Spyware von Unternehmen fernhalten (Teil 1)
Früher war es für IT-Administratoren relativ einfach zu erkennen, wo die Grenzen der unternehmerischen Sphäre verlaufen: In der Regel war dies schlicht und ergreifend dort, wo externes und internes Netzwerk aufeinandertrafen. Genau hier war man dann auch mit der Firewall zum Schutz des internen Netzwerks richtig. Heute gestaltet sich die Situation hingegen deutlich komplexer. Gerade Smartphones rücken in dem Zusammenhang ins Zentrum der Aufmerksamkeit. Denn diese werden von der Belegschaft mittlerweile nicht zuletzt im Rahmen der Anmeldung am Unternehmensnetzwerk via Multifaktor-Authentifizierung oder für das Lesen von geschäftlichen E-Mails verwendet. Somit ist es mittlerweile deutlich schwerer, eine Grenze zwischen interner und externer Anwendung zu ziehen. Komplett restriktive Sicherheitsrichtlinien – den Einsatz von Smartphones also vollständig zu unterbinden – sind heutzutage aus Produktivitätsgründen kaum noch umsetzbar. Ebenso wenig empfiehlt es sich jedoch, diese Thematik zu lasch anzugehen und beispielsweise selbst jedem beliebigen privaten Mitarbeiterhandy eine Verbindung zum internen Unternehmensnetz zu erlauben. Denn natürlich erkennen auch Angreifer das von den mobilen Helferlein ausgehende Potenzial, wodurch die Gefahr auf Unternehmensseite weiter wächst.
Smartphones im Fokus der Angreifer
Es ist noch nicht lange her, da war „Pegasus“ – als besonders prominentes Beispiel für Spyware, die Smartphones als Einfallstor nutzt – in aller Munde. Ohne zu sehr ins Detail gehen zu wollen, sind hier die Hintergründe zu „Pegasus“ noch einmal kurz zusammengefasst: Die von der NSO Group entwickelte Spyware nutzt Schwachstellen in iOS aus, um Zugang zu den Daten auf dem Mobiltelefon einer nichtsahnenden Zielperson zu erhalten. NSO verkauft die Software gezielt an Regierungen – für einen durchaus stattlichen Preis. Zwar nennt der Hersteller die Strafverfolgung als hauptsächlichen Anwendungszweck, in Wirklichkeit wird „Pegasus“ jedoch oft von repressiven Regimen eingesetzt, um politische Gegner und Aktivisten auszuspionieren. Das erste Mal war von „Pegasus“ im Zuge der Ausnutzung von drei spezifischen iOS-Schwachstellen im Jahr 2016 zu hören. Auch wenn die Software vor Android-Geräten grundsätzlich keinen Halt macht, sind Beispiele für solche Übergriffe vergleichsweise selten. Aber gerade unter Apple-Usern steigt die Anzahl der Opfer dieser Spionagesoftware von Jahr zu Jahr konsequent weiter. 2021 hat es „Pegasus“ endlich geschafft, auch die Aufmerksamkeit von Medien jenseits einschlägiger Informationsportale der Cybersecurity-Branche auf sich zu ziehen.
„Pegasus“-Infektionen liefen in der Vergangenheit meist nach folgendem Muster ab: Ein Link wurde an das Telefon des Opfers geschickt. Sobald dieser angeklickt wird, nutzt die Spyware eine Sicherheitslücke aus, die dem Angreifer die volle Kontrolle über das Gerät ermöglicht. Via „Pegasus“ können dann nicht nur Nachrichten in Apps wie iMessage, WhatsApp, Telegram, Gmail und anderen mitgelesen werden. Darüber hinaus erstattet ein ausgeklügeltes Command-and-Control-Netzwerk dem Angreifer Bericht und erlaubt weitere Aktionen zur Steuerung des Smartphones.
Anhand solcher Missbrauchsszenarios erschließt sich das von Smartphones ausgehende Risiko für Unternehmen von selbst. Angreifer werden nicht müde, neue Wege zu finden, wie sich die aus dem Geschäftsalltag kaum noch wegdenkbaren Mobilgeräte ausnutzen lassen. Hierzu braucht es kein ausgeklügeltes Untergrundnetzwerk oder große finanzielle Mittel. Nutzer müssen lediglich dazu gebracht werden, die Spyware selbst zu installieren – etwa indem sie versehentlich bösartige Apps herunterladen. Die Herausforderung für Security-Experten ist dementsprechend groß. Welche Maßnahmen ergriffen werden können, damit Smartphones nicht zur immanenten Gefahr für Firmennetze werden, betrachten wir im zweiten Teil dieses Beitrags.