Viren, Spyware und andere Malware können mehr als nur Desktop-Computer und Laptops betreffen. Mobile Geräte sind ebenfalls anfällig. Da sich die Bedrohungslandschaft ständig weiterentwickelt, ist es wichtig, dass wir nicht nur diese Risiken verstehen, sondern auch, wie wir uns davor schützen können.
In diesem Beitrag werfen wir einen genaueren Blick auf die Sicherheitsbedrohungen für Mobiltelefone, mit denen wir heute konfrontiert sind, und geben Tipps und Vorschläge zu deren Minimierung.
- Was sind mobile Sicherheitsbedrohungen?
- Arten mobiler Sicherheitsbedrohungen
- 6 mobile Sicherheitsbedrohungen – und wie man sie verhindert
- Herunterladen schädlicher Apps und Erteilen zu vieler Berechtigungen
- Verbindung zu ungesicherten WLAN-Netzwerken
- Ziel eines Social-Engineering-Angriffs sein
- Schlechte Cyberhygiene praktizieren
- Betrieb mit defekter Kryptographie oder ohne Ende-zu-Ende-Verschlüsselung
- Botnets zum Opfer fallen
- Wie sich Unternehmen vor mobilen Bedrohungen schützen können
- Was IT und Sicherheit leisten können
- Was Einzelpersonen tun können
- Was kommt als nächstes bei der Sicherheit mobiler Geräte?
Was sind mobile Sicherheitsbedrohungen?
Mobile Sicherheitsbedrohungen sind Angriffe, die darauf abzielen, Daten von mobilen Geräten wie Smartphones und Tablets zu kompromittieren oder zu stehlen. Diese Bedrohungen treten häufig in Form von Malware oder Spyware auf und geben böswilligen Akteuren unbefugten Zugriff auf ein Gerät.
Mit access können Angreifer eine Vielzahl böswilliger Aktionen ausführen, vom Stehlen und Verkaufen von Daten über den Zugriff auf Kontakte bis hin zum Senden von Nachrichten und Telefonieren. Sie können das Gerät auch verwenden, um die Anmeldeinformationen der Benutzer zu stehlen und Identitäten zu fälschen. Diese Angriffe wirken sich sowohl auf einzelne Benutzer als auch auf Organisationen aus, da ein einziger Verstoß zu Datenlecks in großem Maßstab führen kann.
Arten mobiler Sicherheitsbedrohungen
Angriffe auf mobile Geräte gibt es in allen Formen und Größen, sie fallen jedoch im Allgemeinen in die folgenden vier Kategorien:
- App-basierte mobile Bedrohungen: Anwendungen sind häufig die Ursache für Schwachstellen auf Mobilgeräten. Diese Art von Angriffen kann auftreten, wenn Benutzer schädliche Apps herunterladen oder Apps die Berechtigung erteilen, auf Gerätedaten zuzugreifen, ohne zu überprüfen, ob dies sicher ist oder nicht.
- Webbasierte mobile Bedrohungen: Ein webbasierter mobiler Angriff wird normalerweise durch Phishing oder Spoofing erreicht. Angreifer senden eine E—Mail, einen Text oder eine andere Sofortnachricht, die so aussieht, als stammte sie von einer vertrauenswürdigen Quelle – die Nachricht enthält jedoch einen schädlichen Link oder Anhang. Wenn Benutzer sich durchklicken oder persönliche Informationen angeben, kann der böswillige Akteur unbefugten Zugriff auf sein Mobilgerät erhalten oder Anmeldeinformationen stehlen, um Identitäten zu fälschen.
- Netzwerkbedrohungen: Diese Art von mobilen Angriffen tritt auf, wenn böswillige Akteure auf ungesicherte oder kostenlos nutzbare öffentliche WLAN-Verbindungen abzielen. In einigen Fällen können Hacker sogar ein gefälschtes WLAN-Netzwerk einrichten (bekannt als Netzwerk-Spoofing), um Benutzer auszutricksen. Gefälschte Netzwerke fordern Benutzer auf, ein Konto mit einem Benutzernamen und einem Kennwort zu erstellen, sodass Hacker Geräte und Anmeldeinformationen kompromittieren können.
- Physische Bedrohungen: Verlorene, gestohlene und unbeaufsichtigte Geräte öffnen Benutzern eine Reihe von Sicherheitsproblemen für Mobiltelefone. Wenn Sie kein sicheres Passwort, keine PIN oder biometrische Authentifizierung verwenden oder unverschlüsselte Apps und Dienste verwenden, kann Ihr Telefon leicht gehackt werden — insbesondere wenn man bedenkt, wie ausgeklügelt die Bedrohungslandschaft heute ist.
6 mobile Sicherheitsbedrohungen – und wie man sie verhindert
Es ist schlimm genug, dass böswillige Akteure jede der oben genannten Bedrohungsarten verwenden können, um einen Angriff auf ahnungslose Benutzer zu starten. Im Folgenden finden Sie einige der häufigsten Möglichkeiten, wie wir unsere Daten und Identitäten durch Sicherheitsbedrohungen für mobile Geräte gefährden, und Tipps, wie Sie sich schützen können.
Herunterladen schädlicher Apps und Erteilen zu vieler Berechtigungen
Anwendungen, die aus anderen Quellen als offiziellen App Stores heruntergeladen werden, können zu Datenlecks führen, da es oft unwahrscheinlich ist, dass sie über den entsprechenden Schutz verfügen. Darüber hinaus können Angreifer bösartige Apps veröffentlichen, die die Benutzer, die sie herunterladen, ausnutzen sollen — indem sie beispielsweise Daten von einem Gerät stehlen und an Dritte verkaufen. Datenlecks können auch durch Malware-infizierte Unternehmensanwendungen auftreten, die Code auf mobilen Betriebssystemen verteilen und Daten über Unternehmensnetzwerke verschieben, ohne entdeckt zu werden.
So minimieren Sie das Risiko: Laden Sie nur Anwendungen von Google Play, dem Apple App Store und anderen vertrauenswürdigen Anbietern herunter. Verweigern Sie außerdem Berechtigungen wie den Zugriff auf Standortdaten, Ihre Kamera und Ihr Mikrofon, es sei denn, die von Ihnen verwendete App erfordert dies unbedingt.
Verbindung zu ungesicherten WLAN-Netzwerken
WLAN-Netzwerke, die an öffentlichen Orten wie Flughäfen, Coffeeshops und Bibliotheken kostenlos zugänglich sind, sind attraktiv, da Sie die Verwendung mobiler Daten vermeiden können. Viele dieser Netzwerke sind jedoch ungesichert, sodass Angreifer leichter auf die Geräte der Benutzer zugreifen und deren Daten gefährden können.
So minimieren Sie das Risiko: Überlegen Sie zweimal, bevor Sie eine Verbindung zu kostenlosen WLAN-Hotspots herstellen, und verwenden Sie niemals einen, bei dem Sie ein Konto oder ein Kennwort erstellen müssen. Wenn Sie eines dieser Netzwerke verwenden müssen, halten Sie sich an risikoarme Aktivitäten – sie sollten niemals für den Zugriff auf Ihre Social—Media-Konten, Banking-Apps oder für einen Online-Kauf verwendet werden.
Ziel eines Social-Engineering-Angriffs sein
Mit zunehmender Remote-Arbeit sind Angriffe wie Phishing und „Smishing“ sowohl auf Mobilgeräten als auch auf Computern zunehmend verbreitet. Mobile Benutzer sind jedoch häufig anfälliger für diese Angriffe, da kleinere Bildschirmgrößen die Menge an Informationen begrenzen, die in einer böswilligen E-Mail gleichzeitig angezeigt werden können. Dies erhöht die Wahrscheinlichkeit, dass Benutzer auf einen Link klicken, ohne die Konsequenzen zu berücksichtigen.
So minimieren Sie das Risiko: Klicken Sie niemals auf einen Link in einer E-Mail oder Textnachricht, auch wenn er von einem vertrauenswürdigen Absender zu stammen scheint. Geben Sie stattdessen die URL in die Adressleiste Ihres Webbrowsers ein, damit Sie überprüfen können, ob der Link legitim ist.
Schlechte Cyberhygiene praktizieren
Es ist wichtiger denn je, dass Menschen eine gute Cyberhygiene praktizieren, aber viele Menschen verwenden weiterhin schwache Kennwörter, recyceln Anmeldeinformationen über Konten hinweg, teilen Daten mit Freunden und Kollegen und weigern sich, Anwendungen und Betriebssysteme zu aktualisieren.
Veraltete Geräte können auch zu einer Reihe von Problemen mit der mobilen Cybersicherheit beitragen. Ob es daran liegt, dass der Hersteller keine Updates anbietet oder weil ein Benutzer keine neuen Versionen und Software herunterlädt, dies hinterlässt Lücken, mit denen ein Angreifer ein Gerät infiltrieren kann.
Darüber hinaus können Benutzer aufgrund einer unsachgemäßen Sitzungsbehandlung Opfer mobiler Sicherheitsbedrohungen werden. Viele Apps verwenden Token, um die Erfahrung für Benutzer komfortabler zu gestalten (dh ihnen zu ermöglichen, Aktionen auszuführen, ohne sich erneut zu authentifizieren). Aber diese Token können manchmal unbeabsichtigt mit schlechten Akteuren geteilt werden, wenn Sitzungen offen bleiben.
So minimieren Sie das Risiko: Verwenden Sie sichere Kennwörter, stellen Sie MFA-Tools (Multi-Factor Authentication) bereit, stellen Sie Ihre Geräte so ein, dass sie automatisch aktualisiert werden, und melden Sie sich von Apps und Websites ab, wenn Sie sie nicht mehr verwenden. Und natürlich behalten Sie Ihre persönlichen Daten und Logins für sich.
Betrieb mit defekter Kryptographie oder ohne Ende-zu-Ende-Verschlüsselung
Da die Menschen mehr Zeit zu Hause verbringen, hat die Verwendung von Videokonferenztools auf Mobilgeräten stark zugenommen. Diese sind zwar großartig, um Kollegen und Familien in Kontakt zu bleiben, es gibt jedoch Risiken — insbesondere, wenn Sie eine App oder einen Dienst verwenden, der Konversationen nicht verschlüsselt, schwache Algorithmen verwendet oder Geräte auf andere Weise anfällig für Angriffe macht.
Risikominimierung: Egal, ob Sie ein Geschäftsinhaber oder eine betroffene Person sind, stellen Sie sicher, dass Sie — und alle anderen, mit denen Sie kommunizieren — Anwendungen und Online-Tools verwenden, die die Sicherheit von Identitäten und Daten priorisieren.
Botnets zum Opfer fallen
Ein Botnetz entsteht, wenn eine Gruppe von Computern unter die Kontrolle eines Hackers gerät. In der Regel werden sie verwendet, um die Ressourcen eines Unternehmens bei böswilligen Aktionen wie DDoS—Angriffen (Distributed Denial of Service) zu überlasten, die über Trojaner, Viren und Würmer auf mobilen Geräten ausgeführt werden können.
So minimieren Sie das Risiko: Wie viele andere mobile Bedrohungen können Botnets vermieden werden, indem Sie nur legitime Apps herunterladen, niemals auf Links oder Anhänge in E-Mails klicken, sichere drahtlose Netzwerke verwenden und sich ungewöhnlicher Aktivitäten auf Geräten bewusst sind.
Wie sich Unternehmen vor mobilen Bedrohungen schützen können
Während IT- und Sicherheitsteams weitgehend für den Schutz von Unternehmens-, Mitarbeiter- und Kundendaten verantwortlich sind, können Endbenutzer auch viel tun, um ihre Geräte zu schützen. Schauen wir uns an, wie jede Gruppe die Sicherheit am Arbeitsplatz und zu Hause verbessern kann.
Was IT und Sicherheit leisten können
Mitarbeiter arbeiten mehr denn je remote von verschiedenen Standorten und auf verschiedenen Geräten. Allerdings setzen nur 13% der Unternehmen vier grundlegende Schutzmaßnahmen ein: datenverschlüsselung, Need-to-Know-Zugriff, keine Standardkennwörter und regelmäßige Sicherheitstests. Darüber hinaus verfügen fast 50% der Unternehmen nicht über eine akzeptable Nutzungsrichtlinie, die für die Bekämpfung mobiler Datensicherheitsbedrohungen von entscheidender Bedeutung ist und den Standard für das Verhalten von Mitarbeitern auf Geräten und Netzwerken setzt.
IT-Teams können von der Implementierung von Mobile Device Management, dem Einsatz von Tools wie MFA und Single Sign-On (während sie sich von der SMS-Authentifizierung entfernen) und der Einführung eines Zero-Trust-Ansatzes für die Sicherheit in ihren Organisationen profitieren. Sie sollten auch regelmäßige Schulungen für die Mitarbeiter durchführen, um sicherzustellen, dass die Sicherheit immer im Vordergrund steht, und alle über die neuesten und bekanntesten Bedrohungen informieren, denen sie täglich ausgesetzt sein könnten.
Was Einzelpersonen tun können
Mitarbeiter können auch mobile Sicherheitsangriffe verhindern, indem sie sicherstellen, dass sie über ein solides Verständnis der häufigsten Bedrohungen verfügen. Sie sollten nicht nur wissen, was sie sind – sie sollten auch in der Lage sein, die verräterischen Anzeichen für einen versuchten Angriff zu erkennen.
Zusätzlich zur Einhaltung der von ihrer Organisation festgelegten Richtlinien können Mitarbeiter die Sicherheit selbst in die Hand nehmen, indem sie sichere Kennwortpraktiken implementieren und stärkere Authentifizierungstools (wie MFA und Biometrie) auf ihren Geräten aktivieren. Sie können auch sicherstellen, dass ihre Heimnetzwerke sicher sind, und vermeiden Sie die Verwendung kostenloser WLAN-Netzwerke, wenn sie remote arbeiten.
Was kommt als nächstes bei der Sicherheit mobiler Geräte?
Um die Sicherheit ihrer Mitarbeiter und Unternehmensdaten zu gewährleisten, ist es für Unternehmen unerlässlich, die Sicherheitsrisiken für mobile Geräte im Auge zu behalten — insbesondere angesichts der zunehmenden Entfernung der Welt.
Hier sind ein paar Trends zu beachten:
- Dynamic Work ist ein Modell, das Mitarbeitern die Freiheit und Flexibilität gibt, von überall aus zu arbeiten, und erfordert einen hochsicheren, integrierten IT-Stack. Die Berücksichtigung mobiler Sicherheit ist dabei ein entscheidender Teil, damit Mitarbeiter effektiv und sicher zusammenarbeiten können – zu jeder Zeit, von jedem Ort, auf jedem Gerät.
- Bring your own Device-Richtlinien gibt es schon lange, aber sie sind in unseren aktuellen Arbeitsumgebungen noch wichtiger. Unternehmen müssen sicherstellen, dass Mitarbeiter auf jedem Gerät arbeiten können, was Tools wie MFA und einen Zero-Trust-Ansatz für die Sicherheit absolut entscheidend macht.
- Das Internet der Dinge wächst rasant, da immer mehr Menschen bei der Arbeit und zu Hause auf vernetzte Geräte angewiesen sind (z. B. intelligente Kühlschränke und Sprachassistenten). Zu wissen, was diese Geräte sind und wie sie die Sicherheitslandschaft verändern können, ist der Schlüssel, um zu verhindern, dass böswillige Akteure unbefugten Zugriff auf Informationen und Netzwerke erhalten.
Über die neuesten Angriffe auf die mobile Sicherheit informiert zu sein, ist der erste Schritt zu einer sichereren Belegschaft. Weitere Informationen zur Sicherheit mobiler Geräte und Ratschläge zum Schutz Ihrer Unternehmens- und Mitarbeiterdaten finden Sie in den folgenden Ressourcen:
- Sicherheit mobiler Geräte: 4 Zu bewältigende Herausforderungen (Blogbeitrag)
- Auswirkungen von BYOD auf die Gerätesicherheit (Blogbeitrag)
- So sichern Sie die Geräte Ihrer Mitarbeiter mit Okta (Blogbeitrag)
- Okta Device Trust: Holen Sie das Beste aus der Integration von Identity und Endpoint Management heraus (Blogbeitrag)
- Secure Remote Work Toolkit (eBook)