Mobile Security: Gleiche Bedrohungslage, aber größere Folgen

CIO.de: Was stellt aktuell das größte mobile Sicherheitsrisiko für Unternehmen dar?

Dionisio Zumerle: Die traurige Realität ist, dass sich die BedrohungenBedrohungen für Mobilgeräte nicht geändert haben. Es gibt immer noch zwei Hauptursachen für Datenverlust auf mobilen Devices: den physischen Verlust des Geräts und den Missbrauch von Apps. Was sich verändert hat, ist das Ausmaß der Konsequenzen. Mobile Geräte werden jetzt stärker genutzt, um sensible Daten zu speichern oder auf solche zuzugreifen. Im Gesundheitswesen beispielsweise verwendet eine zunehmende Anzahl von Ärzten Tablets, um sensiblen Daten ihrer Patienten zu verarbeiten. In der Finanzwelt nutzen Broker Smartphones, um sensible Informationen auszutauschen. Gerät ein Device bei solchen Szenarien in die falschen Hände und ist nicht ausreichend geschützt, kann dies die Ursache einer großen Datenpanne sein. Alles zu Security auf CIO.de

CIO.de: Wie steht es um die Sicherheit der Apps an sich?

Dionisio Zumerle: Ein ähnliches Problem wie der Missbrauch von Anwendungen durch Nutzer ist der Umstand, dass die meisten Apps invasiv sind. Viele Anwendungen fragen um Erlaubnis, auf die Kontaktliste des Benutzers, persönliche Informationen und den Standort zugreifen zu dürfen. Darüber hinaus nutzen viele Mitarbeiter private File-Sharing-Apps für Unternehmensdokumente. Zwar sind nur wenige davon wirklich gefährlich, die überwiegende Mehrheit dieser Apps bietet aber keine für Unternehmenszwecke geeignete Sicherheit. Es kommt auch häufig zu Leaks von Anmeldeinformationen und anderen sicherheitsrelevanten Zwischenfällen. Diese "schlechte Hygiene" führt letztendlich zu einer Vielzahl von Datenschutzverletzungen in Unternehmen, von denen die meisten aber nicht gemeldet werden.

CIO.de: Angesichts der voranschreitenden Bedrohungen für mobile Endgeräte: Wie können mobile Betriebssysteme eine bessere Sicherheit gewährleisten?

Dionisio Zumerle: Ich sage mal so: Wenn Sie ein Tempolimit von 120 km/h haben und Sie nutzen drei Autos, die 150, 180 und 220 km/h erreichen können, bringen Sie alle drei Autos von A nach B. Es wird Vorzüge geben oder komfortablere Lösungen, aber die Grundlagen werden in allen drei Fällen abgedeckt. Eine ähnliche Situation finden wir heute in Bezug auf die inhärenten Sicherheitsmechanismen quer über das mobile OS-Spektrum vor. Zwar gibt es einige Sicherheitsunterschiede zwischen mobilen Betriebssystemen, aber die grundlegenden Sicherheitsfunktionen, wie beispielsweise Integritätsschutz, Verschlüsselung, App Isolation und Kernel-Schutz werden von allen vier Hauptbetriebssystemen abgedeckt.

Worin sich die mobile Sicherheit für die Unternehmen unterscheidet, sind die Verwaltbarkeit des Betriebssystems und die Updates. IT-Führungskräfte und CISOs müssen sicherstellen, dass sie die mobilen Geräte granular und durchgängig verwalten können. Außerdem brauchen sie die Zusage vom Geräte- und/oder Betriebssystem-Anbieter, dass es über die gesamte Lebensdauer der Geräte schnelle Sicherheits-Updates geben wird.

CIO.de: Zu viele Organisationen konzentrieren sich auf den Schutz vor Malware. Gibt es andere Bereiche, auf die sie Wert setzen sollten?

Dionisio Zumerle: Bei mobilen Endgeräten wird ein starkes Wachstum von Malware-Attacken registriert. Häufig verwendeten Techniken sind das Umpacken von geprüften Apps in bösartige Apps und Anwendungen, die Man-in-the-mobile-Attacken ausführen. Allerdings richten sich diese Angriffe gezielt auf Verbraucher-Apps, die einen geringen Transaktionswert haben. In den letzten Monaten wurden wir aber auch Zeuge der Entwicklung von mobilen Angriffen, die im gesamten Unternehmen eingesetzt werden können. Diese Bedrohung ist reeller, weil die Attacken remote vorgenommen werden und mehr Schaden anrichten können. Allerdings haben wir noch nicht festgestellt, dass ein solcher Angriff zu tatsächlichen Schaden für Organisationen führte.

CIO.de: Was empfehlen Sie Unternehmen als Schutzmaßnahmen?

Dionisio Zumerle: Aus unserer Sicht sollten IT-Führungskräfte und CISOs einige grundlegende Vorsichtsmaßnahmen treffen, um die Risiken von mobiler Malware zu minimieren. Zum einen sollten sie grundsätzliche Sicherheits-Policies für das Unternehmen festlegen. Dazu gehört etwa, für die Geräte Passcodes vorzugeben. Dabei sollten Standards bezüglich der Länge und Komplexität sowie der Anzahl an Wiederholungen und des Timeouts-bei Falscheingabe genutzt werden.

Als weiterer Punkt empfiehlt es sich, für die mobilen Plattformen und Betriebssysteme eine minimale und maximale Anzahl von Versionen festzulegen. Die Nutzung von Modellen, die nicht mehr aktualisiert oder supportet werden können, sollte nicht gestattet werden. Außerdem sollte die IT-Abteilung Anwendern das Jail Breaking oder Rooting ihrer Geräte und die Nutzung von nicht zugelassenen App-Stores von Drittanbietern verbieten. Alle genutzten Apps sollten signiert werden.