IT-Trends-Blog

IT-Trends-Blog

Opinions expressed on this blog reflect the writer’s views and not the position of the Capgemini Group

Schwachstelle Smartphone: Der Spion in unserer Tasche

Kategorie: Trend-Tools
Wissen Sie eigentlich, was Ihr Smartphone einem potentiellen Angreifer alles über Sie und Ihr Unternehmen verrät? Angesichts der Tatsache, wie viele Aufgaben wir heutzutage im Geschäftsleben mit dem Smartphone erledigen und welche sensiblen Informationen wir für diese Aufgaben auf eben diesem speichern, ist die Frage durchaus berechtigt. Insbesondere im Hinblick auf das immer bedeutendere Thema Cybersecurity sollten Sie sich bewusst werden, welche Daten im Falle eines Verlusts des Smartphones möglicherweise in „fachkundige“ Hände geraten können.

Hand aufs Herz: Wie viele Telefonnummer kennen Sie noch auswendig? So ein elektronisches Adressbuch ist doch eine feine Sache, oder? Zusätzlich zu den Kontaktdaten werden nicht selten auch sensible Informationen über Kunden bzw. Geschäftspartner verwaltet, wie Gesprächsnotizen, geschäftliche Vereinbarungen, Vertragsdaten etc.  

Erstellte Termine sind oft mit weitergehenden Informationen wie den Teilnehmern, der Art des Termins, der Agenda und insbesondere Anhängen verbunden. Schon die Bezeichnung des Meetings (zum Beispiel "Rollout Produkt XYZ" oder „Fusion ABC“) kann so Informationen beinhalten, die zu Imageschäden oder gar finanziellen Verlusten für das Unternehmen führen können.  

Auch E-Mails können zur Schwachstelle werden, da sie - zumindest teilweise - lokal auf dem Smartphone gespeichert werden und oft detaillierte Informationen enthalten, die in falschen Händen zu erheblichen Schäden führen können. Schwerwiegend kommt hinzu, dass die Konfiguration des E-Mail-Clients Angreifern Zugriff auf das Firmennetz ermöglichen kann, da das Passwort des Mitarbeiters statisch konfiguriert ist.

Mobilgeräte nutzen meistens VPN-Leitungen, die den Zugriff über temporäre PINs auf die Unternehmensdaten erlauben. Viele Herstellen haben den externen Hardwaretoken mittlerweile gegen eine App auf dem Smartphone ausgetauscht, dessen PIN sich ebenfalls in der Passwortdatenbank auf dem Smartphone befindet. Zusätzlich zu VPN stellen viele Unternehmen in den letzten Jahren auch Cloud-Zugänge für ihre Mitarbeiter zur Verfügung. Wenn bei jedem Zugriff ein temporärer Token generiert und eingegeben werden müsste, würde dies die Nutzung stark behindern. Daher wird nicht selten der Zugriff auf die Cloud mit einem statischen Password konfiguriert und im Smartphone hinterlegt. So kann jeder, der Zugang zum Smartphone hat, auch auf die Daten in der Cloud zugreifen.

Für die Verwaltung von Ausgaben stehen mittlerweile auch gute Apps zur Verfügung und werden von Außendienstmitarbeitern gern eingesetzt. In den wenigsten Fällen sind diese Informationen verschlüsselt auf dem Smartphone abgelegt und stehen somit einem Angreifer für Auswertungen zur Verfügung. Selbst eine Analyse der installierten Apps verrät möglicherweise sensible Informationen über den Eigentümer. Ein Hacker könnte sich das Wissen über die Nutzung einer bestimmten App (z.B. Ausgabenverwaltung) zunutze machen und dem Smartphone-Besitzer eine manipulierte App mit zusätzlichen Funktionen kostenlos zur Verfügung stellen. So kann der Angreifer Schadsoftware auf dem Smartphone installieren oder Daten ausspionieren. Beispielsweise sendet die kostenlose „N-TV  App“ auf dem iPhone die Gerätekennung an den Server und kommuniziert mit Servern von Fremdfirmen wie „doubleclick“. Die App „QR Droid“ auf Android überträgt die Nutzungsstatistik an die Fremdfirma „flurry“ und fordert den Zugriff auf die Kontaktdaten auf dem Smartphone.
Ein weiteres sehr nützliches Feature im Smartphone ist die Fotokamera. In Workshops werden häufig Informationen auf Whiteboards, Flipcharts oder Pinnwänden erarbeitet und per Schnappschuss festgehalten. Aber wenn nun das Gerät verloren geht, stehen sie einem potenziellen Angreifer in den meisten Fällen ungeschützt zur Verfügung. Das gleiche gilt für  Audio- und Textnotizen, die eine neue Produktidee oder die Lösung eines Problems etc. festhalten.

Ich könnte hier noch viele weitere Arten von Informationen aufzählen, die wir mittlerweile auf dem Smartphone speichern, ohne uns Gedanken über Datenschutz zu machen. Oder hat etwa Ihr Unternehmen ein durchgängiges Mobile-Device-Management eingeführt, das über Funktionen verfügt, um ein sogenanntes Jailbraken zu unterbinden, gestohlene oder verlorene Smartphones zu sperren und zu löschen sowie Daten auf dem Smartphone bzw. in den Apps zu verschlüsseln? Was ist Ihrer Meinung nach die potentielle Angriffsfläche des Smartphones? Ich freue mich auf einen Austausch.
 

Über den Autor

Ismet Gülkanat
Ismet Gülkanat
Seit seinem Informatikstudium verfolgt Ismet Gülkanat die Trends rund um die Informationssicherheit und ist stets auf der Suche nach neuen Methoden und Werkzeugen, um den stetig steigenden Sicherheitsanforderungen gerecht zu werden. Als Technologie-Experte von Capgemini beschäftigt er sich vor allem mit IT-Infrastruktur und Betriebsprozessen. Derzeit konzentriert er sich auf die Beratung von Unternehmen und unterstützt sie bei der Umsetzung von Sicherheitskonzepten.

Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit einem * gekennzeichnet.