Bericht zur mobilen Sicherheit und mobilen Risiken - Dritte Ausgabe - MobileIron
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Bericht zur mobilen Sicherheit und mobilen Risiken Dritte Ausgabe 1
Zusammenfassung
für Entscheidungsträger
Willkommen bei der dritten Ausgabe des Mobile Security and Risk Review. Diese zweimal im Jahr
erscheinende Publikation bietet Führungskräften im Bereich IT-Sicherheit zeitnahe Informationen
über die Bedrohungen für Mobilgeräte und neue Risiken für ihre Abteilungen.
Diese Ausgabe enthält:
Regionaldaten Branchenspezifisch Statistik
aus Australien, Belgien, Daten für Finanzdienstleister, Akzeptanz des Geräteregistrie
Frankreich, Deutschland, Japan, Behörden und Gesundheitswesen rungsprogramms (DEP) von Apple
den Niederlanden, Spanien, und des Volumenkaufprogramms
Großbritannien und den USA (VPP) von Apple
Die beliebtesten Apps Die wichtigsten Apps aus
Unternehmens-Apps der Blacklist
mobile Apps
In verschiedenen Bereichen gab es in den
vergangenen sechs Monaten geringfügige
Veränderungen oder Verbesserungen:
Nur Weniger als
29 %
der Unternehmen hatten veraltete
55 %
Ständige Durchsetzung der
5%
Entwicklung von Anti-Malware
Richtlinien Sicherheitsrichtlinien für Mobilgeräte
Damit die IT-Abteilungen die Risikoeindämmung zum Bestandteil ihrer routinemäßigen Tätigkeit
zur Gewährleistung der Mobilgerätesicherheit machen, haben wir die Prioritätencheckliste für die
Sicherheitshygiene entwickelt.
2Mobile Bedrohungen
Neue Bedrohungen und Trends
Fast unmittelbar nach Veröffentlichung der zweiten Ausgabe dieses Reports tauchten neue
Sicherheitslücken und neue Malware-Familien auf. Die Malware Godless wurde Ende Juni 2016
identifiziert und konnte schätzungsweise 850.000 Geräte infizieren.1 Hummingbad tauchte erstmalig
im Februar 2016 auf und war bis Juli umfassend analysiert. Anscheinend wurde diese Malware
von Yingmob entwickelt, der Gruppe, die auch die YiSpectre iOS-Malware entwickelte, die im
vergangenen Jahr Schlagzeilen machte. Hummingbad konnte fast 85 Mio. Geräte infizieren.2 Das Ziel
dieser beiden Malware-Familien war offensichtlich, Geld durch irreführende Werbung zu erzielen.
Viel bemerkenswerter und schwerwiegender ist jedoch, dass die Malware Routinen enthielt, die
versuchten, Geräte als „Root“ „Over-The-Air“ ohne Wissen
des Benutzers zu übernehmen, sodass die Angreifer volle
Kontrolle über das infizierte Gerät erhielten.
Ende des Sommers wurde eine Serie von vier „Neue Malware
versucht Geräte
Sicherheitslücken unter der Bezeichnung „QuadRooter“
in der Firmware der Basisband-Chipsets von Qualcomm
identifiziert. Die Sicherheitslücke betraf schätzungsweise
900 Mio. Geräte, wurde jedoch durch die Verifizierung
von Apps in Google Play und Android weitgehend
eingedämmt.3
„Over the Air“
zu infizieren.“
Die gefährlichsten und ausgeklügelsten Malware-
Entwicklungen für iOS sind bisher Trident und Pegasus,
die drei Sicherheitslücken gemeinsam nutzen.4 Wie
bei Godless und Hummingbad verschafften sich mit
Trident Angreifer ebenfalls eine Möglichkeit, Geräte
„Over-The-Air“ nach einem „jailbreak“ zu übernehmen und die Pegasus Spyware zu installieren,
die faktisch die gesamte Kommunikation mit und von einem Gerät abfangen kann.
Im Herbst schließlich tauchte für eine seit langem existierende Sicherheitslücke im Linux Kernel
mit der Bezeichnung „Dirty COW“ (CVE-2016-5195) Malware auf und setzte damit den seit langem
anhaltenden Trend fort, über Sicherheitslücken in Open Source Software Mobilgeräte und
Apps anzugreifen.5
Schließlich gefährdete Adups Agent Geräte des Herstellers BLU durch Übertragung von
Gesprächsprotokollen, SMS-Nachrichten, Standortinformationen und weiteren Daten an Server in
China. Adups präsentiert sich als Android Firmware-Bereitstellungstool, die Android Compatibility
Test Suite (CTS) hat dieses Programm jedoch auf die Blacklist gesetzt.
1
Identifiziert durch Trend Micro, http://blog.trendmicro.com/trendlabs-security-intelligence/godless-mobile-malware-uses-multiple-exploits-root-devices/
2
Identifiziert durch Check Point Software Technologies, http://blog.checkpoint.com/2016/07/01/from-hummingbad-to-worse-new-in-depth-details-and-analysis-of-the-
hummingbad-andriod-malware-campaign/
3
Identifiziert durch Check Point Software Technologies, http://blog.checkpoint.com/2016/08/07/quadrooter/
4
Identifiziert durch Lookout and Citizen Lab, https://blog.lookout.com/blog/2016/08/25/trident-pegasus/
5
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5195
3Status der mobilen Unternehmenssicherheit
Richtliniendurchsetzung
IT-Abteilungen investieren Zeit und Ressourcen in die Konfiguration mobiler Empfehlung:
Sicherheitsrichtlinien, allerdings werden diese nicht immer konsistent durchgesetzt.
Ende 2016 setzte fast die Hälfte der Unternehmen Geräterichtlinien nicht durch, Die Einhaltung der Richtlinien ist genauso
diese Zahl war gegenüber dem 2. Quartal unverändert. In Deutschland erzwingen wichtig wie die Erstellung einer Richtlinie.
Unternehmen am häufigsten die Durchsetzung von Sicherheitsrichtlinien (66 %), in Unternehmen müssen sicherstellen, dass
Großbritannien am seltensten (42 %). Regulierte Branchen erzwingen die Einhaltung sie über Methoden verfügen, die nicht der
von Richtlinien deutlich häufiger (64 %-66 %) als dem weltweiten Durchschnitt von Compliance entsprechende Geräte wieder
55 % entspricht. Den größten Anstieg bei der Zahl der Unternehmen, die Richtlinien kompatibel machen oder verhindern, dass
durchsetzen, gab es in Spanien mit einem Anstieg von 40 auf 48 %. diese auf Ressourcen zugreifen. Wenn ein
Gerät beispielsweise eine Passcoderichtlinie
verletzt, kann die IT verhindern, dass der
Benutzer auf die Unternehmens-Apps und
Daten auf diesem Gerät zugreift, solange die
Passcodeanforderungen nicht erfüllt werden.
Anteil der Unternehmen, die Richtlinien durchsetzen
%
%
%
66
66
66
%
%
64
64
%
63
%
%
62
61
%
60
%
%
59
%
58
58
%
57
%
%
55
55
%
%
%
53
53
52
%
50
%
48
%
42
%
40
%
39
LIE Keine Daten aus Q2
er Keine Daten aus Q2
Keine Daten aus Q2
LEGENDE
JAP no data from q2
Q2, 2. Ausgabe
Q4, aktuelle Ausgabe
AL
V
n
DE
ve
N
IEN
H
AN
IEN
UK
A
D
GO
US
se
EIC
AN
OB
AN
LG
AN
we
RA
HL
KR
GL
FIS
RL
BE
SP
SC
ST
its
AN
DE
AU
UT
he
FR
NIE
DE
nd
su
Ge
4Veraltete Richtlinien
„Fast 30 % der Unternehmen haben
mindestens eine veraltete Richtlinie“
Fast 30 % der Unternehmen haben mindestens eine veraltete Richtlinie, dieser Trend hat sich
seit dem letzten Report nicht signifikant verändert. Veraltete Richtlinien entstehen, wenn
der Administrator für die mobile IT eine Richtlinie auf der Konsole geändert hat, diese Änderung
aber nicht auf allen verwalteten Geräten umgesetzt wurde. Dies hängt in der Regel mit dem
Benutzerverhalten zusammen. Beispielsweise können Benutzer ein Gerät besitzen, dass sie nur
selten nutzen, oder ein neues Gerät erhalten haben und deswegen das alte nicht mehr verwenden.
Dadurch kommt es zu Situationen, in denen ein Gerät entweder nur selten eine Verbindung aufbaut
oder „verschwindet“, d. h. Updates nicht mehr empfangen kann. In den meisten Regionen war ein
Anstieg der Zahl der Unternehmen mit veralteten Richtlinien zu verzeichnen, außer in Deutschland,
Japan und den Niederlanden, wo diese Zahl sank. Spanien und Japan haben die wenigsten
Unternehmen mit veralteten Richtlinien (beide 22 %), Unternehmen in Belgien die meisten mit 36 %.
In Belgien stieg diese Zahl von 23 % im 2. Quartal auf 36 % im 4. Quartal. In den drei Branchen
gibt es einen höheren Anteil veralteter Richtlinien als in den meisten einzelnen Regionen.
Empfehlung:
Da Geräte mit veralteten Richtlinien nicht dem aktuellen Konfigurationsstandard entsprechen,
sollte die IT die Managementplattform so konfigurieren, dass die Benutzer automatisch
benachrichtigt werden, mit welchen Schritten sie veraltete Richtlinien und Konfigurationen
schnell aktualisieren können. Je nach den Sicherheitsanforderungen kann die IT den Zugriff
auf Unternehmensressourcen für Geräte beschränken, bis das Problem erkannt und gelöst ist.
Anteil der Unternehmen mit mindestens
einer veralteten Richtlinie
LEGENDE
Q2, 2. Ausgabe
Q4, aktuelle Ausgabe
%
39
*keine Angaben im 2. Quartal
%
für Australien, Finanzwesen &
%
37
37
%
Gesundheitswesen.
36
%
%
34
34
%
33
%
29
%
28
%
27
%
%
%
26
26
26
%
%
%
25
25
25
%
24
%
23
%
%
%
22
22
22
%
21
%
20
LIE Keine Daten aus Q2
er Keine Daten aus Q2
Keine Daten aus Q2
AL
V
en
de
ve
N
IEN
H
AN
IEN
UK
A
D
GO
US
EIC
AN
OB
an
es
JAP
LG
AN
HL
RA
KR
GL
sw
FIS
rl
BE
SP
SC
ST
AN
de
it
UT
AU
he
FR
Nie
DE
nd
su
Ge
5Fehlende Geräte
Die Anzahl der Unternehmen mit mindestens einem fehlenden Gerät stieg weltweit Empfehlung:
von 40 auf 44 %. Dies kann zum Teil auf die internationale Expansion der Mobilität
in Unternehmen und die größere Zahl von Mobilgeräten zurückzuführen sein, die Unternehmen müssen immer mit verloren
vom Unternehmen verwaltet werden, die Konsequenzen sind jedoch gravierend. gegangenen oder gestohlenen Geräten
Wenn ein Unternehmensgerät verloren geht oder gestohlen wird, riskiert das rechnen, Datenverlust kann jedoch
Unternehmen viel mehr als nur die Kosten der Hardware. Wenn Unternehmensdaten verhindert werden. Die Unternehmen sollten
beispielsweise private Mitarbeiter- oder Kundendaten, Finanzdaten des Unternehmens über eine EMM-Lösung verfügen, mit der die
oder andere vertrauliche Informationen in falsche Hände kommen, können für das IT aus der Ferne Unternehmensdaten und
Unternehmen enorme juristische, finanzielle und Imagekosten entstehen. In jeder Apps von gestohlenen oder in falsche Hände
Region, mit Ausnahme von Frankreich und der Niederlande, wurde ein Anstieg des gekommenen Geräten löschen kann. Die
Anteils der Unternehmen festgestellt, bei denen mindestens ein Gerät vermisst wird. Möglichkeit, ein verloren gegangenes Gerät
Den größten Anstieg gab es in Spanien. Dort stieg der Anteil der Unternehmen, bei zu lokalisieren und den Zugriff für unbefugte
denen mindestens ein Mobilgerät verlorenging, von 24 auf 33 %. In mehr als der Hälfte Benutzer zu verweigern, ist auch deswegen
aller Branchen gab es mindestens ein Unternehmen mit einem fehlenden Gerät, am wichtig, weil damit Daten niemals in falsche
häufigsten im Bereich der Finanzdienstleistungen mit 58 %. Hände kommen – selbst wenn das Gerät in
falsche Hände kommt.
Anteil der Unternehmen mit mindestens einem fehlenden Gerät LEGENDE
Q2, 2. Ausgabe
40 % Q4, aktuelle Ausgabe
GL
OB
44 % *Keine Angaben aus dem 2. Quartal
AL
für Australien, Finanzwesen &
Gesundheitswesen.
AU
Keine Daten aus Q2
ST
RA
LIE
51 %
N
46 %
BE
LG
IEN
47 %
FR
38 %
AN
KR
EIC
38 %
H
DE
UT
50 %
SC
HL
AN
52 %
D
32 %
JAP
33 %
AN
NIE
D
41 %
ER
LA
ND
41 %
E
24 %
SP
AN
33 %
IEN
30 %
36 %
UK
46 %
US
47 %
A
48 %
GO
52 %
V
Keine Daten aus Q2
FIS
er
Ge
58 %
ve
su
nd
he
Keine Daten aus Q2
its
we
se
53 %
n
6Durchsetzung von Updates des Betriebssystems
Die Anbieter der Betriebssysteme wissen, dass Mobilgeräte und Apps im Fadenkreuz der Hacker
liegen. Diese Bedrohungen entwickeln sich weiter dynamisch; die Anbieter arbeiten intensiv daran,
mit Betriebssystemupdates Sicherheitspatches auszuliefern, um Benutzer und Daten vor aktuellen
Angriffen zu schützen. Um effektiv zu sein, müssen diese Updates natürlich installiert werden.
Glücklicherweise war 2016 ein Jahr mit einem positiven Trend in dieser Richtung, denn die Anzahl
der Unternehmen, die Betriebssystemupdates erzwangen, stieg von 7,5 % auf 9 %. Auch wenn die
Zahlen noch zu niedrig sind, zeichnete sich 2016 ein positiver Trend in dieser Richtung ab. In den
meisten Regionen und vertikalen Branchen stieg der Anteil der Unternehmen, die Betriebssystem-
Aktualisierungen durchsetzten. Sicherheitssensible Branchen wie Finanzdienstleister (12 %),
Behörden (11 %) und Gesundheitswesen (12 %) erzwingen Updates des Betriebssystems häufiger
als der internationale Durchschnitt von 9 %. Unternehmen in Belgien und den Niederlanden (jeweils
14 %) erzwingen am häufigsten Betriebssystem-Updates. Am seltensten zwingen japanische
Unternehmen ihre Benutzer, Betriebssystemupdates durchzuführen (3 %).
Empfehlung:
Die Durchsetzung von Betriebssystemupdates ist eine der einfachsten und kostengünstigsten
Möglichkeiten, um Angriffe durch Nutzung von Sicherheitslücken in älteren Betriebssystemen zu
verhindern. Sicherheitspatches berücksichtigen diese spezifischen Sicherheitslücken, daher ist
der beste Schutz gegen mobile Bedrohungen die Aktualisierung des Betriebssystems. Mit wenig
Aufwand und wenig Kosten werden mit Patches enorme Sicherheitsvorteile erreicht. Für iOS-Geräte
vereinfacht die DEP Supervision von Apple diesen Prozess. Wenn ein Gerät mit iOS 9 oder höher
läuft und mit dem DEP-Programm von Apple Over-The-Air überwacht wird, kann eine EMM-
Plattform Downloads und Updates des aktuellen iOS Release veranlassen. Es gibt schlicht und
einfach keinen Grund, auf die laufenden Aktualisierungen des Betriebssystems zu verzichten. Gemäß
der Pareto-Regel können Unternehmen 80 % Vorteile mit nur 20 % Aufwand erzielen.
Anteil der Unternehmen, die Betriebssystemupdates erzwingen
LEGENDE
Q2, 2. Ausgabe
Q4, aktuelle Ausgabe
*Keine Angaben im 2. Quartal
für Australien, Finanzwesen &
%
Gesundheitswesen.
15
%
%
14
14
%
%
%
12
12
12
%
11
%
%
9%
10
10
9%
9%
9%
8%
8%
7%
LIE Keine Daten aus Q2
er Keine Daten aus Q2
Keine Daten aus Q2
6%
6%
5%
5%
4%
3%
2%
AL
n
E
ve
N
IEN
H
AN
IEN
UK
A
V
D
ND
GO
US
se
EIC
AN
OB
JAP
LG
AN
we
LA
HL
RA
KR
GL
FIS
BE
SP
ER
SC
ST
its
AN
D
UT
AU
he
FR
NIE
DE
nd
su
Ge
7Gefährdetes Gerät
Benutzer suchen immer nach Apps und Content, den sie für ihre Arbeit brauchen, selbst wenn
das mitunter bedeutet, dass sie Sicherheitskontrollen umgehen müssen. Bei Android gab es
immer Tools, mit denen das Gerät als Root gestartet werden konnte, bei iOS ist eine sogenannte
„jailbreak“ Software erforderlich, um bestimmte Gerätekontrollen zu umgehen. Zwar lieferte
Pangu, der Entwickler einiger der beliebtesten Jailbreak-Tools, Updates fast unmittelbar nach der
Erstfreigabe von iOS 9, doch stellte Apple schnell einen Patch bereit, und weitere Updates von
Pangu waren erst verfügbar, als schon iOS 10 als Beta-Version angeboten wurde. Trotz dieses
„mangelnden Angebotes“ ist die Zahl der Jailbreak-Geräte weiter gestiegen. In allen Regionen und
Branchen stieg der Anteil gefährdeter Geräte von 9 auf 11 %. Die Anzahl der gefährdeten Geräte stieg
im Bereich der Finanzdienstleister (13 %) und im Gesundheitswesen (17 %) weltweit stärker als im
Bereich der Behörden (9 %). Mit nur 4 % gab es bei japanischen Unternehmen die wenigsten Fälle
gefährdeter Geräte.
Empfehlung:
Neben dem Patching ist die Gewährleistung der Geräte-Compliance die wichtigste vorbeugende
Sicherheitsmaßnahme für IT-Abteilungen. Mit der richtigen EMM-Lösung kann die IT verhindern,
dass gefährdete oder nicht kompatible Geräte auf Unternehmensressourcen zugreifen, bis
dieses Problem gelöst ist. Es muss unbedingt verhindert werden, dass Geräte gefährdet werden,
um Unternehmensdaten abzusichern, weil Geräte mit Jailbreak oder Root durch Angriffe stark
gefährdet sind.
Anzahl der Unternehmen mit mindestens einem gefährdeten Gerät
LEGENDE
Q2, 2. Ausgabe
Aktuelle Zahlen
%
17
%
*Keine Angaben aus dem 2. Quartal
16
%
für Australien, Finanzwesen &
15
Gesundheitswesen.
%
%
%
13
13
13
%
%
12
12
%
%
%
11
11
11
%
%
10
10
9%
9%
8%
8%
7%
Keine Daten aus Q2
LIE Keine Daten aus Q2
er Keine Daten aus Q2
6%
6%
4%
4%
4%
AL
n
DE
ve
N
IEN
H
AN
IEN
UK
A
V
D
GO
US
se
EIC
AN
OB
AN
JAP
LG
AN
we
HL
RA
KR
GL
FIS
RL
BE
SP
SC
ST
its
AN
DE
UT
AU
he
FR
NIE
DE
nd
su
Ge
8Sicherheitshygiene Mobile Malware beschränkt sich heute nicht mehr darauf, Daten herauszufiltern, sondern kann das komplette Gerät übernehmen. Zwar gibt es bei Mobilgeräten viele inhärente Sicherheitsfunktionen, beispielsweise Sandboxing, manche Angreifer können jedoch diese Funktionen umgehen. Malware dieser Art kann die effektive Kontrolle über das Gerät übernehmen und das Gerät vom Angreifer steuern lassen. Trotz des Anstiegs ausgeklügelter Angriffe mit mobiler Malware ist die Akzeptanz von Maßnahmen zur Bekämpfung von Malware weltweit mit weniger als 5 % unverändert niedrig. Obgleich manche Angriffe mit mobiler Malware (bisher) im großen Maßstab nur schwer durchzuführen sind, muss die IT-Abteilung eine solide Sicherheitshygiene aufrechterhalten, um Unternehmens-Apps und Unternehmens-Daten vor der nächsten Welle mobiler Malwareangriffe zu schützen. Einige der effektivsten Maßnahmen zur Sicherheitshygiene sind einfach und sehr kostengünstig durchzuführen. Sie sollten daher im Werkzeugkasten keiner IT-Abteilung fehlen. 9
Prioritätscheckliste für
die Sicherheitshygiene
1. Kontrolle riskanten Benutzerverhaltens
Mitarbeiter verhalten sich zunehmend risikofreudiger. Weltweit gab es bei 11 % der Unternehmen
mindestens ein gefährdetes Gerät, das im 4. Quartal auf Unternehmensdaten zugreifen konnte.
Im 2. Quartal waren es nur 9 %. Außerdem meldeten 44 % der Unternehmen fehlende Geräte statt
40 % im 2. Quartal. Als Schutz gegen unbefugten Zugriff auf Unternehmensressourcen müssen
die IT-Organisationen die Richtliniendurchsetzung und Geräte-Compliance verbessern. Wenn
die IT versucht, die Sicherheitsrichtlinien zu erzwingen, kann sie zusätzliche Schritte vorsehen,
die die Benutzer veranlassen, nicht genehmigte Aktionen wie „rooting“ oder „jailbreaking“ auf ihren
Geräten zu probieren. Eine arbeitsintensive Geräteverwaltung ist nicht das beste Konzept für mobile
Sicherheit, aber um ein gewisses Maß an Schutz für die Unternehmensdienste zu gewährleisten,
muss der Sicherheitsstatus des Gerätes und der Apps häufig überprüft werden.
2. Laufende Aktualisierung des Betriebssystems
Obgleich die Sicherheitshygiene in Unternehmen vom 2. bis zum 4. Quartal 2016 allgemein
unverändert niedrig blieb, haben die IT-Unternehmen ihre Bemühungen zur Durchsetzung von
Betriebssystemupdates intensiviert, um kritische Sicherheitspatches auf mobilen Unternehmens
geräten bereitzustellen. Betriebssystemupdates erfordern einen geringen Aufwand, bringen aber
einen hohen Nutzen und sorgen dafür, dass die Geräte gegen aktuelle Sicherheitsbedrohungen
geschützt sind. Patching ist eine der einfachsten und wichtigsten Maßnahmen zur praktischen
Sicherheitshygiene. Weltweit jedoch erzwangen nur 9% der Unternehmen im 4. Quartal Patches.
Der Grund für diesen extrem niedrigen Anteil könnte darin liegen, dass viele Unternehmen diese
Standardsicherheitspraxis für ihre mobilen Geräte noch nicht bereitgestellt haben. Die Unternehmen
sollten dafür sorgen, dass die Betriebssysteme der Geräte nicht älter sind als die zweite Vorversion
der aktuellen Version, dies gilt auch für kleinere Versionsnummern und Patches. Wenn die aktuelle
Version des Apple iOS beispielsweise 10.2 ist, sollte der Zugriff auf Unternehmensressourcen
bestenfalls Geräten mit der Version iOS 10.1.1 eingeräumt werden. Die umfassende Einführung und
Planung von Updates für Android unterscheidet sich etwas, ebenso das Konzept zur Überwachung
der Android-Versionen. Als Faustregel gilt, dass die vorhandenen Android-Versionen mindestens
drei Jahre nach Datum der Erstfreigabe weiter Sicherheitsupdates für erhalten, während neue
wichtige Freigaben jedes Jahr erfolgen. Zum Zeitpunkt der Veröffentlichung dieses Artikels waren
die Betriebssysteme Android Version 4.4.x, Android 5.x und Android 6.0 allgemein verbreitet, aber
auch Android Version 7.0 war allgemein verfügbar.6 Android gibt fast jeden Monat Sicherheitspatches
heraus. Trotz der größeren Variationen in der Betriebssystemversion und den Patches gilt die
gleiche grundlegende N-1-Logik: für jede Android-Version in einer Umgebung sollte auf den Geräten
mindestens die aktuelle Haupt- oder Unterversionsnummer verfügbar und die Sicherheitspatches
mindestens des Vormonats installiert sein. Beispielsweise sollten die Geräte mit den Versionen v4.4.4,
v5.1.1, v6.0.1, oder v7.1.1 betrieben werden und die Sicherheitspatches sollten nicht älter sein als vom
01.12.2016 bzw. 05.12.2016. Es sei darauf hingewiesen, dass Google derzeit keine Sicherheitsupdates für
ältere Versionen als v4.4.4. anbietet, sodass zusätzliche Maßnahmen erforderlich sein können, um
die Integrität des Gerätes und den hinreichenden Schutz der Daten auf dem Gerät zu gewährleisten.
6
Quelle: https://developer.android.com/about/dashboards/index.html
103. Kein Zugriff für gefährdete Geräte Gefährdete Betriebssysteme sind seit langem das Hauptziel von Angreifern auf Mobilgeräten, da sie wichtige Sicherheitsfunktionen umgehen und damit leichtere Beute sind. Wir verzeichnen derzeit einen zunehmenden Trend bei mobiler Malware, die Sicherheitslücken des Betriebssystems ausnutzt, ohne dass dem Benutzer die Gefährdung auffällt. Wenn sich dieser Trend fortsetzt, sind durch solche Sicherheitslücken nicht nur einzelne Geräte bei falscher Benutzeraktion gefährdet, sondern es werden größere Angriffe durch Hacker-Organisationen möglich. Im aktuellen Zeitraum stieg der Anteil der gefährdeten Geräte, die versuchten, auf Unternehmensdaten zuzugreifen, weltweit von 9 auf 11 %. Unternehmen müssen sicherstellen, dass sie gefährdete Geräte überwachen und den Zugriff auf alle Unternehmensressourcen für diese Geräte sperren. 4. Keine Konfiguration und keine App-Modifikationen durch Unbefugte Viele mobile Sicherheitsbedrohungen haben ihre Ursache in Social Engineering und Verfahren, mit denen Benutzer bewegt werden sollen, Schadsoftware, schädliche Konfigurationen oder beides zu installieren. Die Ursachen für solche Bedrohungen sind oft nicht autorisierte Quellen, beispielsweise Websites oder App Stores von Drittanbietern. Unternehmen sollten per Sideloading installierte Konfigurationen und Apps kontrollieren sowie „nicht verwaltete“ Konfigurations- und Bereitstellungsprofile in iOS überwachen; bei Android sollte die Option deaktiviert werden, „nicht vertrauenswürdige Quellen zuzulassen“ sowie App-Berechtigungen überwacht werden (beispielsweise Apps aus der Blacklist, die Rechte als Geräte-Administrator anfordern). Damit reduziert sich das Risiko von Änderungen an Konfigurationen und Apps durch Unbefugte. Die aktuelle Recherche zeigt jedoch, dass die meisten Unternehmen sich zwar die Zeit nehmen, Richtlinien zu erstellen, fast die Hälfte der befragten Unternehmen jedoch keine Gegenmaßnahmen ergreift, beispielsweise den Netzwerkzugriff nicht sperrt. Ein Grund dafür könnte in vielen Umgebungen mit geringem Risiko darin liegen, dass der Mitarbeiter bzw. IT-Administrator angewiesen wird, Gegenmaßnahmen manuell auszuführen. Manuelle Gegenmaßnahmen wirken jedoch nicht sofort und erfordern außerdem, dass der Mitarbeiter richtig handelt. Wir empfehlen daher, die Durchsetzung der Richtlinie zu automatisieren. Unternehmen benötigen eine konsistente Aktualisierung der Richtlinien, um sich gegen zukünftige mobile Angriffe zu schützen. 11
VPP- und DEP-Akzeptanz
In diesem Report wird erstmals die globale Akzeptanz des Geräteregistrierungsprogramms
(Device Enrollment Program - DEP) und des Volumenkaufprogramms (Volume Purchase Program -
VPP) von Apple gemessen.
Das Volumenkaufprogramm wurde 2011 eingeführt und ist seit der Einführung des DEP-
Unternehmensprogramms sehr beliebt, weil Unternehmen mit beiden Programmen die Tools
erhalten, iOS-Geräte und die Apps auf diesen Geräten zu verwalten.
Fast jedes fünfte Unternehmen (18 %) nutzt derzeit VPP, um die Bereitstellung von Unternehmens-
Apps für die Benutzer zu rationalisieren. Im Gesundheitswesen ist dieser Anteil mit 29 % und bei
Behörden mit 25 % deutlich höher. In Deutschland nutzen 32 % der Unternehmen VPP. Nur 7 %
der japanischen Unternehmen nutzen VPP. Dies ist der niedrigste Anteil überhaupt.
Unternehmen akzeptieren auch zunehmend DEP, weil sie damit ihre mobilen Geräte besser
kontrollieren können. Mit dem DEP-Programm können Unternehmen strengere Einschränkungen
für unternehmenseigene überwachte Geräte durchsetzen. Beispielsweise lassen sich Tablets im
Kiosk-Modus betreiben, sodass nur eine einzige App gestartet werden kann und die Nutzer keine
nichtautorisierten Apps herunterladen können. Derzeit nutzen fast 13 % der Unternehmen in aller
Welt DEP. Unternehmen in den Niederlanden verzeichneten den höchsten Nutzungsanteil bei DEP
mit 22 %, der Anteil bei Unternehmen in Frankreich liegt dagegen nur bei 5 %. Fast ein Viertel
(22 %) der Unternehmen des Gesundheitswesens nutzen heute DEP.
Anteil der Unternehmen, die VPP und DEP nutzen.
LEGENDE
VPP
DEP
%
32
%
29
%
26
%
25
%
23
%
%
22
22
%
19
%
%
18
18
%
%
17
17
%
%
16
16
%
15
%
%
%
14
14
14
%
%
13
13
%
12
%
%
10
10
7%
7%
5%
AL
HC
DE
FIS
N
IEN
H
AN
IEN
UK
A
V
D
GO
US
LIE
EIC
AN
OB
AN
JAP
LG
AN
HL
RA
KR
GL
RL
BE
SP
SC
ST
AN
DE
UT
AU
FR
NIE
DE
12Status der Unternehmens-Apps
Vier von fünf Unternehmen verfügen über
mindestens 10 Apps.
Fast 80 % der Unternehmen haben mehr als 10 Unternehmens-Apps installiert. Bei
Unternehmen in den Niederlanden sind mit 90%iger Wahrscheinlichkeit mehr als 10 Apps
installiert, bei Unternehmen in Japan nur mit einer Wahrscheinlichkeit von 71 %. Der
Anteil ist auch bei vertikalen Branchen hoch. Unter den Finanzdienstleistern liegt die
Wahrscheinlichkeit, dass mehr als 10 Apps installiert sind, bei 88 %, bei Behörden bei 83 %
und im Gesundheitswesen bei 82 %.
Anteil der Unternehmen mit mehr als 10 installierten Apps
GL
79 %
OB
AL
AU
ST
RA
83 %
LIE
N
BE
LG
85 %
IEN
FR
AN
K RE
82 %
ICH
DE
UT
SC
HL
88 %
AN
D
JAP
71 %
AN
Nie
de
rl
an
90 %
de
SP
AN
78 %
IEN
77 %
UK
74 %
US
A
83 %
GO
V
FIS
Ge
er
88 %
su
ve
nd
he
its
we
82 %
se
n
LEGENDE
Q4, aktuelle Ausgabe
13Die wichtigsten installierten Apps
Global AUSTRALIEN FRANKREICH DEUTSCHLAND JAPAN BELGIEN NIEDERLANDE
1 WebEx Anyconnect File Manager Keynote Google Maps Touchdown Chrome
2 Anyconnect LinkedIn WIT Mobile Numbers WebEx Pulse Secure Whatsapp
3 Concur Edge Canet Pages Chrome Webex Word
4 Adobe Acrobat VIP Access MA Banque Adobe Acrobat Salesforce Pages Adobe Acrobat
QuickSupport for
5 Pulse Secure Unterhaltung Annuaire Excel Smart Catalog Evernote Samsung
6 Keynote Telstra 24x7 Ma Carte DB Navigator Webverzeichnis Word YouTube
7 Numbers Chrome Google Maps Word Box Excel Excel
8 Seiten Google Maps Les Infos Companion Jabber Salesforce LinkedIn
9 Google Maps Citrix Receiver Adobe Acrobat WebEx Word File Manager Google Maps
10 Word Concur Smart TPE PowerPoint PowerPoint MyProximus Evernote
SPANIEN UK USA GOV FiServe Gesundheitswesen
1 Numbers Chrome WebEx Adobe Acrobat WebEx WebEx
2 Keynote Google Maps Concur Pages Ma Banque Concur
3 iMovie Adobe Acrobat AnyConnect AnyConnect Canet Pulse Secure
RSA SecureID
4 Alertas Word Adobe Acrobat Numbers Software Token
AnyConnect
5 Whatsapp Excel Pulse Secure Keynote Adobe Acrobat Keynote
6 Pulse Secure Keynote Jabber Pulse Secure Pulse Secure Excel
7 Citrix Receiver Gmail Box Google Maps Google Maps Word
Kaspersky
8
Endpunkt-Sicherheit
YouTube Keynote YouTube Citrix Receiver PowerPoint
RSA SecureID
9 Microstrategy Nervecentre Numbers Software Token
Any Connect Box
10 YouTube Pages Pages Evernote Word Numbers
14Die wichtigsten Apps aus der Blacklist
Die Liste der wichtigsten Apps in der Blacklist kann als Auszeichnung für sehr beliebte Verbraucher-
Apps betrachtet werden, die in den Fokus der IT-Sicherheitsteams geraten sind. Aufgrund ihrer
weiten Verbreitung und des damit verbundenen Risikos blockieren Unternehmen in aller Welt in
zunehmendem Maße Apps wie WhatsApp, Netflix und Outlook, nicht nur alte Bekannte wie Angry
Birds und Twitter. Andere Apps wie Evernote, Box und Line sind in der Liste nicht mehr enthalten,
zum Teil deswegen, weil sie in zunehmendem Maße in Unternehmen genutzt werden.
Die wichtigsten Apps aus der Blacklist
Global AUSTRALIEN BELGIEN FRANKREICH DEUTSCHLAND JAPAN NIEDERLANDE
1 Angry Birds Angry Birds Facebook Facebook Dropbox Linie Dropbox
2 Dropbox Facebook Dropbox Angry Birds Facebook Dropbox CamScanner
3 Facebook Hipster Pawslez WeChat Dropbox Whatsapp Evernote Cydia
4 Whatsapp Pfad Angry Birds Twitter Angry Birds Skype Winzip
5 Twitter Dropbox PDF Lesegerät Outlook OneDrive Team Viewer CamCard
6 Skype Twitter Winzip Cydia Outlook Twitter OPlayer
7 OneDrive 2Day FM Google Drive Candy Crush Google Drive One Drive WeChat
8 Outlook Pandora CamCard YouTube Twitter Facebook Outlook
9 Netflix xCon Mercury Clash of Clans Sugarsync Viber PDF Reader
10 Google Drive Google Drive Twitter Skype Skype Tunnelbear Mobile Ticket
SPANIEN UK USA GOV Gesundheitswesen FiServe
1 Angry Birds Dropbox Angry Birds Angry Birds Angry Birds Dropbox
2 Facebook Angry Birds Dropbox Dropbox Dropbox Angry Birds
3 Twitter Facebook Facebook Facebook Facebook Facebook
4 YouTube Twitter Netflix Outlook Netflix Outlook
5 Pokemon GO Whatsapp Pandora Whatsapp Twitter Box
6 Cydia Box Outlook Box Outlook Twitter
7 Viber Outlook Box Cydia Skype Instagram
8 Soduku OneDrive Twitter Snapchat Google Drive Sugarsync
9 PowerPoint Skype YouTube vShare App Markt OneDrive Box
10 LINE SugarSync OneDrive Google Drive Whatsapp YouTube
15Branchen-Spotlight: Behörden
Behörden in aller Welt werden oft durch Bürokratie und mangelnde Mittel behindert. Ihnen fällt es oft
schwer, Mitarbeiter einzustellen und zu halten, neue Technologien einzuführen und diese zeitnah zu
aktualisieren. Trotz all dieser Hindernisse ist die Sicherheitshygienepraxis bei den IT-Abteilungen von
Behörden insgesamt gut. Die Nutzer in den Behörden sind jedoch oft selbstzufrieden, ihre mangelnde
Wachsamkeit kann die Behördendaten auf Mobilgeräten gefährden.
Sicherheitshygiene in der Praxis:
Die Durchsetzung von Updates des
Betriebssystems stieg von 9 %
im 2. Quartal auf
11 %
Im 4. Quartal
25 %
verwenden VPP
16 %
verwenden DEP
63 %
erzwungene Richtlinien in 4. Quartal
37 %
besaßen im 4. Quartal veraltete
75 %
hatten im 4. Quartal mehr als eine
statt 61 % im 2. Quartal Richtlinien statt 34 % im 2. Quartal Sicherheitsrichtlinie installiert,
genauso viel wie im 2. Quartal.
43 %
besaßen im 4. Quartal eine
AppConnect-Richtlinie statt 45 %
im 2. Quartal
Riskantes Benutzerverhalten:
9%
besaßen ein gefährdetes Gerät, das
52 %
Fehlten im 4. Quartal Geräte,
auf Unternehmensdaten im 4. Quartal bis zu 48 % im 2. Quartal
zugriff, statt 8 % im 2. Quartal
16 16Branchen-Spotlight:
Gesundheitswesen
DEP erzwingt eine Geräteverwaltung und eignet sich daher ideal zur Durchsetzung von
Sicherheitsrichtlinien auf unternehmenseigenen Geräten. Unternehmen des Gesundheitswesens
setzen DEP und VPP ein, um streng vertrauliche Patientendaten zu schützen und die gesetzlichen
Vorschriften durch automatische Bereitstellung proaktiver Sicherheitskontrollen einzuhalten.
Zwar ist der Einsatz von DEP und VPP eine positive Sicherheitsmaßnahme, Unternehmen des
Gesundheitswesens können sich jedoch in anderen Sicherheitsbereichen und bei der Vermeidung
eines riskanten Benutzerverhaltens noch verbessern.
Sicherheitshygiene in der Praxis:
Unternehmen des Gesundheitswesen gehören zu den Branchen, die mit größter Wahrscheinlichkeit
DEP (22 %) und VPP (29 %) einsetzen.
29 %
VPP
22 %
DEP
aber nur
64 %
erzwangen Richtlinien
12 %
erzwingen Betriebssystem-Updates
37 %
besaßen veraltete Richtlinien
77 %
besaßen mehr als eine
41 %
besaßen mehr als eine
Sicherheitsrichtlinie AppConnect-Richtlinie
Riskantes Benutzerverhalten:
17 %
der Unternehmen im Gesundheitswesen
53 %
gemeldete fehlende Geräte
besaßen mindestens ein gefährdetes
Gerät, das auf Unternehmensdaten
zugriff – der höchste gemessene Anteil
in allen vertikalen Branchen.
17 17Branchen-Spotlight: Finanzdienstleister
Finanzdienstleister haben die niedrigsten DEP- und VPP-Akzeptanzraten. Angesichts
der gesetzlichen Vorschriften in dieser Branche haben DEP und VPP viele Vorteile und
erleichtern die Einhaltung der Compliance. Diese Unternehmen können auch andere
Bereiche der Sicherheitshygiene und des riskanten Benutzerverhaltens verbessern.
Sicherheitshygiene in der Praxis:
Nur und
14 % 13 %
Diese Akzeptanzrate ist geringer
als im Gesundheitswesen und
bei Behörden
verwenden VPP verwenden DEP
Aber nur
66 %
erzwangen Richtlinien
12 %
erzwingen Betriebssystem-Updates
39 %
besaßen veraltete Richtlinien
78 %
besaßen mehr als eine
49 %
besaßen mehr als eine
Sicherheitsrichtlinie AppConnect-Richtlinie
Riskantes Benutzerverhalten:
13 %
besaßen mindestens ein
58 %
besaßen fehlende Geräte
gefährdetes Gerät, das auf
Unternehmensdaten zugriff
18 18Zusammenfassung und Empfehlungen Angesichts dieser Erkenntnisse sollten Unternehmen die folgenden Schritte ergreifen, um ihre mobile Sicherheit insgesamt zu verbessern: 1. Kontrolle riskanten Benutzerverhaltens Die Einhaltung der Geräte-Compliance ist Voraussetzung dafür, dass keine nichtautorisierten Geräte auf kritische Unternehmensdaten zugreifen können. Dienste wie Web Apps, Unternehmens-WLAN und VPN erfordern darüber hinaus eine zusätzliche Konfiguration und Durchsetzung von Richtlinien, um den Zugriff von nicht autorisierten Geräten zu verhindern. 2. Durchsetzung von Betriebs systemaktualisierungen Unternehmen sollten darauf achten, dass ihre Betriebssysteme nicht älter sind als die zweite Vorversion einschließlich kleinerer Versionsupdates und Patches. Wenn die aktuelle Version des Apple iOS beispielsweise 10.2 ist, sollte der Zugriff auf Unternehmensressourcen bestenfalls Geräten mit der Version iOS 10.1.1 eingeräumt werden. Die umfassende Einführung und Planung von Updates für Android unterscheidet sich etwas, ebenso das Konzept zur Überwachung der Android-Versionen. 3. Kein Zugriff von gefährdeten Betriebssystemen Unternehmen müssen mehr tun als nur Richtlinien erstellen. Sie müssen Sicherheitsrichtlinien konsistent durchsetzen und auf jedem Gerät aktualisieren, das auf die Unternehmensressourcen zugreift. Geräten, die nicht der aktuellen Richtlinie entsprechen, sollte der Zugriff verweigert werden oder sie sollten aufgefordert werden, schnell wieder die Compliance zu erreichen. 4. Verhinderung oder Überwachung von Sideloading einer Konfiguration oder App. Unternehmen müssen über Verwaltungstools verfügen, die verhindern, dass Benutzer manuell Konfigurationen oder Bereitstellungsprofile installieren, weil auf diese Weise gefährliche Angewohnheiten unterdrückt werden, beispielsweise Klicks auf Links zur Installation von Zertifikaten oder hauseigenen Apps, die dann von Angreifern genutzt werden können. Unternehmen sollten außerdem mit ihren Verwaltungstools verhindern, dass die Benutzer die Schutzmaßnahmen des Betriebssystems gegen Sideloading umgehen, indem sie beispielsweise „nicht vertrauenswürdige“ Quellen in Android aktivieren oder in iOS unbekannte Bereitstellungsprofile als „vertrauenswürdig“ einstufen. 19
5. Nutzung der Sicherheits- und Verwaltungsfunktionen der Unternehmensprogramme. Da die Anwendung im Unternehmen immer häufiger wird, haben die Anbieter mobiler Betriebssysteme begonnen, mehr Tools zur Verbesserung des Benutzererlebnisses für Unternehmen anzubieten. Das Apple Geräteregistrierungsprogramm (DEP) und der Geräteeigentümermodus von Google Android geben Unternehmen zusätzliche Möglichkeiten zur Absicherung aller Mobilgeräte, beispielsweise eine obligatorische EMM-Registrierung sowie zusätzliche Einschränkungen und Konfigurationsoptionen. Methodik Die Daten in diesem Report sind normalisierte anonyme Daten, die zwischen dem 1. Oktober und dem 31. Dezember 2016 von 7800 MobileIron-Kunden erfasst wurden. Unserer Meinung nach ist dies der umfangreichste unternehmensspezifische Sicherheitsbericht zu Mobilgeräten für die drei beliebtesten mobilen Betriebssysteme: Android, iOS und Windows. 20
Sie können auch lesen
