- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Sicherheit von BYOD-Konzepte


Wie mobile Agenten in die Privatsphäre von Benutzern eindringen
Inwieweit können Mobile Device Management-Lösungen Nutzerdaten ausspähen können

- Anzeigen -





Von Eduard Meelhuysen, Vice President EMEA Sales bei Bitglass

Mit der zunehmenden Einführung von BYOD im Arbeitsalltag stehen Unternehmen vor der Herausforderung, Datensicherheit, Privatsphäre und Benutzerfreundlichkeit miteinander in Einklang zu bringen. Um die mit dem Unternehmensnetzwerk verbundenen Mobilgeräte zu überwachen, setzen zahlreiche Firmen auf Mobile Device Management (MDM)-Lösungen. Dies erfordert die Installation eines Software-Agenten auf dem privaten Endgerät der Mitarbeiter. In der Regel sind sich die Mitarbeiter darüber bewusst, dass sie durch die Aktivierung der Software auf ihren persönlichen Geräten ein gewisses Maß an Kontrolle über ihre Daten an ihren Arbeitgeber abgeben.

Wie ein Experiment von Bitglass allerdings zeigt, hat die allgemein vorherrschende Vorstellung, sowohl auf Seiten der Mitarbeiter als auch der Arbeitgeber, mit der Realität wenig zu tun. Vor allem mit Blick auf die Europäische Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft treten wird und Nutzern mehr Rechte zur Wahrung ihrer Privatsphäre einräumt, lassen die Ergebnisse aufhorchen.

Das Experiment
In einem einwöchigen Experiment testete ein IT-Forschungsteam von Bitglass, inwieweit MDM dazu genutzt werden kann, Smartphones und Tablets von Mitarbeitern ohne ihr Wissen zu überwachen und zu steuern. Jeder, der an der Studie teilnahm, gab dem Team die Erlaubnis, MDM-Zertifikate per Push an ihre Geräte zu übertragen. Eine Praxis, die üblicherweise für die Datenübertragung über das Firmennetzwerk über ein Virtual Private Network (VPN) oder einen globalen Proxy verwendet wird. In nur sieben Tagen sammelte die MDM-Software eine Reihe von Informationen über die Interessen, Aktivitäten, Identitäten und Beziehungen der Mitarbeiter. Während des Experiments gelang es den Versuchsleitern, auf folgende Informationen zuzugreifen:

1. Surfverhalten
Mit dem Routing des Datenverkehrs über einen globalen Proxy war es möglich, das Surfverhalten von Mitarbeitern zu erfassen. Der Zugriff auf ihren Browserverlauf gewährte Einblick in sämtliche Vorgänge, von der Amazon-Produktsuche über vertrauliche Anfragen bei Gesundheitsdienstleistern bis hin zu politischen Interessen und Mitgliedschaften.

2. SSL-verschlüsselte Daten
Darüber hinaus gelang es den IT-Experten, mittels eines globalen Proxy in Verbindung mit einem vertrauenswürdigen Zertifikat, die SSL-Verschlüsselung zu deaktivieren. Durch die unverschlüsselte Umleitung von SSL-Datenverkehr erhielt das Forschungsteam Zugang zu den persönlichen E-Mail-Postfächern von Benutzern, ihren Konten bei sozialen Netzwerken und Bankdaten. Mit anderen Worten: Alle sicheren Anmeldedaten wurden offengelegt, da Benutzernamen und Kennwörter, die zur Kontoanmeldung verwendet werden, als Klartext an den Server der Versuchsleiter übermittelt wurden.

3. E-Mailverkehr
Die Fähigkeit zur Überwachung aus- und eingehender privater Kommunikation mittels MDM war auch bei Apps von Drittanbietern möglich – und sogar auf iOS, was die vorherrschende Meinung, dass App-Sandboxing den Einblick von Arbeitgebern in das Benutzerverhalten einschränke, wohl widerlegt. Mit Hilfe von Apps wie Gmail und Messenger gelang es sogar, versendete persönliche Mitteilungen abzufangen und eine Liste aller auf dem Gerät eines Mitarbeiters installierten Apps zu erstellen.

4. Aufenthaltsorte
Die meisten Teilnehmer des Experiments waren sich darüber bewusst, dass Administratoren verwalteter Geräte problemlos deren Standort ermitteln können, sofern GPS aktiviert ist. Wenigen war jedoch klar, inwieweit dies für das Erstellen eines Bewegungsprofils missbraucht werden kann. Das Forschungsteam ging noch einen Schritt weiter und sorgte dafür, dass GPS ohne Benachrichtigung des Benutzers im Hintergrund aktiv blieb. Dies ging nicht nur deutlich zu Lasten der Akkuleistung, sondern gab anhand des Standorts auch Auskunft über die Freizeitgewohnheiten der Teilnehmer. Dadurch konnte das Forschungsteam nachvollziehen, wo die Mitarbeiter ihre Freizeit verbrachten, wie häufig sie einkaufen gingen und vieles mehr.

5. Geräteeinstellungen
Vor allem das im Rahmen von MDM mögliche Zurücksetzen der Geräteeinstellungen, bereitet Mitarbeitern Sorgen, da viele von ihnen private Kontakte, Notizen, Fotos und andere Daten auf ihren persönlichen Geräten speichern. Dem Forschungsteam gelang es im Experiment, mittels MDM die Backup-Funktion so einzuschränken, dass eine Wiederherstellung von Diensten wie iCloud unmöglich wurde und den Betroffenen so gut wie keine Möglichkeit zur Wiedergewinnung verlorener Daten blieb.

6. Benutzerzugriff
Das Forschungsteam war zudem in der Lage, in zentrale Sicherungs- und Sperrfunktionen einzugreifen und so den Benutzerzugriff auf die Kamera, Apps wie FaceTime und grundlegende Aktionen wie Kopieren und Einfügen einzuschränken.

Angesichts des bevorstehenden Inkrafttretens der DSGVO im Mai 2018 ist es für europäische Unternehmen ratsam, die Sicherheit ihrer BYOD-Konzepte – beziehungsweise deren Potential für Sicherheitslücken - einer Prüfung zu unterziehen. Sie müssen sicherstellen, dass Mitarbeiterdaten nur in dem laut Datenschutzvereinbarung deklarierten Ausmaß verarbeitet und gespeichert werden. Gleichzeitig muss die Art der Datenverarbeitung gewährleisten, dass Mitarbeiter ihre Einwilligung dazu widerrufen können, und die bereits gesammelten Daten nicht an Dritte übermittelt sowie im Fall eines Widerspruchs gelöscht werden können.

Für den Fall, dass Mitarbeiter auf Grund von Datenschutzbedenken die Installation von MDM-Lösungen ablehnen, sollten Unternehmen bei der mobilen Sicherheit auch andere Ansätze in Betracht ziehen. Agentenlose BYOD-Softwarelösungen beispielsweise ermöglichen ein verbessertes Anwendungserlebnis, da keinerlei Einschränkungen in den Geräte- und Anwendungsfunktionen vorgenommen werden. Gleichzeitig ist die vollständige Übersicht und Kontrolle über Geschäftsdaten sichergestellt, ohne in die Privatsphäre der Endbenutzer einzugreifen, womit die Einhaltung von Datenschutzbestimmungen gewährleistet ist. (Bitglass: ra)

eingetragen: 18.04.17
Home & Newsletterlauf: 27.04.17


Bitglass: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Legacy-Netzwerke: Das muss nicht mehr sein

    CIOs haben in ihren Unternehmen eine einzigartige Stellung inne. Sie wissen, wie das Unternehmen auf sich verändernde Marktbedingungen schnell reagieren kann und sich die Betriebseffizienz verbessern lässt. Sie geben dem CEO Orientierung, wenn es um die Auswirkungen der digitalen Transformation auf das Unternehmen geht. Zu diesem Trend gehört unter anderem die Verlagerung des Netzwerkverkehrs von privaten Intranets ins öffentliche Internet: Mitarbeiter, aber auch Filialen und Standorte - Personen, Orte und Dinge - nutzen zunehmend Anwendungen in der Public Cloud, die Workloads von außen nach innen und umgekehrt steigen. All diesen Veränderungen gemein sind die extrem hohen Anforderungen an die WAN-Konnektivität, -Performance und -Verfügbarkeit. Um den Bedürfnissen des neuen digital transformierten und "verbundenen Unternehmens" - dem "Connected Enterprise" - gerecht zu werden, muss das herkömmliche WAN modernisiert werden. Es muss flexibler denn je sein, ohne Abstriche in punkto Sicherheit und Zuverlässigkeit machen zu müssen.

  • Container: Vorteile und Security-Herausforderungen

    Immer mehr Unternehmen in Deutschland nutzen Container für ihre DevOps, vernachlässigen aber den Schutz. Hinzu kommt, dass bei vielen Sicherheitslösungen DevOps nicht einmal zur Asset-Demografie gehören. Der richtige Schutz ist allerdings entscheidend: In Zeiten zunehmend komplexer Angriffsoberflächen, mit einem Mix von vernetzten Geräten, Services und Computing-Plattformen, müssen auch Container gesichert werden. Tenable erklärt, was es mit den DevOps und ihrer "Aufbewahrung" in Containern auf sich hat, welche Vorteile diese Technologie mit sich bringt und wie Unternehmen sich vor unbefugten Zugriffen und Ausfällen schützen können.

  • Angriffsszenarien wechseln rasch

    200.000 betroffene Computer in 150 Ländern, hunderte Millionen Dollar Schaden - das ist die Bilanz der Ransomware (Erpressungssoftware) WannaCry. Auch der Erpressungstrojaner Petya hatte nicht minder verheerende Auswirkungen. Diese beiden "Highlights" führen derzeit die Liste der öffentlich bekannt gewordenen Cyber-Attacken an. Das sollte aber nicht davon ablenken, dass Tag für Tag tausende Angriffe weltweit stattfinden. Mit sehr vielen sind die Angreifer nach wie vor erfolgreich, weil immer noch zu viele Unternehmen das Thema IT-Sicherheit zu wenig ernst nehmen. Dabei würden einige wenige Maßnahmen einen nahezu vollständigen Schutz vor Angriffen bieten.

  • Schnellstmöglich mit Datenhaushalt befassen

    Die Finanz- und Wirtschaftskrise von 2008 wurde durch Hypothekenkredite an Kunden mit schlechter Bonität ausgelöst. Zehn Jahre später tritt nun mit dem IFRS 9 ein neuer Standard in Kraft, der ersonnen wurde, um künftig ähnliche Katastrophen zu verhindern. Ab 1. Januar 2018 müssen Banken ihre Finanzinstrumente nach diesem neuen Standard klassifizieren und bewerten. In Kombination mit anderen gesetzlichen Anpassungen steigen die Offenlegungspflichten in qualitativer und quantitativer Hinsicht. "Das ist ein Cocktail an verschärfter Regulatorik, der die Kreditinstitute vor große Herausforderungen stellt", so Stefan Steinhoff, Partner der TME AG, einer Frankfurter Unternehmensberatung für Financial Services.

  • IT-Sicherheitschecks als erster Schritt

    Dass mangelnde Investitionen in IT-Sicherheit Unternehmen teuer zu stehen kommen können, ist mittlerweile eine Binsenweisheit. Vor diesem Hintergrund ziehen immer mehr Unternehmen sogar eine Cyberrisk-Versicherung in Betracht, wie die jüngste KPMG-Studie "e-Crime in der deutschen Wirtschaft" zeigt. Demnach hat ein Viertel der dort befragten Unternehmen, denen diese Möglichkeit bekannt war, eine solche Versicherung bereits abgeschlossen. Das alleine reicht jedoch nicht. Angesichts der sich permanent verschärfenden Bedrohungslage sind zahlreiche Unternehmen dabei geradezu in einen Maßnahmen-Aktionismus verfallen, zusätzlich befeuert durch die Berichterstattung zum Thema. Dennoch moniert auch die genannte KPMG-Studie mangelnde Investitionen in IT-Sicherheit.