Security Die Schatten-IT auf Smartphone & Co. wird zur Achillesferse für die Sicherheit

Autor / Redakteur: Dr. Hermann Granzer* / Sebastian Human

Mitarbeiter, die für Kommunikation und Datentransfer mangels offizieller Lösungen auf unautorisierte Apps zurückgreifen, machen es Angreifern leicht. Damit wird die mobile Schatten-IT gerade für KRITIS-Unternehmen zu einem großen Problem. Was zu tun ist.

Firmen zum Thema

Smartphones und Tablets sind immer ein Sicherheitsrisiko. Mit einer Container-Lösung erhalten KRITIS-Unternehmen die Kontrolle über ihre Daten.
Smartphones und Tablets sind immer ein Sicherheitsrisiko. Mit einer Container-Lösung erhalten KRITIS-Unternehmen die Kontrolle über ihre Daten.
(Bild: gemeinfrei / Pixabay )

Nach Cyberangriffen auf Krankenhäuser ist die öffentliche Bestürzung groß. Erst im September 2020 hatte ein Malware-Befall an der Uniklinik Düsseldorf tödliche Konsequenzen, weil eine Patientin durch den Zusammenbruch der IT-Systeme nicht unverzüglich behandelt werden konnte und in ein anderes Krankenhaus transportiert werden musste. Ein Jahr zuvor sorgte ein Computerwurm dafür, dass am Klinikum Fürth tagelang die IT-Systeme ausfielen und keine neuen Patienten mehr aufgenommen werden konnten.
Krankenhäuser und andere Einrichtungen des Gesundheitswesen sind längst ins Visier von Cyberkriminellen geraten. Aber auch andere Betreiber kritischer Infrastrukturen (KRITIS), sprich Dienstleister im Bereich Strom, Wasser, Telekommunikation oder Verkehr, sind für Hackerinnen und Hacker ein lohnendes Ziel. Denn die zu erbeutenden Daten sind kostbar für Erpressungen, da die Konsequenzen für die Grundversorgung von Millionen von Menschen im Falle einer Störung weitreichend sind.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht deshalb in seinem jüngsten Lagebericht zur IT-Sicherheit in Deutschland eine eindringliche Warnung aus. Die Anzahl der Schadprogramme übersteigt mittlerweile die Milliardengrenze, allein im Berichtszeitraum zwischen Juni 2019 und Mai 2020 sind 117,4 Millionen neue Varianten bekannter Malware hinzugekommen. Die Summe der Angriffe auf KRITIS-Unternehmen wiederum hat sich gegenüber dem Vorjahr fast verdoppelt. Als eine Folge kursieren im Netz beispielsweise Patientendaten im zweistelligen Millionen-Bereich, die frei einsehbar sind. Durch die Auswirkungen von Corona, konkret durch die vermehrte Arbeit im Homeoffice, kamen 2020 zahlreiche neue Angriffspunkte hinzu.

Mobiles Arbeiten eröffnet Kriminellen zusätzliche Möglichkeiten

Mobile Geräte sind längst auch bei KRITIS-Unternehmen ein wesentlicher Teil des Arbeitsalltags. Smartphones und Tablets werden zur Übermittlung sensibler Daten und vertraulicher Inhalte genutzt – etwa wenn Patienten-Befunde verschickt werden –, ohne dass sie in dieselben rigiden Sicherheitsmaßnahmen wie die lokalen Arbeitsplatzrechner eingebunden sind. Beim mobilen Arbeiten fehlen dann oftmals – sollte das Mobilgerät nicht über ein Firmen-WLAN kommunizieren – Komponenten wie Firewall und Proxy-Server, Patch-Management oder Verschlüsselung, die das interne Netzwerk vor Angriffen und Datenverlust schützen. Nutzen Mitarbeiterinnen und Mitarbeiter dann mangels Alternativen noch ihre privaten Geräte für berufliche Zwecke, wird die Sicherung von Smartphones und Tablets für die IT-Verantwortlichen zu einer fast unlösbaren oder zumindest sehr aufwändigen Aufgabe.

Der Grund: Fehlt das richtige Tool, um sich schnell und auf kurzem Weg mit Kollegen auszutauschen, greifen viele auf unautorisierte Apps wie WhatsApp oder eigene Mail-Accounts zurück. Diese privaten, nicht für die berufliche Nutzung freigegebenen und nur unzureichend geschützten Anwendungen bieten Kriminellen zahlreiche Angriffsmöglichkeiten. So verbreitet sich über den beliebten Messenger-Dienst beispielsweise ein Android-Wurm, der selbstständig Nachrichten beantworten kann und dadurch schlimmstenfalls von Smartphone zu Smartphone springt. Diese Betrugsmasche wird von Kriminellen gerne für Adware und Abonnement-Abzocke genutzt. Auf gleiche Weise könnten aber auch Banking-Trojaner, Spyware oder Ransomware verteilt werden. Gleichzeitig hat WhatsApp wie viele andere Apps eine eingebettete Funktion zur Datenexfiltration, also zum Abzug von Daten. Der Messenger liest die Adressbücher der Mitarbeiter inklusive E-Mail-Kontakten und Telefonnummern von Kollegen, Kunden oder Partnern aus und gibt diese Daten an die Konzernmutter Facebook weiter. Da reicht es aus, dass die Anwendung installiert ist – auch wenn sie gar nicht beruflich genutzt wird. Eine solche mobile Schatten-IT gefährdet damit nicht nur die erhöhten Datensicherheitsanforderungen von KRITIS-Unternehmen, sondern verletzt auch die DSGVO-Bestimmungen.

Schatten-IT nicht tolerieren

Viele Mitarbeiter und Mitarbeiterinnen wissen oftmals nicht um die Gefahren, die von privaten Apps ausgehen. IT-Administratoren sollten ein Bewusstsein dafür schaffen, welche Probleme die Nutzung unautorisierter Anwendungen in Bezug auf Datenschutz und -sicherheit mit sich bringt, und einer Laissez-faire-Haltung vorbeugen. Nur so erzeugen sie das nötige Verständnis für sichere und DSGVO-konforme Alternativen. Und sie verhindern gleichzeitig, dass die mobile Schatten-IT und damit das Risiko von Datenlecks wächst.

Dennoch hat auch die Benutzerfreundlichkeit einen hohen Stellenwert. Wenn die Mitarbeitenden mit der Anwendung zufrieden sind und ihre täglichen Aufgaben problemlos erledigen können, gehen sie nicht auf die Suche nach anderen Möglichkeiten. Die Antwort auf all diese Punkte kann eine Kommunikationslösung mit Container-Technologie sein. Sie trennt auf dem mobilen Endgerät den geschäftlichen strikt von dem privaten Bereich und allen anderen Apps. Sollte ein Angreifer sich tatsächlich Zugang zu Smartphone oder Tablet verschafft haben, steht er quasi vor einer einbruchsicheren Tür.

Bei diesem Zwei-Systeme-Konzept erhalten andere Anwendungen grundsätzlich keinen Zugriff auf die Inhalte des Containers. Das bedeutet, WhatsApp beispielsweise kann keine beruflichen Kontakte auslesen. Alle geschäftlichen Daten sind zudem verschlüsselt, sowohl auf dem Gerät als auch bei der Übertragung. Der Zugang zu Systemen oder Intranet erfolgt immer über einen abgesicherten Kanal. Darüber hinaus verbleiben die Kommunikationsteilnehmer und -daten in den Firmen-Directories beziehungsweise im Container, sind über die zentrale IT zertifiziert und geschützt. Bei öffentlichen Messengern wie WhatsApp erfolgt die Teilnehmererkennung dagegen nur durch eine Telefonnummer – wer sich letztlich dahinter verbirgt, lässt sich nicht genau feststellen. Eine moderne Lösung muss natürlich die verschiedensten Funktionen für das mobile Arbeiten abdecken, wie verschlüsselte E-Mail, gehärteter Internet-Browser für sicheres Filesharing und Intranet-Anwendungen, Kalender, sichere Kamera sowie verschlüsseltes Messaging und Telefonie.

Gerade Betreiber kritischer Infrastrukturen müssen ihre mobile Kommunikation mit aller Kraft vor den unterschiedlichsten Sicherheitsrisiken schützen. Eine Container-Lösung sichert Smartphone und Tablet wirksam gegen Attacken von Cyberkriminellen ab. Zudem erhalten KRITIS-Unternehmen durch die strikte Trennung von Geschäftlich und Privat die volle Kontrolle über ihre Daten zurück.

* Dr. Hermann Granzer arbeitet als CTO bei der Virtual Solution AG.

(ID:47291895)