Zscaler mahnt Firmen zur Vorsicht bei mobilen Apps

Zscaler hat nach Auswertung der von seinen Security-Systemen erfassten Daten Firmen davor gewarnt, dass vertrauliche Informationen über mobile Apps Abfließen können. Der US-amerikanische IT-Sicherheitsanbieter verarbeitet pro Quartal unter anderen mehr als 45 Millionen Internet-Transaktionen, die von Geräten mit den Mobilbetriebssystemen Android und iOS generiert werden. Auf dieser Datenbasis untersuchte das Research-Team des Sicherheitsspezialisten das Verhalten mobiler Apps im Hinblick auf Eingriffe in die Privatsphäre und das Abfließen von Informationen in den Kategorien Geräte-Metadaten, standortbezogene Daten und vertrauliche Informationen zur Identifikation von Personen.

Unter Android sind Zscaler zufolge 60.000 Transaktionen pro Quartal potenziell gefährlich. Das entspricht etwa 0,3 Prozent der 20 Millionen überprüften Transaktionen. Bei 58 Prozent davon handelt es sich um Metadaten, wie IMEI-, MAC oder IMSI-Nummern. Sie können zum Tracken der Geräte und für gezielte Attacken genutzt werden. 39,5 Prozent sind Daten zum Standort des Anwenders mit exakten Koordinaten. Die restlichen 2,7 Prozent der potenziell abgeschöpften Daten sind Informationen, mit denen sich Personen identifizieren lassen. Dazu gehören beispielsweise die Handynummer und E-Mail-Adressen. Lediglich für ein Prozent der abfließenden Daten unter Android ist Schadsoftware verantwortlich. Der Rest geht auf die Nutzung von Standardanwendungen zurück.

Unter iOS hat Zscaler pro Quartal 130.000 Transaktionen identifiziert, die Daten der Nutzer abgreifen. Das entspricht etwa 0,5 Prozent der 26 Millionen von dem Unternehmen aufgezeichneten Transaktionen. 72,3 Prozent davon sind Geräteinformationen, 27,5 Prozent standortbezogene Daten und 0,2 Prozent Informationen, die die Identifizierung des Nutzers erlauben. Bei iOS basieren fünf Prozent der Daten-Leaks auf einer Infektion durch Schadsoftware, für den Rest sind Standard-Anwendungen verantwortlich.

Risiken durch den Abfluss persönlicher Daten

Zscaler zufolge zeigen diese Werte, dass durch Anzapfen des unternehmensweiten Datenverkehrs von Mobilgeräten beachtliche Mengen persönlicher Informationen abfließen könnten. Die auf diesem Wege gesammelten persönlichen Daten könnten dann für weiterreichende Angriffe auf Unternehmensnetze eingesetzt werden. Da die Informationen zur Geräteerkennung der Hardware, wie MAC, GSM IMEI, IMSI und UDID, weltweit nur einmal vergeben werden und fest mit dem Geräte verknüpft sind, ist darüber das Tracking und die Verbindung zum Gerät jederzeit möglich. Damit können sie für eine Reihe von Attacken eingesetzt werden, wie Remote-Denial-of-Service Attacken per SMS oder das Ausspionieren von SIM-Karten.

Dem Sicherheitsanbieter zufolge müssen Unternehmen aufgrund der Sicherheitslücken auch legitimer mobiler Apps, für die es die unzureichende Aufmerksamkeit der App-Entwickler um die Sicherheit ihrer Produkte zuschreibt, selbst aktiv werden. Für den Schutz der Mitarbeiter, der Infrastruktur des Netzwerkes und den Datenbestand sei es ratsam, dass Firmen geeignete Sicherheitsmaßnahmen ergreifen.

Zscaler empfiehlt Sicherheitslösungen, die den mobilen Datenverkehr lückenlos analysieren und gegebenenfalls blocken, sowie mehrstufige, intelligente Sicherheitskonzepte kombinieren. Aber auch strikte Mobile-Device-Management-Policies und Schulungen der Mitarbeiter zu App-Sicherheit helfen, Datenverlust und Sicherheitsverstöße zu vermeiden.

[mit Material von Kai Schmerer, ZDNet.de]