Public Manager
07.12.2022 | E-Government, Sicherheit

Wie gefährlich sind Cyber-Attacken auf mobile Geräte im Public Sector – was kann man dagegen tun?

Lookout, Experte für die Sicherheit mobiler Endpoints und Security Service Edge (SSE), hat unlängst in einer Studie belegt, dass die Anzahl an Cyberangriffen auf die mobilen Endgeräte von Mitarbeitern im Public Sector (Verwaltung, Behörden, Ministerien, …) stark zugenommen hat.

Lookout beantwortet fünf zentrale Fragen, die sich aus der Untersuchung ergeben haben: 

Wie schädlich sind die verschiedenen Arten von Attacken für Organisationen im Public Sector im Vergleich zu einer typischen Cyber-Attacke und wie können sie vermieden werden? 

Mobile Geräte sind unter anderen eine Angriffsmethode für Cyber-Kriminelle, um eine bestimmte Umgebung zu attackieren. Angriffe auf mobile Geräte sind insofern einzigartig, als sie auf die Art und Weise abzielen, wie Benutzer mit ihren Geräten interagieren, und sie versuchen, spezifische Schwachstellen von Geräten und Applikationen auszunutzen. Es macht jedoch keinen Sinn, irgendeinen Cyber-Angriff als "typisch" zu bezeichnen, da Angreifer in der Regel alle ihnen zur Verfügung stehenden Werkzeuge für ihre Zwecke benutzen. Mobile Geräte sind nur eine weitere Methode für Angreifer, um eine breiter angelegte Attacke durchzuführen. 

Zum Beispiel Ransomware: Diese Angriffe beginnen oft damit, Endbenutzer auf einem beliebigen Gerät – egal ob mobil oder stationär – per Phishing anzugehen, um Anmeldedaten zu stehlen und sich dann mit diesen Informationen Zugang zu einer Unternehmensumgebung zu verschaffen. Mobiles Phishing, ob per SMS, E-Mail oder Messaging-Anwendungen, ist eine hauptsächlich verbreitete Art und Weise fūr Angreifer, um Anmeldedaten zu erhalten, Kontrollen per Multi-Factor Authentication (MFA) zu umgehen und in eine bestehende Umgebung einzudringen.“ 

Warum haben die Risiken für mobiles Phishing und für die Anfälligkeit von Geräten in Behörden  seit 2021 zugenommen? 

Remote Working wird es immer geben, und damit auch die Abhängigkeit der Angestellten von persönlichen mobilen Geräten. Diese Geräte sind schwer zu überwachen und auf dem neuesten Stand zu halten, was eine einzigartige Sicherheitsbedrohung für lokale, bundesstaatliche und föderale Regierungsorganisationen darstellt. 

Strategien für BYOD (Bring Your Own Device) bieten den Mitarbeitern der Behörden mehr Flexibilität und Produktivität. Dies ist wahrscheinlich einer der Gründe dafür, dass die Nutzung von nicht verwalteten Geräten laut Lookout-Daten zwischen 2020 und 2021 in Bundes-, Landes- und Kommunalverwaltungen um durchschnittlich 55 Prozent zunehmen wird. Dieselben Daten zeigen aber auch, dass fast 50 Prozent der Phishing-Angriffe, die sich im Jahr 2021 gegen Regierungsmitarbeiter richteten, Anmeldedaten stehlen sollten. Die Kombination aus nicht verwalteten Geräten und Phishing-Angriffen bedeutet, dass Behörden und Regierungsabteilungen prinzipiell verwundbar sind, da sie weiterhin Telearbeit und die Nutzung von BYOD zulassen. 

Was kann man den Mitarbeitern empfehlen, um ihre mobilen Geräte vor Phishing-Angriffen besonders gut zu schützen? 

Die Angreifer haben es vor allem über die Nutzung von mobilen Kanälen auf Einzelpersonen abgesehen, weil sie auf diese Weise über viele Möglichkeiten verfügen, an sie heranzukommen. 

SMS, iMessage, E-Mail, soziale Medien, Messaging-Anwendungen von Drittanbietern, Spiele und sogar Bekanntschaftsanzeigen verfügen alle über Messaging-Funktionen, die Angreifer nutzen können, um sich an Personen im Kontext der von ihnen genutzten Anwendungen direkt heranzumachen. 

Um sich selbst und ihre Anwender zu schützen, müssen staatliche und lokale Behörden einen mobilen Phishing-Schutz implementieren, der einen Zero-Trust-Ansatz über ihre gesamte Anwenderbasis hinweg verfolgt. Dabei ist es von entscheidender Bedeutung, diese Schutzmaßnahmen sowohl auf unternehmenseigene als auch auf private Geräte auszuweiten. Durch die proaktive und automatische Überwachung auf Bedrohungen hin können solche Lösungen auf diesen oft übersehenen mobilen Geräten für mehr Transparenz sorgen.“ 

Wie können Ämter und Behörden am besten mit der Entwicklung von Cyber-Bedrohungen Schritt halten? 

Die Verwendung privater mobiler Geräte für die Arbeit wird nicht von alleine verschwinden, weshalb Ämter und Behörden eine Strategie entwickeln müssen, mit der sie auch nicht direkt verwaltete Geräte nutzen können – und dabei auf der sicheren Seite bleiben und zugleich die Privatsphäre ihrer Mitarbeiter respektieren. 

Eine Sache, die Behörden und Unternehmen verfolgen können, besteht in der Aufforderung ihrer Mitarbeiter, nur persönliche Geräte aus einer offiziellen Liste zu verwenden. Aber um wirklich die Bedrohungen durch Phishing, das Abgreifen von Anmeldedaten und Schwachstellen im Betriebssystem einzudämmen, benötigt man eine dedizierte Lösung für Mobile Security, die einen Zero-Trust-Ansatz verfolgt. 

Ein Beispiel sind hier die USA: Da sowohl Präsident Biden in den USA als auch das Office of Management and Budget jeweils einen für Zero-Trust-Leitfaden zur Verfügung stellen, müssen inzwischen alle Regierungsabteilungen in den USA sicherstellen, dass sie alle Risiken für mobile Endgeräte als Teil ihrer Zero-Trust-Architektur in Betracht ziehen.“ 

Was sollten CISOs (Chief Information Security Officers) angesichts der Zunahme mobiler Angriffe in ihre Cyber-Strategien für das kommende Jahr aufnehmen? 

Sich gegen mobiles Phishing zu schützen, sollte ein entscheidender Bestandteil jeder modernen Sicherheitsstrategie sein, da dies die häufigste Gefahr für die Ausnutzung und Fälschung von Anmeldeinformationen ist, die Angreifer für verfeinerte Attacken wie Ransomware verwenden. 

Die Veränderungen in der Art und Weise, wie wir heute arbeiten, haben zugleich die Risikolandschaft für jede Organisation dramatisch erweitert, da die Mitarbeiter nun vermehrt eine Mischung aus persönlichen oder nicht verwalteten Geräten und Netzwerken einsetzen, um Zugang zu sensiblen Daten zu bekommen. 

Ohne den Einsatz geeigneter Lösungen setzen Organisationen ihre Mitarbeiter fortgeschrittenen Bedrohungen aus, die den mangelnden Schutz der Mitarbeiter auf persönlichen Geräten und Netzwerken ausnutzen. 

Ein kontextbasierter Datenzugriff ist der beste Weg für Organisationen und Unternehmen, Zero Trust in ihren hybriden Arbeitsumgebungen von heute einzuführen. Das Verständnis von Hinweisen wie Standort, Gerätetyp und Risikogefährdung der Benutzer kann entscheidend sein, wenn es darum geht, Attacken auf Benutzerkonten zu identifizieren, die von böswilligen Akteuren in Gang gesetzt worden sind.“