Go to Top

6 nützliche Tipps, um Ihr Unternehmen vor Datenlecks durch den erweiterten Einsatz von (privaten) mobilen Geräten zu schützen

Erst vor wenigen Tagen veröffentlichte McAfee seinen neuesten Mobile Threat Report für 2019. Nach den Erkenntnissen der Experten und Forscher eines der weltweit führenden Cybersicherheitsunternehmen werden wir in diesem Jahr immer mehr sogenannte Fake-Apps für Android-Smartphones und -Tablets sehen. Laut ihnen gab es zwischen Juni und Dezember 2018 einen Anstieg von mehr als 650 % bei Fake-Apps. Fake-Apps wie die kostenlose Version des sehr erfolgreichen Spiels Fortnite für Smartphones erhielten Zugang zu Verbrauchertelefonen und versuchten so, die Identität der Benutzer zu stehlen und wertvolle Informationen wie Bankkennwörter, Kontonummern und PIN-Codes zu sammeln.

Laut McAfee gab es von Juni bis September 2018 einen Anstieg von 200 Prozent bei den sogenannten Financial Trojanern auf Smartphones. Diese Apps enthalten Trojaner, um die Zugangsdaten der Opfer von Finanzinstituten zu stehlen und so auf sein Konto zu gelangen. Sobald er sich auf dem Bankkonto befindet, versucht der Hacker, so viel Geld wie möglich zu bekommen und zu überweisen.

Aber auch wenn dies für das Opfer schwierig sein mag, können in einigen Fällen die von einem persönlichen Benutzer-Smartphone gesammelten Informationen noch wertvoller sein: Es kann Passwörter oder Token für den Zugriff auf Firmennetzwerke enthalten. Und dann beginnt sich das Problem wirklich zu verschlimmern:

Da Hacker offene Hintertüren benötigen, um in jedes System oder Netzwerk zu gelangen, ist das Auffinden von Sicherheitslücken durch Hacken eines Mitarbeiter-Smartphones eine der besten Möglichkeiten, um Zugang innerhalb eines Unternehmens zu erhalten. Sobald sich Hacker in einem Netzwerk befinden, ist das Unternehmen nahezu ungeschützt. Jetzt ist es nur noch eine Sache von Minuten, entweder sensible Daten zu stehlen (z.B. von neuen Projekten oder Produkten, um sie an den Meistbietenden zu verkaufen), bösartige Software-Tools wie Ransomware zu platzieren und auszuführen, die wertvolle Daten verschlüsseln oder eine so genannte Kryptomining-Software verstecken.

Unabhängig von der spezifischen kriminellen Absicht des Hackers kann der Hacker, sobald ein System geöffnet ist, alle Arten von Aktivitäten durchführen. Deshalb ist es wichtig, dass dies in Ihrem Unternehmen nie passiert. Hier sind einige Tipps, wie Sie verhindern können, dass Smartphones oder Mobiltelefone von Mitarbeitern gehackt werden:

  1. Die Mitarbeiter sollten darauf hingewiesen werden, dass ihr mobiles Gerät ein perfekter Einstieg in ein Firmennetzwerk ist. Schulungen zur Datensicherheit sowohl für die Nutzung von privaten als auch von Firmentelefonen und mobilen Geräten sollten für die Mitarbeiter verbindlich vorgeschrieben werden.
  2. Das Unternehmen sollte verbindliche Regeln für die Nutzung von privaten Smartphones und mobilen Geräten im Unternehmen und insbesondere für die Anmeldung im Netzwerk festlegen.
  3. Es sollte eine strikte Trennung zwischen privater und geschäftlicher Nutzung erfolgen. Apps, die in Geschäftsumgebungen verwendet werden, sollten niemals für private Zwecke verwendet werden. Insbesondere das Hoch- oder Herunterladen von Daten über Apps, die privat genutzt werden, sollte strengstens verboten sein. Es ist sinnvoll, alle Apps, die auf einem Firmen-Smartphone oder Tablett verfügbar sind, zentral zu verwalten (sog. Mobile Application Management, MAM).
  4. Alle Smartphones und Mobiltelefone, die innerhalb eines Unternehmens genutzt werden, sollten über eine zentrale Verwaltung verwaltet werden (auch bekannt als Mobile Device Management). Mit einem solchen Management ist der Administrator beispielsweise in der Lage, alle notwendigen Patches und Sicherheitsfunktionen über einen einzigen Rollout zu implementieren. Kurz gesagt: Er ist in der Lage, alle Geräte von seinem Schreibtisch aus zu verwalten. Smartphones oder Tablets, die von Gästen genutzt werden, sollten das Netzwerk nur innerhalb eines speziell gesicherten Gästebereichs nutzen dürfen, der Zugang zu einem begrenzten Internet bietet, aber in Echtzeit überwacht wird, damit sich keine Malware im gesamten Unternehmen verbreiten kann.
  5. Alle mobilen Geräte, die von dem Unternehmen verwendet werden, sollten daher in einem Inventar registriert werden, das immer auf dem neuesten Stand sein sollte. Außerdem sollte es eine (kurze) Dokumentation über jedes Produkt und seinen aktuellen Status geben – welchen Hersteller und Produkttyp, welches Betriebssystem, welche Updates und Patch-Level installiert wurden, welche Telefonnummer sowie weitere spezifische Informationen über das Gerät. Schließlich: Die Übergabe des Gerätes an einen Mitarbeiter muss durch eine Unterschrift unterstützt werden.
  6. Wenn das Smartphone oder das mobile Gerät für beide Zwecke verwendet wird: privat und geschäftlich, z.B. wenn hochrangige Manager das Gerät nutzen, sollten besondere Maßnahmen ergriffen werden. Es gibt mehrere Möglichkeiten, die Nutzung zu teilen: Eine davon ist die Bereitstellung einer speziellen Container-App. Es gibt viele auf dem Markt wie AirWatch Container von VMware, Sophos Mobile Control 6.0 oder Container Station für QNAP NAS. Innerhalb einer solchen Container-App kann die Software beliebig funktionieren, ist aber nicht in der Lage, sich ohne Vorankündigung mit externen Links zu verbinden. Und es verhindert, dass sensible Daten kopiert oder per Copy & Paste in eine private und unsichere Anwendung wie WhatsApp übertragen werden. Wenn eine solche Container-App nicht verfügbar ist, sollten Apps und Programme, die nicht für einen Mitarbeiter bestimmt sind, nur durch Authentifizierung und damit durch den Administrator verfügbar sein. Downloads und Datentransfer sollten immer über VPN erfolgen. Oder, und das ist der sicherste Weg: Apps, die nicht erlaubt sind, sollten blockiert und kein Zugriff gewährt werden.

Aber denken Sie daran: Selbst, wenn Sie unsere 6 Tipps beachten, sollten Sie nicht glauben, dass Sie jetzt vollständig geschützt oder sogar vor Cyberangriffen auf Ihr Unternehmen geschützt sind. Dies wird nie der Fall sein, denn kriminelle Hacker – aus welchen Gründen auch immer sie angreifen – werden ständig nach besseren Wegen suchen, um eine Lücke in einem Firmennetzwerk zu finden. Wenn Sie also von einem Angriff betroffen sind, informieren Sie Ihre örtlichen Behörden und wenn Sie eine Datenrettung benötigen – z.B. in einem Ramsomware-Fall – wenden Sie sich an einen professionellen Datenrettungsdienstleister wie Ontrack Data Recovery.

Bildnachweis: Ontrack Datenrettung