So schützen Sie Ihre Firmendaten

Risiken aus mobilen Endgeräten im Unternehmenseinsatz

Dr. Frank Hülsberg Dr. Frank Hülsberg

Peter G. ist Controller in einem mittelständischen Unternehmen. Da er oft zu den Niederlassungen reist, stellt ihm das Unternehmen für dienstliche Zwecke ein Smartphone zur Verfügung. Peter G. nutzt dieses intensiv und lädt sich für bestimmte Funktionalitäten Apps, unter anderem einen QR-Reader und einen PDF-Viewer, aus dem AppStore herunter. Mit dem Display des Smartphones ist er unzufrieden, so dass er Präsentationen regelmäßig auf sein privates Tablet weiterleitet und dort aufruft. Für den laufenden Kontakt zu seiner Familie hat er eine Social Network-App installiert. Ein privates Handy benötigt er nicht mehr, da das Unternehmen die private Nutzung des Firmengeräts „im normalen Rahmen“ gestattet. Soweit eine Konstellation, die so oder ähnlich in vielen Betrieben vorkommen dürfte. Aber gilt hier auch: „So weit, so gut?“

Im oben dargestellten Szenario hat Peter G. - ohne es zu wissen - sensible Unternehmensdaten in Gefahr gebracht. Essentiell ist daher zunächst immer eine Sensibilisierung der Mitarbeiter für die Risiken, die aus dem Einsatz mobiler Geräte resultieren. Oftmals ist den Anwendern nicht bekannt, welche verschiedenen Wege genutzt werden können, um an gewünschte Informationen zu gelangen. Neben dem Verlust sensibler Daten auf verlorenen oder durch Gelegenheitsdiebe gestohlenen Geräten kann es auch zu gezieltem Vorgehen durch Kriminelle kommen, etwa um Wettbewerberdaten abzugreifen.

Ein häufiges Vorgehen ist das Social Engineering, im Rahmen dessen ein Angreifer sein Ziel so lange ausspioniert, bis er an die gewünschten Informationen (etwa Passwörter) gelangt. Wegen mangelnden Sicherheitsbewusstseins bei den Anwendern lassen sich oftmals Passworteingaben beobachten, beispielsweise die des Sitznachbars in öffentlichen Verkehrsmitteln. Wird das Gerät danach gezielt gestohlen, sind alle darauf gespeicherten Unternehmensdaten zugänglich.

Viele Apps nicht für Unternehmenseinsatz geeignet

Daneben existieren technische Angriffspunkte, die in den Betriebssystemen der Mobilgeräte und deren Programmen, den so genannten Apps, verborgen sein können. Der Endanwender ist meist nicht in der Lage zu beurteilen, ob eine Anwendung nebenbei unbekannten Dritten ein Einfallstor öffnet. Die Nutzer verlassen sich zu oft auf die Sicherheitsüberprüfungen der AppStores, die für einen Einsatz der Apps im Unternehmensumfeld aber nicht ausreichend sind. Wie eine im September 2014 veröffentlichte Studie des Fraunhofer-Instituts für Sichere Informationstechnologie unter anderem aufzeigt, sind rund 60 Prozent der am häufigsten installierten iOS-Apps nicht für einen Unternehmenseinsatz geeignet. Im Rahmen einer Testreihe wurde festgestellt, dass teils gravierende Sicherheitslücken vorliegen: Bei rund 25 Prozent der Apps verzichteten die Entwickler absichtlich auf Schutzfunktionen und 12,5 Prozent der Apps verschickten Daten an mehr als fünf Unternehmen, die mit der eigentlichen Funktion der App nicht in Zusammenhang stehen. Hierzu gehören vor allem die kostenfrei erhältlichen Apps, zu denen auch Peter G.‘s QR-Reader und der PDF-Viewer gehören könnten.

Technische Angriffsmöglichkeiten gibt es viele. Der wohl einfachste Weg ist die Installation einer „bösartigen“ App, die gezielt Informationen aus dem Gerätespeicher oder dem angebundenen Application Server ausliest und an definierte Empfänger versendet. Die „bösartige“ App muss für diesen Zweck zwar zunächst installiert werden, dies wäre aber bei deaktivierter Code-Sperre und in einem unbeaufsichtigten Moment auch einem Dritten möglich. Je nach Gerätetyp wäre auch eine Remote-Installation oder der Einsatz eines Trojaners denkbar. Der vorrangige Zweck derartiger Angriffe ist der Erhalt von umfangreichen, unstrukturierten „Zufallsinformationen“, um diese in einem zweiten Schritt für weitere Angriffe nutzen zu können.

Schutz vor Angriffen auf Personen

Gezielte Angriffe auf eine bestimmte Person oder einen definierten Personenkreis zum Erhalt spezifischer Informationen sind dagegen aufwändiger umzusetzen. Hierfür werden meist Schwachstellen in den Betriebssystemen der Geräte selbst oder in den vom Anwender installierten Apps genutzt, die so genannten Exploits. Dabei werden mit Hilfe von Befehlsfolgen Sicherheitslücken und Fehlfunktionen von Programmen (oder ganzen Systemen) genutzt, um sich Zugang zu Ressourcen zu verschaffen oder ganze Systeme zu beeinträchtigen.

Die Benutzung privater mobiler Endgeräte wie im Beispiel das private Tablet von Peter G. hat das Risiko eines Abflusses von Unternehmensinformationen verschärft. Die Vermischung von dienstlicher und privater Nutzung wird zwar teilweise von den Unternehmen unterstützt (Stichwort „BYOD“ - Bring Your Own Device), stellt aber unter Sicherheitsaspekten ein hohes Risiko dar. Gerade die privat genutzten Social Network-Apps tauschen im Hintergrund mehr Informationen mit den App-Betreibern aus, als den meisten bewusst ist. Zu diesen Daten können beispielsweise auch umfangreiche Systemabbilder gehören.

Unternehmen müssen sich daher unter anderem Gedanken darüber machen, welche Freiheiten der Anwender bei der Auswahl von Apps auf dem Dienstgerät haben soll. Die beiden zweckmäßigsten Ansätze sind die der Vorgabe einer „Whitelist“ oder einer „Blacklist“. Stringenter ist unseres Erachtens die „Whitelist, mittels derer das Unternehmen Apps vorgibt, die auf den Geräten ausschließlich installiert werden dürfen. Die enthaltenen Apps können vom Unternehmen vor ihrer Freigabe einem umfangreicheren Sicherheitscheck unterzogen werden, um mögliche Risiken proaktiv aufzudecken. Darüber hinaus gibt es die beiden Ansätze des aktiven und passiven Beschützens der Systemumgebung durch Scans nach Schadsoftware oder das Monitoring von Sicherheitsvorfällen. Diese Schutzmaßnahmen sollten allerdings nur bei einem angestrebten geringen Schutzniveau angewendet werden, da es sich um reaktive Schutzmaßnahmen zur Aufdeckung bereits installierter Schadsoftware oder bereits entstandener Sicherheitsvorfälle handelt.

Entscheidend für den Schutz der Unternehmensdaten ist vor allem die Aktivierung der geräteinternen Schutzmechanismen. Hierzu gehören eine nichttriviale Code-Sperre, die Aktivierung der Remote-Lösch-Funktion sowie die Verschlüsselung der auf dem Speicher abgelegten Daten. Die Nutzung einer Sichtschutzfolie auf dem Gerätedisplay erhöht das Sicherheitsniveau zusätzlich.

Praxishinweis

Warth & Klein Grant Thornton steht Ihnen zu allen Fragestellungen rund um den Schutz von Firmendaten auf mobilen Endgeräten als Ansprechpartner zur Verfügung.