Update-Politik

Google-Betriebssystem muss wasserdichter werden

Laut Thomas Uhlemann, Sicherheitsspezialist DACH bei der Eset Deutschland GmbH, müssen Anbieter wie Google ihre Betriebssysteme „noch wasserdichter gestalten und vor allem die Update-Politik zugunsten der Sicherheit des Anwenders verbessern“.

Thomas Uhlemann, Sicherheitsspezialist DACH bei der Eset Deutschland GmbH

„Es ist kein Geheimnis mehr, dass der Anwender das schwächste Glied in der Security-Kette darstellt“, so Thomas Uhlemann, Sicherheitsspezialist DACH bei der Eset Deutschland GmbH.

Herr Uhlemann, welchen Stellenwert räumen deutsche Unternehmen dem Thema „Mobile Security“ aktuell ein?
Thomas Uhlemann:
Viele deutsche Unternehmen suchen beim Thema „IT-Security“ gezielt nach Lösungen für mobile Endgeräte. Dabei stehen Sicherheits-Apps für Android-Smartphones und -Tablets im Fokus. Kein Wunder: Diese Geräte werden aufgrund des niedrigen Beschaffungspreises mehrheitlich eingesetzt und gelten – wegen der immer wieder publik werdenden Sicherheitsprobleme von Android – als gefährdet. Gleichzeitig legen Unternehmen großen Wert darauf, dass der Schutz aller mobiler Devices im Security-Konzept gebührend berücksichtigt wird. Denn nicht nur Malware auf Smartphone und Co. bereitet den Administratoren Kopfzerbrechen, sondern auch die Schatten-IT bestehend aus Privatgeräten und Datenträgern.

Welchen Einfluss hat die seit Mai 2018 geltende europäische Datenschutz-Grundverordnung (EU-DSGVO) auf das Sicherheitsbewusstsein der Unternehmen und ihrer Mitarbeiter hinsichtlich des Einsatzes von Mobilgeräten ausgeübt?
Uhlemann:
Das Sicherheitsbewusstsein vieler Unternehmen hat in den letzten Jahren spürbar zugenommen. Ob das nun an Ransomware, Malware oder der DSGVO lag, ist letztlich nicht entscheidend. Sicherlich hat das Thema „DSGVO“ aber die Investitionen in IT-Sicherheit befeuert. Leider wird dieses Bewusstsein den Mitarbeitern noch viel zu selten schlüssig vermittelt oder die bereitgestellten Lösungen sind bedienerunfreundlich gestaltet. Dies führt trotz guter Datenschutz- und Sicherheitskonzepte unbewusst zur Aushöhlung der Security-Anstrengungen. Bei der Sensibilisierung der Anwender besteht weiterhin Nachholbedarf.

Verloren gegangen, gestohlen, infiltriert: Was sind die derzeit größten Gefahren für mobile Endgeräte im Unternehmenseinsatz?
Uhlemann:
Der Verlust von Smartphones und Tablets gilt unter Experten als die mit Abstand größte und wahrscheinlichste Gefahr für die Unternehmenssicherheit. Wer möchte noch klobige und schwere Notebooks mitschleppen, wenn die vergleichsweise kleinen digitalen Allrounder die gestellten Aufgaben genauso gut erledigen? Dummerweise gehen diese Geräte massenhaft verloren oder werden gestohlen. Und damit wechseln sämtliche gespeicherten Daten, E-Mails und vor allem Zugänge zu Konten und Netzwerken den Besitzer. Sollte also ein Finder oder Dieb durch das Erraten des Entsperrungsmusters oder des Codes Zugang erlangen, erhält er damit auch fast automatisch Zugang zum Unternehmen. Deswegen gilt es, neben dem Malware-Schutz auch entsprechende Antidiebstahlfunktionen über die Endpoint-Lösung zur zentralen Verwaltung mit anzubieten.

Inwieweit wirkt sich hierbei die extrem heterogene Verteilung von Android-Versionen auf die mobile Sicherheit aus?
Uhlemann:
Ohne Frage bedeutet das eine klare Beeinträchtigung der Sicherheit. Zum einen bieten nur wenige Hersteller Sicherheitslösungen an, die überhaupt auf älteren Android-Versionen laufen. Zum anderen erhalten ältere Betriebssysteme gar keine Security-Updates von Google bzw. den Geräteherstellern. In diesem Fall kann wieder nur ein guter Malware-Schutz weiterhelfen. Mit ihm können Unternehmen Devices absichern, die keine Aktualisierungen erhalten. Solche Lösungen enthalten Malware- und Diebstahlschutz, Maßnahmen zur Einschränkung verschiedener Apps und vieles mehr. Experten raten allen Kunden, sich bewusst für Geräteanbieter zu entscheiden, die langfristigen und zügigen Support (neuer) Android-Versionen garantieren.

Wie gefährlich sind wiederum klassische Viren, denen man vielleicht schon bei der Nutzung von Desktop-PCs begegnet ist, und welchen Nutzen haben hier Antiviren-Apps wirklich?
Uhlemann:
Malware gehört zum täglichen digitalen Leben leider dazu. Selbst im Google Play Store oder auch im App Store von Apple befinden sich immer wieder schädliche Apps, trotz großer Anstrengungen der Betreiber. Die Schädlinge bestehen vorrangig aus gefälschten Banking- oder Trading-Apps, Krypto-Wallets oder auch Cryptominern, die die Hardware zum Schürfen von Kryptowährungen missbrauchen. Auch diverse Ransomware, die entweder das Gerät sperrt oder Dateien verschlüsselt, hat weiterhin Konjunktur. Antviren- oder besser Antimalware-Apps für Android seriöser Hersteller sind also unbedingt zu empfehlen und auch sinnvoll. Klassische Viren spielen auf Desktops keine Rolle mehr und sind im mobilen Bereich aufgrund der Betriebssystemstruktur von Android oder iOS technologisch kaum möglich.

Schwachpunkt User: Welche Rolle spielt unsicheres, verantwortungsloses Nutzerverhalten?
Uhlemann:
Es ist kein Geheimnis mehr, dass der Anwender das schwächste Glied in der Security-Kette darstellt. Selbst beste technische Maßnahmen laufen ins Leere, wenn der User grundlegende Regeln – warum auch immer – nicht einhält. Cyberkriminelle wissen um diese Problematik und setzen ihre Waffen gezielt auf dieses Fehlverhalten ein. Das geschieht beispielsweise durch gefälschte App-Angebote in offiziellen und Drittanbieter-Stores oder durch gefälschte Mails und Dialoge auf dem Display. Für Geschäftsführung und Administratoren gilt es also, diese Schwachstellen durch Seminare und Informationen zu „patchen“. Oder wenigstens organisatorisch dafür zu sorgen, dass diese nicht ausgenutzt werden können. Das gelingt durch gute Verschlüsselungs- und Berechtigungskonzepte.

Wie können Unternehmen das Sicherheitsbewusstsein ihrer Mitarbeiter stärken, wenn diese mobile Endgeräte bei der Arbeit (z.B. im Außendienst) nutzen? Wie klären Unternehmen ihre Mitarbeiter am besten auf?
Uhlemann:
Es existieren genügend Konzepte und Lösungen „von der Stange“ sowie Anbieter, die durch interaktive Trainings und Seminare das Bewusstsein schärfen und neue Handlungsweisen trainieren können. Oft reichen schon regelmäßige, interne Informationen zu aktuellen (E-Mail-)Bedrohungen oder anderen Security-Themen. Wichtig ist, dass immer die Maßnahmen erklärt werden und es nicht darum geht, die Mitarbeiter einzuschränken. Vielmehr sollen durch verantwortungsbewusstes Handeln letztlich die Arbeitsplätze aller für die Zukunft gesichert werden. IT-Security-Zwischenfälle durch eine vermeidbar geöffnete Mail mit Schadcode-Anhang kosten im Zeitalter von Ransomware unter Umständen mehrere Zehntausend Euro. Liquidität, die die Firmen eigentlich benötigen, um etwa Gehälter zu zahlen.

Wie sollte eine effektive Mobile-Security-Strategie im Unternehmen letztlich aussehen? Welche Rolle spielen hierbei MDM-/EMM-Lösungen?
Uhlemann:
MDM-/EMM-/RMM-Funktionalitäten müssen zwingend integraler Bestandteil der Security-Lösungen sein. Eine Verwaltungskonsole, die diese Funktionen nicht plattformübergreifend beinhaltet, ist nicht mehr zeitgemäß. Ebenso muss die Verwaltungslösung auch von Mobilgeräten wie Smartphones und Tablets vollumfänglich zu bedienen sein. Eine Security-Strategie ist immer dann erfolgreich, wenn sie die IT-Struktur über alle Geräteklassen und Betriebssysteme hinweg beinhaltet, Update-Konzepte, einfaches Reporting und ein hohes Maß an Benutzbarkeit und Anpassungsmöglichkeiten bietet. Und wenn sie bei aller Technologie die Nutzer im Fokus hat und deren potentielles Fehlverhalten.

Welche Faktoren bzw. Kriterien werden Ihrer Ansicht nach das Thema „Mobile Security“ in den nächsten Jahren beeinflussen?
Uhlemann:
Der Erfolg von „Mobile Security“ beruht auf dem Mehrwert, den die Geräte bieten, und auf der grundlegenden Sicherheit. Gerade im Bereich der Security gibt es für viele Parteien noch einiges zu tun. Gerätehersteller sind aufgefordert, das Prinzip „Security by Design“ endlich in die Tat umzusetzen und/oder Sicherheits-Updates schnell und langfristig anzubieten. Anbieter wie beispielsweise Google müssen ihre Betriebssysteme noch wasserdichter gestalten und vor allem die Update-Politik zugunsten der Sicherheit des Anwenders verbessern. Und der User muss letztlich verstehen, dass er den Großteil der Security selbst in der Hand hat und Verantwortung dazu übernehmen muss.

Bildquelle: Eset

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok