„Wer 24 Stunden am Tage sensible Daten mit sich führt, muss sich auch der Risiken bewusst sein“, sagt SySS-Geschäftsführer Sebastian Schreiber, der für renommierte Firmen IT-Sicherheitstests durchführt. Im Zeitalter von Smartphones und Tablets sind Unternehmensdaten mehr denn je in Gefahr, allein schon weil die kleinen Geräte viel häufiger gestohlen oder verloren werden. Und da Mobilgeräte zugleich vollwertige Computer sind, können Geheimdienste und Profis ihre Opfer perfekt ausspähen und überwachen, wie Sebastian Schreiber am 14. Mai in einer „Live Hacking“-Show auf dem Internetkongress iico 2013 in Berlin zeigen wird.
mobilbranche.de: Auf der iico 2013 gibt es von Ihnen eine „Live Hacking“-Show. Was sind dabei Ihre Highlights?
Sebastian Schreiber: Ich werde eine große Menge Angriffe zeigen. Persönlich freue ich mich am meisten darauf, Virenscanner auszuhebeln: ich kann jeden Schadcode durch jeden Virenscanner durchschleusen. Mein zweites Highlight ist die Umgehung der Schutzmaßnahme „PHP Magiq quotes“.
mobilbranche.de: Welche neuen Sicherheitsherausforderungen bringen denn Smartphones und Tablets mit sich?
Sebastian Schreiber: Mobile Endgeräte werden viel häufiger gestohlen oder werden verloren. Eine gute Verschlüsselung ist daher unverzichtbar. Spannend ist auch die Mischung von geschäftlichen und persönlichen Daten.
mobilbranche.de: Stichwort trojanisierte Handys: Wie lässt sich ein Handy trojanisieren und welchen Nutzen haben Hacker oder auch Geheimdienste davon?
Sebastian Schreiber: Ein Handy ist heute ein vollwertiger Computer: er verfügt über Webbrowser, Mailprogramm, Internetanbindung, etc. Man kann daher die winzigen Computer ähnlich tronjanisieren wie PCs. Geheimdienste und Profis können die Opfer perfekt ausspähen und überwachen. Neben der Einsichtnahme in E-Mails und SMS kann ein Täter z.B. auch das Mikrofon des Handys einschalten und Gespräche abhören (das zeige ich auch auf der iico 2013).
mobilbranche.de: Und wie wahrscheinlich ist es, sich in Deutschland einen solchen Handy-Trojaner einzufangen?
Sebastian Schreiber: Hier muss man differenzieren: ein Android-Trojaner ist viel wahrscheinlicher als ein iPhone-Trojaner. Wer sein System aufmerksam pflegt und bei der Installation von Apps vorsichtig ist, braucht einfache Trojaner nicht zu befürchten. Wer aber ins Visier echter Profis gerät, kann durchaus Opfer einer Attacke werden. Die Wahscheinlichkeit hängt daher auch von der Begehrlichkeit an den Daten der Zielperson ab.
mobilbranche.de: Ist es gefährlicher, aus der Ferne attackiert zu werden – oder an öffentlichen Orten mit seinem Mobilgerät zu arbeiten und dabei durch einen Blick über die Schulter ausspioniert zu werden?
Sebastian Schreiber: Natürlich können meine Daten einfach visuell ausgespäht werden. Wer im Zug vertrauliche Daten bearbeitet muss riskieren, hier ohne Hacker-Tricks ausgespäht zu werden. Kritische Daten bearbeite ich daher nur an einem halbwegs geschützten Ort.
mobilbranche.de: Was können Unternehmen tun, um die Mobilgeräte Ihrer Mitarbeiter zu schützen?
Sebastian Schreiber: Die MDM-Lösung muss das Gerät ordentlich härten, so dass z.B. eine PIN erzwungen wird und die Bildschirmsperre automatisch aktiv wird. Zudem macht es Sinn, die SSL-Verschlüsselung auf vertrauenswürdige Zertifikate einzuschränken (sonst sind MiM-Attacken möglich). Die wichtigste Maßnahme ist aber eine Sensibilisierung der Anwender: wer 24 Stunden am Tage sensible Daten mit sich führt, muss sich auch der Risiken bewusst sein.
mobilbranche.de: Vielen Dank für das Interview!
Wollen Sie über die Entwicklungen im Mobile Business auf dem Laufenden bleiben? Dann abonnieren Sie den kostenlosen Newsletter von mobilbranche.de im Formular oben rechts oder per E-Mail an abo@mobilbranche.de.
Eine Antwort zu “Interview: Sebastian Schreiber von SySS über mobile Sicherheitsrisiken.”
[…] Beim diesjährigen iico wird Sebastian Schreiber von SySS in einer Live-Hacking Show vorführen, mit welchen Tricks sich die Sicherheitsbarierren unserer PCs und mobilen Endgeräte umgehen lassen. Einen Ausblick gibt er im Interview auf http://www.mobilbranche.de. […]