GlobalSign Blog

06 Feb 2019

Auch Startups müssen ihre Geräte sichern: So geht’s

Es ist noch nie schief gegangen… Jeden Tag bringen Arbeitnehmer den gleichen Laptop, den sie zu Hause nutzen mit in die Arbeit. Andere nutzen ihre Handys und verbinden sich mit dem Unternehmens-WLan. Es mag sich harmlos anhören, aber diese Gewohnheiten können tiefgreifende Probleme für Unternehmensnetzwerke mit sich bringen. Und sie können gefährliche Konsequenzen für Startups nach sich ziehen.

Um die Gefahr entsprechend abzuwehren müssen die Schwachstellen aufs genaueste untersucht werden. Sobald ein Gerät das Büro verlassen hat, hat das Unternehmen nur noch wenig Einfluss auf dessen Sicherheit. Eine solide IT-Richtlinie und eine Strategie zur Schadensminimierung sind daher unverzichtbar – selbst für ein Startup mit wenigen Mitarbeitern.

Mitarbeiter außer Haus und Strategien wie Bring Your Own Device (BYOD, Nutzung eines eigenen Geräts) bringen einige große Bedenken mit sich:

  • Physischer Diebstahl – Unternehmens- oder Kundeninformationen auf einem verlorenen oder gestohlenen Gerät stellen ein großes Problem dar, und können zu hohen Kosten bei der Wiederherstellung führen.
  • Malware – Sie müssen sich darauf verlassen, dass Benutzer die Geräte frei von Malware und Viren halten. Diese können zu einträchtigen Datenverstößen oder Systemstörungen führen.
  • Datenüberwachung – Menschen verschlüsseln nur selten Informationen, die sie an Kollegen senden. Wenn diese von einem kompromittierten Gerät abgeschickt werden, können sie möglicherweise von einem Angreifer abgefangen werden. Viele haben auch ihr GPS aktiviert, so dass die Geräte rund um den Globus verfolgt werden können.
  • Insider-Gefahren – Ein verstimmter Mitarbeiter könnte mutwillig schädliche Dateien auf dem Unternehmensnetzwerk installieren.

Es handelt sich dabei um reale Risiken. Sobald ein Angreifer die Unternehmensabwehr durchbrochen hat, ist es zu spät. Oft entstehen Probleme erst, wenn Sicherheit nur als zusätzliche Funktion angesehen wird, statt als zentraler Bestandteil des Entwicklungsprozesses. Jeder IT-Experte kann Ihnen bestätigen: Sicherheit muss eingebacken werden, nicht draufgesprüht.

Einige der gefährlichsten Sicherheitsbedrohungen für Startups sind Mitarbeiter, die sich nicht an die richtigen Empfehlungen und Prozesse halten. Das kann sehr schädliche und langanhaltende Folgen haben:

  • Verletzung der Schweigepflicht und Verlust von personenbezogenen Daten – Wenn personenbezogene Daten gestohlen werden, kann das Unternehmen dafür möglicherweise haftbar gemacht werden und muss den Verlust öffentlich machen. Dies führt zu Vertrauensverlust.
  • Lauschangriff – Private Unterhaltungen können über das Mikrofon eines kompromittierten Gerätes mitgehört werden, oder es können die Daten, die über ein ungesichertes Netzwerk verschickt werden, abgefangen werden. Anmerkung: Falls Sie noch ein Fax nutzen… lassen Sie es! Faxinformationen werden im Klartext übermittelt, können einfach abgefangen werden und Empfänger haben keine Möglichkeit den Absender zu authentifizieren.
  • Denial-of-Service(DOS)-Angriff – Nach diesem Angriff kann es sein, dass Ihr Netzwerk nicht mehr ordnungsgemäß funktioniert. Dies kann zu Zeitverlusten und unzufriedenen Kunden führen.
  • Würmer – Wenn ein einziges Gerät mit einem Wurm infiziert ist kann es Schaden im gesamten Netzwerk anrichten. Ein reproduktiver Virus kann sich über verbundene Geräte oder sogar über E-Mail-Kontakte ausbreiten.

Was kann man also tun, um solche Probleme zu verhindern?

Es versteht sich von selbst, dass alle Daten, die im Unternehmen gespeichert werden im Ruhezustand zu jeder Zeit verschlüsselt sein sollten. Das gleiche gilt bei der Wahl von Cloud-Speichern. Aber es reicht nicht aus nur die Daten im Ruhezustand zu schützen, wenn Mitarbeiter ihre persönlichen Geräte mit ins Büro oder Arbeitslaptops mit nach Hause nehmen.

Hier folgen die sechs unverzichtbaren Sicherheitsrichtlinien, falls Sie BYOD im Unternehmen zulassen:

Machen Sie Authentifizierung mit digitalen Zertifikaten zur Pflicht

Starke Authentifizierungslösungen nutzen digitale Zertifikateum Unternehmensnetzwerke, Daten und Anwendungen einfach und sicher über zertifikatsbasierte und tokenbasierte Zweifaktorauthentifizierung zu schützen. Dazu gehören: Domain Controller Server, Gerätezertifikate, Mobilfunkgeräte, Smartcard Login, Cloud-Dienste, USB-Token (genehmigte, siehe weiter unten), VPNs, Gateways und WLan-Netzwerke.

Schalten Sie Bluetooth aus

Bluetooth ist von Haus aus unsicher. Ermutigen Sie Ihre Mitarbeiter dazu es zu jeder Zeit auszuschalten, außer um es vorübergehend zu nutzen.

Aber warum kann Bluetooth so leicht ausgenutzt werden?

Am gefährlichsten an Bluetooth ist wie einfach es angeschaltet und dann mit Geräten wie kabellosen Lautsprechern verbunden werden kann. Leider vergessen viele Benutzer es wieder auszustellen. Dadurch ist das Gerät kontinuierlich Sicherheitsrisiken ausgesetzt. Sogar Bluetooth Kopfhörer auf dem Hin- und Rückweg vom Büro geben Hackern reichlich Möglichkeiten die folgenden Angriffe auszuführen:

  • Bluejacking – Angreifer schicken über Bluetooth Nachrichten an das Gerät. Dies wurde zum Beispiel für Guerilla Werbeanzeigen in viel belebten Gegenden genutzt. Gefährlich wird es, wenn Angreifer einen schädlichen Link in die Nachricht einfügen, der das Gerät bei Klick weiter kompromittieren kann.
  • Bluesnarfing – Ein Angreifer gelangt über Bluetooth an Informationen auf einem Gerät. Zu den gestohlenen Daten können z.B. Kontaktlisten, SMS und Anrufsdaten, E-Mails, Medien und Dateien zählen. Angreifer können so einfach Unternehmensdokumente stehlen, die auf den Handys gespeichert sind und niemand würde es merken, bis es zu spät ist.
  • Bluebugging – Ein Angreifer erlangt Zugriff auf das Handy auf einem tieferen Level als beim Bluesnarfing. Dabei kann er möglicherweise das komplette Handy übernehmen, Nachrichten schicken, Anrufe tätigen, Lauschangriffe durchführen und das Gerät über GSM verfolgen. Sobald das Gerät einmal kompromittiert wurde kann es für weitere Angriffe genutzt werden, auch wenn Bluetooth ausgeschaltet ist.

Starke Passwörter

Jeder sollte starke Passwörter wählen. Also nicht den Namen des Haustiers mit ein paar Buchstaben durch Nummern ersetzt. Sondern eine Zeichenfolge, die algorithmisch schwer zu knacken ist.

Mit einem Passwortmanager können starke Codes generiert und verschlüsselt gespeichert werden. Im Unternehmen kann Zugriff zu diesen Passwörtern zwischen verschiedenen Personen geteilt werden, ohne dass das Passwort selbst ausgetauscht werden muss. Benutzer brauchen nur ein Masterpasswort, um sich einzuloggen. Dieses Passwort muss ebenfalls stark sein, aber man muss es sich auch auswendig merken können.

Verhindern Sie (mit allen verfügbaren Mitteln) Jailbreaking oder Rooting von Geräten

Es ist schwer es zu überwachen, aber außerordentlich wichtig, um die Integrität von Büronetzwerken zu schützen. Sogenanntes „Jailbreaking“ oder „Rooting“ sind Begriffe für ähnliche Aktivitäten: das Entfernen von Software-Einschränkungen des Betriebssystems, um Zugriff auf ansonsten eingeschränkte Funktionen des Geräts zu erhalten.

Jailbreaking wird auf einem iOS-Gerät durchgeführt und ermöglicht die Installation von Software, die nicht von Apple zugelassen ist. Rooting wird auf einem Android-Gerät durchgeführt und gibt deutlich mehr Zugriffsrechte auf die Hardware des Geräts, als ein reguläres Android-Gerät hat. Ein gerootetes Android-Gerät hat Zugang zu so gut wie allen Bereichen des Betriebssystems.

Rooting gibt viele fortschrittliche Funktionen des Android-Geräts frei und kann deshalb Angriffen leichter ausgesetzt sein. Wenn eine schädliche App oder ein Hacker Root-Zugang erlangt, ist das Gerät komplett in dessen Händen. Sie können jeden beliebigen Vorgang auf dem Gerät ausführen – über das Mikrofon mithören, auf die Internetverbindung zugreifen oder sich über den Benutzeraccount in Apps einloggen.

Es ist nicht wünschenswert, dass dies mit einem Gerät in Ihrem Büro passiert. Am sichersten ist es alle Geräte mit Rooting oder Jailbreaking komplett aus dem Büro zu verbannen. Wenn Rooting auf Geräten absolut notwendig ist, stellen Sie sicher, dass regelmäßige Checks durchgeführt werden.

Verschlüsseln Sie die Internetverbindung

Große Firmen haben normalerweise eine IT-Abteilung und Unternehmensrouter, aber gerade Startups nutzen möglicherweise nur den vom ISP bereitgestellten Router – mit elementarer Sicherheit und keiner Verschlüsselung des Internetverkehrs.

Regierungen, ISPs und sogar einige Internetdienste sind bekannt dafür die Onlineaktivitäten von Benutzern zu überwachen. Man kann nicht davon ausgehen, dass kleine Unternehmen davon ausgeschlossen sind. Aber mit einem infizierten Gerät im Netzwerk können Hacker den Internetverkehr abfangen und sogar abändern.

Startups mit weniger als 25 Mitarbeiter können einen Router nutzen, der Datenschutz an erster Stelle setzt. Er kann genutzt werden, um alle Daten, die über das Netzwerk übertragen werden zu verschlüsseln, indem ein VPN auf dem Router selbst genutzt wird. VPNs können die Internetverbindung etwas verlangsamen, aber mit einem hochwertigen Router sollte die Verzögerung minimal sein.

Führen Sie eine Richtlinie für Downloads und Antivirus ein

Malware kann leicht über Softwaredownloads zu Hause ins Büro eingeschleppt werden. Geräte können aber auch auf anderen Wegen infiziert werden. Es ist unrealistisch alle Downloads über das Unternehmensnetzwerk blocken zu wollen, aber Sie können Mitarbeiter dazu bringen, nichts ohne die vorherige Einwilligung der IT-Verantwortlichen herunterzuladen.

Beliebte Fernsehserien werden immer häufiger von Hackern ausgenutzt, indem sie Malware auf die Dateien einschleusen, die dann über P2P-Netzwerke über BitTorrent geteilt werden. Torrent-Downloads von urheberrechtlich geschütztem Material ist fast überall illegal, aber das hält Millionen von Menschen nicht davon ab sich die aktuellen Serien von Game of Thrones herunterzuladen, statt abzuwarten bis diese im Fernsehen gezeigt werden.

Diese Downloads im Unternehmen zu verhindern ist zwar nur die halbe Miete, um Ihr Netzwerk zu schützen. Wenn ein Gerät zu Hause kompromittiert wird, kann das Risiko an das gesamte Netzwerk weitergegeben werden, sobald es über das Firmen-WLan verbunden ist. Deshalb müssen alle Mitarbeiter qualitativ hochwertige und aktuelle Antivirensoftware auf ihren Geräten haben, und regelmäßige Scans durchführen. Einzelne Downloads sollten gescannt werden, bevor sie geöffnet werden.

Verbieten Sie USB-Sticks

USB-Sticks sind klein, praktisch und unsicher. Aber eins der größten Probleme ist, dass sie selten verschlüsselt sind und leicht verlegt werden können. Für Unternehmen bedeutet dies, dass Mitarbeiter den Stick irgendwo vergessen könnten, wie zum Beispiel in einem Café, und die Daten dann von jemanden für schändliche Taten genutzt werden können. Das ist schon oft in kleinen und großen Unternehmen passiert, und sogar in Regierungseinrichtungen. Ein bekanntes Beispiel ist ein Auftragnehmer der britischen Regierung, der einen USB-Stick mit Informationen zu jedem einzelnen Häftling in England und Wales verloren hat.

Und das sind nur die Gefahren bei Verlust des USB-Sticks.

Ein weiteres Problem ist, dass ein USB-Stick Malware geladen haben kann und dann mit einem Netzwerkgerät verbunden wird. So kann sich die Malware schnell auf jedes einzelne Gerät im Netzwerk ausbreiten. Einer der größten Datenverstöße in der Geschichte des US Militärs ist auf einen infizierten USB-Stick zurückzuführen, der mit einem Computer verbunden wurde. Geheime Informationen wurden so von der Malware verbreitet – und so wurden möglicherweise Einsatzpläne, Personaldaten und Militärgeheimnisse in die Hände der Feinde gespielt.

Ein Gramm Prävention

Für kleine Unternehmen sollte folgende Philosophie gelten: Prävention ist einfacher als das Problem zu beheben. Es ist einfacher mit präventiven Schritten das Netzwerk zu schützen und Ihr Unternehmen somit vor möglicherweise desaströsen Konsequenzen zu schützen.

Wenn Mitarbeiter ihre eigenen Geräte mit in die Arbeit bringen, oder Arbeitslaptops mit nach Hause nehmen, stellen Sie klare Regeln zur Benutzung auf, so dass jeder Mitarbeiter seine Pflichten kennt.

Weiterführende Ressourcen:

Um mehr über die Herausforderungen der Cybersicherheitslandschaft zu erfahren, und wie Unternehmen sicher bleiben, lesen Sie hier mehr:

Digitale Zertifikate für starke Authentifizierung

https://www.globalsign.com/de-de/blog/was-ist-ransomware/

https://www.globalsign.com/de-de/blog/cybersicherheit-und-compliance/

Über den Autor:

Joe Robinson ist Experte für Cybersicherheit und Datenschutz bei Sabai Technology und ein VPNTeacher. Er will Ihnen helfen Ihre Daten sicher zu halten.

Artikel teilen