Im Vergleich zu herkömmlichen Desktoprechnern (Laptops sind hier grundsätzlich miteingeschlossen), werden mobile Endgeräte wie etwa Smartphones oder Tablets beinahe überall mithingenommen und häufig mit vielen verschiedenen Netzwerken verbunden. Dies eröffnet neben wachsender Flexibilität für Mitarbeitende, auch neue Möglichkeiten für Angriffe.
Unsichere WLAN-Netzwerke
Zu nennen sind hier vor allem unsichere WLAN-Netzwerke, die unter anderem Man-in-the-Middle-Angriffe möglich machen. Hierzu zählen insbesondere offene, öffentliche Hotspots, die oft nicht verschlüsselt sind. Daher sollten unbedingt ausschließlich verschlüsselte WiFi-Verbindungen genutzt werden. [1] Doch selbst, wenn das Netzwerk durch WPA2 geschützt wird, sichert dies nur gegen Angriffe von außerhalb ab. Viele Hotspots verwenden zudem eher generische Passwörter, die leicht zu erraten oder mittels Dictionary-Angriff herausgefunden werden können. Sollte sich beispielsweise durch einen Hotelbesuch die Nutzung eines offenen Netzwerks nicht verhindern lassen, empfehlen wir nach Beendigung der Nutzung, unbedingt die Löschung der Daten vom Gerät. Dadurch ist eine automatische Wiederverbindung nicht möglich, wenn sich das Gerät beim nächsten Mal in der Reichweite des Netzwerks befindet. Somit wird zumindest vermieden weiterhin mit einem Netzwerk verbunden zu sein, in welchem sich möglicherweise derzeit ein Angreifer befindet.
NFC
Eine weitere Technologie, die in den letzten Jahren mehr und mehr genutzt wird, ist die „Near Field Communication“ – kurz NFC. Diese ist ein Spezialfeld von RFID und die Nutzung ist ausschließlich auf kurze Entfernungen von nur einigen Zentimetern ausgelegt. Dadurch bieten sich auch hier weitere Angriffsoberflächen, die für Angreifer besonders interessant sind, da NFC gerade im Bereich von Finanztransaktionen häufig genutzt wird. [2] Beispielsweise können sogenannte Replay Attacken durchgeführt oder der Zahlbetrag während der Übertragung manipuliert werden. Das liegt unter anderen daran, dass NFC an sich keine sichere Verbindung ist, sondern jegliche Verschlüsselung auf Applikationsebene stattfindet. In der Theorie kann sich jedes Gerät unbemerkt via NFC mit einem anderen verbinden und Daten austauschen – auch Malware. Ob dies letzten Endes möglich ist, liegt wie bereits erwähnt, an der jeweiligen Implementierung. Daher sollte NFC grundsätzlich ausgeschaltet sein und nur dann aktiviert werden, wenn es tatsächlich gebraucht wird. [3] [4]
Dies wird besonders relevant, wenn Hardware und Betriebssystem nicht aus einer Hand stammen, wie beispielsweise bei Android Geräten. So wird auch die eigene Smartphone Linie von Google – Nexus – nicht selbst produziert, sondern entsteht durch eine Kooperation. Aufgrund der Vielzahl an Hardware-Software-Kombinationen sowie der Möglichkeit, dass die Hersteller der Geräte das jeweilige Android-OS auch noch selbst anpassen können, erhöht sich per Design das Sicherheitsrisiko. [5] Ein Weg in das Gerät sind beispielsweise Apps – ja, auch im offiziellen Google Store. Zwar werden Apps hier überprüft, doch es rutschen immer wieder maliziöse Anwendungen durchs Raster. Erst kürzlich mussten 53 Apps aus dem Play Store entfernt werden. [6] Es liegt auf der Hand, dass dementsprechend Apps aus inoffiziellen Quellen mit an Sicherheit grenzender Wahrscheinlichkeit, auch deutlich mehr potenziell schädliche Programme anbieten.
Daher sollte auf Android-Geräten die Installation von Anwendungen von Drittanbietern grundsätzlich deaktiviert werden.
Apple
Doch auch Apple als Unternehmen, das alles im eigenen Haus entwickelt und dafür bekannt ist, „schwer knackbar“ zu sein, ist davor nicht gefeit. Golem [7] berichtet beispielsweise, dass es wohl gelungen sei, auch im Apple AppStore Anwendungen mit Schadcode anzubieten. Es wurden insgesamt sieben Apps gefunden, die mutmaßlich vom selben Entwickler kommen. Unter den Programmen befindet sich auch ein PDF-Reader, der in den USA die Charts der Apps im Bereich Education anführt. Gelungen sei dies, indem bösartige Funktionen während des Sicherheitstests von Apple deaktiviert wurden. In der Vergangenheit sei es auch gelungen, Schadcode nachträglich in bereits genehmigte Apps einzufügen. Eine Installation von anderen Quellen ist bei Apple von Haus aus nicht möglich, muss daher auch nicht deaktiviert werden. Unabhängig vom Betriebssystem ist es außerdem ratsam, nur vorher geprüfte Apps zur Installation auf Firmengeräten freizugeben, da es für Endanwender*innen nahezu unmöglich ist zu erkennen, ob eine Anwendung potenziell gefährlich ist.
OWASP
Der OWASP Mobile Security Testing Guide (MSTG) und der OWASP Mobile Application Security Verification Standard (MASVS) bieten hier beispielsweise einen umfangreichen Rahmen für die Sicherheitsüberprüfung, aber auch einen Leitfaden für die sicherheitsorientiere Entwicklung von Apps.
Empfehlung
Im Allgemeinen könnte man zudem sagen, dass bei Applikationen das Prinzip „Zero Trust“ angewendet werden sollte: wir nehmen grundsätzlich an, dass uns jede Anwendung schaden kann und möchte. Im übertragenen Sinn kann man daraus ableiten, dass eine App beispielsweise immer nur die Berechtigungen erhalten darf, die sie auch wirklich benötigt und im Optimalfall auch nur für den Zeitraum, wenn diese benötigt werden. Dazu kann auch der Zugang zum Internet gehören, der oft für die Grundfunktionalität einer Anwendung überhaupt nicht erforderlich ist. Das gleiche gilt auch für andere Geräte, mit denen kommuniziert werden soll.
Durch maliziöse Apps kann es beispielsweise zu Datenabfluss an die Angreifer und auch an Mitbewerber kommen. Konkrete Angriffe auf mobile Geräte können aber auch altbekannte Techniken wie Phishing bzw. Social Engineering sein. Diese Art von Angriff ist bereits hinreichend aus der „herkömmlichen“ Computerwelt bekannt. Dabei werden durch fingierte Nachrichten bspw. sensible Informationen oder Login Daten abgegriffen. Doch auch Links zu Seiten, die einen Malwaredownload starten können in diesen Nachrichten enthalten sein. Besonders seit der Corona-Pandemie haben sich diese Angriffe stark verbreitet und auch Phishing via SMS oder WhatsApp ist mittlerweile keine Seltenheit mehr. Neben Phishingfiltern im Mailgateway ist die effektivste Gegenmaßnahme eine Schulung der Mitarbeitenden. [8]
Neben den virtuellen Angriffsvektoren ist auch der physische Verlust bzw. Diebstahl eines Geräts ein erhebliches Risiko. Mit Abhandenkommen des Gerätes an sich ist nämlich oft auch ein Datenverlust verbunden, der potenziell fatale Folgen für ein Unternehmen darstellen kann. Als Lösung bietet sich hier die Möglichkeit, die Daten auf dem Gerät besonders zu schützen. Dies erreicht man beispielsweise mit einer Containerisierung, bei der auf dem Gerät ein Bereich abgetrennt wird und dadurch mit den geschäftlichen Daten quasi gekapselt werden. Dies kann beispielsweise Teil eines umfangreicheren Mobile Device Management (MDM) sein. Hierfür gibt es am Markt bereits fertige Softwareprodukte, die die Verwaltung von geschäftlichen Daten auf mobilen Geräten erleichtern. Neben der Containerisierung bietet ein MDM weitere Tools, um die IT-Sicherheit zu erhöhen, wie z.B. die Möglichkeit ein Gerät remote zu löschen, sollte es verloren gehen. Aber auch Backups sowie die Konfiguration von White- bzw. Blacklists oder ein zusätzlicher Passwortschutz für den „Arbeitsbereich“ können hierüber realisiert werden. [9]
Außerdem gelten auch für die Mobile Security klassische Empfehlungen, wie regelmäßig Updates zu installieren – sowohl für das Betriebssystem als auch Apps – sowie Vorsicht beim Anklicken von Links oder Bannern in Nachrichten oder auf Webseiten.
Alle Empfehlungen im Überblick
- Patchmanagement: Regelmäßige Updates von Apps und Betriebssystemen
- Härtung: Installation von Apps aus inoffiziellen Quellen unterbinden
- Zero Trust Prinzipien übertragen auf Anwendungsmanagement und Kommunikation mit anderen Geräten
- Containierisierung / Mobile Device Management
- Nach Möglichkeit öffentliche WLAN-Netzwerke vermeiden und VPNs verwenden
- NFC nur bei Bedarf aktivieren
- Awareness für Phishing und Social Engineering Angriffe schaffen und aktuell halten
Verweise
[1]
Materna Virtual Solution, „Mobile Security – alles was Sie wissen müssen, um mobile Sicherheit zu gewährleisten,“ 05. Februar 2019. [Online]. Available: Link [Zugriff am 08. August 2022].
[2]
NIST, „Mobile Threat Catalogue | Attack Surface | Communication,“ [Online]. Available: Link [Zugriff am 08. August 2022].
[3]
S. M. Kerner, „6 potential enterprise security risks with NFC technology,“ 10. März 2022. [Online]. Available: Link [Zugriff am 11. August 2022].
[4]
G. Torbet, „How Does a Drive-By NFC Hack Work?,“ 30. Juni 2022. [Online]. Available: Link [Zugriff am 11. August 2022].
[5]
NIST, „Mobile Threat Catalogue | Attack Surface | Supply Chain,“ [Online]. Available: Link [Zugriff am 08. August 2022].
[6]
G. Gerbig, „Malware im Google Play Store: Diese 53 Android-Apps müsst ihr sofort löschen,“ 20. Juli 2022. [Online]. Available: Link [Zugriff am 08. August 2022].
[7]
T. Költzsch, „App Store zeigt neue Sicherheitsschwächen auf,“ 04. August 2022. [Online]. Available: Link [Zugriff am 08. August 2022].
[8]
M. Gontovnikas, „The 9 Most Common Security Threats to Mobile Devices in 2021,“ 25. Juni 2021. [Online]. Available: Link [Zugriff am 15. August 2022].
[9]
A. Pathak, „12 📱 MDM-Lösungen für kleine Unternehmen bis hin zu großen Unternehmen ,“ 13. April 2022. [Online]. Available: Link [Zugriff am 15. August 2022].
author : Theresa
Theresa ist hochqualifiziert im Bereich der IT-Sicherheit und IT-Forensik, hat ein Bachelorstudium der Elektro- & Informationstechnik sowie ein Masterstudium der Informatik absolviert. Sie bringt eine große Leidenschaft für das Hacking sowie verschiedenste Themen rund um Sicherheit im IT-Umfeld mit und hilft so mit Rat und Tat dabei, unsere Kunden vor Cyberangriffen zu schützen. In Ihrer Freizeit betreibt Theresa gerne Kraftsport, liest und lernt Fremdsprachen oder verbringt Zeit in der Natur!