Sicherheit für mobile Geräte: Worauf Unternehmen achten müssen

Was ein Smartphone oder Tablet für die Arbeit so attraktiv macht, ist dessen unschlagbare Fähigkeit, Informationen schnell, einfach und direkt auszutauschen. Das geschieht über Schnittstellen wie Bluetooth, GSM, USB, GPS oder NFC. Mobilgeräte sind üppig damit bestückt. Diese Schnittstellen sind aber zugleich potenzielle Schlupflöcher für Attacken von außen. Angreifer können diese ausnutzen, um sensible Daten an sich zu bringen.
Patrick Hevesi, der Autor dieses Beitrags, ist Research Director bei Gartner für Technical Professionals (GTP) im Security and Risk Management Team. Hevesi deckt die Bereiche Mobilfunk, Netzwerk und Infrastruktur ab. Er verfügt über mehr als 15 Jahre Erfahrung in der Informationssicherheit, unter anderem als CISO, Sicherheitsarchitekt und Sicherheitsleiter (Bild: Gartner).

Löcher in Bluetooth

Im Jahr 2017, entdeckte Armis Labs einen Bluetooth-basierten Angriffsvektor namens „BlueBorne“, der es auf iOS-, Android-, Linux und Windows-Geräte abgesehen hatte. Dieser Angriff nutzte Schwachstellen in Bluetooth-Protokollen aus und konnte sich so auf nahegelegene Geräte ausbreiten. Einen Bestätigungscode – wie bei Bluetooth-Übertragungen üblich – mussten sie nicht akzeptieren.

Durch ein schnelles Sicherheitsupdate konnte „BlueBorne“ zwar schnell ausgesperrt werden. Der Vorfall zeigt jedoch, welche Risiken in den Schnittstellen stecken. Es lässt sich kaum absehen, welche anderen Schwachstellen bei Bluetooth, Wi-Fi oder Mobilfunkverbindungen noch zu Tage treten könnten. Immer wieder kommt es zu Vorfällen:

• Ein Exploit führte dazu, dass der Encryption Standard RC4, der die Daten verschlüsseln und sichern soll, bereits Jahre bevor es der Entwickler (RSA) für möglich gehalten hatte, veraltet war.
• Key Reinstallation Attacks (KRACKs) wirkten sich massiv auf WPA2 (Wi-Fi Protected Access) aus. Dabei wird eine Designschwäche des Vier-Wege-Handshakes ausgenutzt, die die Entschlüsselung übertragener Datenpakete sowie weitere Angriffe ermöglicht.

Schutz vor Risiken dieser Art verspricht eine End-to-End-Verschlüsselung auf mobilen Geräten, wie sie bei Android-, iOS- und Universal Windows Platform (UWP)-Geräten verwendet wird. Auch ein Zertifikat Pinning ist hilfreich, um einen Ausfall der Link-Level-Verschlüsselung, also der Verschlüsselung von Daten zwischen Sender und Empfänger, wie bei KRACKs zu verhindern.

Ansteckung aus dem Unternehmensnetz

Zusätzlich drohen den Mobilgeräten Gefahren aus dem Unternehmensnetzwerk – wie jedem anderen Computer, der damit vernetzt ist. Untersuchungen der National Vulnerability Database fanden Schwachstellen für nahezu alle Plattformen mobiler Geräte. Bei den meisten handelt es sich um Denial-of-Service-Schwachstellen, lokale Schwachstellen oder solche, die die Unterstützung des Benutzers bei der Installation von Malware benötigen. Einige Lücken ermöglichen es einem Angreifer auch, die externe Ausführung von Malware auf einem Gerät zu veranlassen. Manchmal kombinieren Hacker auch verschiedene Techniken bei ihren Angriffen.

Obwohl mobile Plattformen Unternehmen einen gewissen Schutz vor Angriffen auf Geräteebene bieten, ist die Sicherheit der Daten während der Übertragung weitestgehend von den verwendeten Protokollen abhängig. Für den TCP/IP-Verkehr stehen sichere Protokolle und ausgereifte Netzwerkstacks zur Verfügung. Die Sicherheit des SMS- und Sprachverkehrs hängt wiederum von den Stärken des Global System for Mobile Communications (GSM) und seiner Erweiterungen ab, die auch bereits diversen Angriffen ausgesetzt waren. Im September 2015 wurde z.B. eine Schwachstelle im AirDrop-Protokoll auf iOS 8.4.1 entdeckt, die es Hackern ermöglichte, Malware über die Bluetooth-Verbindung zu installieren. Im Jahr 2017 entdeckten Forscher Schwachstellen im Protokoll Signaling System 7 (SS7), das von Mobilfunkbetreibern für die Mobilfunkkommunikation verwendet wird. Diese Schwachstellen ermöglichten es Hackern, Codes für die Zwei-Faktor-Authentifizierung im Online-Banking zu stehlen

Aber auch spezielle Schnittstellen wie GPS oder Gyroskop- und Fitnesssensoren geraten in die Aufmerksamkeit der Angreifer. Zum Beispiel nutzen sie GPS-Koordinaten, um spezifische Angriffe auf Benutzer in bestimmten Regionen zu richten.

Risikofaktor Mitarbeiter

Nicht immer sind es die technischen Schwachstellen, die den Angriffen Tür und Tor öffnen. Durch Social Engineering und Phishing-Attacken können sich Hacker Zugang zu Mobilgeräten verschaffen und darüber die Firma ausspionieren. Skycure berichtet beispielsweise, dass ein Benutzer durch Social Engineering oder einen Phishing-Angriff ein neues Konfigurationsprofil auf einem iOS-Gerät installieren kann. Das Schadprofil kann dann ein vertrauenswürdiges Root-Zertifikat zusammen mit einer VPN-Konfiguration enthalten, die eine Fernsteuerung, Überwachung und Manipulation der Benutzeraktivität und das Abfangen aller Sitzungen des Geräts ermöglicht. Apple hat Patches veröffentlicht, die den Angriff zwar erschwert haben, dieser kann aber immer noch durch zusätzliche Social Engineering Taktiken durchgeführt werden. Diese Art von Angriffen sind auf den meisten mobilen Geräten erfolgreich.

Erste Schutzmaßnahme: Wissen was droht

Beim Kampf gegen Hacker gilt es, den Angreifern stets einen Schritt voraus zu sein – das gilt auch für den Schutz der Mobilgeräte. Und um Angriffe zu verhindern, müssen Unternehmen zunächst und vor allem wissen, welche Gefahren „da draußen“ drohen. Darüber hinaus hilft es sicherlich, diese allgemeinen Tipps zu beherzigen:

• Verzichten Sie auf veraltete Geräte, denn diese können Exploits enthalten, die keiner mehr auf der Rechnung hat; außerdem fehlen bei ihnen oft wesentliche Sicherheits- und Verwaltungskontrollen. Die Mobilgeräte für den Unternehmenseinsatz sollten auf jeden Fall Funktionen wie Richtlinienverwaltung und regelmäßigen Erhalt von Sicherheitsupdates unterstützen.
• Betten Sie die Sicherung der Mobilgeräte in Ihr Gesamtkonzept ein. Die Risikominderung bei Datenlecks ist dabei wichtiger als die Bekämpfung von Malware auf mobilen Geräten. Beginnen Sie mit der Evaluierung und Einführung von MTD-Produkten (Mobile Threat Defense) in Unternehmen, die ein höheres Schutzniveau für Apple iOS- und Google Android-Geräte bieten. MTD-Produkte nutzen zur Bedrohungsabwehr eine Mischung aus Schwachstellenmanagement, Anomalieerkennung, Verhaltensprofiling, Code-Emulation, Intrusion Prevention, Host-Firewalling u.a. um mobile Geräte und Anwendungen vor entsprechenden Bedrohungen zu schützen.
• Stellen Sie sicher, dass vollständige Endpoint Protection-Plattformen (EPPs) für Windows-Geräte bereitgestellt werden. EPP bieten umfassende Lösungen zum Schutz verschiedener Endgeräte in der Unternehmensumgebung. Vielen Angriffen und Gefahren wird der Wind aus den Segeln genommen, wenn das Unternehmen gewappnet ist und die Angriffsfläche von Anfang möglichst begrenzt.