Mobilgeräte – die neue Gefahr?

Die für Wortschöpfungen stets empfängliche IKT-Branche nutzt längst einen eigenen Begriff: «Konsumerisierung der IT» (Consumerization of IT). Und auch eine Abkürzung gehört dazu: «BYOD» – gemeint ist das ermunternde «Bring Your Own Device». In die Firma mitgebracht wird eine wachsende Zahl privater Smartphones, Tablets und sonstiger Hightech-Gadgets. Vermehrt überlassen auch Firmen ihren Mitarbeitenden Blackberrys, immer smartere Handys, iPads und andere «Handheld Computer». Vielfältige Gerätetypen gehören heute also unausweichlich zum Firmen-Gerätepark und müssen ins Netzwerk integriert werden, ohne dabei die Sicherheit zu beeinträchtigen.

Gefürchtete Mobile Malware

Dies fordert von den Verantwortlichen zusätzlichen Effort, bei bereits existierenden vielfältigen Sicherheitsrisiken. Viele Unternehmen erlauben daher erst gar keine Benutzung von Privatgeräten. Dies ist umstritten, denn manche Experten sehen im neuen Mega-Trend BYOD auch einen Benefit, so etwa günstigere Anschaffungs- und Wartungskosten gegenüber Business-Geräten. Vor allem die jüngere Generation und «innovative Problemlöser» möchten laut den Beratern von Gartner ihre Privatgeräte auch in der Firma nutzen.

Hinzu kommt, dass von der Firma überlassene Geräte meist nicht nur geschäftlich, sondern vermehrt auch privat eingesetzt werden. Wenn dies gleichzeitig auf einem Gerät geschieht, raten Experten, die Daten beider Bereiche zwar einheitlich darzustellen, aber unbedingt voneinander zu trennen. Je nach Gerät sind verschiedene Methoden dazu nutzbar, zum Beispiel die sogenannte Virtualisierung. «Schafft man eine Art doppelte Identität auf dem Gerät, können es die Anwender nach Belieben personalisieren, während die IT-Abteilung die Kontrolle über die Geschäftsanwendung behält», sagt Marcus Klische von der Blackberry-Herstellerin Research in Motion. Er hofft, dass Unternehmen ein Gleichgewicht finden zwischen der Aufsicht einerseits und der Freiheit im Umgang mit den Geräten andererseits.

Bewahrheitet sich hier also wieder einmal der alte Spruch «Vertrauen ist gut, Kontrolle ist besser»? Zwar gibt es zurzeit Schätzungen zufolge «nur» etwa 150 verschiedene Familien von Malware für Mobilgeräte, aber das entspricht etwa einer Verdoppelung in zwölf Monaten – Tendenz steigend. Nach Einschätzung des Vorsitzenden des Verbandes der deutschen Internetwirtschaft Eco, Professor Michael Rotert, sind die Smartphones derzeit etwa so sicher wie die PCs im Jahr 1998. Laut Eco ist die drittgrösste Sorge von IT-Verantwortlichen in Bezug auf mobile Geräte, dass sich Mobile Malware Zutritt zum Firmennetz verschafft – nach Sorgen um Diebstahl und Verlust der Geräte.

Letzteres wird begünstigt durch den Trend, auch ausserhalb des Büros zu arbeiten, respektive durch die generell immer durchlässigere Grenze zwischen Arbeit und Privatsphäre. Laut einer globalen Befragung durch die Marktforscher von IDC wird sich der Anteil von «mobilen Mitarbeitenden» bis 2013 um etwa 5 Prozent erhöhen. Und fast 60 Prozent der befragten Arbeitnehmer sagen, sie würden gerne teilweise oder ständig von zuhause aus arbeiten. Mobilgeräte gehören zu diesem Lebensstil. Aufenthalte in Zügen oder am Flughafen werden längst durch allerlei smarte Mobilgeräte produktiv genutzt. Dort wird aber auch schon mal das eine oder andere Gerät mit wichtigen Firmen- oder vertraulichen Kundendaten liegen gelassen. Deshalb muss ein IT-Administrator ein Gerät via Fernzugriff temporär sperren oder die Daten darauf auch komplett löschen können.

Soziale Medien: offene Einfallstore

Besonders deutlich werden verschwimmende Grenzen zwischen Privatem und Geschäftlichem auch angesichts verstärkter Aktivitäten in den sozialen Medien, sei es durch die Unternehmen selbst oder durch die Arbeitnehmer am Desktop-Rechner, unterwegs auf dem Smartphone und zuhause am Privatcomputer. Deshalb, so betonen Experten, mache es auch wenig Sinn, im Unternehmen soziale Medien zu sperren – sei es aus Sicherheits- oder Produktivitätsgründen –, denn dann werde eben das Privatgerät dafür genutzt. Eine Sperrung von Facebook & Co. am Arbeitsplatz kann auch unter einem anderen Aspekt kontraproduktiv sein, wie der HR-Manager und Experte für Social Media, Volker Seubert, argumentiert.

Eine gewisse Sicherheit auf sozialen Plattformen kann bei umsichtiger Nutzung ja durchaus erreicht werden. Doch sollte stets bewusst sein, dass soziale Medien nebst allem Spass und Nutzen, die sie bereiten, auch ein offenes Einfallstor für jegliche Art von Malware sein können. Massenhaft zirkulierte etwa in Facebook kürzlich die Nachricht: «Bist du das?». Wer dann neugierig klickte, lud sich ein als Bild getarntes Schadprogramm herunter und ein weiterer Klick installierte einen Trojaner auf dem Rechner. Ähnliches passierte jenen, die auf dem eher beruflich orientierten Netzwerk LinkedIn unbekümmert auf gefälschte Kontaktanfragen klickten. Daraufhin kamen sie auf Webseiten, die sofort versuchten, Schwachstellen in Java, Adobe Reader etc. auszunutzen und Malware auf den User-Rechner zu laden (Drive-by-Downloads). Und das sind nur zwei Beispiele von vielen. Trend auch hier: steigend.

Ziel ist auch die Personalabteilung

Ein unbedachter Klick kann also bereits fatale Wirkung haben. Dazu muss man aber nicht einmal ins Web. Immer noch sind auch E-Mails Transporteure übler Schadsoftware. Besonders perfide für das HRM sind Mails, die vorgeben, Bewerbungen zu sein.

So entdeckte Barracuda Networks, Herstellerin von Geräten für Mail- und Netzwerk-Sicherheit, E-Mails mit beigefügten Lebensläufen (CV), die, sobald geöffnet, anzeigten, dass MS Word «abgestürzt» sei und durch Klick auf ein Icon neu gestartet werden müsste. Wer dies tat, installierte sich einen Trojaner auf den Rechner, der unbemerkt User-Namen und Passwörter kopierte und an einen Hacker-Server schickte. Dave Michmerhuizen, Sicherheitsexperte bei Barracuda Networks, sieht jedoch keine Gefahr durch automatische CV-Parser: «Das Word-Dokument erfordert menschliche Interaktion – den Klick –, um die Installation des Trojaners auszulösen. Ein CV-Parser kann diesen Vorgang nicht alleine vornehmen.» Der Experte reiht die Attacke in die Kategorie des «Social Engineering» ein, wo Menschen auf persönlich-sozialer Ebene trickreich überzeugt werden (sollen), Passwörter oder sonstige Informationen auszuhändigen, Mails zu öffnen etc. «Ein CV ist generell ja ein erwünschtes Dokument, deshalb ist es ein guter Platz, um Malware darin zu verstecken», sagt Gerard Mulder aus der Geschäftsleitung von Textkernel, deren CV-Parsing-Modul Extract! Teil vieler Recruiting-Anwendungen wurde.

Es ist wie üblich im Bereich der IT-Sicherheit ein Wettlauf zwischen den Angreifern und den Verteidigern, der sich vorwiegend auf der technischen Ebene abspielt. Und auch nicht billig ist. Dave Michmerhuizen weiss jedoch: «Nach unserer Erfahrung sitzt der Schwachpunkt im Bürostuhl. Wir glauben deshalb, dass es unerlässlich ist, die User immer wieder aufzuklären. Wer über die Gefahren gut aufgeklärt ist, fällt weniger auf sie herein. Und das kostet weder viel Geld noch Aufwand.»