© imrSquid/Digital-Vision-Vectors/GettyImages© imrSquid/Digital-Vision-Vectors/GettyImages

Downloads

IT-Sicherheit, vernetzt

Vorsicht, Datendiebe!

Smartphones unterwegs unbemerkt anzuzapfen, ist kinderleicht. Wie sich Unternehmen vor Datenklau schützen können.

Der Film zeigt den Albtraum eines jeden Handynutzers. Ein Mann steht auf der Straße und kopiert die Daten vorbeieilender Passanten. E-Mails, Passwörter, TAN-Nummern in SMS-Nachrichten, Kontakte im Adressbuch – nichts scheint sicher vor dem kleinen Gerät, das hinter einer Zeitung versteckt und unbemerkt die Informationen stiehlt. Glücklicherweise landeten die Daten nicht bei einem Kriminellen, sondern bei dem US-Blogger Jayson Street, der den Datenklau zu Demonstrationszwecken ini­tiierte, aufzeichnete und über Youtube verbreitete. Eine Warnung an alle Smartphone-, Tablet- und Laptop-Nutzer – denn damit sein Trick klappte, musste auf den mobilen Geräten der Passanten nur eine einzige Einstellung aktiviert sein: Sie mussten permanent den Zugriff aufs WLAN erlauben. Dann verbanden sich die Smartphones, Tablets oder Laptops automatisch mit einem gefälschten WLAN-­Hotspot. Über die offene Verbindung spähte der Blogger dann die Daten aus. Abwegig ist ein solches Szenario nicht, wie Peter Meyer, Leiter Cyber Security Services beim Verband der Internetwirtschaft Eco, verrät: „Der Angriff ist durchaus realistisch. Und er lässt sich auch ohne großen Aufwand durchführen, die entsprechende Hardware dafür gibt es im Elektronikhandel.“ Das wäre besonders heikel bei einer Attacke auf Firmengeräte, bei denen vertrauliche E-Mails oder sensible Zugangsdaten ins Visier genommen werden könnten.

»Der Angriff ist realistisch. Er lässt sich ohne großen Aufwand durchführen, die entsprechende Hardware dafür gibt es im Elektronikhandel.«
Peter Meyer, Verband der Internetwirtschaft Eco

Im schlimmsten Fall könne es einem Hacker gelingen, „eine vollständige Kopie des Geräts anzufertigen“, warnt Meyer. Das klappt zwar nicht im Vorbeigehen, eine Fahrt zwischen zwei U-Bahn-Stationen würde aber ausreichen. Besonders perfide: Die Spionage bleibt wahrscheinlich unbemerkt. „Die Gefahr, entdeckt zu werden, ist für den Angreifer relativ gering“, erklärt Niels Kill, Geschäftsführer der Firma Althammer & Kill, die Unternehmen bei der Implementierung von IT-Sicherheitssystemen berät. Betriebe würden eine solche Attacke über das WLAN wohl eher nicht an die große Glocke hängen. Eco-Experte Meyer weiß aber beispielsweise von einem deutschen Mittelständer, der Opfer eines Angriffs wurde. Der Konkurrent hatte sich eingeschlichen und einen zusätzlichen WLAN-­Router im Büro platziert. So konnte er über mehrere Monate sämtliche Angebote des Unternehmens mitlesen – und diese bei Ausschreibungen immer um wenige Prozent unterbieten.

Der Datenklau kann noch einfacher ablaufen: Bei einem Experiment installierte eine Unternehmensberatung einen ungesicherten Gratis-Hotspot vor dem Gebäude eines Konzerns. Dieser hatte den Mitarbeitern den Zugang privater Smartphones zum Firmen-WLAN verboten. Hunderte Mitarbeiter nutzten das gefälschte WLAN – und die Tester griffen testweise sensible Informationen ab, auch Zugangsdaten zum Firmennetzwerk. Brisant sind solche Attacken auch deshalb, weil das Smartphone in Unternehmen immer öfter die wichtigste mobile Kommunikationszentrale ist. In 58 Prozent der Betriebe wird es häufig genutzt, um unterwegs E-­Mails zu schreiben oder sich per Videotelefonie in eine Konferenz zu schalten, so der Bundesverband für Sicherheit in der Informationstechnologie (BSI).

Achtung bei ungeschützten Netzen

Nicht jeder Mitarbeiter unterwegs ist sich aber über das Sicherheitsrisiko frei zugänglicher WLANs im Klaren. Die Angriffe verlaufen meist nach einem einfachen Muster: Ein vermeintlich seriöser Hotspot stammt in Wahrheit von den Kriminellen. Nach Ansicht von Niels Kill stellen in der Praxis insbesondere „gefakte“ WLAN-­Zugänge an Flughäfen eine große Gefahr dar: „Man steigt aus dem Flieger, schaltet sein Smartphone ein und das Gerät geht automatisch in das stärkste, offene, ungeschützte Netz.“ Oft trägt der falsche Zugangspunkt einen bekannten Namen, etwa „Starbucks“. Das Mobilgerät verbindet sich automatisch mit Diensten, unter deren Bezeichnung sie schon einmal eingewählt waren. Ein anderer Trick: Der Name des WLANs klingt harmlos, sodass der User sich aktiv damit verbindet – etwa „Free WLAN Hotspot“. Die meisten der Angriffe im WLAN sind allerdings nur mit „großer Mithilfe des Nutzers erfolgreich, der sich zu wenig um die Sicherheit seines Mobilgeräts sowie seiner Daten kümmert“, sagt Eco-Experte Meyer. Auch Niels Kill erklärt: „Fehlende Sensibilisierung der Anwender ist das größte Problem.“ Im Zuge seiner Beratungstätigkeit hat er festgestellt, dass „das Bewusstsein der IT-Verantwortlichen in Unternehmen für dieses Problem in den letzten Jahren gestiegen ist.“ Doch Gefahr lauert seiner Erfahrung nach oft von einer anderen Seite: „Geschäftsführer oder Vorstände wollen ein bestimmtes ,Gimmick‘ und setzen diese Forderung trotz der Bedenken der IT-Verantwortlichen durch.“

Besser nicht unverschlüsselt

Viele der Spionageattacken lassen sich verhindern. Standardmäßig deaktiviert sein sollte auf Smartphones unbedingt die Erlaubnis, sich in jedes verfügbare WLAN einzuwählen, auch wenn das unbequem ist. Zudem sollte man unverschlüsselte, frei zugängliche Hotspots meiden. Mitarbeiter sollten außerdem darauf achten, dass sie sich bei der Übertragung wichtiger Daten auf verschlüsselten HTTPS-Seiten befinden.
Das BSI rät Unternehmen, alle Verbindungen von Smartphones mit der Firma zu verschlüsseln – etwa, um auf Mails, Kalenderdaten und sonstige Dateien zuzugreifen. „Unverschlüsselte Verbindungen sollten zum Austausch geschäftsrelevanter Daten nicht zugelassen werden“, heißt es.

Es gibt außerdem laut Niels Kill wei­tere hilfreiche technische Lösungen, beispielsweise Mo­bile-Device-Manage­ment-­Soft­ware, die die Sicherheit und die Zugriffe der Mobilgeräte regelt und steuert. Sie kann verhindern, dass sich Handys in einem offenen WLAN anmelden können. Sinnvoll ist auch, wenn sich das Mobilgerät ausschließlich über sichere VPN-­Verbindungen ins Internet einwählt. Auf allen Geräten sollten außerdem unbedingt Firewall und Virenscanner installiert sein.

» Fehlende Sensibilisierung der Anwender ist das größte Problem. «
Niels Kill, Althammer & Kill

Unternehmen müssen den Mitarbeitern sichere Geräte für den dienstlichen Einsatz bereitstellen, meint der Eco-Verband. Daneben ist es aber wichtig, sie für die Gefahren zu sensibilisieren – in Form von Richtlinien sowie regelmäßigen Schulungen. Siemens zum Beispiel setzt auf diese Kombination, wie Sprecher Bernhard Lott erläutert. Etwa die Hälfte der Mitarbeiter nutzt firmeneigene Handys. Das Unternehmen stellt einerseits „sichere, verschlüsselte Tools“ zur Verfügung. Andererseits werden die Angestellten bei Trainings für einen sensiblen Umgang geschult.

Klare Richtlinien sind auch wichtig, falls tatsächlich sensible Daten abgegriffen wurden. Eco-­Experte Meyer stellt klar: „Unter Umständen kann eine Haftung des Mitarbeiters in Betracht kommen.“ Es kommt dabei auf die bei Überlassung eines Firmenhandys getroffene Betriebsvereinbarung oder in Dienstanweisungen enthaltenen Regelungen an. Darin muss festgelegt sein, ob der Angestellte WLAN-Hotspots generell verwenden darf – und wenn ja, ob es besondere Sorgfaltspflichten bei der Nutzung gibt.

(c) Creditreform-Magazin

(c) Creditreform-Magazin


Wir freuen uns über Diskussionen und Ihre Kommentare.
Wie in jeder Gemeinschaft ist es notwendig, dass sich alle Teilnehmer an die Netiquette halten. Durch Ihre Kommentare sollen interessante, gewinnbringende Debatten entstehen, an denen sich andere Nutzer gerne beteiligen. Beleidigungen und Schmähreden sind deshalb ebenso tabu wie Diskriminierungen und die unerlaubte Veröffentlichung persönlicher Daten. Bitte verstecken Sie sich auch nicht hinter Pseudonymen, sondern benutzen Sie Klarnamen.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

CAPTCHA-Bild

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>