Warum die Einbindung von Smartphones im Geschäftsalltag nicht zuletzt mit neuen Gefahren einhergeht, ist im letzten Beitrag deutlich geworden. Nun möchten wir aufzeigen, wie sich verhindern lässt, dass die Mobiltelefone der Mitarbeiter zum Angriffsvektor werden.
Regeln setzen und Bewusstsein schaffen
So sollten zunächst Richtlinien festgelegt werden, nach denen kritische Zugangsinformationen wie Passwörter, private Zertifikate und andere Zugangstoken nicht über E-Mail- oder Messenger-Dienste versendet werden dürfen. Wichtige Daten wie diese sollten immer separat geschützt werden, zum Beispiel durch einen Passwortmanager. Zudem ist wichtig, den Nutzern klar zu vermitteln, wie Angreifer die Kontrolle über ihre Telefone erlangen können. Wenn der Mitarbeiter oder die Mitarbeiterin weiß, worauf es zu achten gilt – etwa einen verdächtigen Link von einem unbekannten Absender – wird er bzw. sie die Gefahr viel besser von selbst erkennen und sowohl sich als auch das Unternehmensnetzwerk entsprechend schützen. Wenn außerdem in der Belegschaft bekannt ist, dass Spyware von Apps aus dem Google Play Store oder dem Apple App Store stammen kann, führt dies hoffentlich dazu, dass der einzelne Nutzer vor dem Download einer beliebigen App genau hinschaut. In dem Zusammenhang muss meist gar nicht viel Geld oder Zeit für spezielle Schulungen investiert werden. Oft genügt es bereits, die Benutzer über neue Angriffsmethoden, die ihre Telefone betreffen könnten, auf dem Laufenden zu halten. So kann etwa der jüngste Artikel über die „Pegasus“-Spyware zur Pflichtlektüre vor der Nutzung des Smartphones im Unternehmensnetz gemacht werden.
Einschlägige Security-Best-Practices nutzen
Vor allem mit zwei grundlegenden Sicherheitsmaßnahmen – die über alle Benutzer hinweg Anwendung finden sollten, unabhängig davon, ob sie ihr Smartphone oder einen Firmencomputer benutzen – lässt sich die Angriffsfläche eines Netzwerks drastisch reduzieren. Eine konsequente Multifaktor-Authentifizierung schützt effektiv vor Passwortdiebstahl und Phishing-Angriffen. Die Umsetzung eines Zero-Trust-Modells sorgt wiederum dafür, dass Benutzer nur Zugang zu den Servern und Anwendungen erhalten, die sie für ihre Arbeit benötigen. Bei allem anderen wird der Zugriff verweigert. Auf diese Weise kann sichergestellt werden, dass sich ein Eindringversuch nicht ohne Weiteres über andere Abteilungen und Dienste fortsetzt.
Eine gängige Empfehlung ist zudem, nur Smartphones den Zugang zum Unternehmensnetz zu gestatten, die nicht „gerootet“ oder „gejailbreakt“ wurden und dadurch weniger Angriffsfläche bieten, um Malware zu „verstecken“ (Hintergrund: Nach dem Rooten oder Jailbreak wird die Integrität des Betriebssystems nicht mehr überprüft.). Im Fall von Spyware hilft eine solche Restriktion jedoch nur bedingt. Vielmehr besteht sogar die Gefahr, dass die Mitarbeiter und Mitarbeiterinnen sich in falscher Sicherheit wiegen. Auf Android-Smartphones können beispielsweise auch ohne Rooten inoffizielle Apps von außerhalb des Google Play Stores installiert werden – und mit diesem sogenannten „Sideloading“ geht das Risiko einer Spyware-Infektion Hand in Hand. Zudem kann es auch schwierig werden, Nutzern, die gleichzeitig Eigentümer der Telefone sind, individuelle Anpassungen komplett zu untersagen. Dies kann nicht zuletzt den unerwünschten Effekt haben, dass sie ihr Smartphone gar nicht mehr für berufliche Zwecke nutzen. Hier muss jedes Unternehmen für sich abwägen und das individuell geeignete Vorgehen finden.
Und ganz egal ob Spyware oder der versehentliche Download einer bösartigen App: Es geht vor allem darum, ein zunehmendes Bewusstsein zu schaffen – ganz ohne erhobenen Zeigefinger. Wichtig ist, dass Mitarbeiter eventuelle Fehler erkennen und Probleme den zuständigen Experten mitteilen. Schließlich darf nicht vergessen werden, dass nicht jeder über die Sicherheitsexpertise verfügt, um Spyware auf seinem Smartphone sofort zu erkennen. Entsprechend sollten Richtlinien definiert werden, mit denen sichergestellt ist, dass auch Laien sich wohl fühlen, potenzielle Verdachtsmomente zu äußern und Fragen zu stellen. Die hier aufgeführten Tipps können dazu beitragen, spezifische Sicherheitslücken zu schließen und eine klar definierte Schranke zwischen dem Unternehmensnetz und der Außenwelt zu schaffen.
, WatchGuard
Quelle: WatchGuard Blog
Firma zum Thema
Fachartikel
ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee
Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite
Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS
CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen
Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien
Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum
2023 State of the Cloud Report
Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen
BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher
Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper
Aufkommende Trends in der externen Cyberabwehr
Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen
Aktueller Datenschutzbericht: Risiko XXL am Horizont
Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen
TXOne Networks und Frost & Sullivan veröffentlichen Jahresbericht 2022 über aktuelle Cyberbedrohungen im OT-Bereich
Unter4Ohren
Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS
DDoS – der stille Killer
Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen
Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
