single.php
< Beitrag von Benjamin Raulf

Mobile Datensicherheit für mobile Devices

Neben dem mobilen Datenschutz sollte auch die mobile Datensicherheit auf mobilen Endgeräten gewährleistet sein. Dazu empfehlen alle Unified-Endpoint-Management-Anbieter verschiedene Sicherheitseinstellungen: von einer PIN-Vorgabe für das Endgerät, über die Verschlüsselung des Gerätes bis hin zu einer separaten Container-Lösung. Mithilfe dieser Mechanismen erzielen Sie eine Grundsicherung der Endgeräte. Also, schon mal ganz gut, aber leider längst nicht ausreichend!

Heutzutage sollte es selbstverständlich sein, dass Endgeräte über eine Unified-Endpoint-Management-Lösung (UEM-Lösung) eine Sicherheitsrichtlinie erhalten. Eine solche Sicherheitsrichtlinie erschwert den Zugriff auf Daten bei Diebstahl oder Verlust des Gerätes. Die Richtlinien erzwingen – je nach Sicherheitslevel – den Einsatz einer PIN oder eines komplexen Kennwortes. Viele UEM-Lösungen bieten auch die Möglichkeit, den Gebrauch des Gerätes durch die Abfrage biometrischer Daten zu sichern, wie z. B. den Fingerabdruck des Besitzers. Diese Form der Sicherung steigert die Benutzerfreundlichkeit erheblich.

Außerdem sollten mobile Endgeräte verschlüsselt sein. Dies geschieht bei iOS automatisch, sobald eine PIN oder ein Kennwort hinterlegt ist. Android-Geräte sind mit den neusten OS-Versionen von Haus aus verschlüsselt. Weitere Sicherheitseinstellungen lassen sich auf dem Endgerät den eigenen Richtlinien gemäß einrichten.

Zur Absicherung von Geschäftsdaten ist eine Container-Lösung am besten geeignet. Mit entsprechenden DLP-Richtlinien lässt sich die Kommunikation im Container und die Kommunikation zwischen dem offenen und dem Container-Bereich steuern. Neben den Container-Lösungen der UEM-Hersteller gibt es bei Apple iOS Restriktionen zur Kapselung der gemanagten Apps einerseits und der nicht gemanagten Apps andererseits. Bei Android bietet sich der Einsatz von Android Enterprise oder Samsung KNOX Workspace an.

Mobile Datensicherheit auf Kommunikationswegen

Neben der Absicherung der geschäftlichen Daten auf dem Endgerät selbst gilt es auch, die Kommunikation ins Unternehmen hinein abzusichern. Besonders wenn Mitarbeiter selbst Apps installieren dürfen, besteht die Gefahr, dass dubiose Apps auf dem Endgerät das Netzwerk scannen und diese Informationen an Server im Internet weiterleiten.

Einige UEM-Hersteller bieten die Möglichkeit, die Apps im selbst entwickelten Container des UEM-Herstellers über einen per-App-VPN ins Firmennetzwerk zu verbinden. Öffentliche Apps aus dem Google Play Store oder dem iTunes Store können meist nicht in diese Container aufgenommen werden. Selbst erstellte Apps müssen Sie so anpassen, dass die Apps im Container lauffähig sind.

UEM-Hersteller, wie z. B. MobileIron, bieten eine eigene VPN-Lösung an (MobileIron Tunnel), damit nur die erwünschten Apps eine VPN-Verbindung aufbauen. Dadurch wird die Kommunikation des Endgerätes gefiltert und nicht vollständig ins Firmennetzwerk geroutet.

Schutz vor Angriffen auf mobile Endgeräte

Die meisten Unternehmen sichern sowohl den Gebrauch mobiler Endgeräte wie auch die Kommunikation ins Firmennetz. Demgegenüber wird jedoch der Schutz vor Angriffen auf mobile Endgeräte regelmäßig vernachlässigt. Ein Antivirenprogramm zum Schutz vor Malware gehört längst zur Standard-Ausrüstung jedes Rechners. Auf den meisten Smartphones und Tablets ist dieser Schutz aber leider nicht vorhanden. Dadurch werden diese Endgeräte leicht zu Einfallstoren für DNA-Angriffe (Device, Network, Apps).

Es gibt öffentliche Statistiken zu den Schwachstellen im OS, wie z. B. das Common Vulnerability Scoring System. Diese Statistik markiert den Risikograd auf einer Skala von 0 bis 10. Der durchschnittliche Risikowert liegt bei etwa 7. Alles, was über diesem Wert liegt, gilt als hohes Sicherheitsrisiko. Wenn man die bekannten Schwachstellen von Android addiert, die auf der Skala oberhalb des kritischen Wertes von 7 liegen, so erhält man die beträchtliche Summe von über 40.000 Schwachstellen.

Mobile Datensicherheit: Risiken 1
(Quelle: https://www.cvedetails.com/cvss-score-distribution.php)
Mobile Datensicherheit: Risiken 2

Der erkennbare Trend, dass die Schwachstellen zahlreicher und schwerwiegender werden, erhöht die Bedeutung der Update-Garantien, die die Smartphone-Hersteller geben. Diese Garantiefristen sind jedoch meist beschränkt auf wenige Jahre oder gar Monate.

Zum Beispiel BlueBorne

Mobile Datensicherheit: Blueborn Risk

Ein gutes Beispiel für eine riskante Schwachstelle ist die Bluetooth-Schwachstelle BlueBorne, durch die Angreifer die komplette Kontrolle über das Endgerät übernehmen können. Die roten Punkte auf dem Schaubild rechts zeigen, dass es nach wie vor angreifbare Endgeräte mit dieser längst bekannten Schwachstelle gibt. Allerdings wird das Update, das diese Sicherheitslücke schließt, nicht mehr für jedes Endgerät angeboten.

Neben den bekannten Schwachstellen, gibt es auch noch Zero-Day-Lücken. Die OS-Hersteller bieten White-Hackern hohe – teilweise 7-stellige – Geldsummen, wenn sie solche Sicherheitsrisiken aufdecken.

Mobile Datensicherheit durch Mobile Threat Defense

Gelingt es einem Hacker, ein Gerät zu übernehmen, ist die Sicherheit der Geschäftsdaten trotz Verschlüsselung und anderen Sicherheitsmechanismen nicht mehr zu 100 % gewährleistet. Daher empfiehlt sich, die UEM-Lösung mit einer Mobile Threat Defense (MTD) zu kombinieren.

Es gibt eine Reihe von Anbietern, die sich auf MTD spezialisiert haben. Viele Hersteller bieten Lösungen an, die die UEM- mit der MTD-Lösung durch API verbinden. Dabei wird für die Verwaltung der Endgeräte einerseits und für ihren Schutz andererseits jeweils eine eigene App benötigt. Außerdem müssen die Mitarbeiter oft Interaktionen durchführen, um den MTD-Schutz zu aktivieren. Riskant ist auch, dass Mitarbeiter die MTD-App deaktivieren oder gar löschen können, obwohl sich nach wie vor Geschäftsdaten auf dem Endgerät befinden, deren Schutz dann nicht mehr vorhanden ist.

Die Firmen MobileIron und Zimperium haben gemeinsam eine eigene MTD-Lösung zum Schutz der mobilen Endgeräte entwickelt, bei der eine einzige App die Verwaltung und die Absicherung des Endgerätes ermöglicht. Sobald die Richtlinie über MobileIron angewendet wird, wird der Schutz aktiviert. Eine manuelle Aktivierung durch die Mitarbeiter ist also nicht erforderlich. Neben diesem automatischen Aktivierungsvorteil bietet die Lösung einen weiteren wichtigen Sicherheitsvorteil, den ich an einem Beispiel veranschaulichen möchte.

Schutz vor Netzwerk-Angriffen über mobile Endgeräte

Ein Mitarbeiter befindet sich am Flughafen oder in einer Hotel-Lobby und verbindet sich mit dem frei zugänglichen WLAN. Ohne dass es dieser Mitarbeiter merkt, betreibt eine Person, die in der Nähe sitzt, einen selbst aufgebauten WLAN-Hotspot, der auf die Signalübertragung des mobilen Mitarbeiter-Gerätes reagiert.

Drahtlose Geräte sind so konzipiert, dass sie ihre Umgebung scannen und versuchen, sich mit Netzwerken zu verbinden, mit denen sie sich schon einmal verbunden haben. Durch ein stärkeres Signal des Hotspots oder durch die manuelle Einwahl des Mitarbeiters in diesen Hotspot wird eine Verbindung zwischen dem Access Point und dem Gerät des Mitarbeiters hergestellt.

Jetzt kann der Angreifer die Kommunikation zwischen dem Endgerät und dem Unternehmensnetzwerk abfangen: Er erfasst die persönlichen Login-Daten, den Benutzernamen und das Passwort des Mitarbeiters. Während der Kommunikation kann der Angreifer auch vertrauliche Unternehmensdaten sammeln und später für den Zugriff auf das Firmennetzwerk verwenden.

Mobile Datensicherheit: MTD 1

Wenn das Unternehmen ein MTD verwendet, erkennt das MTD den falschen Access Point und blockiert die Man-In-The-Middle-Attacke, bevor ein Schaden entsteht. Bei den meisten MTD-Lösungen muss zur Angriffserkennung diese Informationen an die MTD-Lösung in der Cloud gesendet werden. Anschließend wird eine Aktion zum Endgerät zur Angriffsabwehr gesendet. Wenn jedoch der Angreifer die Kommunikation zur UEM- und MTD-Lösung zwischen Schritt 1 und 2 blockiert, wäre auch hier die Endgeräte-Sicherheit nicht mehr gewährleistet.

Mobile Datensicherheit: MTD 2

MobileIron bietet zusammen mit Zimperium hingegen eine optimierte Lösung an, damit die Erkennung und die Aktionen lokal auf dem Endgerät durchgeführt werden. Sowohl der Scan als auch die Aktionen werden direkt durchgeführt, wodurch zum Schutz des Gerätes wertvolle Zeit eingespart wird.

Folgen
X

Folgen

E-mail : *
Kategorie: IT- & Data-Security | Schlagwörter: , | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.