Unser kollektiver mobiler Sicherheits-Blind Spot

Unser kollektiver mobiler Sicherheits-Blind Spot
Diese Geschichte erscheint in der Februarausgabe von . Abonnieren » Jose Quintero weiß nur zu gut, wie viel Chaos ein verlorenes Smartphone anrichten kann. Jahre, bevor er Direktor der Informationsdienste bei der Anwaltskanzlei Bush Gottlieb wurde, arbeitete Quintero als Analyst für automatisierte Systeme bei einem internationalen Unternehmen mit mehr als 700 Anwälten in 15 Büros.

Diese Geschichte erscheint in der Februarausgabe von . Abonnieren »

Jose Quintero weiß nur zu gut, wie viel Chaos ein verlorenes Smartphone anrichten kann. Jahre, bevor er Direktor der Informationsdienste bei der Anwaltskanzlei Bush Gottlieb wurde, arbeitete Quintero als Analyst für automatisierte Systeme bei einem internationalen Unternehmen mit mehr als 700 Anwälten in 15 Büros. Quintero und anderen Mitarbeitern unbekannt, hat einer dieser Anwälte alle seine Dokumente, Fotos und Daten von seinem Laptop auf sein neues iPhone übertragen und dabei den Inhalt nicht auf eine separate Festplatte gesichert.

"Nicht lange danach wurde sein Laptop von einem Virus heimgesucht. Alle Daten waren verloren", erinnert sich Quintero. "Dann hat er das iPhone verloren und all diese Daten waren für immer verloren."

Quintero weigerte sich, sich die Geschichte wiederholen zu lassen, als er sich letztes Jahr dem in Glendale, Kalifornien, ansässigen Bush-Gottlieb anschloss. Er beauftragte das Unternehmen Marble Security, ein Unternehmen für mobile Sicherheitslösungen, ein cloudbasiertes, unternehmensweites Programm zum Schutz von Telefonen und Tablets vor Verlust und Diebstahl sowie vor Malware, Trojanern, Phishing-Angriffen und anderen Cyberbedrohungen zu implementieren.

"Mobile Geräte sind praktisch Laptops in den Taschen", sagt Quintero. "Wir haben Leute, die vertrauliche Dokumente überprüfen und Dokumente an Kollegen senden. Die mobile Sicherheitstechnologie ermöglicht es mir, ein Gerät zu sperren, das gestohlen wurde oder gegangen ist fehlen, wischen Sie es remote ab (löschen Sie also alle Dateien) und ändern Sie ggf. das Passwort. Hier geht es nicht um die Hardware, sondern um die Daten. "

Mobile Sicherheit ist kein Thema, das nur Anwaltskanzleien, Gesundheitsbehörden betrifft Anbieter und andere Branchen, die mit hypersensiblen Kundendaten arbeiten. 53 Prozent der Unternehmen, die vom Internet-Sicherheitsanbieter Check Point Software Technologies befragt wurden, speichern vertrauliche Kundeninformationen auf mobilen Geräten, und dieser Prozentsatz wird voraussichtlich in die Höhe schnellen, wenn das Geschäft weiterhin vom Desktop auf Telefone und Tablets migriert. Dies gilt insbesondere, wenn man bedenkt, wie viele Unternehmen geldsparende BYOD-Richtlinien (Bring your own device) verfolgen, die es Mitarbeitern ermöglichen, ihre eigenen Apple iOS- und Google Android-Produkte für professionelle Zwecke zu verwenden.

Bedrohung # 1 Bösartige Apps

Nach dem Download auf Smartphones und Tablets greifen diese Apps - häufig getarnt als Spin-Offs beliebter Apps und Spiele - zu bösartigen Aktivitäten wie dem Senden von Nachrichten an bestimmte Nummern und Registrieren von Benutzern für Premiumdienste oder Installieren von Adware.

Schützen Sie sich: Laden Sie Apps nur aus vertrauenswürdigen Quellen herunter, z. B. Apples App Store und Google Play.

Rund 60 Prozent der Kleinunternehmen haben BYOD-Initiativen implementiert, heißt es in einer aktuellen Umfrage von Spiceworks, einer Online-Community für IT-Experten.Aber mehr als die Hälfte der kleinen und mittleren Unternehmen, die BYOD unterstützen, sind sich weder bewusst noch wehrlos gegen mobile Sicherheitsrisiken wie bösartige Apps, Domain-System-Vergiftungen (Ändern einer IP-Adresse, um Besucher auf eine Rogue-Website abzulenken) und jailbroken-Geräte Der Benutzer beseitigt die Einschränkungen des Betriebssystems, die von den Herstellern und Netzbetreibern auferlegt wurden), wie eine Umfrage von Marble Security zeigt.

Kleinunternehmen in Gefahr

Während Cyber-Kriminelle in der Vergangenheit große Unternehmen ins Visier genommen haben, ändert sich diese Dynamik, da Unternehmen hohe Investitionen tätigen, um anspruchsvollere Sicherheitsmaßnahmen anzuwenden. Dieser Schritt hat den Fokus digitaler Krimineller auf kleinere, anfälliger werdende Ziele verlagert: Nach Angaben der Cyber-Sicherheitsfirma Symantec waren 2012 31 Prozent der gezielten Angriffe auf Unternehmen mit weniger als 250 Mitarbeitern (18 Prozent) ausgerichtet das vorherige Jahr.

Schockierend scheinen viele Unternehmen nicht zu kümmern. Unter den 1.000.000 US-amerikanischen KMUs, die von Office Depot und dem digitalen Sicherheitsgiganten McAfee befragt wurden, gaben 66 Prozent an, dass ihre Daten und Geräte sicher und vor Hackern geschützt sind, und 77 Prozent gaben an, dass sie nicht gehackt wurden. Experten sagen, dass die Diskrepanzen zwischen den Berichten von Symantec und McAfee darauf hindeuten, dass viele kleine Unternehmen nicht einmal wissen, dass sie angegriffen wurden.

"Kleine Unternehmen sind der Meinung, dass Cyber-Bedrohungen für sie nicht relevant sind und dass Angreifer nur größere Unternehmen verfolgen. Aber sie haben viele der gleichen wertvollen Kundenvermögen, wie Kreditkartennummern und E-Mail-Adressen, nur auf einem kleineren ", sagt Adam Ely, Mitbegründer und COO des in San Francisco ansässigen Unternehmens für mobile Datensicherheit Bluebox Security." KMUs laufen in der Regel schnell und locker, um die Dinge kosteneffizient zu erledigen, müssen sich aber der Sicherheit bewusst sein "

Bedrohung # 2 Schädliche mobile Websites

Cyberkriminelle verwenden gefälschte URLs, mit denen sich mobile Browser automatisch füllen können, um Geräte mit Malware und Spyware zu infizieren und zu infizieren. Die Sicherheitsfirma Symantec meldet, dass 61 Prozent der bösartigen Websites legitime Websites sind, die durch bösartigen Code kompromittiert werden.

Schützen Sie sich: Markieren Sie häufig besuchte Websites, geben Sie die vollständige URL manuell in andere Websites ein, und seien Sie beim Öffnen von Hyperlinks vorsichtig.

Die Umstellung auf Mobile Computing erweitert die Risiken für kleine Unternehmen dramatisch. Das Sicherheitssoftware-Unternehmen Trend Micro hat im dritten Quartal 2013 1 Million bösartige und riskante Android-Anwendungen identifiziert, die zu Beginn des Jahres von 425.000 anstiegen. Aber Ely behauptet, dass interne Datenlecks eine noch größere Gefahr darstellen.

"Es ist eine andere Welt als vor zehn Jahren, als nur Personen mit bestimmten Berechtigungen Zugriff auf Daten erhielten", sagt Ely. "Jetzt befinden wir uns in einer Situation, in der Daten über Salesforce und Dropbox verteilt sind und sich überall bewegen Es kann sich möglicherweise hineinschleichen. Deshalb müssen kleine Unternehmen das Risiko reduzieren, indem sie Daten verwalten und grundlegende Kontrollen wie Gerätesicherheit und Datensicherheit anwenden."

BYOD-Bedenken

Der Anstieg von BYOD macht das Thema noch komplizierter. Eine Strategie, die für Unternehmen offensichtlich Sinn macht: Cisco berichtet, dass US-Unternehmen durch die Implementierung umfassender Kosten bis zu 3 150 US-Dollar pro Mitarbeiter und Jahr sparen können BYOD-Programme, mit denen persönliche Smartphones und Tablets auf alle Ressourcen zugreifen können, die Mitarbeiter zur Erfüllung ihrer Aufgaben benötigen Die Einsparungen ergeben sich aus geschätzten Produktivitätssteigerungen sowie aus der Verlagerung mobiler Hardware- und Servicekosten auf Mitarbeiter: Der durchschnittliche BYOD-Mitarbeiter gibt 965 US-Dollar für Geräte aus zusätzliche $ 734 pro Jahr für Wireless-Netzwerkabdeckung, sagt Cisco.

Threat # 3 Smishing

SMS-basierte Phishing ("Smishing") - Schemas senden Verbraucher Textnachrichten mit einem Link zu einer betrügerischen Website oder Telefonnummer erstellt um persönliche Informationen wie Bankkontodaten zu sammeln

Schützen Sie sich: Vermeiden Sie es, auf Links in Textnachrichten zu klicken, besonders wenn der Absender jemand ist, den Sie nicht kennen nd zu Texten, die persönliche Daten anfordern, und hüten sich vor Nachrichten, die von "5000" oder anderen Nummern gesendet werden, die keine herkömmlichen 10-stelligen Telefonnummern sind.

Aber weil die Mitarbeiter diese Geräte direkt besitzen, können sie sie nach Belieben verwenden - Aktivitäten, die den Download potenziell ruchloser Anwendungen von Drittanbietern oder das Jailbreaking ihrer Telefone beinhalten. Einige Mitarbeiter könnten sich auch dagegen wehren, dass Arbeitgeber umfassende Sicherheitskontrollen auf ihren Geräten durchführen.

"Kleine Unternehmen müssen sich auf die People-and-Process-Seite der mobilen Sicherheit konzentrieren", sagt Sean Ginevan, Director Business Development bei MobileIron, einem Unternehmen für Mobilitätsmanagement in Mountain View. "Es ist wichtig, dies sicherzustellen Der Endnutzer entscheidet sich und vertraut seiner IT-Abteilung.In aktuellen Studien heißt es, Endanwender glauben, dass die IT mehr Big-Brother-Tendenzen aufweist, als dies tatsächlich möglich ist, und das führt zu Vorsicht (bei mobilen Sicherheitsanstrengungen). "

Ginevan Die Arbeitgeber sollten die für BYOD-Mitarbeiter geltenden Sicherheitsprotokolle klar definieren und sicherstellen, dass ihre mobilen Geräte vor Hackern, Diebstahl und Verlust geschützt werden. Gleichzeitig müssen die IT-Mitarbeiter kein Interesse daran haben, persönliche Inhalte neben professionellen Tools zu durchsuchen. Das bedeutet die Implementierung von mobilen Sicherheitsprotokollen, die sensible Geschäftsdaten schützen, ohne den persönlichen Gebrauch zu überwachen, sowie Tools zur Fernlöschung von Geschäftsinformationen, Dokumenten und E-Mail-Konten im Falle eines Verlustes oder Diebstahls eines Geräts oder wenn der Mitarbeiter zu einer anderen Organisation wechselt .

"Es ist wichtig, eine Beziehung mit dem Endnutzer aufzubauen", sagt Ginevan. "Sie müssen ihnen versichern, dass Sie keine Fotos ihrer Familie anschauen oder ihre Musikbibliothek anschauen, aber Sie werden dafür sorgen Ihr Gerät ist ordnungsgemäß gesichert. "

Was kann getan werden

Welche Arten von Checks and Balances für mobile Geräte sollten kleine Unternehmen implementieren? Die Cloud-basierte Sicherheits-Client-Anwendung von Marble integriert aus Maschinendaten abgeleitete Echtzeit-Informationen sowie mobile Benutzer- und Geräteattribute wie Standort, installierte Apps und Netzwerkverbindungsdaten, um dynamische Risikobewertungen auf jedes Gerät anzuwenden.Das Ergebnis ist, dass IT-Administratoren und Benutzer Bedrohungen erkennen und sofort beheben können. Die Lösung kostet pro Nutzer und Monat 3 US-Dollar und umfasst alle Geräte des Nutzers.

"Wir haben ein Sicherheitsbedrohungslabor, das ständig nach neuen Bedrohungen sucht, und unsere dynamischen Datenfeeds werden in Echtzeit aktualisiert", sagt David Jevans, Marbles Gründer und CTO. "Das ist die Schönheit von Sicherheit in der Cloud - wir kann unsere Daten-Feeds in Echtzeit aktualisieren. "

Bedrohung # 4 Ungesicherte Wi-Fi-Angriffe

Wenn Sie über ungesicherte Wi-Fi-Verbindungen einkaufen, Bankgeschäfte tätigen oder auf Unternehmensdokumente zugreifen, können Hacker auf Ihr Telefon oder Tablet zugreifen und seine Daten stehlen.

Schützen Sie sich: Beschränken Sie alle Online-Banking- und Einkäufe auf Ihr sicheres Heim- oder Büronetzwerk. Vermindern Sie Voice-over-IP-Apps und Instant Messaging-Dienste, die automatisch eine Verbindung zu Hotspots in der Nähe herstellen.

Die Anyware-Lösung von MobileIron bietet unternehmensweite Datenschutz-Tools für E-Mails, Apps und Inhalte von Unternehmen. Der cloudbasierte Dienst bietet einfache Konfiguration und personalisierte App- und Inhaltskataloge sowie App-Bewertungen und Empfehlungen von Kollegen. Firmen, die die Salesforce-Plattform ausführen, können Anyware verwenden, um nicht vertrauenswürdige Geräte zu blockieren, Geschäftsanwendungen bei Bedarf zu löschen, WLAN und E-Mail zu konfigurieren und alle mobilen Geräte unternehmensweit über die Salesforce-Benutzeroberfläche zu verwalten.

"Wir können Anyware so anpassen, dass es den SMB-Anwendungsfall um den Preis einer Tasse Kaffee pro Monat angeht - 4 US-Dollar pro Gerät", sagt MobileIron's Ginevan. (Zum Zeitpunkt der Drucklegung war Bluebox in der Beta-Phase und konnte keine Einzelheiten zu seinen Programmen und Preisen bekannt geben.)

Während dieser Preis für einige KMUs vielleicht steil ansteigt, können sie zumindest dem Rat folgen, eine Art von Praxis in die Praxis umzusetzen schriftliche Richtlinien zur Durchsetzung der Sicherheit, auch wenn sie sich gegen den Schutz der Premium-Preise entscheiden. "Sagen Sie Ihren Mitarbeitern," Jailbreak your phones "oder" Laden Sie diese Apps nicht herunter "ist besser als gar nichts", sagt Jevans. Dennoch schätzt er, dass 75 bis 80 Prozent der Unternehmen noch nicht einmal minimale Sicherheitsprotokolle eingeführt haben.

Diese Nachzügler werden sich wahrscheinlich entschuldigen. Das Problem wird nur noch schlimmer werden, wenn sich die mobile Technologie ausbreitet und mehr persönliche, finanzielle und geschäftliche Leben über Smartphones und Tablets fließen. Bei so vielen sensiblen und aussagekräftigen Daten, die auf jedem Gerät gespeichert sind, kann jede Art von Datenpannen katastrophal sein.

Vulnerable Things

Wenn das Internet expandiert, wird nicht nur Ihr Telefon gehackt

Die Migration des Internets von Desktop-PCs zu mobilen Geräten ist nur der erste Stopp auf dem Weg zur totalen Hardware-Dominanz. Webverbindungen erweitern sich schnell über Computergeräte hinaus auf alles, von Parkuhren bis zu Kühlschränken. Das Marktforschungsunternehmen BI Intelligence prognostiziert, dass das so genannte Internet der Dinge im Jahr 2018 9 Milliarden Geräteanschlüsse ausmachen wird, etwa so viel wie Smartphones, Tablets, PCs, Smart-TVs und tragbare Computer zusammen.

Da das Internet in alle Ecken des täglichen Lebens blutet, werden Sicherheitsbedenken folgen.Forscher haben bereits Malware identifiziert, die in der Lage ist, ein Auto über ihr Infotainment-System zu hacken und zu warnen, dass ein scheinbar harmloser digitaler WIFI-fähiger digitaler Bilderrahmen es Eindringlingen ermöglichen könnte, auf das gesamte Netzwerk angeschlossener Geräte und privater Informationen zuzugreifen.

"Alte Technologien wurden nicht so konstruiert, dass sie im Internet miteinander verbunden und geschlagen werden können, also sind sie nicht die sichersten Dinge", sagt Adam Ely, Mitbegründer des in San Francisco ansässigen Unternehmens für mobile Datensicherheit Bluebox Security Das bedeutet, dass wir Angriffe von Leuten sehen, die diese Geräte kompromittieren wollen. "

Da Hacker normalerweise auf Geräte abzielen, die weit verbreitet sind, lohnt es sich nicht, den Schlaf über die Sicherheit des Internets der Dinge zu verlieren - zumindest noch nicht. Aber wie verbundene Geräte alltäglich werden, passen Sie auf.

"So wie wir keine PC-Viren hatten und dann plötzlich, haben wir Viren für das Internet der Dinge", sagt Ely. "Sobald ein Gerät populär und mächtig genug ist, wird es angegriffen."