Mobile Geräte machen inzwischen mehr als die Hälfte des gesamten Webverkehrs aus, und diese Zahl scheint sich in den nächsten Jahren noch zu erhöhen. Im Apple App Store und im Google Play Store sind bereits mehr als 5 Millionen Anwendungen verfügbar – und nicht alle davon sind sicher. Eine Sicherheitsstrategie für mobile Apps kann einige der Bedrohungen durch nicht autorisierte, falsch konfigurierte oder bösartige Software mindern.
Strikte Sicherheitsrichtlinien bei der Nutzung mobiler Geräte durchzusetzen, ist sowohl für Ihre Organisation als auch für Ihre Mitarbeiter von Vorteil, da Sie so das Risiko einer Datenschutzverletzung minimieren können. Es gibt zwar Millionen von mobilen Apps, aber Sie können Ihre sensiblen Unternehmensdaten schützen, indem Sie nur sieben einfache Schritte befolgen.
Gängige Sicherheitsrisiken bei mobilen Apps
Bevor Sie die Sicherheit mobiler Apps in Ihrer Organisation verbessern, sollten Sie wissen, mit welchen Arten von Bedrohungen Sie wahrscheinlich konfrontiert sind. Zu den häufigsten Bedrohungen für mobile Apps gehören:
- Ungesicherte Apps: Laut Hank Schless von Lookout „müssen Apps nicht bösartig sein, um gefährlich zu sein“. Viele legitime Smartphone-Programme weisen schwerwiegende Schwachstellen auf. Nehmen wir den Fall von Pinduoduo: eine Online-Einzelhandels-App, die hochgradig ausnutzbaren Code enthielt. Weniger offensichtliche gefährliche Apps können dennoch mehr Berechtigungen anfordern als nötig oder personenbezogene Daten sammeln und an unsichere Dritte weitergeben.
- Schatten-IT: „Schatten-IT“ bezieht sich auf Mitarbeiter, die nicht autorisierte Apps und Geräte für legitime Arbeitszwecke verwenden. Mögliche Beispiele hierfür sind die Verwendung privater Smartphones zur Erledigung von Aufgaben oder das Laden nicht autorisierter Apps auf ein vom Unternehmen bereitgestelltes Tablet. Da IT- und Sicherheitsteams oft nur wenig oder gar keinen Einblick in die Schatten-IT haben, ist diese möglicherweise anfälliger für Angriffe.
- Schadsoftware: Schadsoftware ist zwar selten, aber sie gelangt gelegentlich auf Geräte. In der Regel tarnen sie sich als legitime Programme, wie z. B. Banking-Apps oder PDF-Reader. Einmal installiert, stehlen sie Anmeldedaten oder infizieren Geräte mit Malware.
7 Schritte zur Sicherung mobiler Apps
Mobile Apps überprüfen und konfigurieren
Mit Millionen von Smartphone-Apps auf dem Markt – und Dutzenden von Versionen jeder einzelnen – kann es riskant sein, Mitarbeiter alles installieren zu lassen, was sie wollen. Eine mögliche Alternative besteht darin, Firmengeräte auszugeben und die installierbaren Apps auf eine vorab genehmigte Liste zu beschränken. Die IT-Abteilung kann diese Software mit der Mobile Vulnerability Management (MVM)-Technologie überprüfen, die das relative Risiko jeder App, jedes Betriebssystems (OS) und jedes Geräts bewertet. Je häufiger Sie diese Tests durchführen, desto besser sind Ihre Erkenntnisse, aber einmal im Monat ist ein guter Anfang.
Zugriffskontrolle durchsetzen
Bei der Zugriffskontrolle handelt es sich um einen Prozess, bei dem legitime Mitarbeiter Zugang zu Ihrem System erhalten, während nicht autorisierte Benutzer ausgeschlossen werden. Wenn Ihre Organisation Daten in der Cloud speichert (und statistisch gesehen ist dies wahrscheinlich der Fall), können sowohl Mitarbeiter als auch Bedrohungsakteure mit mobilen Geräten auf diese Informationen zugreifen.
Die Zugriffskontrolle kann viele verschiedene Aspekte der Cybersicherheit umfassen, von der Implementierung von Zero-Trust-Prinzipien auf einem Remote-Server bis hin zur Ausgabe von Schlüsselkarten in einem physischen Büro. Authentifizierung und Autorisierung bilden jedoch das Rückgrat dieser Strategie. Ihre Mitarbeiter sollten sichere Passwörter erstellen, diese häufig ändern und eine Multi-Faktor-Authentifizierung (MFA) hinzufügen, um eine zusätzliche Sicherheitsebene zu schaffen.
Schatten-IT überwachen
Ihre Mitarbeiter werden wahrscheinlich ihre eigenen Apps und Geräte verwenden – selbst wenn Sie ihnen sagen, dass sie das nicht tun sollen. Das gilt insbesondere für mobile Geräte, da Bring-your-own-Device (BYOD)-Programme mittlerweile weit verbreitet sind. Sie sollten nicht unbedingt versuchen, Schatten-IT zu unterbinden, aber Sie sollten sich einen Überblick darüber verschaffen. Die richtige mobile Sicherheitslösung kann Ihnen ein besseres Bild Ihrer gesamten mobilen Risikolage und mehr Transparenz über nicht überprüfte Apps verschaffen.
Sensible Daten verschlüsseln
Von kleinen Unternehmen bis hin zu großen Konzernen – jede Organisation muss vertrauliche Daten schützen. Datenverschlüsselung ist zwar nicht spezifisch für mobile Geräte, bietet jedoch eine wichtige Sicherheitsebene gegen Bedrohungen für Smartphones und Tablets. Durch Cloud-Computing sind sensible Daten theoretisch von jedem Gerät aus und überall dort zugänglich, wo eine Internetverbindung besteht. Daher gibt es heute viel mehr Angriffswege für Bedrohungsakteure als zu Zeiten von lokalen Servern. IT-Manager können sensible Daten mit Tools wie Enterprise Digital Rights Management (EDRM) automatisch verschlüsseln.
Mitarbeiter schulen
Ein geschulter Mitarbeiter ist der beste Schutz vor mobilen Bedrohungen. Daher sollten Sie ihnen die Grundlagen der Cybersicherheit vermitteln, die sie benötigen, um sich selbst und Ihre Unternehmensdaten zu schützen. Nehmen wir zum Beispiel mobiles Phishing. Eine SMS-App kann an und für sich vollkommen sicher sein. Ein versierter Bedrohungsakteur könnte diese App jedoch nutzen, um einen Mitarbeiter dazu zu bringen, Anmeldedaten oder einen MFA-Code preiszugeben. Eine bösartige App, die als echte App getarnt ist, könnte dasselbe Ziel erreichen. Wenn Ihre Mitarbeiter wissen, wie sie die Anzeichen von Social Engineering erkennen, ist die Wahrscheinlichkeit höher, dass sie legitime Apps sicher verwenden und betrügerische Apps ganz meiden.
Mobile EDR implementieren
Die Sicherheit mobiler Apps ist ein fortlaufender Prozess, daher benötigen Sie Tools, die sich mit den Bedrohungen weiterentwickeln. Eine Mobile Endpoint Detection and Response-Lösung (EDR) kann mobilen Geräten Echtzeitschutz bieten. Mithilfe umfassender Datensätze und ausgeklügelter Algorithmen können Mobile EDRs schädliche Websites und Apps identifizieren, Mitarbeiter vor Phishing-Versuchen warnen und sogar Daten vor bekannten Bedrohungsakteuren schützen. Mobile EDR-Software kann je nach den potenziellen Risikofaktoren eines bestimmten Benutzers außerdem bedingten Zugriff gewähren.
Branchenvorschriften einhalten
Je nach Branche müssen Sie möglicherweise Compliance-Standards in Ihre Sicherheitsstrategie für mobile Geräte integrieren. So schreiben beispielsweise der Health Insurance Portability and Accountability Act (HIPAA) in den Vereinigten Staaten und die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union vor, wie private Organisationen auf personenbezogene Daten zugreifen, diese speichern und weitergeben dürfen. Jede Branche hat unterschiedliche Vorschriften, aber eine datenzentrierte mobile Sicherheitsstrategie kann dazu beitragen, dass geschützte Informationen in den Händen autorisierter Benutzer bleiben.
Schützen Sie Ihre Daten mit Mobile EDR
Um die Sicherheit mobiler Apps in Ihrer Organisation zu verbessern, kann Mobile EDR ein unschätzbares Werkzeug sein. Mit Mobile EDR können IT-Manager veraltete oder schädliche Apps identifizieren. Gleichzeitig erhalten Mitarbeiter Schutz vor Phishing- und Social-Engineering-Angriffen in Echtzeit. Lesen Sie das E-Book Mobile EDR-Handbuch: Wichtige Fragen, die Sie sich zum Schutz von Unternehmensdaten stellen sollten, um zu erfahren, wie diese Technologie ein wichtiger Bestandteil Ihrer Cybersicherheitsstrategie sein kann.