Wieso Mobile Threat Defense?

Die explosionsartige Verbreitung von persönlichen Smartphones und Tablets am Arbeitsplatz setzt Ihr Unternehmen einem erhöhten Risiko aus. Während ein Breach gegen personenbezogene Daten oder Zahlungskartendaten für viele Unternehmen sicherlich ein grosses Problem darstellt, gibt es weitere Risiken die Unternehmen berücksichtigen müssen. Dazu gehören vor allem die Kosten von Verstössen und Vorfällen, der potenzielle Schaden für die Markenreputation und der Verlust von Wettbewerbsvorteilen, wenn wertvolle Geschäftsgeheimnisse oder geistiges Eigentum öffentlich bekannt werden.

Mobile Systeme, die Netzwerke, mit denen sie sich verbinden, und die Anwendungen, die sie ausführen, können alle genutzt werden, um sensible Informationen wie Dokumente, Kalendertermine, E-Mail-Nachrichten, Texte und Anhänge zu stehlen. Cyberkriminelle können mit dem Mikrofon und der Kamera eines Geräts geschlossene Meetings ausspionieren und dann Aufnahmen an einen geheimen Remote-Server senden. Sie können sogar Benutzernamen und Passwörter erfassen, wenn sich Benutzer bei Unternehmenssystemen mit sensiblen Daten anmelden. Ungesicherte Netzwerke oder Netzwerke mit fehlerhaften oder alten Sicherheitsmassnahmen ermöglichen es Kriminellen, Daten, die an und von Geräten gesendet werden, auszuspionieren, zu stehlen oder sogar zu ändern. Bösartige Anwendungen können Angreifern praktisch uneingeschränkten Zugriff auf ein Gerät, seine Daten und Ihr Netzwerk gewähren.

Wieso MDM Sie nicht ausreichend schützt

Viele Unternehmen verlassen sich auf grundlegende Mobility-Richtlinien, die Mobile-Gerätemanagement (MDM) oder Enterprise Mobility Management (EMM) Lösungen zur Verfügung stellen. Einige ergänzen diese Lösungen mit einem Sammelsurium von Insellösungen, die inkrementelle und oft rudimentäre Verbesserungen bieten.

Diese Lösungen helfen bei der Kontrolle von Schäden, die durch gefährdete Geräte verursacht werden, und adressieren viele bekannte Bedrohungen, sind aber nicht in der Lage, kürzlich erstellte Malware oder neue Schwachstellen in Netzwerken, Betriebssystemen und Anwendungen zu erkennen.

So ermöglicht beispielsweise der Root-Zugriff auf ein mobiles Gerät (auch "Rooting" auf Android oder "Jailbreaking" auf iOS genannt) Cyberkriminellen, eine breite Palette von Anpassungen und Konfigurationen vorzunehmen, um ihre Ziele zu erreichen. MDM- und EMM-Systeme erkennen die Existenz bestimmter Dateien in einem Systemverzeichnis, die den Root-Zugriff ermöglichen, indem sie mehrere Methoden verwenden, einschliesslich statischer Root-Indikatoren. Es stehen jedoch kostenlose Tools für Android- und iOS-Geräte zur Verfügung, um diese Art der Erkennung zu vermeiden. Durch die ständige Änderung der Root-Zugriffsindikatoren können Cyberkriminelle der Erkennung entgehen und sogar Root-Check-Anfragen vom EMM- oder MDM-System ablehnen, wodurch die Erkennung vollständig deaktiviert wird.

Statische MDM- und EMM-Stammindikatoren können nicht alle sich ständig ändernden Bedrohungen von heute identifizieren. Auch die Sicherheitsinfrastruktur für Firmen-PCs und Laptops reicht nicht aus, da mobile Geräte über das Netzwerk hinaus arbeiten, potenzielle Sicherheitsprobleme verursachen und Malware eindringen lassen.

Wieso Container keinen 100-prozentigen Schutz bieten

Sichere Container für Datenmanagement-Plattformen bieten Sicherheit innerhalb des Unternehmensbereichs. Mobile Geräte greifen jedoch häufig auf Systeme und Anwendungen wie Salesforce, Oracle oder SAP ausserhalb des Perimeters zu. Während diese Systeme und Anwendungen über eigene Schutzfunktionen verfügen, lauschen, fangen und ändern Netzwerk-Spoofs oder Man-in-the-Middle-Angriffe den Datenverkehr ab. Alles, was ein Benutzer tut, einschliesslich der Eingabe von Passwörtern, könnte von Kriminellen abgefangen und dazu verwendet werden, die Umgebung zu durchbrechen und Finanz- und Personaldaten zu stehlen.

Angreifer betrügen oft Mitarbeiter, um sich bei bösartigen Websites anzumelden. Während Benutzer glauben, dass sie mit einer bekannten und vertrauenswürdigen Entität in der Cloud interagieren, übernimmt der Angreifer ihr Gerät, kopiert Anmeldeinformationen, schnüffelt an Sofortnachrichten herum oder stiehlt ihre sensiblen Informationen.

So sind beispielsweise bequem zugängliche öffentliche Wi-Fi-Hotspots leicht zu fälschen. Ein Angreifer erstellt ein gefälschtes Wi-Fi-Netzwerk oder lauscht und ändert die verschlüsselte Kommunikation eines legitimen Netzwerks. Mit gefälschten Zertifikaten oder einer Herabstufung der Kommunikationsverbindung entschlüsselt der Angreifer die Kommunikation. Dann fangen sie die gesamte Kommunikation ab, ändern Daten während der Übertragung und können einen Trojaner aus der Ferne auf einem mobilen Gerät installieren.

Führungskräfte und Mitarbeiter von Unternehmen speichern manchmal kritische Dokumente und sensible Informationen ausserhalb des sicheren Containers - mit einem Cloud-Storage-Service, der auf Reisen oder beim Austausch mit Partnern leicht zugänglich ist. Einmal gefährdet, fangen Angreifer diese Kommunikationen ab und greifen auf diese wichtigen und manchmal vertraulichen Dokumente zu.

Auch iOS hat seine Schwächen

Obwohl mehrheitlich Angriffe auf Android-Geräten stattfinden ist Apple’s iOS nicht immun gegen Angriffe. Einige Unternehmen, die MDM verwenden, verteilen unbeabsichtigt infizierte Anwendungen auf iPhones und iPads. Apps aus nicht autorisierten, unzuverlässigen App-Stores können auch Viren enthalten, und Hacker haben sogar die Entwicklungstools von Apple gefährdet und Malware ohne Wissen der Entwickler in neue Apps eingeschleust.

iPhone und iPad Nutzer laden meist Apps aus dem hochsicheren Apple App Store herunter. Aber dennoch laden viele Apps aus weniger zuverlässigen, nicht autorisierten App-Stores herunter, die bösartigen Code enthalten. Diese inoffiziellen Shops sind auf dem Vormarsch und werden oft mit bis zu acht Millionen Apps pro Tag heruntergeladen. Mehrere App-Stores von Drittanbietern missbrauchen die Methode der Unternehmensverteilung, indem sie sich für das Apple Developer Enterprise Programm registrieren und ein Unternehmenszertifikat erhalten. Mit diesem Zertifikat installieren sie Apps auf den Geräten ihrer Kunden.

Obwohl der Überprüfungsprozess von Apple für Apps im App Store streng und umfassend ist, sind einige Apps im Store anfällig. Wenn Hacker den Review-Prozess von Apple nicht durchlaufen konnten, modifizierten sie das Entwicklungstool. XcodeGhost, eine kompromittierte Version der Xcode-Entwicklerplattform für iOS, schiebt schädlichen Code auf unauffällige Weise in Anwendungen. Über 39 infizierte Anwendungen wurden im App Store als Ergebnis von XcodeGhost gefunden.

Fehler im Installationsprozess von Apples Unternehmens-Apps ermöglichen die Einführung von nicht verifiziertem Code in das iOS-Ökosystem. MDM-Systeme könnten letztendlich die Vertriebssysteme für die sehr bösartigen Anwendungen sein, gegen die sie sich wehren. Ohne eine fortschrittliche mobile Lösung zur Erkennung und Eindämmung von Bedrohungen auf Ihrem iPhone können Sie kaum erkennen, dass jemals ein bösartiges Verhalten stattgefunden hat.

Antivirenprogramme auf Mobilgeräten reichen nicht aus

Viele Unternehmen setzen auf Antivirenprodukte für PCs und Laptops. Diese Produkte verwenden fortschrittliche Erkennungstechniken, da PCs und Laptops über genügend CPU-Leistung und Speicher verfügen und die Akkulaufzeit kein Problem darstellt. Dies ist jedoch nicht der Fall bei Antivirenprodukten für mobile Geräte. Aufgrund der begrenzten Leistung und Akkulaufzeit eines mobilen Geräts können sie nicht die gleichen fortschrittlichen Erkennungstechniken verwenden.

Mobile Antivirenlösungen sind im Vergleich zu ihren PC-Pendant eingeschränkt. Sie können bösartigen Code in Apps aufdecken, indem sie nach eindeutigen binären Signaturen suchen, die bekannte Malware identifizieren. Kriminelle haben jedoch neue Wege gefunden, um diese Signaturen zu verbergen, was sie für die Erkennung mobiler Malware nutzlos macht. Selbst eine kleine Änderung im Code, wie das Hinzufügen einer einfachen Zeile, die nichts tut, ändert die Signatur der App und die neue Version der bösartigen App wird vom Antivirenprogramm nicht erkannt.

Signaturen für "Zero-Day"-(neu erstellte) Malware sind nicht verfügbar. Um einen Virus zu erkennen und zu blockieren, muss Ihr Antivirenprogramm zunächst wissen, dass er existiert. Selbst bei täglicher Aktualisierung konnten Antivirenprogramme mit dem Ansturm dieser Angriffe nicht mithalten.

Im besten Fall erkennt der Antivirenschutz die binären Signaturen bekannter Malware. Im schlimmsten Fall lockt Sie der Antivirenschutz in ein falsches Sicherheitsgefühl. Sie sind vor bekannten Viren geschützt, aber ein neuer könnte Ihr Gerät treffen, bevor ein Gegenmittel entwickelt wurde.