Software und Strategien für den erfolgreichen Mittelstand

Bedrohungen der Unternehmensdaten durch BYOD-Ansätze

Spear Phishing und Longline Phishing sind die Herausforderungen

Rolf Haas, Principal Security Engineer bei McAfee: „Bei iOS gibt es weniger Schadsoftware als bei Android.“

Nichts geht mehr ohne Mobile Device Management (MDM) – so lautet das Resümee von Experten, wenn der Einsatz von mobilen Endgeräten im Unternehmen sicher sein soll. Vor allem beim Ansatz BYOD (Bring Your Own Device) steigt die Komplexität, weil es hier auch noch rechtliche Einschränkungen zu berücksichtigen gilt. Michael Scheffler (von Proofpoint) und Rolf Haas (von McAfee) erläutern die Problematik.

MDM-Integration

Michael Scheffler, Regional Sales Director DACH bei Proofpoint: „Beim Spear Phishing werden durch händische Analysen von Hackern bestimmte Personen, meist Führungskräfte, ins Visier genommen.“

„Bring Your Own Device – kurz BYOD – ist heute keine Zukunftsmusik mehr. Selbst in konservativen Unternehmen stellen sich IT-Verantwortliche nicht länger die Frage ob, sondern wie sich die verschiedenen Endgeräte auf sichere Art und Weise ins Unternehmensnetzwerk integrieren lassen“,skizziert Michael Scheffler, Regional Sales Director DACH bei Proofpoint, den Status quo.

„Neben verschiedenen Herstellern über zahlreiche Modellversionen bis hin zu automatischen Updates und der Erkennung von ‚gejailbreakten‘ Devices gibt es zahllose Parameter, die es mit Hilfe von MDM zu bewältigen gilt.“ Proofpoint selbst lagert die entsprechenden Services in die Cloud aus und ist so in der Lage, seinen Mitarbeitern nahezu verzögerungsfreien Datenaustausch zu ermöglichen.

Jailbreak ist kein unlösbares Problem

Das Thema „Jailbreak“ bei Mobilgeräten ist für Rolf Haas, Principal Security Engineer bei McAfee, kein unlösbares Problem. „Die meisten Lösungen im Bereich Mobile Device Management auf dem Markt bieten Möglichkeiten, um ‚gerootete‘ oder ‚gejailbreakte‘ Geräte zu erkennen. Diese Möglichkeiten sollten immer aktiviert werden, denn nur so kann sichergestellt werden, dass keine illegale oder schadhafte Software auf Smartphones eingespielt wird.“

Die wichtige Rolle von MDM steht für Rolf Haas aber auch in anderen Aufgabenbereichen im Vordergrund: „Um dem Verlust vor vertraulichen Unternehmensdaten auf Mobilgeräten vorzubeugen, müssen die Geräte mit einer MDM-Lösung ausgestattet sein, damit die Daten im Fall eines Verlusts ‘remote’ gelöscht werden können. Einige MDM-Lösungen sind sogar in der Lage, zwischen geschäftlichen und privaten Daten zu unterscheiden, und entweder alle Daten oder eben nur die via MDM provisionierten geschäftlichen Daten zu löschen. Darüber hinaus gibt es auch rein App-bezogene Management-Lösungen – also ohne MDM – die für Szenarien mit nur wenigen Mobilnutzern interessant sind.”

MDM muss in dieIT eng integriert werden

Die Integration von Mobile Device Management in die bestehende IT-Umgebung sollte die Unternehmens-IT vor keine unlösbaren Herausforderungen stellen. Denn moderne MDM-Lösungen lassen sich nahtlos mit bestehenden Client/Server-Lösungen für klassische Betriebssysteme, wie zum Beispiel Windows 7, verbinden. Es spielt aus Administrator-Sicht keine Rolle mehr, ob es sich dann um einen klassischen Laptop mit Windows 7 oder um ein Mobile-Device mit iOS handelt. McAfee bietet mit der neuesten Version seiner MDM-Lösung genau diesen Ansatz, nämlich alles aus einem Guss zu managen.“

Phishing-Risiken

„Neben dem Ausnutzen von ungepatchten Sicherheitslücken in mobilen sowie Desktop-Betriebssystemen sind vor allen Dingen Angriffe durch den ,Angriffsvektor Mensch‘ weithin verbreitet“ – so lautet die Erfahrung von Michael Scheffler. „Außer durch den Diebstahl von Geräten entstehen Gefahren auch durch die parallele private und berufliche Nutzung von mobilen Devices, was die Anforderungen an die IT-Sicherheit enorm steigert. Aber auch E-Mails sind nach wie vor ein effektiver Weg, in ein vermeintlich geschütztes Unternehmensnetzwerk einzudringen.“

Moderne Phishing-Varianten drohen

Spam spiele dabei weitgehend keine Rolle mehr, weil Unternehmen hier allgemein gut geschützt sind. Doch das „Spear Phishing“ stellt nach Einschätzung von Scheffler eine reale und ernstzunehmende Bedrohung dar – vermehrt auch in der Form von Longline Phishing. „Beim Spear Phishing werden durch händische Analysen von Hackern bestimmte Personen, meist Führungskräfte, ins Visier genommen. Sie erhalten über Profile in Social Networks und anderen Online-Quellen die benötigten Informationen, um ihre Mails zu personalisieren. Deshalb und durch andere typische Merkmale einer professionellen Geschäfts-Mail werden diese Nachrichten von Empfängern selten als Schad-Mails erkannt, weshalb sehr häufig Links angeklickt werden, die auf mit Malware versehene Webseiten führen. Bei einem Longline-Angriff geschieht dies komplett automatisiert und bei hunderten Unternehmen gleichzeitig, wie es eine aktuelle Studie von Proofpoint belegt.“

Vordefinierte Rollen und Berechtigungen helfen

Vor allem über die Integration in bestehende Sicherheitskonzepte gibt es Möglichkeiten, auch die Mobilgeräte diesbezüglich abzudecken. Dabei können vordefinierte Rollen und Berechtigungen übertragen und dann ihre Einhaltung sichergestellt werden.

Doch hier sind weitere Klippen zu umschiffen, wie Rolf Haas erklärt: „Smartphone-Betriebssysteme können heute keine Rollen oder Berechtigungen im Sinne von User-Profilen bieten – es gibt keine ,User’ auf diesen Devices. Dennoch lassen sich über entsprechende Programmierschnittstellen und MDM einige Rechte entziehen, Kennwortrichtlinien vorgeben oder Einstellungen durchsetzen. Die Einhaltung erfolgt über das Profil am Endgerät. Je nach Betriebssystem unterscheiden sich diese Möglichkeiten mitunter gravierend. Android, Blackberry und iOS bieten hier die umfangreichsten Einstellungsmöglichkeiten.”

Betriebsrat darf nicht außen vor bleiben

Allerdings gilt es zumindest in Deutschland, beim Umsetzen von BYOD-Konzepten die Angelegenheit zuerst mit dem Betriebsrat zu klären. Denn es geht darum, private und geschäftliche Daten oder Applikationen gemeinsam zu verwalten. Aus datenschutzrechtlicher Sicht sollte hier immer eine freiwillige Nutzung definiert werden und mit dem Betriebsrat abgesprochen sein. Grundsätzlich bietet sich das bei Unternehmen an, die der Nutzung von privaten Geräten im Unternehmen positiv gegenüberstehen.

Private Apps

Allerdings müsse ein Unternehmen sicherstellen, dass die „privaten Apps“ der Mitarbeiter bei BYOD keine Probleme für die Unternehmensdaten mit sich bringen, so Haas. Hier lautet seine Einschätzung: „Für Betriebssysteme, wie die von Apple, ist das durch die Architektur des Betriebssystems sichergestellt, andere wie Android lassen eine Inter-App-Kommunikation zu: Und hier gibt es das Risiko, dass eine „schlechte“ App die Daten einer Unternehmens-App ausliest. Um das zu vermeiden, gibt es Schutzprogramme wie die Firewall für Android von McAfee .

Android am anfälligsten

Gefragt nach dem „Ranking“ der Sicherheitsrisiken pro Mobilplattform lautet die Antwort von Haas: „Aus meiner persönlichen Erfahrung sind Android Devices am anfälligsten, Blackberry und Apple iOS am wenigsten. Windows Mobile 8 ist im Gegensatz zu Windows Mobile 7 ebenfalls ‚sicherer‘ geworden. Pauschal kann man sagen, dass auf eine Schadsoftware im iOS-Umfeld 250 Schadsoftwares für Android kommen – also ein Verhältnis von 1:250 gilt.

Standards für BYOD

Das Definieren von „Standards“ beim BYOD-Einsatz in einem Unternehmen – also zum Beispiel nur iPad und iPhone zu erlauben – sieht Haas zwiespältig:  „Dieser Ansatz kann helfen, muss aber nicht.“ Generell gilt: Alle Lösungen, die eine MDM-Funktion mit BYOD auf verschiedenen Plattformen nutzen, können einen Standard vorgeben. Typischerweise ist das heute – bedingt durch die Programmierschnittstelle – am besten für Apple und Android-Device definierbar.

Als Beispiel für eine Sicherheitslösung verweist Michael Scheffler auf das „Enterprise Archive“: Es handelt sich dabei um eine Mail-Applikation, die einfach zu nutzen ist, aber weitaus mehr Sicherheit bietet. Bei der Lösung werden alle E-Mails automatisch und ohne spürbare Verzögerung über unsere sichere Cloud-Infrastruktur geleitet und bei jedem Aufruf auf schädliche Inhalte überprüft. Die Überprüfung verfolgt in großen Teilen einem Big Data-Ansatz. Über den gesamten Mail-Verkehr des Unternehmens hinweg erkennt die Lösung die üblichen Muster und deren Abweichungen.“ Doch das allein reicht nicht aus, so Scheffler: „Ist das Einfallstor E-Mail damit als Sicherheitsrisiko gebannt, drohen bei BYOD immer noch Gefahren durch schadhafte Apps und ungepatchte Systeme.“

Rainer Huttenloher