“Android könnte das nächste Windows werden“

Wenn es auf den diesjährigen Internet Security Days (ISD) eine Quintessenz für CIOs gegeben hätte, dann könnte die nur lauten: “Finger weg von Android!” Denn das offene Betriebssystem ist nach Ansicht der Experten die kommende große Bedrohung für Unternehmen, gerade im Kontext von BYOD. “Android könnte das nächste Windows werden”, sagte etwa Raimund Genes, CTO des Securityanbieters Trend Micro.

Trend-Micro-CTO Raimund Genes. Quelle: Trend Micro.

Ein Grund dieser pessimistischen Prognose des Securityexperten ist einerseits die gigantisch wachsende Verbreitung des für unabhängige Softwarehersteller naturgemäß sehr attraktiven Betriebssystems, da sie dafür keine Lizenzgebühren bezahlen müssen. Zweitens käme es durch BYOD (Bring Your Own Device) und die damit einhergehende Mobilisierung der Mitarbeiter eben auch in Zukunft zum massenhaften Einsatz von Android – womit das eigentliche Problem begänne, so Genes: “Dadurch, dass der Anwender bei der Installation einer Android App dieser zahlreiche Rechte einräume und dieser Zustand dann für immer beibehalten wird, sind darauf basierende Geräte ein reizvolles Angriffsziel.”

Noch im November des vergangenen Jahres hat sich Trend Micro von Googles Open Source Program Manager Chris di Bona für diese Haltung “Scharlatanerie” und “Panikmache” vorwerfen lassen müssen. Doch Genes konterte diesen Anwurf auf den ISD mit Zahlenprognosen: “Wir gehen für Ende dieses Jahres mit bereits deutlich mehr als 100.000 Schadsoftwarevarianten für Android aus. Und Google selbst wäre besser beraten, hinsichtlich der Sicherheit von Android eine proaktivere Rolle einzunehmen”, warf Genes den Kaliforniern zu viel Müßiggang vor.

Unternehmen, die indes im BYOD-Kontext auf Android setzen, schlug der Trend Micro-CTO einen kontrollierten, unternehmenseigenen App Store vor. Kauf beim “Dealer des Vertrauens” sozusagen, der vor Infektionen schütze. Zudem berichtete Genes, dass Trend Micro an einer Andoid-Virtualisierungslösung arbeite, bei denen die Geräte wie ein mobiler Thin Client eingesetzt werden können, “und dies hoch performant”. Ein mobiler Virenschutz für die Geräte müsse sowieso eine Selbstverständlichkeit werden.

Bestätigung erfuhren die Einschätzungen von Raimund Genes durch die neue Zahlen, die ISD-Veranstalter eco auf dem Event präsentierte und die auf einer Befragung von 269 Fachleuten aus Unternehmens-IT-Abteilungen beruhen.

Demnach halten 84 Prozent der Befragten Smartphones für ein ernstzunehmendes Risiko. “Als Grund merken die Befragten an, dass die Geräte meistens auch privat genutzt werden. Hinzukommen würde, dass die Geräte nicht von der IT unter Sicherheitsaspekten ausgesucht werden, sondern die Nutzer lieber ihre selbsterworbenen Lieblingsgeräte und Apps mitbringen”, so Dr. Kurt Brand, Leiter der Kompetenzgruppe Sicherheit des eco-Verbands. Dieser Trend sei für die IT-Abteilungen außerdem problematisch, da die Nutzer der Geräte oft nicht ausreichend sensibilisiert und geschult sind, um das Einschleusen von Malware sicher auszuschließen.

In dieselbe Richtung, sprich: Aufklärung, zielt auch eine neue Initiative mit der Zielgruppe kleine und mittlere Unternehmen ab, die der eco auf den ISD vorstellte: die “Initiatives. Ein Projekt, das vom Bundeswirtschaftsministerium in seiner Task Force “IT-Sicherheit” gefördert wird.

Vorgehen: Auf der Website der Initiative trägt der Unternehmer seine eigene Website ein. Daraufhin laden sich eco-Experten den Website-Content runter und prüfen diesen intensiv auf versteckten Schadcode. Findet sich dann ein Befall mit Schadsoftware, wird der Betreiber per E-Mail über die Gefahr informiert. “Bei Problemen stehen wir ihm aber auch mit unseren Experten telefonisch zur Seite”, erläutert eco-Bereichsleiter Marcus Schaffrin. Aber: Zeigt der Webseiteninhaber keine Reaktion, informieren die eco-Vertreter den Hosting-Provider – Aufklärung mit der Holzhammer-Methode sozusagen.

Dass dieses energische Vorgehen allerdings notwendig ist, zeigen aktuelle Zahlen. Das Institut für Internet-Sicherheit an der Westfälischen Hochschule Gelsenkirchen hält 2,6 Prozent aller deutschen Websites für infiziert, und der Symantec Internet Security Report weist Deutschland den Platz 5 der Länder zu, von denen die meisten Angriffe im Netz ausgehen. Dies sei auch, so Marcus Schaffrin, das Ergebnis eines hierzulande üblichen Laissez-fair-Umgangs mit IT-Security in kleinen Unternehmen: “IT-Sicherheit macht der Neffe vom Chef oder die Sekretärin am Wochenende. Ganz einfach: IT-Security wird nicht ausreichend gewürdigt.”

Die rechtlichen Konsequenzen hinsichtlich solcher infizierter Websites fielen nach Meinung des IT-Anwalts Christian Solmecke noch recht milde aus. Zwar müsse ein Webseitenbetreiber theoretisch seinen Verkehrssicherungspflichten nachkommen und etwa für eine laufende Aktualisierung des Virenschutzes sorgen, “aber das ist bis dato kaum möglich, denn wie soll ein kleines Unternehmen an seine Webseite kommen, die bei einem großen Hoster liegt?”, so der Rechtsanwalt. Hingegen kenne er selbst Fälle aus seiner anwaltlichen Praxis, in denen die Webseiteninhaber für Spam-Mails verantwortlich gemacht wurden, die von ihren Seiten versendet worden waren, und zwar in Form von kostenpflichtigen Abmahnungen

Gizmodo.de berichtet ab 19 Uhr live von der Vorstellung des iPhone 5. ⇒Zum Live-Blog.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.