Mobile Sicherheit
Mobilkommunikation gehört zu den Schwachstellen in der Unternehmenssicherheit
Palo Alto Networks erläutert, wie man Smartphones besser schützen kann
In jüngster Zeit wird vermehrt berichtet, dass vermögende Privatpersonen und Prominente immer häufiger zu bevorzugten Zielen von Smartphone-Hacking werden. Security-Experten sind sich in einigen Fällen jedoch nicht einig über den jeweiligen Hergang. Dies liegt daran, dass die Forensik von Mobilgeräten nur sehr eingeschränkt in der Lage ist, festzustellen, dass jemand überhaupt kompromittiert wurde, und zu rekonstruieren, was genau passiert ist.
Für Unternehmen ist es nach Meinung von Palo Alto Networks aber höchste Zeit, der mobilen Sicherheit mehr Aufmerksamkeit zu schenken, um nicht selbst Opfer eines Angriffs zu werden. Mobiltelefone werden jedoch immer mehr zu einem lukrativen und überraschend leichten Ziel für Hacker. Früher gaben Unternehmen ihren Führungskräften Geschäftshandys aus, auf denen nur Geschäftsanwendungen genutzt wurden. Heutzutage kann auf den Geräten geistiges Eigentum gespeichert sein, während gleichzeitig Entertainment-Apps genutzt werden.
Hacker suchten anfangs nach anzüglichen Fotos und vertraulichen Textnachrichten, aber jetzt sind sie zu mobiler Malware, Ransomware und Identitätsdiebstahl übergegangen. Die Aktivitäten zielen darauf ab, in Unternehmensnetzwerke einzudringen und geschäftskritische Daten aus den Mobiltelefonen von CEOs, Vorstandsmitgliedern und politischen Führungskräften zu schleusen. Die sensibelsten und proprietärsten Daten eines Unternehmens sind gefährdet, zum großen Teil, weil Geschäftsnutzer routinemäßig über ihr Mobiltelefon darauf zugreifen – und die Hacker das wissen. Daher gilt es das Ausmaß und die potenziellen Auswirkungen dieses Problems zu erkennen und entscheidende Schritte zu unternehmen, um die Cyberabwehr zu stärken.
Sicherheitsbedrohungen für Mobiltelefone entwickeln sich weiter
Werden Mobiltelefone geschäftlich genutzt, erweitert sich die bedrohte ITK-Umgebung von Unternehmen. Den meisten Unternehmen fehlt jedoch nicht nur das richtige Verständnis für die Bedrohung. Es mangelt auch an ausgebildetem Personal, um das Problem nicht nur mit grundlegenden Management-Tools für mobile Geräte anzugehen.
Es gibt nach Meinung von Palo Alto Networks zwei große Herausforderungen im Zusammenhang mit Bedrohungen der mobilen Cybersicherheit:
Der Wolf im Schafspelz
Die schiere Anzahl der Anwendungen, die wir auf unseren Telefonen nutzen können, explodiert. Apple und Google leisten hervorragende Arbeit beim Schutz ihrer Betriebssysteme, aber die Sicherung von Apps von Drittanbietern bleibt eine große Herausforderung. Das Funktionsspektrum wurde erheblich erweitert, aber viele dieser zusätzlichen Funktionen haben es für bösartige Akteure wesentlich einfacher gemacht, auf Daten wie Arbeitskontakte und deren Telefonnummern zuzugreifen. Hacker nutzen betrügerische Anwendungen, um auf Geräte aus der Ferne zuzugreifen oder Schwachstellen in gängigen Anwendungen wie WhatsApp auszunutzen. Von dort aus ist es kein großer Sprung zur Installation professioneller Malware für Jailbreaking, E-Spionage, Ransomware oder Datenexfiltration.
Kein Platz mehr zum Verstecken
Mobilfunknetze sind auf anfällige Roaming-Protokolle wie SS7 oder Diameter angewiesen, die ein leichtes Ziel für Cyberbedrohungen darstellen. Allein der Zugriff auf die Telefonnummer ermöglicht es Hackern mit ein wenig Investition, den Standort des Benutzers ganz einfach zu verfolgen oder sogar die eingehenden Anrufe oder Text/SMS- oder WhatsApp-Nachrichten mitzuhören und mitzulesen. Diese Angriffsmethoden werden seit langem nicht nur für professionelle Spionage, sondern auch für großangelegten Online-Banking-Betrug eingesetzt. Dies ist auch der Grund, warum Banken SMS nicht mehr als gesicherte Zwei-Faktor-Authentifizierung betrachten. Alles in allem ist es sehr schwierig, sich gegen Standortverfolgung oder gekaperte Telefon- oder SMS-Kommunikation zu schützen.
Um die mobile Security steht es dennoch nicht ganz so schlecht, wie es den Anschein erweckt. Die heutigen Mobiltelefone haben auf der Geräteebene solide Sicherheitsarchitekturen. Die Ökosysteme für die beliebtesten Plattformen – iPhone und Google Android – sind hochgradig sicher, mit starken hardwarebasierten Sicherheits- und Isolierungsansätzen. Im Gegensatz zu anderen Software-Exploits würde ein Exploit-Code, der ein mobiles Gerät ohne Interaktion kompromittiert, den Angreifer Millionen kosten. Ein Hacker müsste also eine enorme Investition tätigen, wenn er ein Mobiltelefon kompromittieren will, um Daten zu exfiltrieren.
Palo Alto Networks nennt drei effektive Schritte, um die Sicherheit von Mobiltelefonen zu stärken.
1. Sicherheitshygiene
Sicherzustellen, dass die Mobiltelefone und Apps mit den neuesten Patches ausgestattet sind, ist vielleicht nicht die oberste Priorität vielbeschäftigter geschäftlicher Nutzer. Wird ein Handy intensiv geschäftlich genutzt, gilt es dafür zu sorgen, dass es mit den aktuellsten Sicherheitsmaßnahmen ausgestattet ist. Außerdem ist der Virenschutz für Mobiltelefone ein Mythos. Im Vergleich zu Computern kann eine Antiviren-Anwendung auf Mobiltelefonen oft nicht vor bösartigen Anwendungen schützen. Der Grund dafür ist, dass die Hardware-basierte Architektur des Mobiltelefons jede Anwendung zwingt, voneinander isoliert zu sein. Eine Sicherheitskontrolle, die bei mobilen Geräten jedoch oft übersehen wird, ist die Netzwerksicherheit. So können Nutzer eine sichere VPN- oder Secure Access Service Edge (SASE)-Lösung verwenden. Eine solche Lösung kann den Verkehr zu bösartigen Websites oder Datenexfiltrationsversuche blockieren.
2. Anwendungshygiene
Jede Anwendung auf dem Handy kann Daten offenlegen und als Brückenkopf dienen, um das Gerät zu kompromittieren. Whitelisting- und Blacklisting-Anwendungen werden jetzt zur Standardpraxis für IT- und Sicherheitsadministratoren, und diese Praktiken sollten auch auf dem eigenen Telefon befolgt werden. Sind beispielsweise wirklich fünf Messenger-Anwendungen nötig? Werden automatisch Inhalte aus Social-Media-Anwendungen heruntergeladen? Benutzen gar Kinder daheim das Geschäftshandy und laden Spiele herunter?
3. Datenschutzhygiene
Nutzer sollten keine persönlichen Informationen, vor allem nicht ihre Telefonnummer, an Fremde weitergeben. Allein die Telefonnummer würde es Cyberkriminellen ermöglichen, sie physisch und elektronisch überall auf der Welt aufzuspüren. Ebenso speichern Kollegen, Lieferanten und Kunden die Nummer und andere Kontaktdaten eines Nutzers auf ihren Geräten. Diese Daten können leicht durch betrügerische Anwendungen exfiltriert werden.
„Je mehr ein Smartphone für die Arbeit genutzt wird, desto mehr erweitern sich damit die Bedrohungsvektoren auf die Anwendungen, Datenbanken und Daten des Unternehmens. Es ist, als würde ein Unternehmen seine Fabriktore weit öffnen und Fremden eine Zugangskarte zum Hauptrechner und zur Fertigungstechnik aushändigen“, fasst Sergej Epp, Chief Security Officer Central Europe bei Palo Alto Networks abschließend zusammen. „Führungskräfte sollten sich persönlich an die drei genannten Sicherheitsmaßnahmen halten, aber auch den Einsatz und die Verwaltung solider Cybersicherheitsprozesse für alle Mitarbeiter unterstützen. Das Smartphone ist genauso ein Computer wie jeder Desktop-PC, jedes Notebook oder jeder Server – und muss entsprechend geschützt werden.“
