Spyware von Unternehmen fernhalten (Teil 2)
Warum die Einbindung von Smartphones im Geschäftsalltag nicht zuletzt mit neuen Gefahren einhergeht, ist im letzten Beitrag deutlich geworden. Nun möchten wir aufzeigen, wie sich verhindern lässt, dass die Mobiltelefone der Mitarbeiter zum Angriffsvektor werden.
Regeln setzen und Bewusstsein schaffen
So sollten zunächst Richtlinien festgelegt werden, nach denen kritische Zugangsinformationen wie Passwörter, private Zertifikate und andere Zugangstoken nicht über E-Mail- oder Messenger-Dienste versendet werden dürfen. Wichtige Daten wie diese sollten immer separat geschützt werden, zum Beispiel durch einen Passwortmanager. Zudem ist wichtig, den Nutzern klar zu vermitteln, wie Angreifer die Kontrolle über ihre Telefone erlangen können. Wenn der Mitarbeiter oder die Mitarbeiterin weiß, worauf es zu achten gilt – etwa einen verdächtigen Link von einem unbekannten Absender – wird er bzw. sie die Gefahr viel besser von selbst erkennen und sowohl sich als auch das Unternehmensnetzwerk entsprechend schützen. Wenn außerdem in der Belegschaft bekannt ist, dass Spyware von Apps aus dem Google Play Store oder dem Apple App Store stammen kann, führt dies hoffentlich dazu, dass der einzelne Nutzer vor dem Download einer beliebigen App genau hinschaut. In dem Zusammenhang muss meist gar nicht viel Geld oder Zeit für spezielle Schulungen investiert werden. Oft genügt es bereits, die Benutzer über neue Angriffsmethoden, die ihre Telefone betreffen könnten, auf dem Laufenden zu halten. So kann etwa der jüngste Artikel über die „Pegasus“-Spyware zur Pflichtlektüre vor der Nutzung des Smartphones im Unternehmensnetz gemacht werden.
Einschlägige Security-Best-Practices nutzen
Vor allem mit zwei grundlegenden Sicherheitsmaßnahmen – die über alle Benutzer hinweg Anwendung finden sollten, unabhängig davon, ob sie ihr Smartphone oder einen Firmencomputer benutzen – lässt sich die Angriffsfläche eines Netzwerks drastisch reduzieren. Eine konsequente Multifaktor-Authentifizierung schützt effektiv vor Passwortdiebstahl und Phishing-Angriffen. Die Umsetzung eines Zero-Trust-Modells sorgt wiederum dafür, dass Benutzer nur Zugang zu den Servern und Anwendungen erhalten, die sie für ihre Arbeit benötigen. Bei allem anderen wird der Zugriff verweigert. Auf diese Weise kann sichergestellt werden, dass sich ein Eindringversuch nicht ohne Weiteres über andere Abteilungen und Dienste fortsetzt.
Eine gängige Empfehlung ist zudem, nur Smartphones den Zugang zum Unternehmensnetz zu gestatten, die nicht „gerootet“ oder „gejailbreakt“ wurden und dadurch weniger Angriffsfläche bieten, um Malware zu „verstecken“ (Hintergrund: Nach dem Rooten oder Jailbreak wird die Integrität des Betriebssystems nicht mehr überprüft.). Im Fall von Spyware hilft eine solche Restriktion jedoch nur bedingt. Vielmehr besteht sogar die Gefahr, dass die Mitarbeiter und Mitarbeiterinnen sich in falscher Sicherheit wiegen. Auf Android-Smartphones können beispielsweise auch ohne Rooten inoffizielle Apps von außerhalb des Google Play Stores installiert werden – und mit diesem sogenannten „Sideloading“ geht das Risiko einer Spyware-Infektion Hand in Hand. Zudem kann es auch schwierig werden, Nutzern, die gleichzeitig Eigentümer der Telefone sind, individuelle Anpassungen komplett zu untersagen. Dies kann nicht zuletzt den unerwünschten Effekt haben, dass sie ihr Smartphone gar nicht mehr für berufliche Zwecke nutzen. Hier muss jedes Unternehmen für sich abwägen und das individuell geeignete Vorgehen finden.
Und ganz egal ob Spyware oder der versehentliche Download einer bösartigen App: Es geht vor allem darum, ein zunehmendes Bewusstsein zu schaffen – ganz ohne erhobenen Zeigefinger. Wichtig ist, dass Mitarbeiter eventuelle Fehler erkennen und Probleme den zuständigen Experten mitteilen. Schließlich darf nicht vergessen werden, dass nicht jeder über die Sicherheitsexpertise verfügt, um Spyware auf seinem Smartphone sofort zu erkennen. Entsprechend sollten Richtlinien definiert werden, mit denen sichergestellt ist, dass auch Laien sich wohl fühlen, potenzielle Verdachtsmomente zu äußern und Fragen zu stellen. Die hier aufgeführten Tipps können dazu beitragen, spezifische Sicherheitslücken zu schließen und eine klar definierte Schranke zwischen dem Unternehmensnetz und der Außenwelt zu schaffen.