Tipps gegen die fünf größten Bedrohungen der mobilen Sicherheit
15. Oktober 2019Mobile Geräte haben sich in den letzten Jahren zu zentralen Zielen für Cyber-Kriminalität und Cyber-Sicherheitsbedrohungen entwickelt. Unternehmen arbeiten daran, die „Mobilerweiterung des Unternehmensnetzwerks“ effektiv zu schützen. Doch die Endgeräte beherbergen oft eine Mischung aus geschäftlichen und persönlichen Daten.
Einige der größten mobilen Sicherheitsbedrohungen, mit denen Unternehmen sich derzeit konfrontiert sehen, sind nach Erfahrung von Experten:
- Phishing-Bedrohungen: In der Vergangenheit wurden Phishing-Angriffe weitgehend per E-Mail durchgeführt. Heute geschieht dies hauptsächlich über mobile Kanäle wie SMS, Facebook Messenger, WhatsApp und gefälschte Websites, die legitim aussehen, einschließlich solcher, die sogar mit der sicheren HTTPS-Erweiterung beginnen. Spear-Phishing ist auch eine zunehmende Bedrohung, da Hacker bestimmte Mitarbeiter über mobile Geräte gezielt ansprechen, um Zugang zu sensiblen Daten zu erhalten.
- Mobile Malware: Jede Website, die besucht oder verlinkt wird, hat das Potenzial, mobile Geräte mit Malware wie Spyware, Ransomware, Trojaner-Viren, Adware etc. zu infizieren.
- Gefährliche offene WLAN-Netzwerke: Viele mobile Mitarbeiter nutzen heute öffentliche WLAN-Netzwerke in Cafés, Flughäfen, Restaurants und anderen Orten, wenn sie außerhalb des Büros unterwegs sind. Da sich die meisten Cyber-Kriminellen dessen bewusst sind, versuchen sie, mobile Nutzer dazu zu bringen, sich mit gefälschten WLAN-Netzwerken zu verbinden und so Daten zu kompromittieren. Schlimmer noch, selbst wenn ein Unternehmen über eine Richtlinie gegen die Nutzung öffentlicher WLAN-Netzwerke verfügt, geben 81 Prozent der Mitarbeiter zu, dass sie diese trotzdem noch nutzen, wie iPass in einer Studie herausfand.
- Schädliche Anwendungen: Die Welt ist voll von Softwareanwendungen, die entweder über das Internet genutzt oder von Websites, dem Apple App Store oder Google Play heruntergeladen werden können. Viele dieser Apps sind legitim und sicher zu verwenden, aber es gibt auch Tausende, die es nicht sind. Das Herunterladen einer App oder die Erteilung einer App-Berechtigung für den Zugriff auf Funktionen auf einem mobilen Gerät kann daher das Unternehmen des Benutzers einer Vielzahl von Sicherheits- und Datenschutzrisiken aussetzen. Einige Apps sammeln sogar Daten, ohne den Benutzer um Erlaubnis zu bitten.
- Datenlecks: Datenlecks treten bei jeder unbefugten oder unbeabsichtigten Übertragung von Daten aus einem Unternehmen an eine externe Partei oder ein externes Ziel auf. Derartige Datenlecks können zurückgehen auf eine Person innerhalb des Unternehmens, die versehentlich vertrauliche oder sensible Daten in eine Public Cloud überträgt, anstatt in die Private Cloud. Es könnte aber auch ein externer Angreifer oder ein verärgerter Mitarbeiter dahinterstecken, der die Daten des Unternehmens absichtlich stiehlt. Mobile Endgeräte, die oft eine Mischung aus geschäftlichen und persönlichen Daten enthalten, machen es noch einfacher, die Grenzen zwischen Geschäftlichen und Privatem versehentlich oder gezielt zu verwischen.
Auch wenn diese Bedrohungen real sind und täglich weiter zunehmen, verfügen die meisten Unternehmen nach Angaben von Palo Alto Networks immer noch nicht über eine robuste Sicherheitslösung zum Schutz und zur Verteidigung ihres Netzwerks und ihrer mobilen Benutzer.
Empfohlene Aktionen
Um die Herausforderungen der mobilen Sicherheitsbedrohungen zu bewältigen, müssen Unternehmen ihre Hausaufgaben machen. Dazu zählen die folgenden proaktiven Maßnahmen zum Schutz mobiler Geräte und Benutzer:
- Stellen Sie sicher, dass Ihr Unternehmen IT-Mitarbeiter beschäftigt, die sowohl über die erforderlichen Kenntnisse zur Mobiltechnologie als auch Sicherheitskenntnisse verfügen.
- Unterstützen Sie die Mitarbeiter bei der Aktualisierung mobiler Betriebssysteme und Sicherheitspatches.
- Fügen Sie mobilen Geräten Antivirensoftware und Data Loss Prevention (DLP)-Tools hinzu.
- Bieten Sie Ihren Mitarbeitern bessere und einfachere Arbeitsmöglichkeiten, damit sie sich nicht mit unsicheren öffentlichen WLANs verbinden, z.B. durch Alternativen zu Virtual Private Networks (VPN).
- Bitten Sie die Mitarbeiter, die App-Berechtigungen sorgfältig zu überprüfen, bevor sie ihnen Zugriff gewähren, und löschen Sie Anwendungen oder deaktivieren Sie Berechtigungen, die als hohes Risiko angesehen werden können oder missbraucht werden könnten.
- Ermutigen oder fordern Sie Ihre Mitarbeiter auf, MFA-Tools (Multi-Factor Authentication) zu verwenden, wenn sie sich über ihre mobilen und persönlichen Geräte mit dem Unternehmensnetzwerk verbinden.
- Bleiben Sie auf dem Laufenden über die sich ständig ändernde Landschaft der mobilen Sicherheitsbedrohungen.
- Erwägen Sie, ein Sensibilisierungsprogramm zu etablieren, um die Sicherheit in den Vordergrund des Handelns der Mitarbeiter zu rücken. Die Mitarbeiter sollten sich der Sicherheitsbedrohungen bei der Nutzung ihrer mobilen Geräte bewusst werden. Arbeitgeber wiederum sollten bewährte Verfahren für den Schutz sensibler Daten bereitstellen.
Des Weiteren sollten die IT-Verantwortlichen im Unternehmen eine modernere Architektur und eine umfassende Sicherheitslösung einsetzen. Dazu sind folgende Empfehlungen zu beachten:
- Bieten Sie mobilen Benutzern einen sicheren Zugriff auf das Netzwerk und die Anwendungen ihres Unternehmens, ohne sich ständig verbinden und trennen zu müssen.
- Steuern und beschränken Sie den Zugriff auf das Netzwerk und die Anwendungen des Unternehmens basierend auf Geräteeigenschaften wie Betriebssystem, Patch-Level, Vorhandensein der erforderlichen Endgerätesoftware etc. beim Zugriff auf sensible Anwendungen.
- Ermöglichen Sie es, den Datenverkehr kontinuierlich zu überwachen und zu kontrollieren, um unbefugte oder böswillige Aktivitäten zu identifizieren und zu stoppen.
- Schaffen Sie die Voraussetzungen, um Sicherheitsrichtlinien unternehmensweit in mehreren Umgebungen anzuwenden.
- Helfen Sie mit, die Bedrohungsabwehr durchzusetzen und Malware zu blockieren.
Während mobile Geräte im Arbeitsalltag heute genauso selbstverständlich sind wie Desktop-Computer, hinken die Sicherheitsteams von Unternehmen in diesem Bereich hinterher. Die von Palo Alto Networks genannten Maßnahmen sollen dazu beitragen, die mobile Sicherheit auf Kurs zu bringen, um Geschäftsprozesse nicht zu gefährden, wenn Mitarbeiter außerhalb des lokalen Netzwerks arbeiten. (rhh)