Application Security
Die 5 riskantesten Apps
Foto: rogistok - shutterstock.com
Nicht genehmigte Software, die auf Unternehmensgeräten ausgeführt wird, gefährdet die IT-Sicherheit. Diese Apps können von der Erfüllung echter geschäftlicher Anforderungen - gemeinhin als Schatten-IT bezeichnet - wie der effizienten Fernkommunikation mit Kollegen oder der Verwaltung von Unternehmensdokumenten über herunterladbare Messaging- und Dateifreigabe-Apps bis hin zur Nutzung von Apps für nicht arbeitsbezogene Lifestyle- oder Unterhaltungszwecke wie soziale Kontakte, Fitness, Spiele und Sport reichen.
"Nicht verwaltete, persönliche Apps auf Unternehmensgeräten bieten zahlreiche Vektoren und Schwachstellen, die ausgenutzt werden können. Dazu gehören Datenexfiltration, Cyberangriffe, die Überwachung von Mitarbeiteraktivitäten durch Dritte und viele andere Dinge, die potenzielle Risiken für Unternehmen darstellen", erklärt Steve Turner, Sicherheits- und Risikoanalyst bei Forrester, gegenüber CSO. "Diese Apps werden vom Unternehmen nicht überprüft und können Mitarbeiter einer Vielzahl von Daten-, Datenschutz- und anderen Richtlinien aussetzen, denen sie durch das Herunterladen und die Nutzung der Apps versehentlich zugestimmt haben."
Laut Kelvin Murray, Senior Threat Researcher bei Webroot, haben sich die Risiken für Unternehmen durch unerwünschte Apps seit dem Ausbruch der COVID-19-Pandemie und dem anschließenden Übergang zur massenhaften Fernarbeit verschärft: "Da es immer weniger persönliche Treffen und Interaktionen gibt, suchen die Mitarbeiter nach neuen Methoden, um ohne die Formalität einer E-Mail oder eines Anrufs des Teams zu kommunizieren. Dank neuer Angriffstaktiken, Exploits und Tools war die Bedrohung für Unternehmen nie zuvor so groß wie heute." Viele Benutzer gingen laut Murray davon aus, dass Cyberkriminelle es nicht auf sie abgesehen haben. Doch die Apps würden oft den Zugriff auf persönliche Daten oder die Integration in privilegierte Konten einfordern: "Für gerissene Angreifer können solche Applikationen sehr effektive Angriffsvektoren darstellen."
Zu den häufigsten Angriffsmethoden auf Mobilgeräte zählen Remote-Access-Trojaner und Man-in-the-Middle-Angriffe, um auf Nutzerdaten zuzugreifen oder diese abzuhören. Außerdem wird Ransomware oft verwendet, um den Zugang zu Geräten einzuschränken und gefälschte Zertifikate und bösartige Apps nachzuladen, ergänzt Dominic Grunden, CISO bei der Finanzdienstleistungsplattform Wave Money. Auch scheinbar vertrauenswürdige Apps - beziehungsweise App-Stores - können böse Überraschungen bereithalten. Turner weist beispielsweise auf Anwendungen hin, die für die Stores von Apple und Google zugelassen sind, aber nicht das enthalten, was sie vorgeben. Als Beispiel führt er Taschenrechner-Apps an, die in Wirklichkeit Dateiübertragungsmechanismen darstellen.
Ebenso ist es nicht ungewöhnlich, dass vertrauenswürdige Stores wie Google Play Apps enthalten, die mit Malware verseucht sind, wie der leitende Forschungsanalyst des Information Security Forum, Paul Holland, betont: "Sogar im Fall der offiziellen TikTok-App wurden im vergangenen Jahr unerlaubterweise Kopierpufferdaten von Apple-Geräten abgefangen. Zwar hat der Social-Networking-Dienst die Erfassung solcher Daten inzwischen eingestellt - aber dieser Vorfall ist ein gutes Beispiel für die versteckten Risiken, die von solchen Apps ausgehen können, wenn sie nicht sorgfältig überprüft werden."
Besonders besorgniserregend sind die Ergebnisse einer neuen Studie von Netskope zum Thema Cloud-Bedrohungen. Sie legt offen, dass 97 Prozent der im Unternehmen genutzten Cloud-Anwendungen nicht verwaltet und oft einfach so wie sie sind übernommen werden. Nicht nur deshalb sollten Unternehmen mehr tun, um zu überprüfen, welche Apps Mitarbeiter auf ihren Arbeitsgeräten verwenden. Welche unautorisierten App-Typen ganz oben auf der Risikoliste eines CSO stehen sollten und warum, haben wir im Gespräch mit einigen Sicherheitsexperten erörtert.
1. Social-Media- und Messaging-Apps
Social-Media- und Messaging-Apps sind wahrscheinlich die am häufigsten anzutreffenden App-Typen auf unternehmenseigenen Geräten. Diese können den Security-Verantwortlichen erhebliche Sicherheits- und Datenschutzprobleme bereiten. "Social-Media-Apps sind dafür bekannt, zu verfolgen, was Sie auf Ihrem Gerät tun, welche Websites Sie besuchen, wo Sie sich aufhalten und vieles mehr", warnt Turner. Grunden pflichtet ihm bei und verweist auf Facebook, das in der Vergangenheit bekanntermaßen mit Sicherheitslücken, Datenschutzproblemen und Datenlecks zu kämpfen hatte.
"Ich würde auch keine Social-Media-Apps sehen wollen, die sich auf Länder beziehen, in denen mein Unternehmen nicht tätig ist", sagt Turner. "Solche Apps öffnen Datenschutz- und Compliance-Verstößen Tür und Tor, da sie potenziell dazu genutzt werden könnten, Geschäfte abzuwickeln. Böswillige Akteure nutzen die Apps auch, um Daten zu exfiltrieren oder ein Gerät über eine Backdoor oder eine Zero-Day-Schwachstelle zu kompromittieren." Turner weist darauf hin, dass in einigen Ländern alles über die Zentralregierung laufen muss: "Wenn Sie in diesem Land nicht einmal geschäftlich tätig sind, sollten Sie gut überlegen, ob sie die Geräte Ihres Unternehmens diesen Risiken aussetzen wollen." Apps aus dem Reich der Mitte sind Grunden ein besonderes Anliegen: "Apps, die in China entwickelt und bezogen werden, neigen dazu, Hintertüren und bösartigen Code zu enthalten. Zudem legen sie die sensiblen Daten eines Unternehmens offen."
Ein weit verbreitetes Sicherheitsproblem im Zusammenhang mit Messaging-Apps besteht darin, dass beliebte Dienste wie WhatsApp, Signal und Telegram vom Anbieter gehostete, zentralisierte Apps für die private Anwendung sind. "Das hat zur Folge, dass arbeitsbezogene Diskussionen der Mitarbeiter auf den Servern der App landen. Das Unternehmen hat keine Kontrolle mehr darüber, wie diese Daten gespeichert oder verwaltet werden - sie sind potenziell Data Mining und Exfiltration ausgesetzt", weiß Amandine Le Pape, Mitbegründerin von Matrix.org, einem gemeinnützigen Open-Source-Projekt. "Darüber hinaus gibt es keine formalisierte Moderation und keine Möglichkeit, sicherzustellen, dass Diskussionsgruppen alle Beteiligten einbeziehen oder alle relevanten Parteien enthalten. Schlimmer noch: Es gibt keine Kontrollmöglichkeiten bezüglich einer Deprovisionierung von Personen, die das Unternehmen verlassen, was zu einer nicht nachvollziehbaren Entscheidungsfindung führt."
Sicherheitsverantwortliche sollten in der Tat besorgt sein, wenn Mitarbeiter ihre Geschäfte über Collaboration- und Messaging-Apps abwickeln, die eher für Verbraucher als für Unternehmen geeignet sind - ein Zustand, vor dem die britische Financial Conduct Authority bereits im Januar 2021 gewarnt hat.
2. Remote-Access- und Cloud-Storage-Apps
Im Zuge der Umstellung auf das mobile Arbeiten hat die Nutzung von Fernzugriffs- und Cloud-Speicheranwendungen in den vergangenen Monaten erheblich zugenommen. Turner warnt jedoch vor den Risiken, die solche Tools darstellen können, wenn sie auf die Unternehmensgeräte gelangen: "Ich würde niemals eine alternative Fernzugriffs- oder Cloud-Speicherlösung auf meinen Firmengeräten installiert sehen wollen. Das schreit förmlich nach Datenexfiltration." Unerwünschte Fernzugriffsanwendungen könnten den gesamten Netzwerkverkehr auf einem Gerät zu einem unbekannten Server, einem VPN oder einer Fernzugriffsinfrastruktur umleiten, über die der gesamte Datenverkehr der Unternehmensanwendungen fließt und möglicherweise von Dritten abgegriffen oder analysiert werden kann: "Ob Anmeldedaten, Authentifizierungs-Token, etc. - in diesem Szenario ist alles zum Greifen nah."
Auch alternative Cloud-Speicherlösungen können so konfiguriert werden, dass Dateien, Fotos und andere Daten automatisch gesichert werden. "Wenn Ihr Job darin besteht, auf einem lokalen Gerät mit Dateien und Fotos zu arbeiten, ist das ein weiteres Szenario, bei dem Daten absichtlich oder versehentlich an Orten gespeichert werden können, die nicht durch die Sicherheitslösungen Ihres Unternehmens geschützt sind", erklärt Turner. Die gleichen Apps könnten von Angreifern verwendet und für ihre eigenen Konten konfiguriert werden, um eine Kopie der Daten zu erhalten, mit denen Sie auf Ihrem Gerät arbeiten.
Das Risikopotenzial wird laut Grunden weiter steigen, wenn keine Kontrollmaßnahmen eingezogen werden. Die Gründe dafür lägen unter anderem im anhaltenden Remote-Work-Trend und der umfassenden Nutzung von Anwendungen wie Office 365 oder Dropbox, um Informationen innerhalb von Unternehmen, zwischen Partnern und mit Kunden zu teilen.
3. Security Tools
Auf einigen Windows-10-Rechnern ist es möglich, Software aus dem Microsoft Store auch ohne Administratorrechte herunterzuladen, wie Holland betont. Dies berge die Gefahr, dass nicht autorisierte, hochentwickelte Sicherheitstools eingesetzt werden, die nur von Fachleuten genutzt werden sollten.
"Unbefugte Benutzer, die mit Sicherheitstools wie Wireshark oder Kali Linux spielen, haben möglicherweise keine Ahnung, welchen Schaden sie in einem Unternehmen anrichten können", sagt Paul Baird, CTSO UK bei Qualys. "Die Tools sind zwar legal, aber ihre unautorisierte Nutzung nicht. Benutzer könnten die Tools verwenden, um ein Unternehmensnetzwerk abzuhören. Das kann immensen Schaden verursachen, wenn es sich um einen verärgerten Mitarbeiter oder einen professionellen Innentäter handelt."
Die unbefugte Verwendung solcher Tools kann Cyberkriminellen auch erheblich die Arbeit erleichtern, wie Baird weiß: "Im Wesentlichen geben Sie ihnen so die Tools an die Hand, die sie brauchen, um Ihr Unternehmen von innen heraus zu hacken. Kali Linux hält beispielsweise Hunderte von DDoS-Tools bereit, die das Potenzial haben, das gesamte Unternehmensnetzwerk lahmzulegen. Weil die meisten DDoS-Schutzschichten am Netzwerkrand sitzen, wird ein DDoS-Angriff aus dem Inneren des Netzwerks sehr wahrscheinlich von den Scanning-Tools übersehen und kann daher nicht verhindert werden."
4. App-Plugins von Drittanbietern
App-Plugins von Drittanbietern, mit denen auch geprüfte Apps um zusätzliche Funktionen erweitert werden können, haben das Potenzial, die Daten von Unternehmen erheblich zu gefährden. Laut dem bereits zitierten Netskope-Bericht haben 97 Prozent der Google-Workspace-Benutzer mindestens einer Drittanbieter-App den Zugriff auf ihr Google-Unternehmenskonto gestattet. So könnten Daten möglicherweise an Dritte weitergegeben werden, etwa über Google Drive.
Ray Canzanese, Direktor von Netskope Threat Labs, erklärt, wie App-Plugins Dritten dauerhaften Zugriff auf Daten ermöglichen können: "Zum Beispiel kann das CamScanner-App-Plugin auf alle Ihre Dokumente in Google Drive zugreifen. Es hat sich gezeigt, dass CamScanner Malware enthält, weswegen er von der indischen Regierung bereits verboten wurde. Mit anderen Worten: App-Plugins von Drittanbietern können einen nützlichen Dienst bieten, aber die Unternehmen, die diese Apps betreiben, sind möglicherweise nicht vertrauenswürdig genug, um mit sensiblen Daten umzugehen."
Die Angreifer haben längst entdeckt, dass es viel effektiver ist, sich über einen App Store Zugang zu einem Google-Konto zu verschaffen, das das Mobilgerät steuert. Im Vergleich zum bisherigen Vorgehen, Schwachstellen zu finden und Exploits für Mobilgeräte zu entwickeln, sei das deutlich weniger arbeits- und zeitintensiv, weiß Grunden. Einmal erlangt, biete ein solcher Zugang die Schlüssel zum "Königreich": "Ein Angreifer mit einem kompromittierten Konto kann auf Backups zugreifen und Daten wiederherstellen, die zu allen Apps auf einem mobilen Gerät gehören, einschließlich Nachrichten, Kontakte und Anrufprotokolle. Wenn jemand diese Konten stiehlt, kann er ein Gerät permanent verfolgen und mehrere wichtige Aktionen fernsteuern, beispielsweise nicht autorisierte Einkäufe tätigen oder bösartige Apps installieren und so weiteren Schaden anrichten."
5. Spiele-Apps
Firmengeräte und -netzwerke werden im Regelfall nicht für Games zur Verfügung gestellt - weder während der Arbeitszeit noch außerhalb. Einige Kandidaten versuchen es jedoch trotzdem. Abgesehen davon, dass das einen groben Missbrauch von Firmeneigentum darstellt und unnötige Ausgaben nach sich zieht, ist die Verwendung von Firmengeräten zum Zocken aus IT-Sicherheitsperspektive verheerend: "Den Steam-Client auf einem Gerät zu installieren ist etwa so, als würde man eine Büchse Würmer öffnen", warnt Baird. "Die schiere Menge an Spielen, die über Steam installiert werden kann, macht es für die Sicherheitsabteilung sehr schwierig, den Überblick darüber zu behalten, was sich im Netzwerk befindet und entsprechend zu reagieren. Jede nicht autorisierte Software würde aus dem Patch-Management-Prozess herausfallen, so dass Lücken klaffen, die ausgenutzt werden können." Baird verweist auf ein Beispiel des vergangenen Jahres, als Security-Forscher vier Schwachstellen bei Valve, dem Entwickler von Steam, aufdeckten. Dabei sei es den Ethical Hackern gelungen, den Drittanbieterdienst zu übernehmen, um beliebigen Code auszuführen und Anmeldedaten zu stehlen.
"Die gefährlichste Spiele-App, die ich als CSO kennengelernt habe, ist 9Game.com - ein Portal, über das kostenlose Android-Spiele heruntergalden werden können", fügt Grunden hinzu. "Ich habe in den letzten Jahren mehr bösartige Apps aus diesem App-Store gesehen als aus jedem anderen."
Nicht genehmigte Apps: Risiken minimieren
Die Experten sind sich einig, dass eine Kombination aus Richtlinien und Aufklärung erforderlich ist, um die Risiken unerwünschter Anwendungen auf Unternehmensgeräten zu minimieren und die Installation nicht genehmigter Software zu verhindern. "Der CSO muss sicherstellen, dass sein Sicherheitsteam mit den Risiken nicht genehmigter Anwendungen vertraut ist und sich an die Unternehmensrichtlinien hält. Das hilft auch dabei, die Motivation aufrechtzuerhalten, die übrigen Mitarbeiter zu monitoren und zu managen", so Holland.
Holland plädiert für ein Whitelisting von Geräten und Anwendungen, damit nur bestimmte ausführbare und zugehörige Dateien ausgeführt werden können. "Das hat zur Folge, dass jede Anwendung, die nicht genehmigt wurde, gestoppt wird, bevor sie ausgeführt werden kann. Dies würde auch bei einer von Malware befallenen Kopie einer legitimen Anwendung helfen, da sich die ausführbare Datei unterscheiden würde, was in der Regel durch einen anderen MD5-Hash erkannt wird. Die Einrichtung und Verwaltung dieser Option kann recht arbeitsintensiv sein, ist aber oft die Mühe wert."
Tuner fügt hinzu, dass solche Richtlinien mit Endpoint-Management-Lösungen durchgesetzt werden können, indem ein Genehmigungsfluss für nicht genehmigte Anwendungen und die Beseitigung bestehender, nicht genehmigter Anwendungen eingerichtet wird. "Außerdem können Sie Richtlinien auf der Grundlage der Identität, des Geräts, des Standorts und der Art der Verbindung zentral steuern und konfigurieren, um die böswillige Nutzung von Unternehmensgeräten und -inhalten einzuschränken", empfiehlt Grunden.
Dies ist jedoch oft nur die halbe Miete, denn wenn die Softwareanfragen der Benutzer abgelehnt werden, können sie ganz einfach gecrackte Versionen von ungeprüften Drittanbieterquellen herunterladen und ausführen, die oft mit Malware überladen sind. Das kann ein noch größeres Sicherheitsrisiko darstellen und verdeutlicht, wie wichtig es ist, die Mitarbeiter über die Bedrohungen aufzuklären, die von einigen Apps ausgehen und ihnen zu vermitteln, warum aus Sicht der Datensicherheit Kontrollen nötig sind.
"Vor diesem Hintergrund sollten alle Unternehmen Schulungen zum Thema Cybersicherheit durchführen, um die Mitarbeiter über die neuesten Bedrohungen zu informieren und ihnen klare Richtlinien an die Hand zu geben, was auf Arbeitstelefonen und -computern heruntergeladen werden darf und was nicht", so Murray. Schatten-IT sei ein großes Problem für IT-Administratoren, aber man könne aus den Mustern des Benutzerverhaltens lernen. Diese zeigten oft Lücken in der Aus- und Weiterbildung, den Richtlinien und der Tool-Landschaft einer Organisation auf.
Eine weitere Möglichkeit, die zunehmend von Unternehmen eingesetzt wird, um das Herunterladen von Anwendungen auf Unternehmensgeräte zu minimieren, sei die Einrichtung eines separaten (Gast-)Wi-Fi-Netzwerks für Mitarbeiter, das vollständig vom internen Netzwerk getrennt ist, weiß Holland: "Dieses Gastnetzwerk ermöglicht es den Mitarbeitern, ihre eigenen Geräte zu benutzen, während sie sich im Büro aufhalten, ohne ein Risiko für das Unternehmen einzugehen. Zusätzlich hat das den Vorteil, dass die Mitarbeiter zufriedener sind, da sie zum Beispiel einfach ihr Telefon benutzen können, wenn sie sich im Büro aufhalten. So müssen sie nicht ihre eigenen Daten verwenden oder das Unternehmensgerät auf unerwünschte Weise nutzen." (jm)
- Vorbeugung von Datenverlust und Betrug
Sicherstellen, dass Mitarbeiter keine Daten versehentlich, fahrlässig oder vorsätzlich missbrauchen oder stehlen. - Security Operations
Unmittelbare Bedrohungen in Echtzeit analysieren und im Ernstfall sofortige Gegenmaßnahmen koordinieren. - Cyber-Risiko und Intelligence
Stets informiert bleiben über aufkommende Sicherheitsbedrohungen. Den Vorstand dabei unterstützen, mögliche Sicherheitsrisiken aufgrund von Akquisitionen oder anderen Geschäftsentscheidungen zu verstehen. - Security-Architektur
Security-Hard- und Software planen, einkaufen und in Betrieb nehmen. Sicherstellen, dass IT und Netzwerk anhand der geeignetsten Security Best Practices modelliert sind. - Identitäts- und Zugriffsmanagement (IAM)
Sicherstellen, dass nur berechtigtes Personal Zugriff auf sensible, geschützte Daten und Systeme hat. - Programm-Management
Aufkommende Sicherheitsanforderungen erfüllen, indem Programme und Projekte eingeführt werden, die Risiken beseitigen. Darunter fallen beispielsweise regelmäßige System-Patches. - Fehlersuche und Forensik
Herausfinden, was bei einem Datenleck schiefgelaufen ist, die Verantwortlichen zur Rechenschaft ziehen, wenn sie aus dem eigenen Unternehmen stammen, und Pläne entwickeln, um ähnliche Krisen in Zukunft zu verhindern. - Governance
Sicherstellen, dass alle zuvor genannten Initiativen fehlerlos laufen, ausreichend finanziert sind und die Unternehmensführung versteht, wie wichtig sie sind.