Jeder hat sie, jeder nutzt sie: Mobile Geräte und Apps. Das ist praktisch, auch im Unternehmensumfeld: Mitarbeitende können von überall auf Unternehmensdaten und -anwendungen zugreifen. Doch wie können Unternehmen sich vor den weiter steigenden Risiken in Verbindung mit der Nutzung mobiler Anwendungen schützen?
Der Inhalt im Überblick
Neue Risiken durch mobile Anwendungen
Wie das BSI in seinem Bericht zur IT-Sicherheitslage in Deutschland 2022 berichtete, spitzt sich die bereits zuvor angespannte Lage weiter zu. Eine von der Firma CleverTap im Jahr 2019 zitierte Statistik zeigte einen schon damals erschreckenden Trend auf. Danach erfolgten im zweiten Quartal 2018 71 % der Betrugstransaktionen über mobile Apps und mobile Browser, verglichen mit 29 % über das Internet, was einem Anstieg von 16 % gegenüber dem Vorjahr entsprach.
Das selbst vermeintlich gut geschützte Geräte und Applikationen anfällig für Angriffe sein können, zeigt der kürzlich bekannt gewordene Datenklau bei der Polizei Bern. Durch eine Zero-Day-Schwachstelle in der Mobile-Device-Managementsoftware MobileIron von Ivanti konnten Namen und Telefonnummern von 2800 Beamten der Kantonspolizei, also der kompletten Belegschaft, abgezogen werden. Weiter in das System hätten die Angreifer glücklicherweise nicht vordringen können. Die Schwachstelle ist mittlerweile geschlossen. Die Gefahr von Angriffen auf erreichbare Management- und Mail-Server steigt durch solche Schwachstellen aber dennoch.
Die häufigsten Bedrohungen bei mobilen Anwendungen
Die Ausstattung von Smartphones mit Kamera, Mikrofon, Bluetooth-Schnittstelle und GPS-Empfänger bieten zahlreiche Möglichkeiten für Angreifer. Zwar ist Malware wie Viren und Trojaner gezielt für Smartphones bisher noch nicht ganz so verbreitet, dennoch lassen sich Smartphones hacken: Schwachstellen in Betriebssystemen und Anwendungen werden weniger schnell entdeckt als auf Laptops und es dauert länger, die Lücken zu schließen.
Foto- und Videoanwendungen lassen sich für die Ausführung von Malware ausnutzen, QR-Codes lassen sich manipulieren, Android-Malware-Apps setzen auf unbekannte Formen der APK-Komprimierung, um nicht durch Sicherheits-Tools erkannt zu werden, Sideloading von Apps, sprich das Herunterladen und Installieren von Anwendungen außerhalb der offiziellen App Stores, tut seinen Rest, um das Risiko für Unternehmen weiter zu erhöhen.
Erlauben Unternehmensrichtlinien auch die private Nutzung von dienstlichen Smartphones, BYOD oder die Nutzung sozialer Netzwerke über Dienstgeräte steigt das Risiko von Datenabflüssen umso mehr. Schätzungen zufolge sind auf einem von 36 Mobilgeräten risikoreiche Apps installiert. Einmal auf dem Smartphone können bösartige Apps unbemerkt auf Daten wie (geschäftliche und private) Kontaktdaten, E-Mails oder Geräteinformationen wie den Standort zugreifen.
Best practices für die Sicherheit mobiler Anwendungen
Die Absicherung mobiler Geräte muss den Schutz der Daten auf dem lokalen Gerät sowie der mit dem Gerät verbundenen Endpunkte und Netzwerkgeräte umfassen. Nachfolgend haben wir Ihnen die wichtigsten Punkte zusammengestellt, auf die Sie achten sollten, um Ihre mobilen Anwendungen besser abzusichern:
Mobile Device Management
Führen Sie ein Mobile Device Management ein. Es kann dabei unterstützen, den Überblick über in Ihrem Unternehmensnetzwerk verwendete Endgeräte zu behalten und bei Bedarf eingreifen zu können.
Serverseitige Authentifizierung verwenden
Multifaktor-Authentifizierungs-Anfragen sollten nur auf der Serverseite gewährt werden. Ein Zugriff bzw. Kommunikation sollte erst möglich sein, wenn die Autorisierung erfolgreich war. Sofern es die Anwendung erfordert, dass Daten auf der Client-Seite gespeichert werden und dort verfügbar sind, stellen Sie sicher, dass auf die verschlüsselten Daten erst dann zugegriffen werden kann, wenn die Anmeldeinformationen erfolgreich validiert wurden.
Schlüsselmanagement & aktuelle Verschlüsselung
Es sollte soweit wie möglich vermieden werden, sensible Informationen auf mobilen Geräten zu speichern. Dazu gehören kodierte Schlüssel und Passwörter, die im Klartext verfügbar gemacht und von einem Angreifer verwendet werden könnten, um Zugriff auf den Server zu erhalten. Verwenden Sie keine veraltetet Verschlüsselungs-Algorithmen. Achten Sie auf eine sichere Verbindung zwischen dem Endgerät und dem Server. Eine verschlüsselte VPN-Verbindung zum Firmennetzwerk ist standardmäßig vorzusehen.
Eingabevalidierung
Eingabefelder sind ein Einfallstor für Hacker und deren Schadcode. Prüfen Sie Eingabefelder in Anwendungen und stellen Sie sicher, dass nur solche Daten durch ein Eingabefeld geleitet werden können, die dort erwartbarer Weise eingegeben werden. Wenn Sie beispielsweise ein Bild hochladen, sollte die Datei eine Erweiterung haben, die den üblichen Dateierweiterungen für Bilder entspricht, und eine angemessene Größe haben. Alle Eingabefelder, einschließlich Formularfelder, Audio-, Video- und Befehlszeileneingaben, sind für diese Sicherheitslücke anfällig.
Code verschleiern
Verwenden Sie Verschleierung und Minifizierung (Entfernen unnötiger Zeichen), um Code weniger lesbar zu machen und Reverse-Engineering von Geschäftslogiken zu verhindern oder zumindest zu erschweren.
Enterprise App Store & notwendige Apps
Führen Sie einen unternehmenseigenen App Store ein, in dem ausschließlich geprüfte, von Ihnen ausgewählte Anwendungen zum Download zur Verfügung stehen. Führen Sie – soweit möglich – Penetrationstests durch, bevor Sie die jeweilige App freigeben. Achten Sie darauf, welche Berechtigungen Apps verlangen und ob diese für die gewünschten Funktionen zwingend sind, andernfalls deaktivieren Sie sie. Eine Alternative zum Enterprise Store ist das sogenannte White Listing. Dabei stellen Sie den Mitarbeitenden eine Liste mit den Apps bereit, die für die Installation zugelassen sind.
Praktisch jede Software enthält Sicherheitslücken. Installieren Sie als Nutzer nur Apps, die Sie tatsächlich benötigen. Jede zusätzliche App stellt ein zusätzliches Sicherheitsrisiko dar, selbst wenn es sich um ein seriöses Angebot handelt.
Container-Lösungen
Trennen Sie privaten und geschäftlichen Bereich auf Smartphones mittels einer Container-Lösung. Ein solcher Sicherheits-Container erstellt einen verschlüsselten Workspace für die Geschäftsanwendungen.
Zugriffsbeschränkungen von mobilen Geräten
Normale Nutzer-Accounts dürfen keine Administrations-Rechte haben. Nutzer mit administrativen Aufgaben sollten gesonderte Admin-Accounts zugewiesen bekommen.
Bedrohungsmodellen zur Datenverteidigung
Erstellen Sie Bedrohungsmodelle, um potenziell auftretende Probleme zu verstehen und Strategien zu deren Abwehr zu entwickeln. Ihr IT-Sicherheitsteam sollte wissen, wie verschiedene Betriebssysteme, Plattformen, Frameworks und externe APIs ihre Daten übertragen und speichern.
Fragen zu Mobile Cybersecurity?
Die zunehmende Einbindung mobiler Endgeräte in die unternehmenseigene IT-Infrastruktur erhöht die Relevanz von Mobile Security stetig. Weiterführende Informationen zum Thema App-Sicherheit finden Sie z.B. beim Bundesamt für Sicherheit in der Informationstechnik. Wenn Sie Fragen zu Mobile Cybersecurity z.B. hinsichtlich der Einführung eines Mobile Device Management oder zur sicheren Konfigurierung haben, beraten Sie sich mit Ihrem IT-Sicherheitsbeauftragten.
