Auf einen Blick
Die zunehmende Digitalisierung führt zu einer großen Abhängigkeit hinsichtlich einer funktionierenden IT-Infrastruktur bzw. der eingesetzten Hard- und Softwaresysteme. Auch Tablets und Smartphones haben hier eine enorme Verbreitung erreicht. Immer mehr Beschäftigte nutzen mobile Endgeräte, um auf E-Mails, Software und Daten ihrer Firma zuzugreifen. Die hohe Mobilität und Kommunikationsfähigkeit der Geräte sind geschätzte Eigenschaften, so dass sie verstärkt auch in Produktionsumgebungen eingesetzt werden, um beispielsweise Prozesse zu steuern oder zu visualisieren. Diese Vorzüge sind aber auch potenzielle Nachteile in Bezug auf die IT-Sicherheit. Denn in diesen mobilen Endgeräten steckt ein leistungsfähiger Minicomputer. Deshalb müssen die Gefährdungen wie bei Arbeitsplatzrechnern betrachtet werden. Dass die Geräte mobil eingesetzt werden können, steigert die Gefahr eines kompletten Verlustes.
Bedrohungs- und Gefährdungslage
Die Bedrohungs- und Gefährdungslage bei mobilen Endgeräten ist in den letzten Jahren signifikant gestiegen. Cyberkriminelle nutzen verschiedene Methoden, um Zugriff auf diese Geräte zu erlangen und sensible Informationen zu stehlen. Zu den häufigsten Bedrohungen zählen Malware, Phishing-Angriffe, verletzte App-Berechtigungen, unsichere Netzwerke und gestohlene oder verlorene Geräte. Durch Schadsoftware können Angreifer Daten ausspähen, Kontrolle über das Gerät erlangen oder es für DDoS-Angriffe (Angriff auf Internetdienste) und Botnetze (Bereitstellung von Schadprogrammen) missbrauchen. Phishing-Angriffe zielen darauf ab, Nutzer zur Preisgabe ihrer Zugangsdaten zu verleiten. Unsichere WLANs ermöglichen Man-in-the-Middle-Angriffe (Abfangen der Kommunikation zwischen Personen oder Personen und Prozessen) und Datendiebstahl. Der Verlust eines Geräts kann zu Datenlecks und Identitätsdiebstahl führen. Die kontinuierliche Weiterentwicklung von Angriffstechniken erfordert eine proaktive Herangehensweise an die Sicherheit mobiler Endgeräte, um persönliche und geschäftliche Daten zu schützen.
Nachfolgend finden Sie die wichtigsten Maßnahmen und Regelungen für mobile Endgeräte – ausgehend von den IT-Sicherheitsschutzzielen Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität (VIVA-Prinzip).
Maßnahmen und Lösungsansätze
- Um evtl. vorhandene Sicherheitslücken zu schließen und neue Sicherheitsfunktionen zu implementieren, sollten Aktualisierungen bzw. Updates für das Betriebssystem und alle verwendeten Apps zeitnah installiert werden.
- Apps sollten nur aus vertrauenswürdigen Quellen installiert werden. Dabei ist eine zusätzliche Information zu diesen Apps hinsichtlich der Aspekte der IT-Sicherheit und des Datenschutzes empfehlenswert. Die Zugriffsrechte bzw. die Berechtigungen der App sollten auf das notwendige Minimum eingestellt werden.
- Besonders bei mobilen Endgeräten ist ein Zugangsschutz mittels einer PIN, eines Passwortes oder einer biometrischen Lösung z. B. Fingerabdruck[1] sinnvoll, um einen unbefugten Zugriff auf das Gerät bzw. auf die Daten zu verhindern. Eingeschaltete Bluetooth- und WLAN-Verbindungen sind ebenso mögliche Einfallstüren für einen unbefugten Zugriff.
- Weiterhin empfehlen wir die Installation einer Sicherheitssoftware. Antiviren- und Anti-Malware-Programme können schädliche Apps und Dateien erkennen und entfernen.[2]
- Nutzen Sie für die Übertragung von Daten verschlüsselte Verbindungen (Virtual Private Network – VPN).
- Gerade bei mobilen Geräten ist eine regelmäßige Datensicherung notwendig, um bei Verlust oder Beschädigung des Geräts die Daten wiederherstellen zu können.[3]
- Falls Sie ein Gerät verlieren, ist es empfehlenswert, die Ortungsfunktion von Geräten zu aktivieren. Ggf. können die Geräte wieder gefunden oder auch Daten aus der Ferne gelöscht werden.[4]
Herausforderungen
Die besonderen Herausforderungen hinsichtlich der IT-Sicherheit leiten sich bei mobilen Endgeräten zum einen aus der verstärkten Verwendung außerhalb des Firmennetzes bzw. des „mobilen Einsatzes“ ab. Zum anderen daraus, dass diese Geräte sowohl privat als auch geschäftlich genutzt werden. Sehr häufig werden die privaten Geräte der Mitarbeitenden für dienstliche Zwecke verwendet (Bring Your Own Device – BYOD). Aus diesen Gründen stehen die IT-Verantwortlichen vor besonderen Aufgabenstellungen.
Eine einheitliche Konfiguration der mobilen Endgeräte ist nur bei Verwendung unternehmenseigener Geräte möglich. Zur Unterstützung kann hier ein Mobile Device Management System (MDMS) eingesetzt werden. Die Nutzung privater Geräte erschwert die Gewährleistung der notwendigen betrieblichen Anforderungen an die IT-Sicherheit und den Datenschutz (z. B. Verwendung bestimmter Messenger-Dienste). Grundlegende Prozesse wie z. B. periodische Datensicherung und Installation von Updates sind aus den o. g. Gründen oft mit einem erhöhten Aufwand verbunden.
Quellen und weiterführende Inhalte
- https://www.datenwache.de/handy-sicher-entsperren-displaysperre-zugriffsschutz/
- https://www.av-test.org
- https://digitalzentrum-chemnitz.de/wissen/unternehmensdaten-schuetzen/
- https://www.verbraucherzentrale.nrw/wissen/digitale-welt/mobilfunk-und-festnetz/wie-kann-ich-mein-handy-orten-25767
Allgemeine Bedrohungslage
- Aktuelle Cyber-Sicherheitswarnungen: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Technische-Sicherheitshinweise-und-Warnungen/Cyber-Sicherheitswarnungen/cyber-sicherheitswarnungen_node.html
- Die Lage der IT-Sicherheit in Deutschland: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
Allgemeines
- Selbsteinschätzung zum vorhandenen IT-Sicherheitsniveau: https://www.SiToM.de
- Feststellung des IT-Sicherheitsbedarfes: https://sec-o-mat.de