Vor kurzem habe ich einige Tipps zum praktischen Umgang mit Mobilgeräten am Arbeitsplatz geliefert. Und da dieses Thema sehr umfangreich ist, kommt heute noch ein Schwung weiterer Infos dazu!
Wenn Ihre Bemühungen, Privatgeräte im Netzwerk aufzunehmen, von Erfolg gekrönt waren, werden Sie wahrscheinlich von einer Flut der Begeisterung überrollt und können Sie sich vor weiteren Anfragen kaum noch retten! Die meisten Unternehmen erlauben als ersten Schritt E-Mails auf Privatgeräten. Und selbst das ist komplex und risikobehaftet. Denken Sie nur an all die pikanten Details in Ihrem Posteingang. Was könnte ein Angreifer damit anstellen? Die Wahrscheinlichkeit ist groß, dass er Ihre Adresse, Ihr Geburtsdatum und Informationen ausspionieren kann, mit denen Kriminelle so genannte geheime Sicherheitsfragen beantworten könnten.
Vielleicht stößt er sogar auf Passwörter im Klartext, die Ihnen von Kollegen oder unsicheren Webseiten per E-Mail zugeschickt wurden (nebenbei bemerkt: Ihren eigenen Posteingang nach solchen Daten zu durchsuchen, kann eine interessante Übung sein). Mit all diesen Daten bewaffnet, kann ein gewiefter Eindringling eine ziemlich überzeugende Social Engineering-Attacke starten. Es ist ein kleines Trostpflaster, dass sich ein Angreifer auch bei einem größeren Problem mit Ihrem E-Mail-Server zunächst Zugriff auf einen einzigen Posteingang verschaffen muss, um Schlimmeres anzurichten. Anschließende Angriffe hängen nicht selten vom persönlichen Glück ab, weil der Angreifer immer Gefahr läuft, in die Falle zu gehen.
Ihren Mitarbeitern mobiles Arbeiten zu ermöglichen, mag wichtig sein, aber Kundendaten vor der Weltöffentlichkeit zu bewahren, ist bei weitem entscheidender. Ein durchgesickertes oder gehacktes Passwort könnte genügen, damit sich ein Angreifer einloggen, den Export-Knopf drücken und sich mit einem Großteil der vertraulichen Daten aus dem Staub machen kann. Die meisten heute verfügbaren Technologien konzentrieren sich darauf, Geräte zu schützen. Aber Maßnahmen, die Sie ergreifen, um immer und überall Zugriff auf Anwendungen einzuräumen, können zusätzliche Probleme auf den Plan rufen. Denken Sie nur an eine Standard-App in der Cloud. Für mobile Clients ist es einfach, sich zu verbinden: App downloaden und einloggen genügt. Sie müssen keine eigenen remote erreichbaren Systeme mit komplizierten statischen IPs, Domains, SSL-Zertifikaten, VPNs usw. hosten.
Das SaaS-Modell hat auf den ersten Blick sein Versprechen von maximaler Benutzerfreundlichkeit eingelöst. Schaut man aber genauer hin, entdeckt man schnell Probleme. Wenn jeder x-beliebige User eine App downloaden und sich anmelden kann, was hält dann einen Angreifer davon ab? Benutzer über den richtigen Umgang mit Passwörtern aufzuklären, ist natürlich wichtig. Bei der Absicherung von Systemen aber allein auf die Gewissenhaftigkeit der Benutzer zu vertrauen, wäre grob fahrlässig. Wenn Sie glauben, dass Passwörter über eine mobile App mit einer Touchscreen-Tastatur zu erraten, wohl zu mühselig ist, um wahrscheinlich zu sein, liegen Sie mit ziemlicher Sicherheit richtig.
Clevere Angreifer finden einfachere Methoden. Denn hinter den Kulissen kommunizieren die genannten Anwendungen über das althergebrachte HTTP.
Für einen durchschnittlich begabten Cyberkriminellen ist es ein Leichtes, die zugrundeliegenden Webdienste, mit der die App kommuniziert, auszuspionieren. Sobald er herausgefunden hat, wie Benutzerlogins verarbeitet werden, kann er ohne großen Aufwand ein kleines Skript schreiben, das Passwörter für ihn errät.
Schon vor Jahren wurde uns klar, dass Passwörter allein nicht der Schlüssel zum Problem sind – deshalb haben wir VPNs mit Zertifikaten, Smartcards und Schlüsselanhänger erfunden, die den Zugriff sicherer gestalten sollen. Aber im Eifer, neue Geräte auf den Markt zu bringen, vernachlässigen wir gerne mal die Grundlagen. Wie also können wir es Angreifern schwieriger machen, ohne die Benutzer zu beeinträchtigen? Leider ist das nicht einfach, aber es gibt einige Ideen:
- Bitten Sie den Anwendungsanbieter um Hilfe
- Remoteterminal-Technologien
- VPNs
- x509-Zertifikate