manager Apps wie z.B. MiniKeePass lassen sich sichere Passwörter sehr komfortabel erstellen, speichern und organisieren. Doch trotz des umfangreichen Angebots in den App-Stores nutzen bisher weniger als ein Viertel der Menschen solche elementaren Hilfsmittel. Zusätzlich dient die Zweifaktor-Authentifizierung, die mittlerweile Standard sein sollte, der Sicherheit kritischer Accounts und Daten. Doch auch sie wird von mehr als einem Drittel der Anwender ignoriert oder ist nicht bekannt. Somit ist davon auszugehen, dass ein Großteil der Nutzer von Mobilgeräten keine sicheren Passwörter verwendet.

Eine Analyse der Experten von LastPass Analysis aus 2018 hat ergeben, dass selbst die Hälfte aller professionellen Anwender dasselbe Passwort für Geschäfts- und Privat-Accounts nutzt. Warum das Thema „Passwortsicherheit“ auch in 2019 noch ganz oben in den Gefährdungslisten aufgeführt wird, liegt daran, dass schwache oder verlorene Passwörter für rund 80% der mit Hacking im Zusammenhang stehenden Datenverluste in Unternehmen verantwortlich sind, wie eine Untersuchung von Verizon Found kürzlich ergab. Insbesondere auf Mobilgeräten, wo die Nutzer dazu neigen, sich schnell und unkompliziert in diverse Apps, Websites und Services einzuloggen, besteht hier weiterhin ein massives Risiko und Einfallstor. Die Kombination mit der zuvor genannten Gefahr unsicherer WLAN-Netze verschärft die Situation um ein Vielfaches.

5. Veraltete und verlorene Devices

Insbesondere in der Android-Umgebung sind veraltete Geräte ein signifikantes Risiko. Smartphones, Tablets und auch IoT-Devices stellen zunehmend ein Problem für die Enterprise Security dar, weil sie in der Regel keine oder zumindest nicht mehr ausreichende Software- und Sicherheits-Updates bekommen. Fehlende Patch-Mechanismen sind hierbei ein ernstzunehmendes Problem. Abgesehen von der steigenden Wahrscheinlichkeit eines Angriffs erhöht der umfangreiche Einsatz von Mobilgeräten die Gesamtkosten eines Datenverstoßes. Die Fülle an vernetzten IoT-Produkten erhöht das besagte Risiko noch. Eine Studie der Cybersecurity-Firma Raytheon ergab kürzlich, dass 82% der IT-Experten davon ausgehen, dass IoT-Geräte zu massiven Datenverlusten führen werden.

Auch hier ist die Lösung, ein nachhaltiges und langfristig angelegtes Sicherheitskonzept zu entwickeln und zu etablieren, das einen zu starken Gerätewildwuchs im eigenen Unternehmen unterbindet. Die Auswahl der Geräte spielt dabei eine immer wichtigere Rolle.

Auch der Verlust von Hardware stellt ein ernstzunehmendes Risiko dar, insbesondere wenn die Geräte mit schwachen PINs oder Passwörtern geschützt sind und keine vollständige Verschlüsselung der Daten nutzen. Eine Ponemon Studie aus 2016 hat ergeben, dass gut ein Drittel der professionellen Anwender angab, keine vorgeschriebenen Maßnahmen zum Schutz der Unternehmensdaten auf seinem Gerät erhalten zu haben. In derselben Studie kam zum Vorschein, dass mehr als die Hälfte der Anwender keinen Passwortschutz, PIN oder biometrische Sicherheitsmaßnahmen auf ihren Geräten aktiviert haben. Zwei Drittel gaben sogar an, keine Verschlüsselung zu benutzen.

Was Unternehmen gegen mobile Gefahren tun können

An diesem letzten Punkt wird besonders deutlich, was für alle vorherigen Gefahren ebenso gilt. Es reicht seitens des Unternehmens längst nicht mehr aus, sich auf die Sensibilität und das Verantwortungsbewusstsein seiner Anwender zu verlassen. Es führt schon lange kein Weg mehr an der Kombination aus Policies, smarten Softwarelösungen als Hilfestellung sowie der Sensibilisierung der Anwender vorbei, um das Herz eines jeden modernen Unternehmens zu sichern: die eigenen Daten.