- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Sicherheit von BYOD-Konzepte


Wie mobile Agenten in die Privatsphäre von Benutzern eindringen
Inwieweit können Mobile Device Management-Lösungen Nutzerdaten ausspähen können

- Anzeigen -





Von Eduard Meelhuysen, Vice President EMEA Sales bei Bitglass

Mit der zunehmenden Einführung von BYOD im Arbeitsalltag stehen Unternehmen vor der Herausforderung, Datensicherheit, Privatsphäre und Benutzerfreundlichkeit miteinander in Einklang zu bringen. Um die mit dem Unternehmensnetzwerk verbundenen Mobilgeräte zu überwachen, setzen zahlreiche Firmen auf Mobile Device Management (MDM)-Lösungen. Dies erfordert die Installation eines Software-Agenten auf dem privaten Endgerät der Mitarbeiter. In der Regel sind sich die Mitarbeiter darüber bewusst, dass sie durch die Aktivierung der Software auf ihren persönlichen Geräten ein gewisses Maß an Kontrolle über ihre Daten an ihren Arbeitgeber abgeben.

Wie ein Experiment von Bitglass allerdings zeigt, hat die allgemein vorherrschende Vorstellung, sowohl auf Seiten der Mitarbeiter als auch der Arbeitgeber, mit der Realität wenig zu tun. Vor allem mit Blick auf die Europäische Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft treten wird und Nutzern mehr Rechte zur Wahrung ihrer Privatsphäre einräumt, lassen die Ergebnisse aufhorchen.

Das Experiment
In einem einwöchigen Experiment testete ein IT-Forschungsteam von Bitglass, inwieweit MDM dazu genutzt werden kann, Smartphones und Tablets von Mitarbeitern ohne ihr Wissen zu überwachen und zu steuern. Jeder, der an der Studie teilnahm, gab dem Team die Erlaubnis, MDM-Zertifikate per Push an ihre Geräte zu übertragen. Eine Praxis, die üblicherweise für die Datenübertragung über das Firmennetzwerk über ein Virtual Private Network (VPN) oder einen globalen Proxy verwendet wird. In nur sieben Tagen sammelte die MDM-Software eine Reihe von Informationen über die Interessen, Aktivitäten, Identitäten und Beziehungen der Mitarbeiter. Während des Experiments gelang es den Versuchsleitern, auf folgende Informationen zuzugreifen:

1. Surfverhalten
Mit dem Routing des Datenverkehrs über einen globalen Proxy war es möglich, das Surfverhalten von Mitarbeitern zu erfassen. Der Zugriff auf ihren Browserverlauf gewährte Einblick in sämtliche Vorgänge, von der Amazon-Produktsuche über vertrauliche Anfragen bei Gesundheitsdienstleistern bis hin zu politischen Interessen und Mitgliedschaften.

2. SSL-verschlüsselte Daten
Darüber hinaus gelang es den IT-Experten, mittels eines globalen Proxy in Verbindung mit einem vertrauenswürdigen Zertifikat, die SSL-Verschlüsselung zu deaktivieren. Durch die unverschlüsselte Umleitung von SSL-Datenverkehr erhielt das Forschungsteam Zugang zu den persönlichen E-Mail-Postfächern von Benutzern, ihren Konten bei sozialen Netzwerken und Bankdaten. Mit anderen Worten: Alle sicheren Anmeldedaten wurden offengelegt, da Benutzernamen und Kennwörter, die zur Kontoanmeldung verwendet werden, als Klartext an den Server der Versuchsleiter übermittelt wurden.

3. E-Mailverkehr
Die Fähigkeit zur Überwachung aus- und eingehender privater Kommunikation mittels MDM war auch bei Apps von Drittanbietern möglich – und sogar auf iOS, was die vorherrschende Meinung, dass App-Sandboxing den Einblick von Arbeitgebern in das Benutzerverhalten einschränke, wohl widerlegt. Mit Hilfe von Apps wie Gmail und Messenger gelang es sogar, versendete persönliche Mitteilungen abzufangen und eine Liste aller auf dem Gerät eines Mitarbeiters installierten Apps zu erstellen.

4. Aufenthaltsorte
Die meisten Teilnehmer des Experiments waren sich darüber bewusst, dass Administratoren verwalteter Geräte problemlos deren Standort ermitteln können, sofern GPS aktiviert ist. Wenigen war jedoch klar, inwieweit dies für das Erstellen eines Bewegungsprofils missbraucht werden kann. Das Forschungsteam ging noch einen Schritt weiter und sorgte dafür, dass GPS ohne Benachrichtigung des Benutzers im Hintergrund aktiv blieb. Dies ging nicht nur deutlich zu Lasten der Akkuleistung, sondern gab anhand des Standorts auch Auskunft über die Freizeitgewohnheiten der Teilnehmer. Dadurch konnte das Forschungsteam nachvollziehen, wo die Mitarbeiter ihre Freizeit verbrachten, wie häufig sie einkaufen gingen und vieles mehr.

5. Geräteeinstellungen
Vor allem das im Rahmen von MDM mögliche Zurücksetzen der Geräteeinstellungen, bereitet Mitarbeitern Sorgen, da viele von ihnen private Kontakte, Notizen, Fotos und andere Daten auf ihren persönlichen Geräten speichern. Dem Forschungsteam gelang es im Experiment, mittels MDM die Backup-Funktion so einzuschränken, dass eine Wiederherstellung von Diensten wie iCloud unmöglich wurde und den Betroffenen so gut wie keine Möglichkeit zur Wiedergewinnung verlorener Daten blieb.

6. Benutzerzugriff
Das Forschungsteam war zudem in der Lage, in zentrale Sicherungs- und Sperrfunktionen einzugreifen und so den Benutzerzugriff auf die Kamera, Apps wie FaceTime und grundlegende Aktionen wie Kopieren und Einfügen einzuschränken.

Angesichts des bevorstehenden Inkrafttretens der DSGVO im Mai 2018 ist es für europäische Unternehmen ratsam, die Sicherheit ihrer BYOD-Konzepte – beziehungsweise deren Potential für Sicherheitslücken - einer Prüfung zu unterziehen. Sie müssen sicherstellen, dass Mitarbeiterdaten nur in dem laut Datenschutzvereinbarung deklarierten Ausmaß verarbeitet und gespeichert werden. Gleichzeitig muss die Art der Datenverarbeitung gewährleisten, dass Mitarbeiter ihre Einwilligung dazu widerrufen können, und die bereits gesammelten Daten nicht an Dritte übermittelt sowie im Fall eines Widerspruchs gelöscht werden können.

Für den Fall, dass Mitarbeiter auf Grund von Datenschutzbedenken die Installation von MDM-Lösungen ablehnen, sollten Unternehmen bei der mobilen Sicherheit auch andere Ansätze in Betracht ziehen. Agentenlose BYOD-Softwarelösungen beispielsweise ermöglichen ein verbessertes Anwendungserlebnis, da keinerlei Einschränkungen in den Geräte- und Anwendungsfunktionen vorgenommen werden. Gleichzeitig ist die vollständige Übersicht und Kontrolle über Geschäftsdaten sichergestellt, ohne in die Privatsphäre der Endbenutzer einzugreifen, womit die Einhaltung von Datenschutzbestimmungen gewährleistet ist. (Bitglass: ra)

eingetragen: 18.04.17
Home & Newsletterlauf: 27.04.17


Bitglass: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Woher kommt die Verschlüsselungsmüdigkeit?

    Obwohl viele Unternehmen Verschlüsselung für wichtig halten, wird die Technologie nur von einem Bruchteil genutzt. Es gibt einige nachvollziehbare Hindernisse, aber auch eine Reihe sich hartnäckig haltender Mythen rund um die Usability und die Praxistauglichkeit. Anlässlich des Updates ihres Outlook-Verschlüsselungs-Add-Ins "gpg4o 5.1" hat der Lösungsanbieter Giegerich & Partner die gängigsten Argumente einem Plausibilitäts-Check unterzogen. Es ist keine Überraschung: Die Digitalisierung des Geschäftsalltags nimmt zu, wie der DsiN-Sicherheitsmonitor 2016 in seinen Statistiken zeigt. Gleichzeitig sagen rund 60 Prozent der befragten Unternehmen, dass ihnen Risiken und rechtliche Anforderungen bei der geschäftlichen Nutzung von Internet und E-Mails nicht bekannt sind. Diese Unsicherheit zeigt sich auch beim Einsatz entsprechender Schutzmaßnahmen, die - im Gegensatz zur steigenden Digitalisierung - unverändert bleiben. So setzen immer noch weniger als die Hälfte (48 Prozent) der befragten Unternehmen Maßnahmen zur E-Mailsicherheit ein.

  • App Fraud bei Kindern

    Welche Eltern erlauben es, dass ihr Kind mehrere hundert Euro selbstverantwortlich ausgeben darf? In der realen Welt sicherlich nicht, aber wie steht es um In-App-Käufe in Spielen für Smartphone und Tablet? Sogenannte Free-2-Play-Spiele (F2P) bieten gegen Echtgeld zeitliche Spielerleichterungen an oder kosmetische Gegenstände, wie beispielsweise neue Kleidungsfarben für den Avatar. Oft greifen Kinder dabei zum virtuellen Portemonnaie und gehen auf Shopping-Tour - ein böses Erwachen erfolgt dann für die Eltern am Monatsende. G Data gibt Eltern Tipps, wie sie sich und ihre Kinder vor teuren In-App-Käufen schützen können.

  • Durch Updates zur Datenkrake geworden

    Ob echtes Helferlein oder die Spaß-App fürs daddeln zwischendurch: Wer Apps auf seinem Smartphone nutzt, unterliegt der Gefahr, dass seine persönlichen Daten ausgelesen und an Werbetreibende verkauft werden - ohne davon selbst etwas mitzubekommen. "Je billiger eine App ist, umso schutzloser sind meist auch die eigenen Daten. Denn sichere Apps zu entwickeln, kostet Zeit und Geld. Wer also kein Geld für eine App zahlt, zahlt für gewöhnlich mit seinen Daten", warnt Christian Heutger, Geschäftsführer der PSW Group. Der IT-Sicherheitsexperte rät, insbesondere bei den Berechtigungen, die eine App verlangt, zur Vorsicht: "Sichere Apps verfügen über die Berechtigungen, die zum Ausführen der Funktionen relevant sind. Klar, dass eine Navigations-App dann auch auf den Standort zugreift. Würde dies eine Taschenlampen-App aber auch wollen, sollten die Alarmglocken schrillen."

  • Folgende Schutzmaßnahmen umzusetzen

    Aktuellen Erkenntnissen zu Folge ist die Bedrohungslage durch den Cyber-Angriff Ende Juni, der unter dem Namen Petya (auch: NotPetya, ExPetr, DiskCoder.C) bekannt wurde, auch für deutsche Unternehmen größer als bislang angenommen. Analysen von IT-Sicherheitsforschern legen nahe, dass bereits seit April 2017 in mehreren Wellen unterschiedliche Schadsoftwarevarianten über die Update-Funktion der in der Ukraine weit verbreiteten Buchhaltungssoftware M.E.Doc verteilt wurden. Damit können auch Unternehmen von diesem Cyber-Angriff betroffen sein, die M.E.Doc einsetzen, aber augenscheinlich nicht vom öffentlich bekannt gewordenen Verschlüsselungstrojaner Petya betroffen waren. Auch Datensicherungen (Backups), die nach dem 13.04.2017 angelegt wurden, müssen als potentiell kompromittiert betrachtet werden. Die unterschiedlichen Schadsoftwarevarianten ermöglichen das Ausspähen von Daten aus den betroffenen Firmennetzwerken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet diese Analysen als plausibel.

  • Nach Selbstversuchen oft Datenverlust

    Die Datenrettungs-Experten von Kroll Ontrack erhalten immer öfter Speichermedien, bei denen versucht worden ist, Daten mit Do-It-Yourself-Methoden wiederherzustellen. "DIY-Methoden und -Videos zur Datenwiederherstellung, die im Internet kursieren, veranlassen immer mehr Personen zu Selbstversuchen, wenn ein Datenverlust eingetreten ist", sagt Peter Böhret, Managing Director der Kroll Ontrack GmbH. "Wir erhalten immer öfter Laufwerke, bei denen versucht wurde, selbst die Daten wiederherzustellen. In vielen Fällen führen diese Versuche zu weiteren Schäden, die eine Datenrettung unmöglich machen." Um User vor solchen Methoden zu warnen, hat Kroll Ontrack eine Liste mit den zehn größten DIY-Datenrettungs-Fehlern erstellt.