Top Secret

Noch häufiger sind die Zielpersonen aus Unternehmen, deren E-Mails und Telefonate sich zu Geld machen lassen: Manager, Vertriebschefs und Mitarbeiter im Bereich Forschung und Entwicklung zum Beispiel. Auch hochrangige Mitarbeiter nutzen häufig unzureichend abgesicherte Standard-Smartphones, um mit Kollegen oder Verhandlungspartnern sensible Informationen auszutauschen. Sie mailen ein Dokument, das vertrauliche Informationen enthält, etwa einen Vertragsentwurf oder Daten zu einer geplanten Firmenübernahme. Der Schaden durch einen Angriff kann in solchen Fällen enorm sein.

Doch es müssen nicht zielgerichtete Aktionen sein, die zu Datenlecks führen. So hat Apple im Zuge der Veröffentlichung des Betriebssystems iOS 9 mehr als 100 Sicherheitslücken der Systemsoftware geschlossen. Im Herbst 2015 wurde zudem bekannt, dass vor allem iOS-Nutzer in China aus dem Apple Store Software heruntergeladen hatten, die auf den ersten Blick als sicher erschien. In Wirklichkeit war sie mit der Schadsoftware „XGhost“ infiziert. Sie ermöglichte es den Autoren des Programms, Nutzernamen, PINs und andere Daten von iPhones und iPads abzusaugen. Standard-Smartphones wie das iPhone oder Systeme mit den Betriebssystemen Android und Windows Phone verfügen immer noch nicht über ausreichend Sicherheitsvorkehrungen.

Eine Alternative sind spezielle Mobilsysteme, die gegen Cyber-Angriffe „gehärtet“ wurden. Solche Spezialsysteme verschlüsseln die gesamte Kommunikation mithilfe von sogenannten starken Verfahren wie AES 256 (mit 256-Bit-Keys): E-Mails, Telefonate und Textnachrichten. Damit kein unrechtmäßiger Nutzer das Endgerät für seine Zwecke nutzen kann, ist außerdem eine sichere Authentifizierung erforderlich. Das kann mithilfe biometrischer Verfahren wie dem Scannen des Fingerabdrucks erfolgen oder mittels kryptografischer Authentifizierung beziehungsweise Eingabe eines Sicherheitscodes. Zudem verfügen Hochsicherheits-Smartphones im Allgemeinen über weitere Sicherheitsfunktionen, wie etwa ein gegen Cyberattacken gehärtetes Betriebssystem, eine Verschlüsselung der Daten auf dem Endgerät, eine Remote-Verwaltung des Systems, inklusive Fernlöschen aller Informationen auf dem Smartphone, eine hardwarebasierte Verschlüsselung der Kommunikation (Daten, Telefonate, SMS, E-Mails) sowie eine Funktionen, die nur die Installation freigegebener Apps ermöglicht.

Speziell das Installieren von Apps stellt in der Praxis ein hohes Sicherheitsrisiko dar. Das ist vor allem dann der Fall, wenn Nutzer neue Apps aus nicht zertifizierten Quellen herunterladen. Cyberkriminelle bieten beispielsweise in regulären App Stores oder eigens aufgesetzten Stores Anwendungen an, die Schadsoftware enthalten. Für einen Nutzer ist es schwer, zwischen regulären und manipulierten Programmen zu unterscheiden.

Ein Weg, um Risiken durch unsichere Apps zu minimieren, besteht darin, nur Apps zur Installation freizugeben, die zuvor einer Prüfung unterzogen wurden und die in Einklang mit der Security-Policy des Unternehmens stehen. Das lässt sich beispielsweise mithilfe einer Auditierung entsprechender Apps durchführen. Einen solchen Test durchlaufen sowohl unternehmensspezifische Apps als auch kommerzielle Applikationen. Erst wenn sich eine solche Anwendung als sicher erwiesen hat und zudem die Vorgaben in Bezug auf Sicherheit und Compliance erfüllt, findet sie Eingang in einen Corporate App Store, der speziell für sichere Apps in einem Unternehmen individuell angelegt wird.