Leichtsinniger Umgang mit mobiler Kommunikation wird zum Verhängnis

Wir nutzen sie täglich: unser Smartphones, können uns ein Leben ohne, ob privat oder beruflich, nicht mehr vorstellen. Wie und für was wir sie nutzen, möchten wir in der Regel für uns behalten, doch das ist gar nicht so einfach. Die Sicherheit der Mobil-Geräte hat nicht nur eine Schwachstelle und kann sogar für grosse Unternehmen zum Problem werden.

Anfang Dezember 2015 wurden im kalifornischen Bundesstaat San Bernardino bei einer terroristi-schen Attacke 14 Menschen getötet. 
21 weitere Menschen wurden verletzt, teils schwer. Kurze Zeit später wurden die zwei Täter des schwersten islamistischen Terrorakts in den USA seit 9/11 von der Polizei erschossen. Im Zuge der Ermittlungen konnte vom FBI das iPhone eines Terroristen sichergestellt werden. Da jedoch der Zugriff auf das iPhone verschlüsselt war, gelang es zunächst nicht einmal dem vielleicht technisch am besten ausgerüsteten Geheimdienst der Welt, die Daten zu entschlüsseln. Erst mit der Hilfe eines spezialisierten Unternehmens aus Israel konnten schliesslich die Daten des iPhones den Behörden zugänglich gemacht werden. Denn durch PIN und Verschlüsselung waren die Daten so gut gesichert, dass sie nicht einmal bei einer Extraktion des Mobilgeräts sofort entschlüsselt werden konnten. Doch sind Mobilgeräte wirklich dermassen sicher? Dies ist trotzdem klar zu verneinen! Gerade der Durchschnittsnutzer ist sich oft nicht bewusst, über wie viele Schwachstellen und somit Angriffsflächen für böswillige Drittparteien ein Mobilgerät verfügt.

Sämtliche Schwachstellen stellen eine wachsende Gefahr für Privatpersonen und für Unternehmen dar. Denn mit dem Zugriff auf das Mobilgerät können kriminelle Angreifer an empfindliche Daten herankommen.
Spricht man von Mobilgeräten, sind damit beide, Handys und Tablets, gemeint. Da Mobilgeräte häufig auch als digitale Portemonnaies fungieren, kann bei einer erfolgreichen Attacke auf ein mobiles Gerät nahezu problemlos auf Kreditkarteninformationen und Bankkonten zugegriffen werden. Aber auch zahlreiche Passwörter von Internet-
Accounts, Cloudspeichern von Daten wie Dropbox oder von Social Media wie Facebook oder LinkedIn können einfach mitgelesen werden, wenn der Umgang mit beispielsweise einem iPhone nicht genügend vorsichtig stattfindet. Zudem sind Mobilgeräte häufig Opfer von Ransomware. Dabei sperrt eine von einem Angreifer installierte Malware auf dem Mobilgerät den Zugriff auf bestimmte Dateien wie etwa Fotos, Videos und Audiofiles oder sogar auf deren Festplatte und fordert vom Benutzer ein Lösegeld für die Freigabe der Daten. Das neuste Beispiel dazu ist die Schadenssoftware «Wanna Cry», die die Daten der Benutzer verschlüsselt und sie danach auffordert, Bitcoins zu zahlen, um wieder an die Daten heranzukommen. Gemäss den Ingenieuren von Kudelski Security gibt es vier Bereiche von Schwachstellen in Mobilgeräten: das Netzwerk, die verwendeten Apps, das jeweilige Betriebssystem sowie die Hardware des Mobilgeräts.

 

Öffentliches WiFi: Gefährlicher als gedacht

Eine der zentralen Schwachstellen solcher Geräte ist die Nutzung von externen Netzwerken. So öffnen externe Netzwerke, wie WiFi-Hotspots, Angreifern oftmals Tür und Tor zu den Daten der Mobilgerätebenutzer. Wer verband sich in den Ferien nicht schon einmal mit einem Hotspot, der eine kostenlose Internetverbindung zur Verfügung stellt? Hat man dies schon einmal getan, riskierte man fahrlässig, dass Dritte persönliche Daten mitlesen können oder sogar direkten Zugriff auf das Handy oder Tablet erhalten. Dieses heikle Benutzen von öffentlichen WiFi-Netzwerken ist heute ein weit verbreitetes Bedürfnis, um permanent kostenfrei online zu bleiben. Die Gefahr kommt dabei primär vom sogenannten Netzwerk (Authentication) Spoofing. Das heisst, der Benutzer wird durch einen vermeintlich vertrauenswürdigen WiFi-Knoten hinters Licht geführt. Dabei wird durch das Vortäuschen einer vertrauenswürdigen Identität eines WiFi-Access-Knotens in die Mobilgeräte der Benutzer eingedrungen. Für Cyberkriminelle ist es ein beliebtes Mittel, da sie so unbemerkt an sensible Daten von den Nutzern gelangen können. Das Label «Free WiFi» sollte darum unbedingt mit Vorsicht genossen werden, weil man weder den Provider des Internetzugangs noch dessen Absichten tatsächlich verifizieren kann. Zusätzlich kann durch Man-in-the-middle-
attacks der Datenverkehr zwischen zwei Kommunikationspartnern durch den Angreifer, der als Mittelsmann im Netzwerk agiert, abgehört und unter Vortäuschung falscher Tatsachen gezielt und unbemerkt auf einen manipulierten Server oder eine gefährliche Webpage umgeleitet werden.

 

Apps: Freund oder Feind?

Apps sind eines der wohl wichtigsten Elemente jedes Mobilgeräts. So gibt es heute für beinahe jedes Bedürfnis eine entsprechende App. Es ist kaum noch vorstellbar, ohne WhatsApp oder Facebook zu kommunizieren, eine Reise anzutreten, ohne einmal auf das Mobile-App der SBB geschaut zu haben, oder die kürzlich erhaltene Rechnung ohne Zahlungs-App zu begleichen. Obschon Mobile-Apps unser privates und berufliches Leben enorm vereinfachen, lauern stets raffinierter werdende Gefahren. Denn mit Hilfe von Apps ist es für Cyberkriminelle ein Einfaches, schädliche Software auf Mobilgeräten zu installieren. Wie man bei Android anschaulich sieht, stellt die enorme Anzahl von Apps und App-Stores ein erhebliches Risiko für die Sicherheit der Mobilgeräte dar. Viele Mobilgerätenutzer laden Apps herunter, die keiner genügenden Qualitätskontrolle unterliegen. Insbesondere Pretender-Apps, die nichts anderes als Kopien von bekannten Apps sind, bleiben für den Benutzer nur sehr schwer erkennbar. Cyberkriminelle können so unbemerkt Spyware auf den Mobilgeräten installieren. Dies ermöglicht beispielsweise den direkten Zugriff auf die Videokamera des Benutzers, ohne dass er es bemerkt. Zudem zeichnen Apps meistens automatisch den Standort eines Nutzers auf. Kriminelle können somit nicht nur den genauen Standort eruieren, sondern auch auf die momentane Aktivität eines Benutzers schliessen.

 

Wie ein Emmentaler Käse

Die Löcher in der Sicherheit des Betriebssystems von Android, aber auch von iOS sind vergleichbar mit einem Emmentaler Käse. Eine grosse Bedrohung für die Sicherheit eines Mobilgeräts stellt dessen Betriebssystem dar. So wird dieses oft als Eingangstür für Attacken genutzt, wie beispielsweise bei der Spionagesoftware Pegasus, die sich drei Schwachstellen in iOS zunutze machte. Durch eine Schwachstelle im Safari-Webbrowser und zwei weitere Schwachstellen im Kern des Mobilbetriebssystems iOS konnten die Angreifer unter anderem Nachrichten und E-Mails mitlesen, Anrufe verfolgen, Passwörter abgreifen, Tonaufnahmen machen und den Aufenthaltsort des Nutzers verfolgen. Bekanntermassen gilt jedoch Android als das unsicherste Betriebssystem der Welt. Alleine im letzten Jahr wurden 523 Sicherheitslücken entdeckt. Der neuste Virus heisst Judy, der mithilfe einer App des südkoreanischen Unternehmens Kiwini auf dem Mobilgerät installiert wurde. Bis zu 36 Millionen Geräte sind laut Experten mit diesem Virus infiziert, meistens ohne Wissen des Gerätebesitzers. Dabei hat es diese Malware zwar nicht auf die Daten seiner Opfer abgesehen, sondern generiert über ein verstecktes Fenster Klicks auf Google-Werbeanzeigen. Durch den Klickbetrug kassieren die Malware-Entwickler Geld, da diese aus Sicht des Anzeigeschalters von deren Homepage kommen. Auch Cloak and Dagger ist eine neuere Schadenssoftware auf Android. Hacker können damit unsichtbare Bildschirmbenachrichtigungen erzeugen, die vom Nutzer nicht bemerkt werden. Cloak and Dagger ermöglicht das unbemerkte Aufzeichnen von Tastatureingaben, den Diebstahl sensibler Daten und die Installation weiterer Apps, die Zugriff auf nahezu alle Funktionen geben können. Aufgrund eines sehr rigiden Qualitätssicherheitsprozesses weisen die Apps aus Apples App-Store jedoch eine wesentlich höhere Sicherheit auf. Jede neue App muss vorab von Apple einen vielschichtigen Sicherheitstest durchlaufen. Erst dann wird sie im App-Store zur Nutzung freigegeben.

 

Ist die Hardware infiziert, wird es teuer

Selbst die Hardware eines Mobilgeräts ist nicht frei von Sicherheitslücken. Im letzten Jahr wurde bekannt, dass beinahe 900 Millionen Android-Geräte von einer Sicherheitslücke in Chipsätzen vom Zulieferer Qualcomm betroffen waren. Unter einem Chipsatz versteht man mehrere integrierte Schaltkreise, die zusammenhängend eine oder mehrere Aufgaben im Mobilgerät erfüllen, wie beispielsweise für GPS oder Gerätesensoren. Werden die Sicherheitslücken ausgenutzt, so haben Angreifer kompletten Zugriff auf das ganze Mobilgerät und es ist für sie dadurch ein Leichtes, die Software der Chipsätze zu manipulieren sowie schädliche Applikationen direkt auf dem Mobilgerät zu installieren. Da solche Schwachstellen bei Chipsätzen auf den jeweiligen Mobilgeräten vorinstalliert sind, ist das Schliessen einer Sicherheitslücke ein sehr aufwendiger und kostspieliger Prozess. Im schlimmsten Fall muss das Mobilgerät komplett ersetzt werden. Bis ein neues Gerät mit dem Sicherheits-Update wieder verfügbar ist, muss in der Folge die gesamte Logistikkette von der Fabrik bis zum Kunden durchlaufen werden.

 

Arbeitgeber in Gefahr

Die Nutzer von Mobilgeräten sind sich nicht bewusst, dass auch die private Nutzung der mobilen Kommunikation den eigenen Arbeitgeber in Gefahr bringen kann. Private Mobilgerätenutzer versäumen es oft, ihre Geräte mit einem geeigneten PIN oder Passwort genügend zu schützen. Wo ein Passwort existiert, wird dieses häufig nach dem Schema «12345» erstellt, d.h., es bietet keinen genügenden Schutz gegenüber unbefugten Personen. Generell tendieren die Benutzer dazu, ihr Handy oder Tablet nur mit einer Single Factor Authentication zu sichern. Das heisst, dass nur eine Sicherheitsstufe, zum Beispiel ein Passwort, gebraucht wird, um das Mobilgerät vor Angreifern zu schützen. Viel besser wäre eine Two Factor Authentication, bei der zwei Sicherheitsstufen das Mobilgerät vor kriminellen Drittparteien schützen. Beispielsweise werden für das Login in E-Banking-Systemen oftmals Security-Tokens oder SMS-Codes zusätzlich zur Eingabe des Benutzernamens und Passworts eingesetzt. Auch Fingerprint, Irisscanner oder GPS können zusätzlich zu einem Passwort für erhöhte Sicherheit sorgen. Ohne Two Factor Authentication brauchen Profis oft nur wenige Sekunden, um ein einfaches Passwort zu knacken. Mittels «Brachial-Methode» probiert eine Software alle möglichen Zeichenkombinationen aus, bis das Passwort gefunden ist. Bei einer Passwortlänge von sechs Buchstaben (Kleinbuchstaben) braucht eine Quad-CPU lediglich 6,8 Sekunden bis zum Hack. Genau dies wurde dem Internetkonzern Yahoo im Jahr 2014 zum Verhängnis. Cyberkriminellen gelang der Diebstahl von mindestens einer halben Milliarde Nutzerdaten, die sie dann für gutes Geld im Darknet zum Verkauf anboten.

Die Unterscheidung von privater sowie geschäftlicher Nutzung wird immer schwieriger. Im Unternehmen sind Mobilgeräte meistens das schwächste Glied in der Sicherheitskette, das immer noch stiefmütterlich und unzureichend geschützt wird. Problematisch ist dabei, dass die private und geschäftliche Nutzung der Mobilgeräte eine Abgrenzung zwischen beiden Welten sowie eine Kontrolle im geschäftlichen Umfeld erschweren. Trotzdem beginnen Unternehmen die Nutzung mobiler Geräte entweder verstärkt einzuschränken oder besser gegen Missbrauch zu schützen.

 

Phishing kann massiv eingedämmt werden

Mobilgeräte sind das zentrale Einfallstor für Phishing beziehungsweise Social-
Engineering-Attacken. Durch gezielte Manipulation von Mitarbeitern entstehen jährlich Schäden in Milliardenhöhe. Aktuelle Beispiele zeigen, dass bei grossen Unternehmen viel Geld erbeutet werden kann: Der Spielzeughersteller Mattel verlor 2016 durch Social Engineering drei Millionen US-Dollar, der Autozulieferer Leoni sogar 40 Millionen Euro. Auch der bereits erwähnte Security Hack bei Yahoo hatte laut FBI seinen Ursprung in einem Phishing-E-Mail an einen Yahoo-Mitarbeiter. Kleine und grosse Schweizer Unternehmen wie RUAG, Digitech, Galaxus und weitere waren in der Vergangenheit bereits ebenfalls stark davon betroffen. So gelang es vermutlich russischen Hackern, mithilfe einer Malware aus der Turla-Familie 20 Gigabyte Daten des Rüstungskonzerns RUAG mit entsprechenden Schadenfolgen zu stehlen. In einer aktuellen Studie von KPMG geben 88 Prozent der befragten Schweizer Unternehmen an, in den letzten zwölf Monaten Opfer eines Cyberangriffs geworden zu sein. Dies ist eine Zunahme von rund 34 Prozent gegenüber dem Vorjahr. Bei über der Hälfte der Firmen (56 Prozent) führte der Angriff zu einem Unterbruch der Geschäftstätigkeit, und bei mehr als einem Drittel (36 Prozent) der befragten Unternehmen hatte die Attacke einen unmittelbaren finanziellen Schaden zur Folge.

Gründe für erfolgreiches Phishing und Social Engineering sind dabei nicht nur die gutgläubigen Mitarbeitenden, sondern vielerorts mangelt es auch an Ausbildungen, um die Mitarbeiter gezielt auf die Gefahren von Social Engineering aufmerksam zu machen. Haben die Angreifer erst einmal ein einzelnes Mobilgerät mit einer Schadenssoftware infiziert, können sie schnell auf das unternehmensweite Netzwerk zugreifen und ungestört sensible Daten herunterladen oder verändern.

Bei den meisten Unternehmen gibt es keine Whitelist für erlaubte und sichere Apps. Dadurch fehlt den Mitarbeitern ein verbindlicher Orientierungsrahmen für den Download von vertrauenswürdigen Applikationen. Ohne solche Einschränkungen gelangen oft schädliche Apps von Drittparteien auf die persönlichen oder auch auf die firmeneigenen Handys und Tablets. Zudem aktualisieren Unternehmen oftmals ihre Softwaresysteme nicht regelmässig. Angreifer haben dadurch vereinfacht die Möglichkeit, sich Zugang zu wichtigen Informationen über die bestehende Sicherheitslücke zu verschaffen. Zudem sind Unternehmen häufig relativ langsam, was die Aktualisierung von eigener Software anbelangt. Obwohl die Kenntnis von einer Sicherheitslücke besteht, gehen Unternehmen oft fahrlässig davon aus, dass sie die Einzigen sind, die die Sicherheitslücke kennen. Viele Schwachstellen werden dadurch über Jahre nicht verbessert. Im Durchschnitt vergehen so vom Entdecken bis zum Schliessen einer Sicherheitslücke im Unternehmen ganze 153 Tage.

 

Digitale Geschäftsmodelle sehr gefährdet

Mobilgeräte sind oft das Erste, was man am Morgen benutzt, und das Letzte, was man vor dem Schlafengehen in der Hand hat. Laut einer Studie schauen Menschen im Schnitt 88-mal pro Tag auf ihr Handy und entsperren dabei 53-mal eine App. Da die Nutzung von Mobilgeräten stetig intensiver wird, erhöht sich auch rasch die Bedrohung durch Cyberattacken. Obschon laufend neue digitale Geschäftsmodelle mit noch innovativeren Mobilgeräten und Apps auf den Markt kommen, machen sich Private und Unternehmen paradoxerweise immer noch viel zu wenig Gedanken über deren Sicherheit. In der Studie von KPMG geben rund 65 Prozent der befragten Schweizer Unternehmen an, dass sie nicht systematisch an benutzerfreundlichen Massnahmen zur Cybersicherheit arbeiten. Nur 53 Prozent der befragten Unternehmen geben an, dass sie Angriffe überhaupt erkennen und die Fähigkeit haben, angemessen darauf zu reagieren. Zudem ziehen nur 11 Prozent entsprechende Spezialisten bei. Es ist somit für Angreifer immer noch viel zu leicht, an hochsensible Daten von Privatpersonen und Unternehmen zu kommen, da entweder gar kein Schutz vorhanden ist oder dieser nicht den nötigen Standards entspricht. Was nützen uns also der digitale Wandel sowie die Nutzung neuer Technologien, wie beispielsweise 3D-Printing, Mobile Payment oder Industrie 4.0, wenn wir dem Schutz der mobilen Kommunikation sowie der kritischen Infrastruktur zu wenig Bedeutung geben? Der Mensch und sein Verhalten respektive sein Umgang mit mobiler Technologie stehen einem effektiven Schutz im Weg. Spezifische Awareness-Trainings im Unternehmen sind eine geeignete Massnahme, das menschliche Verhalten mit Mobilgeräten zu ändern. Es muss zwingend die Wirksamkeit der Sicherheitsmassnahmen in der Nutzung mobiler Kommunikation geschult und damit erhöht werden, damit technischer Fortschritt nicht den Menschen und sein Umfeld nachhaltig gefährdet – und zwar besser gestern als morgen. (Franco Monti)

 

Dieser Beitrag erschien zuerst im Branchenreport «Madia Trends I» vom 14. Juli 2017

 

<<

Der Autor: Franco Monti hat, nach langjähriger Tätigkeit als Partner in internationalen Consulting-Unternehmen, Anfang 2016 mit Monti Stampa Furrer & Partners AG sein eigenes Unternehmen gegründet, das sich auf Cyber Security sowie Telecom Regulations fokussiert. Franco Monti hat seine reiche Erfahrung unter anderen auch den Branchen Telecom, Medien sowie Energie zur Verfügung gestellt. Seine berufliche Tätigkeit begann Franco Monti in der Linie bei AT&T, bevor er später stellvertretender Geschäftsführer eines Technologieunternehmens und Verwaltungsrat in einem Start-up- sowie in einem Bauunternehmen wurde. Er ist Präsident der Swiss Mobile Association (Smama) und verfügt über einen Abschluss als dipl. Ing. ETH sowie lic. oec. HSG.

 

Grafik: Monti Stampa Furrer & Partners AG, Foto: zVg

Mi 09.08.2017 - 14:35

Kommentare

neuen Kommentar schreiben

Klartext

  • Keine HTML-Tags erlaubt.
  • HTML - Zeilenumbrüche und Absätze werden automatisch erzeugt.
  • Web page addresses and email addresses turn into links automatically.
CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.