Wie man die Cybersicherheit bei Unternehmensgeräten gewährleisten kann

Die Unternehmensmobilität hat eine ganze Welt von Möglichkeiten eröffnet, um den Umfang der Organisation zu erweitern, die Unmittelbarkeit als Waffe und die Zusammenarbeit als Verbündeten für das Geschäft. Dies birgt jedoch zweifellos ein enormes Sicherheitsrisiko, da es Zugang zu Unternehmensnetzwerken und Datenbanken mit vertraulichen Informationen von potenziell unsicheren Geräten aus gewährt.

Allein im vergangenen März entdeckten Google-Experten 18 Schwachstellen in einigen Android-Mobiltelefonen, die den Zugriff auf die Geräte über einen dedizierten Prozessor ermöglichten. Im Mai beispielsweise behebte Apple 3 neue Zero-Day-Exploits, die mit dem Browser-Motor des Geräts verbunden waren.

Diese Beispiele zeigen, dass Cyberkriminelle jeden Tag neue Möglichkeiten entdecken, ihre Angriffe durchzuführen, und dass eine solide Richtlinie zum Schutz der Geräte unerlässlich ist, die täglich mit dem Unternehmen verbunden sind.

Häufigste Bedrohungen für mobile Geräte

Im Folgenden werden einige der wichtigsten Sicherheitsbedrohungen für mobile Geräte aufgeführt:

• Phishing. Auf Computern verbreitet sich Phishing normalerweise über gefälschte Nachrichten mit Anhängen oder bösartigen Links. In der mobilen Welt stammen die meisten Phishing-Versuche jedoch aus sozialen Netzwerken, Textnachrichten oder Apps. Eine Variante ist Smishing, bei dem die Anmeldeinformationen eines Benutzers gestohlen werden, wenn er auf einen bösartigen Link in einer SMS zugreift.
• Malware und Ransomware. Die häufigste mobile Malware sind bösartige Apps, die erstellt wurden, um ein Gerät zu beschädigen, zu stören oder unbefugten Zugriff zu erhalten. Unter den Malware-Typen ist Ransomware die häufigste Variante. Die Kosten steigen jedes Jahr.
• Rooting und Jailbreaking. Wie bereits erwähnt, sind Jailbreaking und Rooting Methoden, die es dem Benutzer ermöglichen, Administratorzugriff auf sein mobiles Gerät zu erhalten, um bösartige Apps herunterzuladen oder die Berechtigungen von Apps zu erhöhen.
• Man-in-the-Middle-Angriffe. Sie unterbrechen den Datenverkehr eines Netzwerks, um vertrauliche Daten im Transit abzufangen oder die übertragene Information zu ändern. Mobile Geräte sind besonders anfällig für diese Angriffe, da im Gegensatz zum Web-Traffic (der ein SSL/TLS-Verschlüsselungsprotokoll verwendet) mobile Apps sensible Daten ohne Verschlüsselung übertragen können.
• Spyware. Es handelt sich um eine Art von Malware, die die Aktivitäten des Benutzers überwacht und Zugriff auf Daten wie den Standort des Geräts, den Browserverlauf, Anrufe, Fotos und Videos usw. ermöglicht, um Identitätsdiebstahl, Finanzbetrug usw. durchzuführen.
• Bösartige Apps und Websites: Dies sind mit Malware infizierte Programme, die beim Betreten einer Website oder beim Herunterladen einer App angreifen.
• Unsichere WLAN-Netzwerke. Bei der Verwendung öffentlicher oder unsicherer WLAN-Netzwerke steigt das Risiko, dass der ein- oder ausgehende Datenverkehr des mobilen Geräts abgefangen und die Informationen kompromittiert werden.

8 Schlüsselaspekte zu beachten...

Unternehmen müssen alle erforderlichen Maßnahmen ergreifen, um Angriffe frühzeitig zu erkennen und angemessene Maßnahmen zu ergreifen, um ihre Auswirkungen zu begrenzen. Im Folgenden sind acht Schlüsselaspekte aufgeführt, die bei der Verhinderung und/oder Neutralisierung von Sicherheitsrisiken bei mobilen Geräten zu beachten sind. Diese sind:

• Anwendungs- und Endpunktsicherheit. Die MAM (Mobile Application Management) und MDM (Mobile Device Management) Systeme ermöglichen die Überprüfung und Verwaltung der Software, die von mobilen Geräten verwendet wird, und die Anwendung der von Unternehmen geforderten Kriterien. Auf der anderen Seite schützen CASB-Lösungen (Cloud Access Security Broker) die Sicherheit von Cloud-Anwendungen, indem sie Verbindungen zu Unternehmensinstallationen und -netzwerken herstellen, Sicherheitsrichtlinien anwenden und die Nutzung von Ressourcen in der Cloud verwalten.
• Zugangskontrollen nach Benutzer und Gerät. Identity and Access Management (IAM) Systeme regeln die Benutzerrechte bezüglich ihrer Informationen. Das bedeutet, ob sie Daten auf dem mobilen Endgerät hinzufügen, ändern, löschen oder kopieren können.
• Sicherheitselemente wie Antivirenprogramme, virtuelle private Netzwerke (VPN), Gateways, Firewalls, IPS usw. werden dazu beitragen, die Sicherheit der Geräte zu stärken. Gateways ermöglichen beispielsweise die Einrichtung sicherer Netzwerkverbindungen zwischen zwei Geräten oder zwischen einem Gerät und dem Internet und gewährleisten, dass die Verbindung unabhhängig vom Standort und der Art des verwendeten Geräts den Cybersicherheitsrichtlinien des Unternehmens entspricht.
• Sicherheit der E-Mail. El correo electrónico es una de las principales herramientas que utilizan los ciberdelincuentes. Por ello, mantener una política de seguridad rigurosa en el correo electrónico corporativo es primordial. Esto incluye la activación de capacidades de protección avanzadas que detectan y resuelven amenazas y protegen la información confidencial mediante cifrado, evitando con ello la pérdida de datos.
• Berechtigungsverwaltung für mobile Anwendungen. Die Berechtigungen, die mobilen Anwendungen gewährt werden, bestimmen ihr Funktionsniveau. Das Gewähren von Berechtigungen an eine Anwendung mit Sicherheitslücken kann jedoch Cyberkriminellen den Zugriff auf vertrauliche Daten auf dem Gerät ermöglichen.
• Verschlüsselte Verbindungen. Unternehmen können ihr Firmennetzwerk erweitern, um es für Benutzer von überall aus zugänglich zu machen, indem sie virtuelle private Netzwerke (VPN) verwenden, die die Verbindung der Geräte mit jedem Netzwerk verschlüsseln (einschließlich öffentlicher WLAN-Netzwerke). Multi-Faktor-Authentifizierungssysteme (MFA) sind derzeit die effektivste Methode, um die Sicherheit zu stärken.
• Passwortverwaltung: Die Organisationsrichtlinie kann und sollte die Mitarbeiter dazu verpflichten, Passwörter regelmäßig zu ändern und robuste Kombinationen zu verwenden, die mindestens Buchstaben, Symbole und Satzzeichen enthalten. Eine alternative oder zusätzliche Option zu Passwörtern ist die Konfiguration der Bildschirmsperre mit dem Fingerabdruck oder der Gesichtserkennung des Gerätebenutzers, so dass nur dieser auf den Inhalt zugreifen kann.

Diese Maßnahmen stellen bereits einen großen Fortschritt im Schutz eigener Geräte und des Unternehmens vor Cyberangriffen und Malware dar. Dennoch sollte dies auch durch eine umfassende IT-Architektur ergänzt werden, die die verschiedenen Sicherheitslösungen zentral steuert.

... und 5 Tipps für eine korrekte Mobile Security-Strategie

Die sichere Verwaltung mobiler Geräte kann den Unterschied bei der Bestimmung der Risiken ausmachen, die die Organisation eingeht. Hier sind 5 Tipps, um erfolgreich ein effizientes, aber sicheres Unternehmensnetzwerk zu konsolidieren.

1. Eine klare und umfassende mobile Sicherheitsrichtlinie festlegen, die die Richtlinien für die Verwendung mobiler Geräte festlegt. Diese Sicherheitsrichtlinien sollten Elemente wie obligatorische Konfigurationen, Nutzungsformen oder Maßnahmen gegen Diebstahl und Datenlecks enthalten, sowie die Koordination von Überwachungs- und Fernsteuerungssystemen für die Geräte.
2. Regelmäßige Aktualisierung des Betriebssystems und der mobilen Anwendungen. Mobile Betriebssysteme sowie mobile Anwendungen werden ständig von ihren Entwicklern überprüft, um Sicherheitslücken zu beheben und ihre Leistung zu optimieren. Daher birgt die Verwendung veralteter Versionen das Risiko von Cyberangriffen, die die Unternehmensabläufe gefährden könnten.
3. Regelmäßige Datensicherung und Fernlöschung von Daten. Es ist unerlässlich, alle mobilen Geräte so zu konfigurieren, dass Backups erstellt werden können, die entweder lokal oder in der Cloud gespeichert werden können. Ideal ist es auch, die Fernlöschung von Daten zu konfigurieren, um Daten auf dem Gerät zu löschen, auch wenn kein direkter Zugriff darauf besteht.
4. Die Installation von Programmen direkt auf den Geräten vermeiden. Malware betrifft täglich Hunderttausende von Mobilgeräten, und einer der Hauptwege erfolgt über die Installation von Anwendungen. Es ist ideal, Anwendungen in eine Webumgebung (oder in die Cloud) zu migrieren, um die Notwendigkeit der Installation und Neuinstallation von Software auf den Geräten zu beseitigen.
5. Mitarbeiter in Cybersicherheit und Sicherheitsbedrohungen schulen. Wenn es um die Nutzung von Unternehmensgeräten geht, ist es wichtig, Zeit und Ressourcen in die Sensibilisierung für Cybersicherheit zu investieren. Zum Beispiel sollten Mitarbeiter keine verdächtigen Links anklicken, keine Inhalte aus unzuverlässigen Quellen herunterladen, komplexe Passwörter verwenden, Backups erstellen, Antivirensoftware verwenden usw. Und natürlich sollte die Schulung bis zur Führungsebene reichen, einschließlich der Schulung von Experten für mobile Cybersicherheit.

Zusammenfassung

Wie wir sehen können, erfordert die Verwaltung der Sicherheit mobiler Geräte für deren Nutzung in Unternehmensnetzwerken eine ernsthafte Überlegung seitens der Organisationen und eine riesige Herausforderung für die IT-Abteilungen. Es ist wichtig, sich dessen bewusst zu sein und Maßnahmen zu ergreifen, um die Risiken zu minimieren.

Zusammenfassend sollten wir uns bewusst sein, dass die Nutzung mobiler Geräte mit Zugriff auf Daten zusätzliche Sicherheitsmaßnahmen erfordert. Eine Sicherheit, die es uns ermöglicht, auf Lösungen zurückzugreifen, die fast obligatorisch sein sollten, einfach zu implementieren sind und eine angemessene Sicherheit sowohl für das Netzwerk als auch für jedes seiner Elemente gewährleisten.