SCHUTZ DER LEBENSWICHTIGEN DATEN

Schutz der lebenswichtigen Daten
#Ransomware #Trojaner #Digitalisierung #Mobile Business

Ransomware breitet sich aus: Warum die Sicherheit von dienstlichen Smartphones wichtig ist

Termine verwalten von unterwegs, mobil auf Dateien und Mails zugreifen, in Echtzeit mit Kunden und Kollegen kommunizieren – Smartphones sind unverzichtbar im Unternehmen. Jeder fünfte Arbeitnehmer besaß 2016 bereits ein eigenes Diensthandy, hat der Branchenverband Bitkom ermittelt. Knapp 75 Prozent der Profinutzer dürfen das dienstliche Mobilgerät sogar uneingeschränkt verwenden, also auch für private Mails und Gespräche.

Doch weil die praktischen Geräte erheblich mehr sind als nur multifunktionelle Telefone, geht von ihnen auch eine Gefahr für die IT-Sicherheit aus, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI): Die tragbaren Kleinstcomputer sind oft permanent mit dem internen Netzwerk verbunden – und greifen häufig auch von außerhalb des Unternehmens auf interne Inhalte zu. Wer unbeschränkt surft, Mails liest und Apps installiert, fängt sich leicht Malware, also Schadsoftware, ein – und die kann über das Intranet die gesamte Firmensoftware befallen.

In diesem Zuge wird auch ist die „IT-Erpressung“ unter Verbrechern der neueste Trend: Mit so genannter Ransomware infizieren Hacker neuerdings die Netze von Unternehmen und löschen ganze Datenbanken – erst nach Zahlung eines „Lösegeldes“ an die Täter gibt es die wichtigen Dokumente zurück. Nach einer Studie des BSI waren 2016 ein Drittel aller befragten Firmen innerhalb der letzten sechs Monate von schädlichen E-Mail-Anhängen und anderen IT-Angriffen betroffen – große Konzerne ebenso wie kleine und mittlere Unternehmen.

Neuerdings wenden Kriminelle diese Masche auch bei Smartphones an: Brancheninsider berichten von Trojanern, die sich als Virenschutz ausgeben und Stück für Stück alle Funktionen des Telefons blockieren. Erst nach dem Kauf einer „Vollversion“ funktioniert es wieder. Andere Schadprogramme behaupten, die Behörden hätten das Gerät gesperrt, weil es nicht jugendfreies Material enthalte – verbreitet wird das Programm passenderweise über Portale, die Pornografie anbieten.

„Schon ungezielte Attacken wie die aktuellen Ransomware-Angriffe führen zu teils erheblichen Beeinträchtigungen der IT und gefährden den Geschäftserfolg“, warnt BSI-Präsident Arne Schönbohm. Schwachstellen sind zumeist ungenügend abgesicherte Internetprotokolle, infizierte Apps und ineffiziente Virenfilter, hat das BSI festgestellt. Der einfachste Weg, um das zu vermeiden: Die Technik muss so konfiguriert sein, dass sich auf dem Gerät gar keine Apps installieren lassen – oder nur solche, die vom Systemadministrator freigegeben wurden.

Auch die Internetnutzung jenseits der Firmen-Firewall kann komplett geblockt werden. Passwortschutz ist ebenfalls unverzichtbar, falls das Gerät in falsche Hände gerät – außerhalb des Unternehmens wird die Zwei-Faktor-Authentifizierung empfohlen, die Phishing, also das Abgreifen von Passwörtern oder PIN, deutlich erschwert. Dabei identifiziert sich ein Benutzer zweifach: über Hardware und zusätzlich über eine variable PIN, die ihm zum Beispiel vom System auf ein zweites Gerät transferiert wird. Überdies raten Experten dazu, Firmendokumente auch für mobile Geräte zu klassifizieren, sodass wirklich sensible Daten gar nicht erst per Smartphone genutzt oder verschickt werden können.

Zuletzt ist die Mitarbeiterschulung unverzichtbar: Der oben erwähnte Virenschutz-Trojaner wird nicht über die gängigen Appstores, sondern über so genanntes Sideloading aus alternativen Quellen auf das Smartphone gespielt – eigentlich ein No-Go, vergleichbar mit dem Surfen auf Porno-Websites, der permanenten Speicherung von Passwörtern oder der Abschaltung der Tastensperre. Doch offenbar ist das vielen Nutzern noch nicht bewusst. Unternehmen müssen hier Sorge tragen, dass Regeln klar formuliert und bekannt sind – und bei Verstößen sichtbare Sanktionen verhängt werden. Dazu kann es zum Beispiel helfen, IT-Sicherheit auch in den Zielvereinbarungen jedes betroffenen Mitarbeiters zu verankern.