Mobile Security: Die vier Top-Trends des Jahres

Die Gewährleistung der Sicherheit von mobilen Geräten, Applikationen und Inhalten ist eine der aktuell größten Herausforderung für Unternehmen. In einer im Herbst letzten Jahres durchgeführten IDC-Studie zählen 62 Prozent der befragten Unternehmen die Verbesserung der Mobile Security zu den drei wichtigsten IT-Initiativen in 2015.

Je intensiver sich Unternehmen mit der Verwendung von mobiler Technologie und Lösungsszenarien auseinandersetzen, desto stärker werden ihnen notwendige Sicherheitsmaßnahmen bewusst. Denn jedes mit dem Firmennetz verknüpfte Gerät stellt ein potentielles Einfallstor für Fremdzugriffe dar.

Dabei verschwimmen zusehends die Grenzen zwischen privat und geschäftlich. Durch die Consumerization der IT ist unser Privat- und Arbeitsleben aus technologischer Sicht zusammengewachsen. Persönliche Geräte sorgen heute für Sicherheitsbedrohungen für Unternehmensinformationen. Firmen und Organisationen können es sich nicht mehr erlauben, nur auf die firmeneigenen Geräte bei der Gewährleistung der IT-Sicherheit zu achten.

Darüber hinaus rücken weitere Entwicklungen die Gewährleistung der Mobile Security in den Vordergrund. Aus Sicht von IDC sollten Unternehmen in 2015 ein Augenmerk auf die folgenden vier Trends legen.

1. Mobile Geräte werden neue Angriffsszenarien hervorrufen

Malware wird generell als zentrale Cyber-Bedrohung angesehen. In der mobilen Welt ist die Bedeutung von Malware allerdings anders gelagert. Aufgrund verschiedener mobiler Betriebssysteme und Hardware-Typen ist es schwieriger, Malware zu entwickeln, die eine massive Reichweite erlangen kann. Cyber-Kriminelle gehen daher andere Wege, um mobile Anwender auszubeuten. Angreifer zielen beispielsweise stärker darauf ab, Log-in Daten mittels Phishing-Mails und gefälschten Websites zu stehlen. Es ist schwierig, diesen Attacken entgegenzuwirken, da sie häufig keine Endpoint Security Warnung auslösen.

Ein weiteres Beispiel stellen betrügerische Werbe-Netzwerke dar. Die meisten kostenlosen Apps finanzieren sich durch eingeblendete Werbung. Cyber-Kriminelle haben sich darauf fokussiert, dass es leichter ist, ein betrügerisches Werbe-Netzwerk aufzubauen, als Anwendungen direkt zu korrumpieren. Denn die bereits installierten Apps haben die Sicherheitsüberprüfungen durch App Plattformen bestanden. “Bad News” ist ein Beispiel für eben diese Sicherheitsbedrohung. Als dieses betrügerische Werbe-Netzwerk aufgedeckt wurde, waren 32 Apps über vier unterschiedliche Entwickler-Accounts in Google Play verfügbar. Nach Google Play Statistiken wurden die betroffenen Apps zwischen zwei und neun Millionen Mal heruntergeladen. Bad News hat sich als aggressives, aber weniger gefährliches Ad-Network herausgestellt, in dem es beispielsweise den Nutzer auffordert, Apps zu installieren und in dem es sensitive Informationen wie die Handy-Nummer erfasst und versendet.

2. Anwendern wird eine zentralere Rolle bei der Verbesserung der Mobile Security zuteil

Anwender sind ein Schlüsselelement der IT-Sicherheit, aber nur wenigen mobilen Nutzern ist bewusst, dass sie die allgemeine mobile Sicherheitslage verbessern können. Dies hat zwei wesentliche Gründe: eine falsche Einschätzung der Bedrohungslage auf der einen und eine absichtliche Untergrabung von Sicherheitsmaßnahmen auf der anderen Seite.

Viele Anwender glauben, dass mobile Geräte sicherer sind als Desktop PCs oder Laptops. Diese Wahrnehmung resultiert vermutlich daraus, dass Nutzer immer wieder über Bedrohungen wie Computer-Viren gewarnt und daran erinnert wurden. Als Folge installieren viele Anwender Antivirus-Tools auf ihren privaten Rechnern. Diese Sensibilisierung wird allerdings häufig nicht auf mobile Geräte übertragen. Aufgrund des mangelnden Wissens über Bedrohungen sehen Nutzer keine Notwendigkeit für Sicherheitsmaßnahmen auf ihren mobilen Endgeräten.

Eine gezielte Untergrabung und Ignorierung von mobilen Sicherheitsvorkehrungen besteht, wenn Anwender ihr privates oder geschäftliches Gerät für neue Anwendungen öffnen wollen und dafür absichtlich Kontrollen des Geräts deaktivieren (Stichwort “Jailbreak”). Die Wahrnehmung ist häufig, dass das Gerät offener und nutzerfreundlicher wird. Auch wenn dies der Fall sein mag, macht ein gejailbreaktes Gerät Angreifern das Leben deutlich leichter. Um diesen vorsätzlichen Verstößen entgegenzuwirken sollte die IT die Geräte im Firmeneinsatz im Hinblick auf durchgeführte Jailbreaks regelmäßig monitoren.

3. APIs rücken App Security in den Fokus

Mobility ist ein wesentlicher Treiber dafür, dass Anwendungs-Architekturen sich mehr in Richtung lose gekoppelte Schnittstellen (APIs) anstelle von statischen Frameworks entwickeln. Dieser Trend profitiert davon, dass Unternehmen ihr Back-end zunehmend als Service sehen und dass Entwickler häufig auf verschiedene Cloud Services für mobile Apps angewiesen sind (z.B. bei Push-Nachrichten). Im Fokus vieler App Security-Maßnahmen steht heute die Absicherung entsprechender Applikationen mittels Software, nachdem diese auf Geräten installiert wurden. Dies ist richtig und wichtig, doch ebenso entscheidend wird es zukünftig sein, Sicherheitsaspekte bereits bei der Anwendungsentwicklung und dem Testing stärker einzubeziehen. Denn die Entwicklung und Bereitstellung von Applikationen verändert sich ständig.

Es ist zu erwarten, dass Applikationen zukünftig häufiger unter Einbezug von internen und externen APIs erstellt werden. Diese Veränderung erfordert auch eine Neuausrichtung des Ansatzes von Security-Anbietern. Eine Konsequenz wird unserer Auffassung nach sein, dass immer mehr Security-Firmen ihre Software in Form eines Software Development Kits (SDK) oder ebenfalls als API anbieten werden. Entwickler haben somit die Möglichkeit, Security Services auszuwählen und in ihre App zu integrieren, wie etwa Identity oder Anti-Malware Funktionen. Dieser Trend wird vermutlich zunächst im Consumer-Umfeld zum Tragen kommen, zum Beispiel bei Mobile Banking Apps, mittelfristig aber auch im B2B und B2E Apps.

4. Mobile Security wird sich zunehmend auch auf Netzwerk-Ebene abspielen

Endpoint Security ist ein wichtiger Bestandteil eines Mobile Security-Konzepts. Allerdings können entsprechende Lösungen selten alle Security-Anforderungen, die für einen umfassenden Schutz erforderlich sind, aufgrund der Hardware-Einschränkungen (z.B. Prozessor, Memory und Speicher) bewältigen. Sicherheitsanforderungen im Umgang mit mobiler Technologie (inklusive Datensicherheit, Zugriffskontrolle, Nachrichtensicherheit, Datenschutz oder Antimalware) erfordern eine mehrschichtige Security-Infrastruktur.

Unternehmen erkennen, insbesondere wenn sie BYOD ermöglichen, dass eine gezielte Gateway Security erforderlich wird, um sicherzustellen, dass der Traffic zu den Geräten im Netzwerk weitergeleitet werden kann. Der Network Layer Security werden drei wesentliche Aufgaben zuteil: Zugriffskontrolle, Traffic-Verschlüsselung und Traffic-Überprüfung. Viele Aspekte dieses Schutzes auf Netzwerk-Ebene werden in der Cloud ausgeführt werden.

Ausblick

Ein “Zuwenig” an potentiellen Sicherheitsgefährdungen durch mobile Endgeräte und Applikationen ist auch im Jahr 2015 sicherlich nicht zu erwarten. Das Bewusstsein hinsichtlich dieser Bedrohungen ist jedoch insbesondere bei Anwendern immer noch nicht voll ausgeprägt. Anbieter von Mobile Security-Lösungen sollten Unternehmen daher nicht nur mit entsprechenden Tools, sondern auch bei der Sensibilisierung ihrer Anwender unterstützen. Mobility hat weder die Grundsätze der IT-Sicherheit, noch die böswilligen Absichten der Cyber-Kriminellen verändert – doch es ermöglicht neue Angriffsziele- und Angriffstechniken. Das Verständnis über diese Bedrohungsszenarien und deren erfolgreiche Abwehr mittels entsprechender Technologien und Prozesse wird von zentraler Bedeutung sein, um die Mobile Security im Unternehmen zu verbessern.