Das Spektrum mobiler Risiken

Neue Forschungsergebnisse veranlassen CISOs dazu, die Risiken für mobile Daten neu zu bewerten - und sich neue Schutzmöglichkeiten zu überlegen.

Mobile Risiken haben eine große Bandbreite

Die Bedeutung von Mobilgeräterisiken für Unternehmensdaten

Mobilgeräte, auch firmeneigene Geräte, werden für private Zwecke genutzt. Ihr CEO verwendet ein und dasselbe Smartphone zum Versenden vertraulicher E-Mails, für Familienschnappschüsse, die Durchsicht von Kundenunterlagen, zum Herunterladen von Anfahrtsbeschreibungen für Meetings sowie für die detaillierte Überprüfung von Finanzberichten. Jeder einzelne Mitarbeiter in Ihrem Unternehmen tut es ihm gleich. Mobilgeräte greifen fortwährend auf wichtige Unternehmensdaten zu. Und haben diese Daten erst das Firmennetzwerk verlassen, wissen Sie nicht, welchen Weg sie nehmen. Ihnen stehen keine oder nur sehr begrenzte Möglichkeiten offen, die Daten durch die Umsetzung Ihrer Sicherheitsrichtlinien zu schützen.

Aufgrund des Zugriffs auf sensible Unternehmensdaten ist Ihre Mobilgeräteflotte einer großen Bandbreite von Risiken ausgesetzt, über die sich heute jeder CISO im Klaren sein muss. Machen Sie sich anhand der nachstehenden interaktiven Tabelle eingehend mit den zwölf Elementen der Matrix für mobile Risiken vertraut.


Analyst Report Whitepaper herunterladen

Die Matrix für mobile Risiken

Risikokomponenten Vektoren
Apps
Gerät
Netzwerk
Internet und Content
Bedrohungenaddremove
App-Bedrohungen

Bösartige Apps können Informationen ausschleusen, die Gerätehardware beschädigen und unberechtigten Fernzugriff gewähren.

clear

App-Bedrohungen im Überblick


App-Bedrohungen sind spezielle Anwendungen, die darauf abzielen, Daten zu stehlen, die Gerätehardware zu beschädigen oder unberechtigten Fernzugriff zu gewähren, um ein Opfer zu überwachen.

Gängige Beispiele hierfür sind u. a. seriöse Apps, die mit Trojanern oder schädlichem Code infiziert wurden, Malware, die sich über Exploits oder achtlos erteilte Benutzerberechtigungen auf einem Gerät einschleust, oder getarnte, missbräuchliche Apps.

App-Bedrohungen

Über einen Zeitraum vom vierten Quartal 2016 bis zum Ende des ersten Quartals 2017 waren 47 von 1.000 durch Lookout abgesicherte Android-Unternehmensgeräte App-basierten Bedrohungen ausgesetzt.


Gerätebedrohungen

Gerätebedrohungen können zu einem katastrophalen Datenverlust führen, da sich Angreifer dadurch umfassendere Berechtigungen verschaffen.

clear

Gerätebedrohungen im Überblick


Gerätebedrohungen können zu einem katastrophalen Datenverlust führen, da sie die App-Sandbox eines Geräts durchbrechen und sich tief im Betriebssystem einnisten, um dem Angreifer umfassendere Berechtigungen zu verschaffen.

Die Pegasus-Spyware ist das aktuellste Beispiel für eine gezielte, folgenschwere Bedrohung für iOS- und Android-Geräte mit geringer Häufigkeit. Sowohl iOS als auch Android sind von dieser Gerätebedrohung betroffen. Sie kann Kamera und Mikrofon des Smartphones aktivieren und somit Gespräche in der Nähe des Geräts abhören. Die Spyware kann darüber hinaus die Bewegungen des Opfers nachverfolgen und erlaubt den Diebstahl von Nachrichten eines End-to-End-verschlüsselten Chat-Clients.

Es genügt, wenn das Opfer eine präparierte Webseite besucht. Betroffene Personen müssen keine App installieren, um die Pegasus-Spyware zu aktivieren.

Gerätebedrohungen

In einer Gruppe unserer aktiven Android-Anwender war im letzten Jahr nur 1 von 100 Geräten einem Rooting-Trojaner ausgesetzt.


Netzwerkbedrohungen

Daten sind Angriffen über WLAN- oder Mobilfunkverbindungen ausgesetzt.

clear

Netzwerkbedrohungen im Überblick


Netzwerkbedrohungen sind spezifische Angriffe, die über die Netzwerkverbindung eines Mobilgeräts erfolgen.

Diese Angriffe können entweder direkt von böswilligen Akteuren ausgehen oder automatisiert mithilfe von Malware ausgeführt werden. Bei den meisten Mobilgeräten finden diese Angriffe über WLAN- oder Mobilfunknetze statt.

Beispiele hierfür sind Man-in-the-Middle-Angriffe (MitM), die Vortäuschung eines Zertifikats, TLS-/SSL-Stripping oder das Herabstufen von TLS-/SSL-Cipher-Suites.

MobileIron

Im vergangenen Jahr waren von 1.000 unternehmenseigenen Mobilgeräten weniger als 10 (0,8 %) einer Man-in-the-Middle-Bedrohung ausgesetzt.


Internet- und Contentbedrohungen

Die Bedrohungen umfassen schädliche URLS, die in Phishing-E-Mails oder SMS-Nachrichten angeklickt werden.

clear

Internet- und Contentbedrohungen im Überblick


Auf Mobilgeräten ist die Wahrscheinlichkeit, dass Anwender URLs in Phishing-Nachrichten anklicken, die zu präparierten Websites führen, weitaus höher als bei Desktop-PCs.

Beispiele für webbasierte Bedrohungen umfassen präparierte Webseiten, die Downloads auslösen oder bei denen das Gerät über Exploits direkt ausgenutzt wird. Präparierte URLs werden am häufigsten über Phishing-E-Mails oder SMS-Nachrichten übermittelt.

MobileIron

1 von 10 Geräten in unserem Netzwerk privat genutzter Geräte hat im letzten Jahr eine Phishing-URL besucht.


Software-Schwachstellenaddremove
App-Schwachstellen

Auch namhafte Softwarefirmen veröffentlichen mitunter Apps, die Schwachstellen enthalten.

clear

App-Schwachstellen im Überblick


Apps für Mobilgeräte haben ebenso wie PC-Softwareanwendungen Schwachstellen. Bei den Apps stellen diese Schwachstellen jedoch ein weitaus größeres Problem dar, weil die meisten Apps direkt von den Anwendern ausgewählt und von eher kleinen Teams entwickelt werden. PC-Anwendungen hingegen werden meistens von großen Softwarefirmen entwickelt und vor dem Einsatz von der IT geprüft.

Die Tragweite dieser Risiken wird im Mobile Top 10-Bericht 2016 der Organisation Open Web Application Security Project (OWASP) bestätigt. Laut dem Bericht gehört „ein minderwertiger Code“ zu den Top 10 mit regelmäßiger Häufigkeit auftretenden Risiken.”

Beispiele für Schwachstellen von Mobilgeräte-Apps umfassen Fehler bei der Codeanalyse. Sie ermöglichen das Ausführen von Codes per Fernanbindung basierend auf präparierten Dateneingaben und die Übernahme der Anwendung.

Zitat

Mitarbeiter des Lookout Security Intelligence-Teams haben zahlreiche populäre Android- und iOS-Unternehmensanwendungen umfassend analysiert und verschiedene Schwachstellen identifiziert, die es Widersachern nicht nur ermöglichen, die dem App-Nutzer angezeigten Daten zu kompromittieren, sondern auch das Cloudservice-Konto des Opfers sowie alle damit verknüpften Informationen zu hacken.


Geräteschwachstellen

Das Zeitfenster für einen Angriff ist der Zeitraum von der Veröffentlichung eines neuen Patch bis zu dessen Implementierung.

clear

Geräteschwachstellen im Überblick


Mobilgeräteschwachstellen werden durch die wachsende Zahl bekannter Schwachstellen definiert. Sowohl Google als auch Apple veröffentlichen jeden Monat Sicherheitsbulletins mit einer detaillierten Beschreibung der wachsenden Anzahl von Patches für im Vormonat entdeckte neue Geräteschwachstellen. Fast jede Benachrichtigung über „Software-Updates“ umfasst Sicherheits-Updates zur Behebung neuer Schwachstellen.

Schwachstellen, die von der Sicherheits-Community nicht vorab gefunden werden, können zu Zero-Day-Exploits vonseiten professioneller, auf Spionageangriffe spezialisierter Organisationen führen. Ein Beispiel ist die Trident-Sicherheitslücke und die ursprünglich von Lookout entdeckte Pegasus-Spyware der NSO Group.

Unternehmen können das mit Geräteschwachstellen verbundene Risiko durch die Beobachtung der „Schwachstellen-Halbwertszeit“ messen. Die Halbwertszeit ist der Zeitraum zwischen der Veröffentlichung eines neuen Patches bis zu dessen vollständiger Implementierung in der Mobilgeräteflotte. Das Zeitfenster für einen Angriff ist bei BYOD-Mobilitätsprogrammen generell größer als bei COPE-Programmen. Android-Geräteflotten bieten darüber hinaus ein größeres Angriffsfenster als Flotten mit iOS-Betriebssystem. iOS 10 wurde beispielsweise in nur acht Monaten von über 90 % der Anwender implementiert.

Geräteschwachstellen

Laut der Statistik unseres Netzwerks privat genutzter Geräte (Stand vom 14. April 2017) haben:

Nur 43 % unserer iOS-Anwender ihre Betriebssysteme über die Version 10.3 hinaus aktualisiert.


Netzwerkschwachstellen

Mobilgeräte sind einer größeren Zahl bösartiger Netzwerke ausgesetzt als Laptops und haben ein geringeres Schutzniveau.

clear

Netzwerkschwachstellen im Überblick


Schwachstellen von Mobilgerätenetzwerken basieren auf Software- oder Hardware-Sicherheitslücken der Netzwerkports des Geräts bzw. der Geräte-Apps und erhöhen die Anfälligkeit von Mobilgeräten. Die Heartbleed-SSL-Schwachstelle und Netzwerktreiberfehler des Betriebssystems, die das Ausführen eines Codes per Fernzugriff ermöglichen, sind Beispiele hierfür.

Im Rahmen eines kürzlich auf der Black Hat Asia gehaltenen Vortrags demonstrierten Forscher, wie „ein iOS-Gerät per Fernzugriff über WLAN ohne Interaktion des Anwenders und durch vollständiges Umgehen der iOS-Sandbox ausspioniert werden kann“. Apple hat zudem jüngst ein iOS-Patch für die Version 10.3.1 veröffentlicht, das einen Codeausführungsfehler behebt, der über WLAN ausgenutzt werden kann. Diese Schwachstelle ermöglicht es „einem Angreifer in unmittelbarer Nähe eines anfälligen Geräts, eine Sicherheitslücke im iOS-Stack-Buffer-Overflow auszunutzen und einen willkürlichen Code über WLAN auszuführen“.

Für Unternehmen läuft dies darauf hinaus, dass Schwachstellen in mobilen Netzwerken ein Risiko darstellen. Dieses Risiko ist hauptsächlich auf die Nutzung öffentlicher WLAN-Netze zurückzuführen, wenngleich öffentliches WLAN für bestimmte Exploits keine Grundvoraussetzung ist.

Netzwerkschwachstellen

57 % der Lookout Personal iOS-Anwender haben den neuesten WLAN-Patch nicht installiert (basierend auf den Updatezahlen für iOS-Betriebssysteme, Stand vom 14. April 2017).


Internet- und Contentschwachstellen

Kompromittierte Inhalte wie Videos und Fotos können einen unbefugten Gerätezugriff ermöglichen.

clear

Internet- und Contentschwachstellen im Überblick


Im Prinzip machen alle manipulierten Inhalte, einschließlich Websites, Videos und Fotos, Mobilgeräte anfällig für gezieltes Ausspionieren von Anwendungs- oder Betriebssystemkomponenten und somit für einen unbefugten Gerätezugriff.

Das bekannteste Beispiel ist Stagefright. Eine Internetschwachstelle, die von .MP3- und .MP4-Videodateien ausgenutzt wird, um sich Zugriff auf die medienverarbeitenden Android-Bibliotheken zu verschaffen und anschließend vektorübergreifende Angriffe auszuführen – etwa durch MMS-Nachrichten oder beliebige Kanäle wie Downloads von Dateien aus dem Internet, bei denen Mediendateien verarbeitet werden.

Trident, das eine Safari-Schwachstelle des iOS-Betriebssystems ausnutzt, um die Nutzlast der Pegasus-Spyware zu übermitteln, ist ein weiteres Beispiel.

Mobilgeräte-Exploits bauen generell darauf auf, dass Anwender unzureichend über die Sicherheit auf mobilen Plattformen informiert sind und folglich bösartige E-Mail- oder MMS-Nachrichten antippen, die Internetschwachstellen ausnutzen.

Zitat

Ein weiteres Beispiel ist Trident, das eine Safari-Schwachstelle des iOS-Betriebssystems ausnutzt, um die Pegasus-Spyware zu übermitteln.


Verhalten und Konfigurationenaddremove
App-Verhalten und -konfigurationen

Mobile Apps können den Abfluss von Daten, beispielsweise von Kontaktdaten, begünstigen.

clear

App-Verhalten und -konfigurationen im Überblick


Das Verhalten und die Konfigurationen unsicherer Apps, die auf Unternehmensdaten zugreifen, können zu potenziellen Datenlecks führen. Datenlecks haben aber nicht nur schwerwiegende Folgen für das Unternehmen, sie können außerdem ein beträchtliches Compliance-Risiko darstellen. Beispiele sind Apps, die auf sensible Unternehmensdaten und öffentliche, cloudbasierte Speicherdienste ohne unternehmensspezifische Sicherheitskontrollen zugreifen. Auch Apps, die Zugriff auf Daten haben, für die Compliance-Anforderungen gelten – etwa auf Kreditkartendaten oder personenbezogene Angaben – und keinen angemessenen Schutz für die Verwendung, Übertragung und Speicherung dieser Daten bieten, gehören zu dieser Kategorie.

App-Verhalten und -konfigurationen

aller Apps greifen auf die Kontakte durch Lookout abgesicherter iOS-Unternehmensgeräte zu.


Geräteverhalten und -konfigurationen

USB-Debugging für Android oder das Installieren von Apps aus nicht offiziellen App-Stores.

clear

Geräteverhalten und -konfigurationen im Überblick


Die mit den Geräteverhalten und -konfigurationen verbundenen Risiken sind vornehmlich auf die Verwendung „gejailbreakter“ oder „gerooteter“ Mobilgeräte oder einfach auf deaktivierte Geräte-Sicherheitscodes zurückzuführen.

Weitere Beispiele für Gerätekonfigurationsrisiken umfassen das USB-Debugging bei Android-Geräten, die Installation von Apps aus nicht offiziellen App-Stores sowie bestimmte Einstelloptionen unternehmensspezifischer iOS-Konfigurationsprofile.

Zitat

Nur 1 von 1.000 unserer unternehmenseigenen iOS-Geräte ist von Jailbreaking betroffen.

5 von 1.000 unserer unternehmenseigenen Android-Geräte sind gerootet.


Netzwerkverhalten und -konfigurationen

Falsch konfigurierte Router, unbekannte Captive Portals oder Inhaltsfilterung.

clear

Netzwerkverhalten und -konfigurationen im Überblick


Risiken in Bezug auf Netzwerkverhalten und -konfigurationen entstehen beispielsweise, wenn Mitarbeiter auf öffentliche WLAN-Netze zugreifen. Je wahlloser User Verbindungen zu öffentlichen WLAN-Netzen herstellen, umso größer ist das Risiko für die Unternehmensdaten. Die Nutzung „kostenloser“ WLAN-Netze in Flughäfen, Hotels, oder Cafés kann schnell dazu führen, dass Verbindungen zu Websites ohne SSL-Verschlüsselung hergestellt werden. Das bedeutet, dass Daten – etwa bei der Anmeldung in einer Banking-App – nicht verschlüsselt werden.

Auf Dienstreisen stehen Mitarbeiter oft unter Zeitdruck und können unbeabsichtigt eine Verbindung zu einem falschen WLAN-Netzwerk, einem unbekannten Captive Portal oder einem Netzwerk herstellen, das den Datenverkehr zwecks Inhaltsfilterung entschlüsselt.

Machen sich Anwender die mit dem Einsatz von Mobilgeräten verbundenen Risiken nicht bewusst oder nutzen ihre Geräte nicht ordnungsgemäß, kann dies zu erheblichen ungewollten Abfluss von Unternehmensdaten führen.

Zitat

Laut Daten von LinkNYC waren zwischen Februar 2016 und Februar 2017 1.256.450 Geräte mit dem kostenlosen WLAN-Netz der Stadt New York verbunden, das entspricht ungefähr jedem siebten Einwohner der Stadt.


Internet- und Contentverhalten und -konfigurationen

Websites, die Anmeldedaten nicht verschlüsseln oder Datenlecks haben.

clear

Internet- und Contentverhalten und -konfigurationen im Überblick


Mit Internet- und Contentverhalten und -konfigurationen verknüpfte Risiken können unter einem bestimmten Mitarbeiterverhalten zusammengefasst werden: Dem regelmäßigen Öffnen von E-Mail-Anhängen unbekannter Absender bzw. dem Anklicken von Links in SMS-Nachrichten oder anderen Messaging-Apps.

Die Anhänge können alle möglichen Arten von Inhalten enthalten, allgemein handelt es sich aber um Mediendateien. Beim Zugriff auf diese Dateien werden Unternehmen einem untragbaren Risiko ausgesetzt, das zu einer potenziellen Ausnutzung von Schwachstellen führen oder die Compliance gefährden kann.

Zitat

Zu den gängigsten Beispielen gehört der Besuch von Websites, die Anmeldedaten nicht verschlüsseln oder Unternehmensdaten ungewollt abfließen lassen.


Wahrscheinlichkeit und Auswirkungen

Schützen Sie Ihr Unternehmen

Berücksichtigen Sie bei der Erweiterung Ihres Sicherheitskonzepts für mobile Geräte als nächsten Schritt die einzelnen Elemente der Matrix für mobile Risiken und entwickeln Sie eine auf Ihr Unternehmen abgestimmte Risikomanagementstrategie.

Im Beispiel links sehen Sie eine Global-2000-Bank. Ihr Risiko für Netzwerkbedrohungen ist besonders hoch, wenn Mitarbeiter auf Dienstreisen manipulierte WLAN-Verbindungen nutzen.  Zudem ist sie durch auto-rooting Android-Malware gefährdet. Lesen Sie die Fallstudie, um zu erfahren, wie sich diese Global-2000-Bank nicht nur Transparenz über diese Risiken verschaffte sondern sie anschließend mit Lookout Mobile Endpoint Security auch minimierte.

Fallstudie lesen

User und mobile Sicherheit

Bei vielen Risiken für mobile Plattformen ist die Interaktion mit dem User erforderlich, damit sie ausgeführt werden können. User-manipulierende Phishing-Angriffe zählen in dieser Hinsicht zu den häufigsten Interaktionen.

Das Phishing auf Mobilgeräten ist effektiver als auf PCs, da der Mobildatenverkehr (im Gegensatz zum PC-Datenverkehr in Unternehmen) nicht über ein sicheres Netzwerk-Gateway geleitet wird. Mobile Browser verbergen nicht nur die Website-URLs in der Adressleiste, während der Anwender auf dem Bildschirm scrollt, sondern sie limitieren auch die in der Adressleiste angezeigten Zeichen in Abhängigkeit von der Bildschirmbreite.

Mobilgeräte können die Erfolgschancen für Social Engineering- und Phishing-Angriffe für eine ganze Reihe der auf dieser Seite beschriebenen mobilen Risiken erhöhen. Diese Erkenntnis ist von zentraler Bedeutung.

Die Bandbreite mobiler Risiken:

Sämtliche Risiken von Mobilität für Unternehmensdaten im Überblick

Lookout hat eine Matrix für mobile Risiken entwickelt, die Unternehmen einen Überblick über die Bandbreite mobiler Risiken bietet und die Häufigkeit und Auswirkungen mobiler Bedrohungen und Schwachstellen veranschaulicht.

Lesen Sie diesen exklusiven Forschungsbericht, der auf einzigartig umfangreichen globalen Informationen von Lookout zu Bedrohungen basiert und detaillierte Einblicke in Risiken für mobile Plattformen vermittelt.


Analyst Report Bericht herunterladen

Mobile Risk Assessment

Informieren Sie sich über Ihre mobilen Risiken und über mögliche Compliance-Verletzungen

Füllen Sie diesen Online-Fragebogen zum Thema „Mobile Risk“ aus und verschaffen Sie sich Klarheit darüber, wie hoch Ihre Risikostufe aufgrund Ihrer Mobilitätsrichtlinien und der bei Ihnen üblichen Kontrollen (zum Beispiel EMM) ist. Diese Analyse beruht auf der „Matrix für mobile Risiken“, die die Risiken durch verschiedene Bedrohungen, Software-Schwachstellen sowie riskante Verhaltensweisen und Konfigurationen für sämtliche Angriffsvektoren auf Mobilgeräten darstellt.

Beantworten Sie 20 Fragen zum Mobilitätsstatus Ihres Unternehmens und erhalten Sie eine individuelle Analyse Ihrer DSGVO-Compliance- und Geschäftsrisiken hinsichtlich personenbezogener Daten.

Sichern Sie sich Ihr „Mobile Risk Assessment“


Fakten zur mobilen Sicherheit


Das mobile Unternehmen: Wenn schädliche Apps, Phishing und Malware nicht die größten Risiken sind

In diesem datengestützten Bericht erhalten Sie einen umfassenden Überblick über die reale...

Analyst Report Bericht lesen


eBook Kapitel 1: Was ist Mobile Security?

Dieses eBook bietet Ihnen u. a. exklusive Umfragedaten aus Ihrer Branche vom Analystenhaus ESG...

Whitepaper EBOOK HERUNTERLADEN


Global 2000 Bank Fallstudie

Lesen Sie die Fallstudie, um zu erfahren, wie Lookout bei einer Forbes Global-2000-Bank für...

Fallstudie Fallstudie lesen

Fordern Sie eine Demo an und erfahren Sie, was Lookout für Sie tun kann.

Kontaktieren Sie uns call_made

close
Um Ihnen ein optimales Benutzererlebnis zu bieten, nutzt diese Website Cookies. Durch die Nutzung unserer Website erklären Sie sich damit einverstanden, dass sie Cookies verwendet. Mehr erfahren