Mobile Endgeräte im Unternehmen im Visier von Kriminellen

Auf der Suche nach Schwachstellen in der Unternehmens-IT haben die Kriminelle die Mobilgeräte und dabei vor allem die Smartphones und Tablets entdeckt. Sie nutzen dabei aus, dass die Firmen ihre Daten und Geschäftsprozesse zunehmend auch mobilen Anwendern zur Verfügung stellen. Apps für Android und iOS gewähren direkten Zugriff auf Cloud-Anwendungen wie Datenbanken oder CRM-Systeme oder greifen direkt auf Datenbestände bei Cloud-Diensten zu.

Das Tückische daran ist, dass die Mobilgeräte in vielen Fällen von den Sicherheitsmechanismen der Unternehmen nicht erfasst werden. Immer noch wird im Zuge einer Bring-Your-Own-Device-Strategie den Mitarbeitern die Nutzung privater Hardware im Unternehmen erlaubt. Doch auch bei Geräten, die vom Arbeitgeber gestellt werden, besteht das Risiko, dass sie von den Benutzern manipuliert werden. Anschließend entsprechen sie oft nicht mehr den betrieblichen oder gesetzlichen Vorgaben, etwa weil die Benutzer per Jailbreak oder Geräte-Root die Firmware verändern und damit Sicherheitsmechanismen aushebeln oder durch die Installation und Nutzung von Consumer-Diensten wie Dropbox Unternehmensdaten nach außen geben. Zugleich wächst die Gefahr, dass sich die Mitarbeiter mit der Einrichtung infizierter Apps unbemerkt eine Malware einfangen.

Dass diese Gefahr größer ist als oftmals angenommen, zeigen einige Zahlen aus den vergangenen Monaten. So ergab eine Untersuchung von MobileIron, dass in jedem zehnten Unternehmen mindestens ein gefährdetes Gerät existiert. Und in rund 53 Prozent der Firmen verletzt mindestens ein Device die Sicherheitsrichtlinien. Der Sicherheitsspezialist Appthority wiederum entdeckte bei seinen Kunden insgesamt 476 iOS-Apps, die mit XcodeGhost infiziert waren, einer Malware, die Geräteinformationen sammelt und sie verschlüsselt auf Server von Kriminellen hochlädt. Die Firma schätzt, dass ab einem Bestand von 100 iOS-Geräten in einer Firma wenigstens eins davon infiziert ist.

Es mag nach Binsenweisheit klingen – ist aber offenbar noch nicht überall durchgedrungen: Mobilgeräte wie Smartphones müssen genauso in das Sicherheitskonzept eines Unternehmens einbezogen werden wie Server, Desktop-PCs oder Notebooks. Auch für sie sind Sicherheitslösungen verfügbar, welche die Installation von Apps und den Zugriff auf Betriebssystemfunktionen beschränken. Zudem steht mittlerweile eine große Auswahl von Antiviren-Programmen bereit. Die Werkzeuge sind also vorhanden, es geht lediglich darum, dass die IT-Abteilungen sie im mobilen Umfeld genauso konsequent anwenden wie innerhalb des Unternehmens.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Der ganze Artikel: Mobile Endgeräte im Unternehmen im Visier von Kriminellen