MOBILE RISIKEN
MOBILE RISIKEN
MOBILE RISIKEN
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
20/13<br />
Mobile XXX<br />
Security XXX<br />
Titel 13<br />
gemacht. Im Zweifelsfall seien immer die<br />
originalen Sprachfassungen vorzuziehen,<br />
so Sullivan. Er warnt auch, Nicht-Gmail-<br />
Clients zur Abfrage von E-Mails über Android-Geräte<br />
zu verwenden: Hier stellten<br />
Angreifer derzeit vermehrt Spear-Phishing-<br />
Fallen auf, indem sie den Anwendern verseuchte<br />
Apps unterjubelten, über die sie<br />
den Mail-Verkehr abfangen könnten.<br />
Wer auf seinem Smartphone sowohl private<br />
als auch geschäftliche Daten vorhält,<br />
muss besonders aufpassen: Anwendungen<br />
wie WhatsApp leiten Kontaktdaten weiter<br />
und zapfen dafür auch die Informationen<br />
aus den Firmenkonten an, sofern sie nicht<br />
daran gehindert werden. „IT-Sicherheitsverantwortliche<br />
müssen wissen, wo die<br />
Gefahren der einzelnen Apps liegen, und<br />
genau prüfen, welche Anwendungen sie<br />
auf den Smartphones zulassen und mit welchen<br />
Rechten diese versehen werden dürfen“,<br />
schreiben die Security-Berater von<br />
Trend Micro in ihrem Februar-Whitepaper<br />
„Android-Apps: Nicht schädlich heißt nicht<br />
ungefährlich“. Mit dem Black- und Whitelisting<br />
von Apps über Mobile-Device-Management-Werkzeuge<br />
können Unternehmen<br />
bereits eine Menge dieser Probleme lösen.<br />
Voraussetzung ist, dass die Sicherheitsverantwortlichen<br />
wissen, welche<br />
Geräte sich in ihren<br />
Netzen tummeln und mit<br />
Geschäftsdaten hantieren.<br />
Erste Lösungsansätze für<br />
umfassende mobile Schutzkonzepte<br />
werden derzeit<br />
in den Unternehmen<br />
getestet.<br />
Einer ist die Abkehr<br />
vom Gerätefokus<br />
und damit dem Endpoint-Blickwinkel<br />
–<br />
das empfiehlt<br />
Thorsten Rosendahl,<br />
Consultant<br />
Thorsten Rosendahl,<br />
Consultant System Engineer, Cisco:<br />
„Wedeln Sie nicht mit dem Zeigefinger,<br />
wenn etwas passiert ist.<br />
Setzen Sie auf die Sensibilisierung<br />
der Mitarbeiter,<br />
nutzen Sie aber auch<br />
die Security-Tools,<br />
die es am<br />
Markt<br />
gibt.“<br />
„Schauen Sie sich an, wie Ihr Netz gesichert<br />
ist, und bauen Sie ein Gesamt-Sicherheitskonzept<br />
auf. Klären Sie dafür besonders<br />
Ihre Use Cases. Wofür brauche ich<br />
welche Geräte? Vergegenwärtigen Sie sich<br />
zunächst die Einsatzszenarien und schaffen<br />
danach erst die nötigen Geräte dafür an. “<br />
Sergej Schlotthauer, CEO, EgoSecure<br />
System Engineer bei Cisco. Angesichts der<br />
Mengen unterschiedlichster Geräte und<br />
Formfaktoren, die heute und auch in Zukunft<br />
in die Anwenderlandschaft drängten,<br />
sollte der Datenverkehr im Zentrum der<br />
Sicherheitsbemühungen stehen. „Wir brauchen<br />
einen Security-Fokus auf die Infrastruktur“,<br />
fordert Rosendahl und mahnt<br />
angesichts vermehrt auftretender gezielter<br />
Angriffe auf bestimmte Unternehmen oder<br />
hochrangige Mitarbeiter ein tieferes Verständnis<br />
für das Monitoring und die Traffic-<br />
Analyse innerhalb der Netze an.<br />
Passwörter endlich abschaffen<br />
Auch die Anbieter von Security-Lösungen<br />
seien gefragt, mit zeitgemäßen Produkten<br />
auf die sich verändernde Bedrohungslage<br />
zu reagieren. Zu vieles sei noch auf einfache<br />
Sicherheitsfragen im Web- und<br />
E-Mail/Anti-Spam-Umfeld zugeschnitten.<br />
„Wir brauchen neben der Sensibilisierung<br />
der Mitarbeiter auch die richtigen Tools“,<br />
fordert der Cisco-Berater. In Sachen Nutzerauthentifizierung<br />
an Clients und Netzen,<br />
egal ob mobil oder stationär, empfiehlt er:<br />
„Die IT-Welt muss hier der klassischen<br />
physischen Security endlich einmal<br />
folgen.“ Türschlösser und Schlüsselpläne<br />
gebe es seit Jahrzehnten,<br />
so Rosendahl, der die per se unsichereren<br />
Nutzername/Passwort-<br />
Sean Sullivan,<br />
Security Advisor, F-Secure Labs:<br />
„Passen Sie besonders auf lokalisierte Versionen<br />
bekannter Anwendungen auf und geben<br />
Sie Acht, wenn Sie über Android<br />
Ihre E-Mails nicht via Gmail abfragen.“<br />
Szenarien endlich abschaffen möchte. Das<br />
hält er mittelfristig für durchaus realistisch,<br />
zumal die dafür nötigen technischen Standards<br />
bereits jahrelang verfügbar seien.<br />
In das gleiche Horn stößt Sergej Schlotthauer,<br />
CEO des Lösungsanbieters Ego-<br />
Secure: „Smartphones und Tablets sind aus<br />
Security-Perspektive genauso zu behandeln<br />
wie ein normaler Rechner.“ Es komme hier<br />
jedoch noch viel mehr darauf an, die Daten<br />
abzusichern respektive zu verschlüsseln,<br />
damit sie nicht in falsche Hände gelangten.<br />
Die Ver- und Entschlüsselung wiederum<br />
müsse so einfach wie möglich gestaltet werden<br />
– am besten als automatische Hintergrundaktivität.<br />
Besser schlafen ohne Android<br />
Dem Anwender die Verantwortung und die<br />
Sorgen abnehmen – das ist derzeit das<br />
bes-te Rezept für ein gewisses Sicherheitsniveau<br />
im mobilen Umfeld, insbesondere<br />
auf Android-Systemen. Nicht-Android-Nutzer<br />
hingegen können noch ruhig schlafen.<br />
Was die drei anderen mobilen Betriebssysteme<br />
angeht, hält Trustwave-Experte<br />
Hindocha die Gefahr für vernachlässigbar:<br />
„Im iOS-Umfeld sehen wir nur Angriffsvektoren,<br />
die die Plattform selbst angehen,<br />
aber schon sehr alt sind. Für Windows<br />
Phone 8 und Blackberry 10 haben wir noch<br />
überhaupt keine Malware entdeckt.“ Hier<br />
kommt es vielmehr darauf an, dass Anwender<br />
nicht wissentlich oder unbeabsichtigt<br />
Daten abfließen lassen, indem sie gefährliche<br />
oder gehackte Websites besuchen und<br />
sich durch Social Engineers und Phisher<br />
über den Tisch ziehen lassen. o<br />
*Simon Hülsbömer<br />
shuelsboemer@computerwoche.de