Cybersicherheit und -bedrohungen für Mobilgeräte: Ein Interview


Cybernews.com lud Benjamin Schüler, CTO von Cortado, ein, seine Ansichten über Cyber-Sicherheit, -Bedrohungen und Präventionsmethoden zu teilen.

Cybernews Interview mit Benjamin Schüler
Im Interview spricht Benjamin Schüler, CEO von Cortado, mit dem Cybernews-Team über die ständig wachsenden Sicherheitsherausforderungen bei der Nutzung mobiler Geräte für die Arbeit.

Als die Covid-19-Pandemie die Welt traf, hatten Cyberkriminelle mehr Zeit und Möglichkeiten, Unternehmen anzugreifen. Und als sich alle anpassen und auf Fernarbeit umstellen mussten, wurden ungesicherte Geräte der Mitarbeiter.innen eine der größten Schwachstellen.

„Wer seine mobilen Geräte nicht auf dem neuesten Stand hält, wird früher oder später zum Ziel von Angreifern.“

Benjamin Schüler, CTO Cortado Mobile Solutions, im Interview mit Cybernews

Während sich Unternehmen oft auf die Sicherheit der Desktop-Computer ihrer Mitarbeiter.innen konzentrieren, um Cyberangriffe zu verhindern, wird der Schutz mobiler Geräte oft vergessen. Doch in Wirklichkeit können auch und gerade ungesicherte Mobilgeräte zu einem Datenverlust führen, insbesondere wenn ein Unternehmen nicht verfolgt, welche Geräte auf die Daten zugreifen.

Benjamin Schüler merkt an, dass es wichtig sei, dass mobile Geräte immer aktualisiert werden. Zu den Updates gehören meist auch Sicherheits-Patches, die einige der Schwachstellen beheben, die zuvor ausgenutzt werden konnten. Um Mitarbeiter.innen die Arbeit zu erleichtern und insbesondere Geräte wie Smartphones und Tablets sicherer zu machen, gibt es Mobile-Device-Management-Lösungen.

Aus diesem Grund haben wir Benjamin Schüler,  CEO und CTO von Cortado, eingeladen. Sein Unternehmen bietet Lösungen für die sichere Verwaltung von iOS- und Android-Geräten an. Schüler teilt im Folgenden seine Ansichten über Cybersicherheit, Gefahren und mögliche Abwehrmethoden.

Möchten Sie ein wenig über Ihre Firmengeschichte erzählen? Wie kam es zur Gründung von Cortado?

Cortado Mobile Solutions wurde 2015 in Berlin, Deutschland, gegründet und ist Teil der Cortado Holding AG . Schon vor der Ausgründung  haben wir uns als Lösungsanbieter für mobiles Arbeiten verstanden. Die ersten Softwarelösungen wurden vor mehr als zehn Jahren entwickelt, damals noch für Blackberry- und Symbian-Systeme. Damals waren Cloud-Lösungen noch nicht so verbreitet, wie sie es heute sind. Themen wie der Dateizugriff auf Unternehmensdaten von mobilen Geräten aus standen eher im Vordergrund. In den letzten Jahren sind viele mobile Systemplattformen wieder vom Markt verschwunden, und die Betriebssysteme von Apple und Google haben sich auf dem Weltmarkt etabliert, eindeutig auch im Unternehmensbereich.

Und genau das ist es, worum es bei Cortado geht. Wir liefern ein in Deutschland bereitgestelltes System zur Verwaltung mobiler Geräte für mobile Mitarbeiter.innen, das sich auf diese beiden wichtigen Akteure auf dem Markt für mobile Geräte konzentriert.

Können Sie uns Ihre Management-Lösung für mobile Geräte kurz vorstellen? Was sind die wichtigsten Funktionen?

Das Mobile-Device-Management-System von Cortado ist eine einfach einzurichtende Verwaltungslösung für iOS-, iPadOS- und Android-Geräte. Unsere Lösung wird in Deutschland entwickelt und gehostet. Sie bietet Kernfunktionen wie Benutzer-, Geräte-, App-, Richtlinien- und Profilverwaltung. Dies sind die wichtigsten Bausteine, um mobile Geräte effektiv und sicher zu verwalten. Darüber hinaus bietet sie auch fortschrittliche Funktionen für Sicherheit, Richtlinieneinhaltung und Berichterstellung.

Der Vorteil unserer Software liegt darin, dass sie leicht einzurichten und in Betrieb zu nehmen ist und dass sie mit einer wachsenden Anzahl von verwalteten Geräten und Benutzern skalierbar ist.

Welche Probleme können auftreten, wenn keine geeigneten Lösungen zur Verwaltung mobiler Geräte bei Unternehmen vorhanden sind?

Die größte Herausforderung für Firmen, die mit mobilen Geräten in ihrem Unternehmen umgehen müssen, ist die Herstellung von Transparenz und Verwaltbarkeit. Unternehmen verlieren leicht die Kontrolle über alle Systeme, einschließlich mobiler Geräte, die auf ihre sensiblen und geschäftskritischen Daten zugreifen.

Zum Beispiel verwenden Mitarbeiter.innen ihre privaten Geräte, um ihre Arbeit zu erledigen. Dabei handelt es sich um Geräte mit potenziell niedrigen Sicherheitseinstellungen oder gar keinen Vorschriften. Kein Unternehmen möchte, dass diese nicht verwalteten Geräte von seinen Mitarbeitern verwendet werden, ohne dass sie die Möglichkeit  haben, den Zugriff auf ihre Geschäftsdaten zu kontrollieren.

Und bei einer Flotte unternehmenseigener Geräte kann das IT-Team leicht mit verschiedenen Supportanfragen von Mitarbeiter.innen mit ihren individuellen Bedürfnissen bei der Nutzung der Geräte überlastet werden. Dies betrifft nicht nur eine Reihe von erforderlichen Apps auf den Geräten, sondern kann auch Einschränkungen betreffen, wie z.B. die Erlaubnis zur Kameranutzung, GPS, USB-Zugriff und mehr.

Wie hat sich die Pandemie auf Ihr Geschäftsfeld ausgewirkt? Haben Sie neue Angebote hinzugefügt?

Die Pandemie hat dazu geführt, dass immer mehr Menschen remote arbeiten. Die Menschen haben sich daran gewöhnt, flexibler und mobiler zu arbeiten. Aber sie nutzen nicht nur ihre Laptops, VPNs oder Remote-Desktop-Verbindungen, sondern beziehen auch mobile Geräte viel stärker in ihre tägliche Arbeit ein. Daher ist die Nachfrage nach MDM-Systemen seit dem Beginn der Pandemie gestiegen. Um Unternehmen bei der Bewältigung der zunehmenden Nachfrage ihrer Mitarbeiter.innen nach der Nutzung ihrer privaten Geräte für geschäftliche Zwecke zu unterstützen, haben wir 2021 ein vollständig überarbeitetes Registrierungs- und Benutzerportal eingeführt. Dabei haben wir uns darauf konzentriert, Firmen dabei zu unterstützen, eine große Anzahl von Mitarbeitergeräten einfach, sicher und effektiv einzubinden.

Was sind die größten Bedrohungen, die derzeit für mobile Geräte bestehen?

Zero-Day-Schwachstellen in mobilen Betriebssystemen sind derzeit vielleicht die größte Bedrohung für nicht verwaltete Geräte mit fehlenden Betriebssystem-Update-Richtlinien. Wenn Sie Ihre mobilen Geräte nicht mit den neuesten Betriebssystem-Sicherheitspatches auf dem neuesten Stand halten, werden Angreifer früher oder später auf Sie aufmerksam. Systeme zur Verwaltung mobiler Geräte können hier Abhilfe schaffen, indem sie so schnell wie möglich ein Betriebssystem-Update erzwingen.

Die nächste große Bedrohung für mobile Geräte geht von externen Apps aus, die installiert werden. Obwohl Apple und Google ihre Sicherheitssysteme in den letzten Jahren verbessert haben, können bösartige Apps verschiedene Probleme verursachen. Apps können vortäuschen, eine andere App zu sein, und Benutzer.innen können versehentlich ihre Anmeldedaten in eine solche App eingeben. Eine App könnte auch zu viele Berechtigungen auf dem Gerät haben, um auf lokale und Netzwerkressourcen zuzugreifen. So könnte sie einfach Daten vom mobilen Gerät an den Server des Angreifers im Internet übertragen. Ganz zu schweigen von den rechtlichen Aspekten all dieser Dinge. Benutzer.innen könnten Apps oder Dienste verwenden, die nicht den lokalen gesetzlichen Bestimmungen entsprechen, wie z.B. der DSGVO. Bei verwalteten Geräten kann all dies mit einer App-Verwaltung angegangen werden, die eine Vorauswahl der erlaubten und gesperrten Apps für die Benutzer enthält.

Und natürlich kann auch der/die Benutzer.in selbst eine große Bedrohung darstellen, denn Social Engineering hat zugenommen. In Deutschland zum Beispiel werden Benutzer.innen derzeit mit vielen gefälschten SMS-Nachrichten mit Informationen zur Paketverfolgung zugespamt, die den Benutzer auffordern, bösartige URLs in der Nachricht zu öffnen. Die Menschen sind nicht geschult genug, um solche Spam-Nachrichten zu erkennen.

Während sich viele Organisationen um die Absicherung ihrer Computer bemühen, wird die Sicherheit mobiler Geräte oft übersehen. Warum ist das Ihrer Ansicht nach der Fall?

Computer sind schon seit Jahrzehnten als Arbeitsgerät im Einsatz. Das volle Potenzial mobiler Geräte als Arbeitsmaschinen wurde erst in den letzten fünf Jahren entdeckt. Und nicht jeder ist sich des ungenutzten Produktivitätspotenzials bewusst, das die Menschen jeden Tag in ihrer Hosentasche mit sich tragen.

Welche anderen Sicherheitsmaßnahmen außer der Verwaltung mobiler Geräte können Ihrer Meinung nach die Abläufe in einem Unternehmen erheblich verbessern?

Viele Technologien auf dem Markt können heute viele verschiedene Bedrohungen abwenden. Aber wie bereits erwähnt, denke ich, dass der Einfluss der Benutzer.innen manchmal unterschätzt wird.

Unternehmen sollten ihre Mitarbeiter.innen in regelmäßigen Abständen mit Schulungen zum Sicherheitsbewusstsein schulen. Wenn sich die Mitarbeiter möglicher Bedrohungen und Fallstricke bewusster sind, wird die Zahl der Sicherheitszwischenfälle, die den Unternehmensbetrieb beeinträchtigen, langfristig sinken.

Welche Sicherheitstools sollte Ihrer Meinung nach jeder durchschnittliche Internet-Nutzer auf seinen mobilen Endgeräten haben?

Die wichtigsten Tools sind Teil des Betriebssystems. Zunächst würde ich empfehlen, die „Find my Phone“-Funktionen auf einem Gerät zu aktivieren. Dies ermöglicht einen Werkseinstellungs-Reset für die meisten modernen Android- und iOS-Geräte und verhindert, dass das Gerät nach einem Verlust oder Diebstahl verwendet wird.

Zweitens sollten Sie, wo immer möglich, eine Multi-Faktor-Authentifizierung verwenden. Insbesondere für Apple-ID und Google-Konten auf ihren Geräten.

Wenn Sie ein fortgeschrittene.r Benutzer.in sind, richten Sie eine VPN-Verbindung zu einem vertrauenswürdigen Dienstanbieter ein. Die Verwendung eines VPN kann in bestimmten Szenarien nützlich sein, wenn Sie Ihre Ausgangs-IP-Adresse vor der anderen Seite verbergen wollen.

Verraten Sie uns, was als nächstes für Cortado ansteht?

In den letzten Jahren waren viele unserer Kund.innen sehr zufrieden mit unseren Services für die Verwaltung und den Support von mobilen Geräten. Wenn es auf der Kundenseite Probleme gab, so lagen diese in der Regel an den Geräten, die der Kunde ausgewählt hatte. Besonders bei Android-Geräten kann die Auswahl der Geräte, die verwaltet werden sollen, einen großen Unterschied machen. Google hat vor einigen Jahren das Enterprise Recommended Programm gestartet, um Geräte, EMM-Systeme und Anbieter zu zertifizieren, die im Android-Ökosystem für Unternehmen einwandfrei funktionieren. Aber auch die Beschaffung der Geräte, sei es durch Kauf oder Miete, ist für Unternehmen manchmal eine Herausforderung.

Anfang 2022 haben wir beschlossen, das sogenannte „Cortado Business Phone“ anzubieten. Dabei handelt es sich um ein Komplettpaket mit vorausgewählten Android- und iOS-Smartphones und -Tablets, zusammen mit dem Mobile Device Management-Abonnement von Cortado und optionalem Zubehör für den Geräteschutz, einem Mobilfunkvertrag und einer Geräteversicherung. Unternehmen werden bald in der Lage sein, über einen Online-Shop ein Geschäftstelefon auszuwählen, das alle erforderlichen Dienste an einem Ort enthält.

Mit Blick auf die Zukunft möchten wir das Angebot an Geschäftstelefonen auf die nächste Stufe heben und werden eine Option zum Mieten von neuen und generalüberholten Geräten hinzufügen. Wir wissen, dass es auch im Unternehmenssegment eine steigende Nachfrage nach generalüberholten Geräten gibt. Das liegt vor allem daran, dass sich die Preise drastisch von denen für Neugeräte unterscheiden. Außerdem können Unternehmen so einfach dazu beitragen, den ökologischen Fußabdruck ihrer IT-Infrastruktur zu verringern.

Mehr Informationen rund um das Thema

Wenn Sie mehr über Sicherheitslücken bei mobilen Geräte erfahren und diese mit Hilfe des IT-Grundschutz Kompendiums des BSI vermeiden möchten, dann schauen Sie bei unserem Webinar vorbei. Oder überprüfen Sie mit Unterstützung unserer Sicherheitscheckliste, ob ihre Firmenhandys sicher vor Verlust sind.