23.09.2015
Enterprise Mobility
1. Teil: „„Für BYOD würde ich auf iOS-Geräte setzen““
„Für BYOD würde ich auf iOS-Geräte setzen“
Autor: Andreas Dumont
nito / Shutterstock.com
Mobile Geräte stellen die IT vor schwierige Herausforderungen. com! sprach mit Chester Wisniewski, Senior Security Advisor bei Sophos, über Sicherheitsprobleme und BYOD-Umgebungen.
Chester Wisniewski ist Senior Security Advisor beim Schutzsoftware-Hersteller Sophos. Er verfasst regelmäßig Artikel für den preisgekrönten Naked Security Blog und produziert den wöchentlichen Podcast Sophos Security Chet Chat. Im Interview mit com! professional geht es um akute Sicherheitsprobleme beim Einsatz mobiler Geräte sowie bei Linux als Server-Betriebssystem.
com! professional: Worin unterscheiden sich iOS und Android bei Datenschutz und Sicherheit?
com! professional: Zu welchem Betriebssystem für Bring Your Own Device (BYOD) sollten Unternehmen ihren Mitarbeitern raten?
Wisniewski: Das ist eine schwierige Frage, aber ich denke, ich würde Telefone wählen, die auf iOS basieren. In einer BYOD-Umgebung ist es nämlich nicht einfach, den Sicherheitslevel von Android-Geräten zu beurteilen. In einer Choose-Your-Own-Device-Umgebung (CYOD) dagegen ist Android sehr attraktiv, da man dabei Geräte auswählen kann, die man kennt und unterstützen kann. So lässt sich eine deutliche Kostenersparnis erzielen.
com! professional: Und wie sehen Sie die übrigen mobilen Betriebssysteme?
Wisniewski: Windows-Telefone bieten ohne MDM/EMM-Lösungen überhaupt keine Verschlüsselung. Ich würde nicht empfehlen, ein Windows-Telefon ohne Managementplattform zur Absicherung des Geräts zu nutzen.
com! professional: Wie beurteilen Sie die Sicherheit von Wearables?
Wisniewski: Das ist ein Bereich, den wir bei Sophos künftig genauer unter die Lupe nehmen wollen. Viele dieser Geräte verwenden Bluetooth LE und einen äußerst unsicheren Pairing-Modus, zum Beispiel Fitbit. Bei anderen Geräten hingegen, etwa der Motorola Moto 360 oder der Apple iWatch, wird die Sicherheit etwas ernster genommen.
com! professional: Bedeutet mehr Sicherheit denn automatisch eine geringere Akkulaufzeit?
Wisniewski: Nein, aber weniger Komfort beim Einrichten der Geräte. Verschlüsselung verbraucht mittlerweile so wenig Energie, dass Stromverbrauch nicht mehr als Argument für die Nichtnutzung solcher Mechanismen akzeptiert werden kann. Bei Herzschrittmachern oder Insulinpumpen vielleicht, nicht aber bei Smartwatches oder Fitnessarmbändern.
2. Teil: „„Alle Infos müssen als sensibel eingestuft werden““
„Alle Infos müssen als sensibel eingestuft werden“
Wisniewski: Ohne Frage alles, was geschützt werden kann. Verschlüsselung mit Authentifizierung gelingt dann, wenn die Public-Key-Infrastruktur (PKI) nicht nur Schutz vor Überwachung, sondern auch vor Integritäts- und Authentizitätsverletzungen bietet. Da immer mehr Daten über mobile Geräte und in der Cloud verteilt sind, müssen alle Informationen als sensibel eingestuft werden und einen Mindestschutz vor Manipulationen haben.
com! professional: Sollten wir lernen, im Internet mehr zu lügen?
Wisniewski: Ja, denn wenn man nicht rechtlich verpflichtet ist, die Wahrheit zu sagen, kann eine „kleine Notlüge“ helfen, den Schutz seiner Privatsphäre aufrechtzuerhalten.
Wisniewski: Linux wird hauptsächlich als Server-Betriebssystem genutzt. Es ist deshalb hinsichtlich Leistung oder Bandbreite stets verfügbar und wird oft in Verbindung mit hochleistungsfähiger Hardware eingesetzt. Zudem sind Linux-Server nicht zureichend geschützt. Sie nutzen meist keine Antiviren-Lösung oder nur unsachgemäß konfigurierte Firewalls und können über einen längeren Zeitraum angegriffen werden, bevor sich überhaupt feststellen lässt, dass sie kompromittiert wurden.
com! professional: Welche Auswirkungen hat das für die Firmen?
Wisniewski: Kompromittierte Linux-Server werden meist auf zwei Wegen missbraucht. Einerseits um bösartige Webseiten zu verteilen oder zu hosten und so Mac-, Windows- und Android-Nutzer zu infizieren. Zum anderen als Angriffsplattform für fortgeschrittene Attacken etwa mit Trojanern. Sie befinden sich dann im Netzwerk, haben alle möglichen Angriffs-Tools installiert und werden als vertrauenswürdig eingestuft. Sie stellen somit eine gute Plattform dar, um kompromittierte Netzwerke zu untersuchen und weiter zu durchdringen.
Drei Modelle
Huawei bringt die Pura-70-Serie nach Deutschland
Bei Huawei löst die Pura-Serie die P-Modelle in der Smartphone-Oberklasse ab. Nach dem Debüt in China hat der Hersteller jetzt auch die Preise und das Startdatum für den deutschen Markt genannt.
>>
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Personen
Nfon CCO Gernot Hofstetter tritt zurück
Gernot Hofstetter war sechs Jahre beim Münchner Cloud-PBX-Anbieter Nfon, zuletzt als Chief Commercial Officer. Nun hat er das Unternehmen verlassen und ist zum Start-up Stealth Mode gewechselt.
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>