Sicher mobil

Aus der heutigen PC-Landschaft ist Securitysoftware nicht mehr wegzudenken. Windows- und Mac-Rechner können bis ins kleinste Detail konfiguriert und gesichert werden – von Verschlüsselung über Endpointprotection bis zu Netzwerkschutzmechanismen. 82 % der User nutzen Services wie diese. »Am Handymarkt gibt es dieses Bewusstsein erst bei einem Drittel der Nutzer«, weiß Reinhard Holzner, Managing Director Avast Software  Österreich. Der mobile Bereich fristet ein Sicherheitsschattendasein. Die Nachfrage aus der Bevölkerung hält sich in Grenzen: 60 % sehen einen Diebstahl des Geräts als Gefahr Nummer eins. »User nehmen Viren und die Malwarebedrohung auf Handy und Tablet noch nicht wahr. Die Leute sind unsicher, wissen nicht, ab wann sie Vorkehrungen treffen müssen«, ergänzt Ikarus-CEO Josef Pichlmayr. Im Businessbereich dagegen ist mobile IT-Security bereits Faktum. Denn Apps, die mit entsprechendem Aufwand erstellt wurden, können die Betriebsbestimmungen sowohl bei offenen als auch geschlossenen Systemen umgehen. Der Trend zu Mobile wird von drei Faktoren getragen: Tablet, Windows 8 und BYOD (Bring Your Own Device). Einen hundertprozentigen Schutz gibt es laut Symantec bei mobilen Endgeräten nicht. »Mit ›Tür schließen, zusperren und den Schlüssel in die richtigen Hände geben‹ ist jedoch schon viel gewonnen«, empfiehlt Country Manager Ernst Eisner, und stellt eine Studie von Symantec zu verlorenen mobilen Geräten vor. Der Versuch, auf das Gerät zuzugreifen, erfolgt nahezu flächendeckend, bei 89 %
wurden persönliche Daten und Apps geknackt. 83 % der verlorenen Geräte gaben Geschäftsdaten und Apps preis, bei 70 % wurden persönliche und geschäftliche Daten abgerufen. Lediglich bei der Hälfte der Geräte wurde der Besitzer kontaktiert und eine Rückgabe angeboten.

Spielstand 5:2

Mit weltweit mehr als fünf Milliarden mobilen Endgeräten – im Vergleich zu zwei Milliarden Computern – nimmt die Verlagerung zu mobil als primäre Form der Verbindung zu Firmennetzwerken rasant zu. 2014 werden bereits 90 % der Unternehmen Geschäftsanwendungen auf privaten Geräten supporten. Heute nutzen 50 % der Mitarbeiter ihre privaten Rechner, Tablets und Smartphones. »Der Verlust mobiler Geräte und damit oft sensibler Daten kann zur existenziellen Bedrohung werden«, weiß Holzner von Fällen aus Deutschland. Mobile Security ist daher heute aktueller denn je. Viele Endgeräte und Devices sind über IP-Adressen und damit vom gesamten Internet aus erreichbar. Das Gefahrenpotenzial ist dementsprechend hoch und reicht vom Datenmissbrauch bis zum unerlaubten Programmzugriff. Fehlende Sicherungen bergen das Risiko, vertrauliche Daten und Informationen zu verlieren, verbunden mit Zeit und Kosten für die Wiederbeschaffung. Mit BYOD steigt die Komplexität weiter und zusätzlicher Aufwand ist notwendig, um private und berufliche Inhalte zu trennen. Mobile Device Management ist angesagt. »Da auf privat beschafften und genutzten Devices beliebige Software und Applikationen installiert werden können, ist es wichtig, die kritischen Daten und Applikationen im Datacenter zu belassen und den Zugriff darauf intelligent zu monitoren und zu schützen«, betont Martin Mörtinger, Portfolio- & Partner-Manager bei Bacher Systems. Die Angriffsmethoden werden immer raffinierter, die exakte Trennung von Unternehmensdaten und Privatem wird notwendig. Die Lösung kann in der Kontexttrennung liegen, der User wechselt zwischen zwei Oberflächen. Dies kann zum Beispiel durch eine Erweiterung der VDI-Umgebung auf die mobilen Devices erreicht werden. Der Zugriff auf Unternehmensdaten erfolgt aus dem gesicherten virtuellen Bereich, die vertraulichen Daten bleiben gesichert im Datacenter. Technologisch kann viel aufgerüstet werden, für die IT-Experten gilt jedoch vorrangig, auf der Bewusstseinsebene der Nutzer Lücken zu schließen. »Der Anwender muss erkennen, dass er Teil der IT Security ist und verantwortungsvoll mit dem mobilen Gerät umgehen. Und er muss über mögliche Risken informiert werden«, empfiehlt Gerald Friedberger, Software Sales Manager IBM Österreich und Experte zum Thema Security. »Ich kann nicht erwarten, dass Mitarbeiter aus eigenem Antrieb aktiv werden«, ergänzt Ernst Eisner. »Ein Blick zu wenig und schon kann es geschehen sein«, so der Tenor in der Branche.

Generation Smartphone/Tablet

Verschiedene Plattformen, Systeme, Sicherheitsrichtlinien – und das Malwareaufkommen steigt. »Die Cybercrime-Branche boomt, denn hier lässt sich viel Geld verdienen«, so Mörtinger. »Der klassische Virus, der sich im lokalen Netzwerk einer Firma von PC zu PC ausgebreitet hat, ist passé. Heute erfolgen die Angriffe über aktive Netzwerkschnittstellen«, informiert Professor René Mayrhofer, Leiter des Josef-Ressel-Zentrums User-friendly Secure Mobile Environments. Klassische Trojaner bilden für ihn die zweite große Bedrohung. Die mobile Sicherheitslage sieht er generell sehr kritisch. »Die Grundannahme etwa bei Apple lautet, dass alles, was über den Apple Appstore geladen wird, sicher und vertrauenswürdig ist. Das ist jedoch nicht der Fall, wie schon etliche Fälle gezeigt haben. Apple ist gar nicht in der Lage, die ungeheure Zahl an Apps zu kontrollieren.« Zudem gibt es Methoden, bestehende Sicherheitsmechanismen zu umgehen. Bei Android ist die Lage von Haus aus akuter, da es ein offenes Betriebssystem ist, das im Gegensatz zu geschlossenen wie Apple iOS und Windows Phone keine eigenen Sicherheitslösungen und Gatekeeper-Funktionen anbietet.

IT-Schutz für das Smartphone

»Wenn ich nur telefoniere und vielleicht ein ÖBB-Ticket löse, wird im Regelfall kein Problem entstehen. Wenn ich aber viele Apps herunterlade und surfe, empfehle ich dringend ein Virenschutzprogramm für Smartphone«, so Pichlmayr. »Ich muss meinen IT-Fahrstil an mein IT-Fahrverhalten anpassen.« Etwa mit einer mobilen Security, wie auch Avast sie bietet. Damit werden User vor bösartigen Apps geschützt, der User wird gewarnt, wenn er mit Malware infizierte Software herunterlädt und Anruf-/SMS-Filter blocken Anrufe und SMS ungewünschter Nummern. Bei Passwörtern ist Sicherheitsdenken durch Trends wie Cloud Computing, Webmail und internetbasierte Anwendungen mittlerweile unerlässlich. Die mobilen Securitymaßnahmen sind vielfältig. »Verschlüsselung der Devices, starke Authentifizierung beim Zugriff auf Unternehmensdaten, VPN und VDI sind nur einige der Möglichkeiten für Security im mobilen Bereich«, stellt Mörtinger fest. »Voraussetzung ist die Erarbeitung von Richtlinien, wer mit welchen Endgeräten, welchen Applikationen und Firmendaten arbeiten darf. Und es ist zu kontrollieren, ob die Endgeräte den vorgegeben Compliance-Anforderungen entsprechen. Wenn Risken und Defizite festgestellt werden, müssen diese Geräte gesperrt sowie geeignete Wiederherstellungsmaßnahmen vorgeschlagen werden.« Ein reiner AV-Schutz ist für ihn die Last Line of Defense, denn sie schützt nur vor Malware, nicht aber vor Hackingversuchen oder anderen Bedrohungen.

Cybercrime

»Die Medien zeigen meist nur die Spitze des Eisberges, wenn mobile Endgeräte für unerlaubte Sammlung von Daten und Cybercrime missbraucht wurden. Attacken werden aber oft erst durch erfolgreiche Hacks und nach ausgeführtem Datenmissbrauch entdeckt«, stellt Mörtinger fest. Ungebrochen ist laut IBM der Trend, Nutzer über vorgeblich harmlose URLs auf mit Schadprogrammen verseuchte Websites zu locken (»X-Force-Report 2012«). »SMS-Spams sind auch ein klassisches Thema«, so Gerald Friedberger, »ebenso wie die Verbreitung von SQL-Injections.«

Für Ikarus besteht das größte Risiko in der zunehmenden Vernetzung. »Als Orientierungshilfe und Wissensdatenbank ist das Handy ein sicheres Medium«, betont Pichlmayr. »Der Aktionsrahmen wird aber immer größer. Wir öffnen und starten das Auto und die Wohnungstür, erledigen Banktransaktionen. Wenn ich das über mein Handy abwickeln kann, ist das für Kriminelle ebenso möglich. Der Nutzer ist meist nicht hochqualifiziert. Menschen tendieren zu Fehlern – selbst bei einem sicherem Endgerät.« Und er wiederholt die Forderung nach Bewusstseinsbildung für die mobile IT.

>> Anteil der Betriebssysteme bei Smartphones (IDC):

 

 

 

 

 

 

 

 

>> Popularität Android:

 

 

 

 

 

 

 

 

>> Forschung in OÖ:

Das Forschungslabor User-friendly Secure Mobile Environments, u’smile, am Campus der FH Hagenberg arbeitet in den kommenden fünf Jahren an der Verbesserung der Infrastruktur für aktuelle und zukünftige mobile Apps und Services. Weitere Forschungsfragen betreffen den Datenschutz bei Verleih, Verlust oder Diebstahl von Smartphones, die Trennung von privaten und beruflichen Inhalten am selben Gerät und die Wahrung der Privatsphäre.