•  

Sensible Informationen via Smartphone: Der richtige Ansatz zum Schutz vor Datendiebstahl

Philipp Mühlenkord, Diligent/Brainloop

Das Smartphone ersetzt heute oft den traditionellen Arbeitsplatz und wird zum mobilen Büro. Vorstände und Manager können auf diese Weise beispielsweise kurzfristig auf bestimmte Entwicklungen reagieren oder Entscheidungen treffen. Wo auf der einen Seite jedoch Praktikabilität und Zeitersparnis gute Argumente sind, vom Mobiltelefon aus zu arbeiten, muss man sich auf der anderen Seite die Risiken dieser Arbeitsweise vor Augen führen. Wie groß ist die potenzielle Gefährdung der Datensicherheit? Philipp Mühlenkord, Marketing Director, DACH, Diligent/Brainloop, über die Vorteile und Risiken des Datenaustauschs via Smartphone.

Vorstände, Aufsichtsräte und Manager sind vor allem auf ihr Smartphone angewiesen, wenn sie unterwegs sind. Einerseits können sie dadurch ihre Reisezeit produktiver nutzen, ohne gleich den Dienst-Laptop aufbauen zu müssen. Andererseits sind sie für den Ernstfall direkt erreichbar. Einige Situationen erfordern eine schnelle Reaktionszeit von Führungskräften und Aufsichtsgremien, wie zuletzt während der Corona-Krise: Aufgrund der bundesweit verhängten Ausgangs- und Kontaktbeschränkungen, mussten Vorstände und Manager kurzfristig Entscheidungen treffen und Änderungen im Betriebsablauf veranlassen – zum Beispiel in Bezug auf Meetings, Veranstaltungen, dem Wechsel ins Homeoffice, technische Umorientierung oder Dienstreisen.

Eine solch schnelle Reaktionszeit im Rahmen kritischer Entscheidungen ist jedoch nur möglich, wenn Vorstände, Manager und Aufsichtsräte die nötigen Unterlagen schnellstmöglich erhalten. Über den digitalen Weg lassen sich beispielsweise die Unterlagen für die anstehende Aufsichtsratssitzung ganz einfach versenden. Selbst wenn sich eines der Mitglieder gerade im Zug auf dem Weg zum Treffpunkt befindet kann er oder sie wenn nötig die Dokumente sogar auf dem Smartphone während der Fahrt durchgehen.

Unternehmen setzen neben E-Mail immer mehr auf Messenger

Mittlerweile hat Instant Messaging das Telefon und die E-Mail als bevorzugtes Kommunikationsmittel abgelöst. Laut einer Studie von YouGov und MessengerPeople bevorzugen 79 Prozent der Befragten seit der Corona-Krise Messenger-Apps – zum Beispiel über WhatsApp, Telegram oder den Facebook Messenger –, um mit Freunden und Familie Kontakt zu halten. WhatsApp berichtete in diesem Jahr, dass bereits zwei Milliarden Nutzer die App auf ihrem Smartphone installiert haben. Auch Unternehmen haben die Vorteile von Instant Messaging – zum Beispiel in Form von Slack – für sich entdeckt, da sie einen wesentlich schnelleren Informationsaustausch begünstigen. Dennoch gilt die die E-Mail auch heute noch als primäres, unverzichtbares Kommunikationsmittel in Unternehmen – sowohl für die interne als auch die externe Kommunikation. Laut einer Statistik der E-Mail-Provider Web.de und GMX, ist die E-Mail-Nutzung via Smartphone während der Corona-Krise gestiegen: Die Einsicht in das Mail-Konto um 20 Prozent, das Versenden vom Mobilgerät um 30 Prozent.

Potenzielle Risiken bei der mobilen Arbeit via Smartphone

Doch neben den Vorteilen des mobilen Arbeitens steigt mit jedem Endgerät auch das Risiko von Datenpannen und schwerwiegenden Compliance-Verstößen. Gelangen geistiges Eigentum oder sensible Informationen in die falschen Hände, kann das verheerende Folgen haben: Vom Diebstahl und Weiterverkauf der Informationen über juristische Maßnahmen aufgrund von Vertragsverletzungen hin zu Bußgeldern wegen Nichteinhaltung von Regularien. Dafür müssen die Besitzer nicht einmal ihr Gerät verlieren oder Opfer eines Diebstahls sein. Wo liegen also die Gefahren, denen sich Aufsichtsräte aussetzen, wenn sie Mailing- und Messenger-Dienste nutzen?

Eine der häufigsten Fehlerquellen beim E-Mail-Versand besteht in der falschen Eingabe des Adressaten. Besonders beim Smartphone, das beim Eintippen des Empfängers passende Kontakte aus dem internen (privaten) Adressbuch vorschlägt, ist die Gefahr hoch, die falsche Person auszuwählen. Der Absender bemerkt diesen Fehler zumeist erst dann, wenn es zu spät ist. Handelt es sich beim Versandinhalt um vertrauliche Informationen, kann der potenzielle Schaden erhebliche rechtliche Folgen nach sich ziehen.

Das BSI verkündete im April einen Anstieg von Cyber-Angriffen mit Bezug auf die Corona-Pandemie. Diese Angriffe schließen Mail-Spoofing mit ein. Dabei machen sich Angreifer Schwachstellen in E-Mail-Protokollen zunutze, um den Anschein eines vertrauenswürdigen Absenders zu erwecken. Auf Smartphones ist diese Methode besonders leicht zu übersehen, da in mobilen Mail-Anwendungen oftmals nur der Name des Absenders zu sehen ist und nicht die vollständige Mail-Adresse. Mail-Spoofing kommt vor allem bei Phishing-Attacken zum Einsatz. Angreifer versuchen auf diese Weise Daten abzugreifen: Sie senden einen Link zu einer Webseite, auf der die Betroffenen persönliche Daten angeben sollen.

Solche Phishing-Versuche können ebenso über Instant Messenger erfolgen, sobald der Angreifer im Besitz der Handynummer ist: Dieser schickt als Bekannter getarnt die Aufforderung, ihm einen Code zuzusenden, den man per SMS erhält. Dabei handelt es sich um einen Verifizierungscode, der dem Angreifer die Kontrolle über das betroffene WhatsApp-Konto überträgt. Die Gefahr dabei: Angreifer greifen auf diese Weise nicht nur sensible Informationen ab, sondern nutzen solche Schwachstellen in der Anwendung, um die Messenger-Konten vollständig zu kapern, Kontakte und alte Nachrichten einzusehen und neue Nachrichten zu schreiben.

Mit dem richtigen Messenger zum sicheren Informationsaustausch

Kommunikationskanäle wie E-Mail- und Messenger-Dienste eignen sich vorrangig nicht für den Austausch vertraulicher Daten, sensibler Informationen und geistigen Eigentums. Stattdessen sollten Unternehmen auf einen eigens dafür entwickelten Dienst setzen, der folgende Voraussetzungen erfüllt:

Erstens müssen sie über einen geschützten Bereich verfügen, über den sich Mitglieder des Vorstandes und des Aufsichtsrats austauschen und spezielle Kontakte und Gruppen anlegen können, die für den Empfang sensibler Inhalte vorgesehen sind. Zweitens müssen solche Anwendungen die Möglichkeit bieten, Nachrichten widerrufen zu können, um im Falle eines fälschlich angegebenen Empfängers die entsprechenden Inhalte für diesen unzugänglich zu machen. Außerdem müssen die Besitzer den Zugriff auf die Anwendung per Fern-Zugriff löschen kommen, sollte das Mobilgerät durch einen Diebstahl oder aus einem anderen Grund abhandenkommen,

Mit einem solchen Messenger-Dienst können Anwender das Potenzial mobiler Kommunikation voll ausschöpfen, ohne dass die Datensicherheit darunter leidet.

Autor: Philipp Mühlenkord, Diligent/Brainloop

Diesen Artikel empfehlen