Einführung
Wenn Ihr Arbeitsplatz mobil ist, wird Ihr Unternehmen dann mitgerissen?
Die mobilen Geräte, die Ihre Mitarbeiter so gerne in ihrer Freizeit verwenden, sind mittlerweile auch zu Business-Tools geworden, die sie auf Ihre Kosten einsetzen. Dieses Phänomen wird in auch unseren jüngsten Studien deutlich: 65 % der befragten Unternehmen räumen ihren Mitarbeitern Netzwerkzugriff über die eigenen Geräte der Mitarbeiter ein; 80 % der Anwendungen, die diese Mitarbeiter verwenden, befinden sich nicht auf lokalen Rechnern, sondern in der Cloud; und 52 % nutzen nicht nur ein Gerät regelmäßig, sondern drei oder mehr.
Natürlich eröffnen diese mobilen Geräte – wie etwa Smartphones, Laptops und Tablets – neue Horizonte für die mobile Produktivität. Gerade aufgrund ihres mobilen Charakters jedoch schaffen sie auch neue Sicherheitslücken:
Sie riskieren Datenverlust, den Wegfall des Datenschutzes sowie die Untergrabung des Vertrauens in die Sicherheit
Ihres Unternehmensnetzwerks.
Glücklicherweise können Produktivität und Schutz aber auch gleichzeitig mobil sein – wenn Sie umfassend verstehen, welche Risiken bestehen und was Sie zur Minimierung dieser Risiken unternehmen können. In dieser Informationsschrift werden die sechs gravierendsten Bedrohungen für Ihre mobilen Mitarbeiter umrissen. Dabei werden realen Risiken wirklich hilfreiche Maßnahmen gegenübergestellt, mit der Sie die Sicherheit gewährleisten können, die Ihr Unternehmen braucht.
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen Daten, die unbemerkt bleiben können
1. WHITEPAPER:
ACHTENSIEAUFIHREDATEN:SECHS
VERLUSTRISIKENFÜRIHREMOBILENDATEN
Achten Sie auf Ihre Daten: Sechs
Verlustrisiken für Ihre mobilen Daten,
die unbemerkt bleiben können
Wer dieses White Paper lesen sollte
CIO, CISO, VP IT Operations, Mobile Architect, Mobile Program Manager.
In diesem White Paper werden die sechs gravierendsten Bedrohungen für Ihre
mobilen Mitarbeiter umrissen. Dabei werden realen Risiken wirklich hilfreiche
Maßnahmen gegenübergestellt, mit der Sie die Sicherheit gewährleisten
können, die Ihr Unternehmen braucht.
2.
3. Inhalt
Einführung.............................................................................................................................................................................. 1
1. Verlust und Diebstahl von Geräten ................................................................................................................................... 1
2. Datenlecks.......................................................................................................................................................................... 1
3. Malware und böswillige Angriffe....................................................................................................................................... 2
4. Gemeinsam genutzte Geräte und Kennwörter.................................................................................................................. 2
5. Ausschaltung von Sicherheitsstrukturen („Jailbreaking“)
und Aneignung von Administratorrechten („Rooting“).................................................................................................... 2
6. Wi-Fi und drahtloses Schnüffeln ...................................................................................................................................... 2
Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen Daten, die unbemerkt bleiben können
4. Einführung
Wenn Ihr Arbeitsplatz mobil ist, wird Ihr Unternehmen dann mitgerissen?
Die mobilen Geräte, die Ihre Mitarbeiter so gerne in ihrer Freizeit verwenden, sind mittlerweile auch zu Business-Tools
geworden, die sie auf Ihre Kosten einsetzen. Dieses Phänomen wird in auch unseren jüngsten Studien deutlich: 65 %
der befragten Unternehmen räumen ihren Mitarbeitern Netzwerkzugriff über die eigenen Geräte der Mitarbeiter ein; 80 %
der Anwendungen, die diese Mitarbeiter verwenden, befinden sich nicht auf lokalen Rechnern, sondern in der Cloud;
und 52 % nutzen nicht nur ein Gerät regelmäßig, sondern drei oder mehr.
Natürlich eröffnen diese mobilen Geräte – wie etwa Smartphones, Laptops und Tablets – neue Horizonte für die mobile
Produktivität. Gerade aufgrund ihres mobilen Charakters jedoch schaffen sie auch neue Sicherheitslücken:
Sie riskieren Datenverlust, den Wegfall des Datenschutzes sowie die Untergrabung des Vertrauens in die Sicherheit
Ihres Unternehmensnetzwerks.
Glücklicherweise können Produktivität und Schutz aber auch gleichzeitig mobil sein – wenn Sie umfassend verstehen,
welche Risiken bestehen und was Sie zur Minimierung dieser Risiken unternehmen können. In dieser Informationsschrift
werden die sechs gravierendsten Bedrohungen für Ihre mobilen Mitarbeiter umrissen. Dabei werden realen Risiken wirklich
hilfreiche Maßnahmen gegenübergestellt, mit der Sie die Sicherheit gewährleisten können, die Ihr Unternehmen braucht.
1. Verlust und Diebstahl von Geräten
Dem offensichtlichsten Risiko wird oft auch die nächstliegende Lösung gegenübergestellt: Man stellt sich darauf ein, verloren
gegangene Geräte zu ersetzen. Viele zur Arbeit eingesetzte Geräte gehören jedoch den Mitarbeitern selbst – dieses Phänomen
wird als „Bring Your Own Device“ (BYOD) bezeichnet. Noch wichtiger als das Gerät selbst ist allerdings, was sich auf dem
entsprechenden Gerät befindet. Jedes verlorene Gerät stellt ein potenzielles Portal zu den Anwendungen und Daten Ihres
Unternehmens dar.
Sie glauben, dass wir es damit etwas übertreiben? Im Jahr 2012 haben wir unsere Bedenken einer Realitätsprüfung unterzogen.
Im Rahmen unserer sogenannten „Operation Honey Stick“ haben wir in jeder der nachstehenden fünf Metropolen zehn
Smartphones „verloren“: Los Angeles, San Francisco, Washington D.C., New York City und Ottawa/Kanada. Auf jedes dieser
Telefone wurden zunächst simulierte Unternehmensdaten und -anwendungen geladen, bevor sie dann in stark frequentierten
Bereichen liegen gelassen wurden.
Bei der Hälfte der 50 Mobiltelefone wurde versucht, sie zurückzugeben. Jenseits dieser Zahl zeigt sich jedoch ein wesentlich
düstereres Bild der menschlichen Natur. Auf 89 % der Geräte wurden Versuche unternommen, auf persönliche Apps oder
Daten zuzugreifen – was darauf hindeutet, dass sogar die einstigen Weltverbesserer der Verlockung erlagen, auch einmal
etwas Böses zu tun. Insgesamt 83 % zeigten Spuren versuchter Zugriffe auf unternehmensnahe Apps oder Daten. Bei 57 %
der Handys wurde die Datei „gespeicherte Passwörter“ geöffnet; bei 49 % schauten sich die Finder auch die „Remote Admin“-
Anwendung an, die den Zugriff auf das Unternehmensnetzwerk simulierte.
Aus dieser Lektion lernen wir: Unternehmen sollten sich nicht auf verloren gegangene Geräte konzentrieren, sondern müssen
sensible Daten schützen, die möglicherweise verloren gehen könnten. Die grundlegende Geräteverwaltung muss durch
Richtlinien für den Schutz von Anwendungen und Daten ergänzt werden. Auf der oberflächlichen Ebene bedeutet dies, dass
Unternehmen die Möglichkeit haben sollten, verloren gegangene Geräte rasch aufzufinden und Remotegerätzurücksetzungen
auszuführen; auf der tieferen Ebene können sie Schutz erzielen, indem sie Anwendungen sichern und Unternehmensdaten
verschlüsseln, wenn diese mobil sind.
2. Datenlecks
Die Bedrohung durch „böswillige Insider“, die bewusst nach vertraulichen Geschäftsinformationen suchen und diese dann
weiterleiten, wurde bereits reichlich beklagt. Eine größere Gefahr könnte jedoch von wohlwollenden Mitarbeitern ohne jede
böse Absicht ausgehen, die Cloud-basierte Dienste wie E-Mail und Instrumente zur Online-Zusammenarbeit verwenden, um
schlicht mehr Arbeit in kürzerer Zeit zu erledigen. Auf dem sich stets weiter entwickelnden Weg zu mehr Nutzerfreundlichkeit
(auch als „Konsumerisierung“ bezeichnet) arbeiten Mitarbeiter gerne mit Anwendungen, die mit Blick auf die Bequemlichkeit
der Verbraucher entwickelt wurden, statt zur Ausräumung der Sicherheitsbedenken von Wirtschaftskonzernen.
Wenn Ihre geschäftlichen Daten jedoch erst mal in der Cloud sind, befinden sie sich möglicherweise außerhalb Ihrer Kontrolle.
Die unter Mitarbeitern beliebten File-Sharing-Dienste und Dokumentenbearbeitungsprogramme verfügen in der Regel nicht
über die Zugriffs- und Autorisierungsprotokolle, die Unternehmen für den Datenschutz benötigen. Ohne bewusste Kontrollen
kann es passieren, dass Daten aus der IT-Sphäre des Unternehmens entweichen und in die weit weniger sichere Welt der
Risiken gelangen.
1
Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen Daten, die unbemerkt bleiben können
5. Angemessener Anwendungs- und Datenschutz sollte einer zweigleisigen Sicherheitsstrategie folgen: 1) Durchsetzung einer
„schwarzen Liste“ für Anwendungen, die den Zugriff auf unzulässige Apps untersagt; sowie 2) Bereitstellung von Steuerelementen,
die verhindern, dass geschäftliche Daten über Online-Anwendungen kopiert, eingefügt und/oder anderweitig freigegeben werden.
Zu den einschlägigen Schutzfunktionen für Anwendungen und Daten gehören unter anderem:
• Anwendungsspezifische Authentifizierung
• Datenverschlüsselung
• Kopier- und Einfügeschutz
• Sperrung der Dokumentenfreigabe
• Blockierung des Zugriffs auf veränderte Geräte (Geräte, die „Jailbreaking“ und „Rooting“ unterzogen wurden)
3. Malware und böswillige Angriffe
Betrachtet man nur die absoluten Zahlen, so drohen PCs viel mehr Malware-Angriffe als mobilen Geräten. Die Anzahl
der Angriffe auf Mobilgeräte steigt jedoch wesentlich schneller. Während die traditionellen IT-Profis der mobilen Malware
nicht allzu viel Beachtung schenken, betrachten die „bösen Jungs“ den Mobilbereich als ihre nächste große Wachstumschance.
Folglich existieren dort zahlreiche Risiken, wie etwa Identitätsdiebstahl, Informationspreisgabe und Datenverlust durch
böswillige Angriffe von trojanischen Pferden, Monitoren und „blinden Passagieren“ auf Malware. Die größte Gefahr geht
dabei wohl von „gespooften“ Apps aus. Als beliebtes Spiel oder populäre Anwendung getarnt, sowie mit einem kostenlosen
Download als Köder, schmuggeln diese Apps schädlichen Code in das Gerät, der Geld von Konten abziehen oder Daten aus
Unternehmensnetzwerken extrahieren kann.
So genannter „Sicherheits-Freeware“ fehlt es an ausreichend Wissen, um mit der sich ständig ändernden Malware
und den immer raffinierteren Bemühungen um die Umgehung der Datenschranken von Unternehmen Schritt zu halten.
Wirklich effektiver Bedrohungsschutz muss die variierenden Risikoprofile verschiedener Plattformen berücksichtigen
und koordinierte Maßnahmen anwenden, um Unternehmensvermögen gegen externe Angriffe, schädliche
Anwendungsprozesse („Rogue Apps“), unsicheres Browsen und sogar die schlechte Nutzung von Batterien zu sichern.
4. Gemeinsam genutzte Geräte und Kennwörter
Aus kürzlich veröffentlichten Studien geht hervor, dass nahezu die Hälfte aller Mitarbeiter ihre Geräte gemeinsam
mit Freunden und Familie nutzt; weitere 20 % geben ihre Kennwörter an andere weiter. Leider beruht die Mehrheit
der Sicherheitsverletzungen durch die Belegschaft auf der gelegentlichen gemeinsamen Nutzung von Konten.
Mobile Geräte zu schützen bedeutet wesentlich mehr als die bloße Verwendung eines Lockscreen. Bevor die Benutzer auf Daten
und Anwendungen des Unternehmens zugreifen können, kann es ratsam sein, zunächst ihre Identitäten zu überprüfen. Hier
bietet sich eine zweistufige Herangehensweise an die Authentifizierung an – der Schlüssel zur erfolgreichen Benutzer- und App-
Zugriffsverwaltung sowie zum App- und Datenschutz. Dabei sollte etwas, das der Benutzer weiß (wie etwa ein Kennwort), mit
etwas anderem kombiniert werden, das der Benutzer besitzt (z. B. einer Wertmarke, einem Fingerabdruck oder einem Netzhautscan).
5. Ausschaltung von Sicherheitsstrukturen („Jailbreaking“)
und Aneignung von Administratorrechten („Rooting“)
In unserer BYOD-Welt ist es für Mitarbeiter einfach, ein „jail-broken“ bzw. „gerootetes“ Gerät in die Unternehmensumgebung
einzuführen. Durch solche Geräteänderungen können Sicherheitsprotokolle umgangen und Sicherheitsmerkmale deinstalliert
werden und kann Zugriff auf zuvor noch geschützte Dateisysteme und Datensteuerelemente ermöglicht werden.
Unternehmen müssen Geräteverwaltungsrichtlinien anwenden, aufgrund derer auf allen Geräten einheitliche Standards für
die Konfigurations- und Sicherheitseinstellungen gelten – unabhängig davon, ob die Geräte dem Unternehmen oder den
Mitarbeitern gehören. Geräte, die geändert wurden, sollten identifiziert werden, und diesen Geräten sollte der Zugriff
verweigert werden, um das Unternehmensnetzwerk zu schützen.
6. Wi-Fi und drahtloses Schnüffeln
Wenn es „kostenlos“ ist, ist dies wahrscheinlich ein Schwindel; bei Hot-Spots, die sich auffällig laut „kostenlos“ nennen, kann
vielmehr davon ausgegangen werden, dass sie wahrscheinlich nach mobilen Daten angeln. Benutzer erkennen oft ihre
eigenen Schwachstellen nicht, und Unternehmen können 3G-, 4G- und 4G/LTE-Kanäle weder kontrollieren, noch einsehen.
Umfassende App-, Daten- und Geräteverwaltungsrichtlinien sollten auf zwei Ebenen schützen:
• Kommunikation, wie z. B. Unternehmens-E-Mails, durch sichere SSL- oder VPN-Verbindungen
• Verschlüsselung von Unternehmensdaten, wenn diese übertragen oder auf mobilen Geräten verwahrt werden
Weitere Informationen über Enterprise Mobility, die umfassenden Schutz bietet, ohne dass dadurch Kompromisse beim
Bedienungskomfort eingegangen werden müssten, finden Sie unter go.symantec.com/mobility.
2
Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen Daten, die unbemerkt bleiben können