MSPs müssen die Sicherheit mobiler Geräte zu Priorität machen

Letzte Woche haben wir einen Überblick über die zunehmenden Bedenken und Sicherheitsprobleme im Zusammenhang mit Mobilgeräten gegeben. Diese Woche setzen wir das Gespräch über mobile Geräte mit Eric O'Neill fort. Eric ist ehemaliger FBI-Agent im Bereich Terrorismusbekämpfung und Spionageabwehr, Keynote-Speaker zum Thema Cybersecurity und Gründer der Georgetown Group und von Nexasure AI.

Managed Service Provider (MSPs) und andere übersehen oft mobile Geräte, weil sie leicht als „persönliche Geräte“ abgetan werden können. Vor allem in der Welt nach der Pandemie ist die Grenze zwischen Arbeit und Privatleben immer mehr verschwommen.

„Mobile Geräte, die eine Verbindung zu sicheren Netzwerken und Datensystemen herstellen, müssen die gleiche Aufmerksamkeit und die gleichen Cybersecurity-Kontrollen erhalten wie die Laptops, die von der IT-Abteilung des Unternehmens verwaltet werden“, erklärt O'Neill. Er fügt hinzu, dass jedes Mobiltelefon ein Endpunkt ist, der Zugriff auf Datensysteme gewähren kann, und sagt: „MSPs und CISAs sollten sicherstellen, dass auf allen Mobilgeräten – geschäftlich und privat –, die auf kritische Netzwerke zugreifen, eine robuste Endpunktsicherheit installiert und durch Richtlinien priorisiert wird.“

Herausforderungen und Best Practices für die mobile Sicherheit

Zu dieser Cybersecurity gehören die Verschlüsselung von Geschäftsdaten und E-Mails, die Aktivierung der mehrstufigen Identifizierung auf jedem Gerät und eine Richtlinie, die sichere Passwörter und Entsperrcodes erfordert. O'Neill weist auch darauf hin, dass Mobiltelefone „Need-to-know“-Zugriff zu sensiblen Daten und Anwendungskontrolle benötigen. Das soll die Installation bösartiger Anwendungen verhindern.

Stellen mobile Geräte, so weit sie auch verbreitet sind, eine Sicherheitsbedrohung dar?

O'Neill sagt ja. „Mobilgeräte sind die Hauptziele von Cyberkriminellen“, warnt er. Es muss nicht immer ein High-Tech-Hacker sein, der die neuesten Tools verwendet. „Kriminelle sehen einem potenziellen Ziel an einem öffentlichen Ort über die Schulter und warten darauf, dass die Person ihr Telefon mit einem Code entsperrt. Sobald sie sich den Code gemerkt haben, stehlen sie das Telefon und ändern den Code und die Passwörter für die Cloud-Konten, womit sie die Kontrolle über das Telefon erlangt haben.“

Mobile Benutzer neigen auch dazu, eine Spur von Downloads zu hinterlassen, die, wie O'Neill erklärt, eine Person oder ein Unternehmen angreifbar machen kann. „Mobile Benutzer laden eine Vielzahl von Anwendungen herunter, von denen viele keine robuste Sicherheit bieten oder sogar selbst bösartig sind“, erklärt O'Neill. Er fügt hinzu, dass die Sicherheitsvorkehrungen für Mobiltelefone nicht so ausgeklügelt sind wie die für Desktops. „Damit liegt ein Großteil der Sicherheitsverantwortung beim Besitzer des mobilen Geräts, was nie eine gute Strategie für die Cybersicherheit ist.“

Sicherung von Mobilgeräten

Es kommt häufiger vor, als man denkt, dass Mitarbeitende persönliche Mobilgeräte für die Arbeit nutzen, ohne dass eine robuste BYOD-Richtlinie (Bring your own device) vorhanden ist. „Cyberkriminelle wissen, dass Unternehmen Mobiltelefone als primäres Einfallstor für raffinierte Cyberangriffe oft übersehen“, so O'Neill.

„Auf diesen Geräten sind möglicherweise keine kritischen mobilen Sicherheitskontrollen wie Verschlüsselung, „Need-to-know“-Zugriff auf sichere Netzwerke, Multifaktor-Authentifizierung und Passwortkontrolle implementiert“, fährt er fort und fügt hinzu, dass aufgrund dieser Nachlässigkeit die meisten Phishing-Websites mittlerweile sowohl auf mobile Geräte als auch auf Desktop-Computer abzielen.

„Statistisch gesehen ist es viel wahrscheinlicher, dass ein Benutzer auf einen bösartigen Link klickt, der per SMS an ein Mobiltelefon gesendet wird, als auf eine Spear-Phishing-E-Mail, die an sein Computerpostfach gesendet wird“, so O'Neill. Er weist darauf hin, dass Mobiltelefone zukünftig noch mehr zu einem festen Bestandteil unseres Lebens werden. MSPs und Sicherheitsspezialisten müssen sie wie geschäftliche Schwachstellen behandeln.

„Unsere Mobiltelefone sind nicht nur Speicher für unsere persönlichsten Daten, sie sind jetzt auch unsere digitalen Identitäten. Wir haben die prall gefüllten Geldbörsen unserer Eltern durch das digitale Äquivalent mit Ausweisen, Kredit-, Bank- und Mitgliedskarten ersetzt“, erklärt O'Neill. „Die Zukunft der mobilen Technologie muss sich an den besten Cybersicherheitspraktiken für andere Endgeräte orientieren. Hierzu gehört eine intrinsische Sicherheit, die auf Zero Trust basiert. Künftige mobile Geräte werden von Grund auf mit mehreren und redundanten Sicherheitskontrollen ausgestattet sein. Sie werden biometrisch an einen einzelnen Benutzer gebunden und durch künstliche Intelligenz (KI) zur Bedrohungssuche überwacht.“

Bis das passiert, müssen die Benutzer wachsam bleiben. Außerdem würden MSPs davon profitieren, die Sicherheit mobiler Geräte als separaten Service anzubieten.

Hinweis: Dieser Beitrag wurde ursprünglich aufSmarterMSP veröffentlicht.