IT-Administrator

IT-Administrator

Praxiswissen für Admins.

Security-Strategien für Mobilgeräte (1)

Quelle: artmagination - 123RF
Mobilgeräte geraten schon seit Jahren immer mehr ins Visier von Cyberkriminellen.

Aus der Unternehmenswelt sind mobile Endgeräte nicht mehr wegzudenken. Smartphones begleiten uns als kleine Helfer in unserem Alltag. Doch bereits bei der Anbindung und spätestens mit der Nutzung mobiler Endgeräte muss sich der Administrator mit sicherheitskritischen Aspekten auseinandersetzen. In diesem Artikel betrachten wir die strategische Bewertung der mobilen Sicherheit und leiten konkrete Vorschläge zur Absicherung ab. Der erste Teil erklärt, warum die hohe Verbreitung von Mobilgeräten angesichts immer keativerer Angreifer ein Umdenken bei Security-Konzepten erfordert.

Anforderungen durch die Digitalisierung oder auch schlichtweg der Druck, im Zuge des zunehmenden Fachkräftemangels engagierte und motivierte Mitarbeiter akquirieren und halten zu können, führen dazu, dass Geräteklassen, die vor wenigen Jahren noch als Spielzeug belächelt wurden, in die Unternehmensinfrastrukturen integriert werden. Die dadurch gewonnene Flexibilität birgt naturgemäß auch Risiken. Risiken, bei denen die über die Jahre lieb gewordenen Antworten der IT-Sicherheit nicht helfen.

Mobilgeräte erfordern Umdenken

Galt früher das Credo, dass der beste Schutz gegen Angriffe eine nach außen hin gut abgesicherte (gehärtete) Infrastruktur sei, ist heutzutage ein radikales Umdenken erforderlich. Die mobilen Endgeräte in der Hosentasche machen dies nötig.

Die Bedrohungen haben sich nun von der Netzwerk- auf die Applikationsebene (Apps) verlagert. Firewalls, Proxys und Antivirus bieten hier höchstens einen grundlegenden Schutz. Gegen ungewollte Datenabflüsse und Angriffe auf mobile Clients helfen sie aber nicht.

Beim Einsatz von Smartphones im Unternehmen ergibt sich eine Vielzahl von Bedrohungen. Einige sind aus dem klassischen PC-Umfeld bekannt, andere begründen sich vor allem durch den mobilen Charakter der Geräte – Smartphones können leicht verloren gehen oder gestohlen werden. Einem Angreifer mit physischem Zugang zum Gerät bieten sich andere Zugriffsvektoren als einem entfernten Angreifer. Smartphones im Unternehmenseinsatz beherbergen oft zahlreiche vertrauliche Informationen, die vor Zugriffen Unbefugter zu schützen sind. Dies sind beispielsweise Unternehmens-E-Mails und daran angehängte Dokumente.

Die Leistungsfähigkeit von Smartphones hat in den letzten Jahren so stark zugenommen, dass auf ihnen nicht nur E-Mails, sondern auch klassische Büroanwendungen wie Textverarbeitung oder Tabellenkalkulation Verwendung finden. Eine weitere Eigenheit beim Einsatz von Smartphones im Unternehmen ist, dass Anwendern oftmals auch die private Nutzung der Geräte gestattet ist und sie eigene Apps installieren. Ob wir nun das Szenario "Bring Your Own Device" (BYOD) oder "Corporate Owned, Personally Enabled" (COPE) betrachten – Malware kann auf vielfältige Weise auf das Smartphone gelangen und Zugriff auf Unternehmensdaten erlangen. Angreifern steht eine Vielzahl verschiedener Einfallstore offen, um ihre Ziele zu erreichen. Es ist wichtig, diese möglichen Sicherheitslücken zu kennen, um sie mit passenden Maßnahmen zu schließen. Hierzu zählen unter anderem technische sowie logische Schwachstellen.

Bei technischen Schwachstellen erfolgt ein Angriff durch unmittelbaren Zugriff auf das Endgerät. Ein typisches Beispiel ist der Zugriff auf die Speicherkarte eines Smartphones oder dessen SIM-Karte. Hierzu muss der Angreifer meist nur wenige Minuten lang in den Besitz der Hardware gelangen. Für logische Schwachstellen hingegen wird kein physischer Zugriff auf das Endgerät benötigt.

Unter logische Schwachstellen fallen konzeptionelle Fehler innerhalb der Sicherheit eines Systems. Dadurch sind auch mehrere potenzielle Opfer gleichzeitig effizient angreifbar – auch wenn natürlich der gezielte Angriff eines speziellen Opfers ebenso möglich ist. Um das Gerät oder die bereitgestellte Infrastruktur zu attackieren, kann ein Angreifer die unterschiedlichsten Schwachstellen in Software, Schnittstellen oder Systemdiensten ausnutzen.

Kreative Angreifer

Viele denken sich an dieser Stelle "Wer hat es schon auf uns abgesehen?" Die Wahrheit ist erschreckend, denn sowohl in Motivation als auch in der Herkunft sind Angreifer verschiedenen Kategorien und damit auch verschiedenen Eintrittswahrscheinlichkeiten und Risikoklassen zuzuordnen. Angreifer sind in vielen Fällen kreativer, als Sie denken und sehr experimentierfreudig. Ruft ein klassischer Anwender bei der ersten Fehlermeldung den Helpdesk an, sind Angreifer eher motiviert weiterzukommen.

Dabei muss bei Angreifern zwischen verschiedenen Profilen unterschieden werden. Mit geringen IT-Kenntnissen ausgestattet sind sogenannte Skript-Kiddies. Diese wenden auf Social Media veröffentlichte Anleitungen mit frei erhältlichen Werkzeugen und Exploits an. Hierbei handelt es sich um Standardangriffstechniken. Etwas professioneller, mit grundlegenden IT-Kenntnissen im Ausnutzen bekannter Schwachstellentypen sind die Einsteiger im Hackerumfeld. Auch sie nutzen Standardwerkzeuge, die öffentlich im Internet verfügbar sind. Gerade Angreifer aus diesem Profil sind sehr wahrscheinlich auch in Ihrem Unternehmen vorhanden.

Kritischer wird es bei den professionellen Angreifern. Diese weisen umfangreiche Kenntnisse und längerfristige Erfahrungen auf. Sie haben sich ihre Kompetenz durch das regelmäßige Durchführen von Penetrationstests und Angriffen erworben. Natürlich gibt es in diesem Umfeld auch ausgewiesen Experten. Diese weisen zusätzlich ein hohes Detailwissen auf und entwickeln eigenständig die Exploits, die sie aufgrund ihres Zugangs zu nicht öffentlichen Informationen erstellen können.

Je größer die Kompetenz des Angreifers ist, desto schwerer fällt der Schutz der eigenen Daten und Infrastruktur. Aber dies ist dennoch nur eine Seite der Medaille. Die Motivation für einen kriminellen Angriff auf Ihre Infrastruktur ist ungleich höher zu bewerten. Die Motivation für einen Angriff kann sich bereits aus Neugierde oder akademischem Interesse ergeben.

Aber auch finanzielle Beweggründe spielen eine Rolle. So sind Datendiebstahl, Erpressung, das Verursachen von digitalem oder sogar physischem Schaden an Anlagen durchaus nicht zu verachten. Je nach Unternehmenstyp können auch politische Interessen eine Rolle spielen. Skript-Kiddies die aus Protest, Vergeltung oder einfach aus Protest einen Angriff verursachen, stehen hier unter anderem auf der Liste.

In der zweiten Folge des Beitrags beschäftigen wir uns mit dem STRIDE-Modell und wichtigen Schutzmaßnahmen, die sich daraus ergeben. Im dritten Teil des Workshops geht es vor allem darum, wie sich Risiken anhand eines Modells objektiv bewerten lassen.

Autor: Mark Zimmermann

IT-Administrator
IT-Administrator

Praxiswissen für Admins.

IT-Administrator ist das Praxismagazin für System- und Netzwerkadministratoren und liefert jeden Monat passgenaues, sofort umsetzbares Fachwissen. Auf zahlreichen Intensivseminaren und Trainings vor Ort sowie online können sich Admins zudem umfassend fortbilden. Auf Xing informiert die Redaktion über aktuelle Trends und Themen aus der IT.
Mehr anzeigen