Suchen

Tipps zum Umgang mit BYOD, Teil 2 Authentifizierung beim Remote-Zugriff per Smartphone

| Autor / Redakteur: Ross McKerchar, Sophos / Stephan Augsten

Erlaubt ein Unternehmen private Mobilgeräte im Netzwerk, dann ist die Begeisterung der Mitarbeiter in der Regel groß. Doch selbst technisch einfach umsetzbare Dinge wie der E-Mail-Empfang auf dem Smartphone sind aus Compliance-Sicht risikobehaftet und komplex.

Firma zum Thema

Remote-Zugriffe per Smartphone lassen sich mit verschiedenen Techniken absichern.
Remote-Zugriffe per Smartphone lassen sich mit verschiedenen Techniken absichern.
(Bild: Archiv)

Der Empfang geschäftlicher E-Mails auf Privatgeräten kann sich zu einer ernsthaften Bedrohung für die Datensicherheit auswachsen; und natürlich stehen letztlich auch immer private Daten auf dem Spiel. Was könnte ein Angreifer damit anstellen? Die Wahrscheinlichkeit ist groß, dass er Adresse, Geburtsdatum und Informationen ausspionieren kann, mit denen er Sicherheitsfragen beantworten könnten.

Vielleicht stößt er sogar auf Passwörter, die im Klartext von Kollegen oder schlecht abgesicherte Webseiten per E-Mail versendet wurden (nebenbei bemerkt: Ihren eigenen Posteingang nach solchen Daten zu durchsuchen, kann eine interessante Übung sein). Mit all diesen Daten bewaffnet, kann ein gewiefter Eindringling eine ziemlich überzeugende Social Engineering-Attacke starten.

Es ist ein kleines Trostpflaster, dass sich der Angreifer auch bei einem größeren Problem mit dem E-Mail-Server zunächst einen Zugriff auf einem Posteingang verschaffen muss, um Schlimmeres anzurichten. Anschließende Angriffe hängen nicht selten vom persönlichen Glück ab, weil der Angreifer immer Gefahr läuft, in die Falle zu tappen.

Mobiles Arbeiten mag für IT-Angestellte wichtig sein – es ist aber weitaus geschäftskritischer, Kundendaten vor der Weltöffentlichkeit zu bewahren. Ein durchgesickertes oder gehacktes Passwort könnte genügen, damit sich ein Angreifer einloggen, den Export-Knopf drücken und sich mit einem Großteil der vertraulichen Daten aus dem Staub machen kann.

Die meisten der heute verfügbaren Sicherheitslösungen konzentrieren sich darauf, Geräte zu schützen. Aber Maßnahmen, die zu jeder Zeit und an jedem Ort einen Zugriff auf Geschäftsanwendungen einräumen, können zusätzliche Probleme auf den Plan rufen.

Ein gutes Beispiel hierfür sind Standard-Apps in der Cloud. Für mobile Benutzer ist es einfach, sich damit zu verbinden: Einfach die App downloaden und einloggen. Das Unternehmen muss keine eigenen, remote erreichbaren Systeme mit komplizierten statischen IPs, Domains, SSL-Zertifikaten, virtuellen Netzwerken usw. hosten.

(ID:42237442)