Die Sicherheitslücke bei WhatsApp sorgte nicht nur bei Experten, sondern auch bei Privatpersonen für Aufruhr. Cyber Security geht also längst nicht mehr nur Unternehmen etwas an, sondern uns alle. Unsere Cyber Security-Experten erklären Ihnen, wie die Hacker bei WhatsApp vorgegangen sind und wie Sie Ihr Smartphone sicher machen können!
Letzte Woche wurde bekannt, dass der Instant-Messaging-Dienstleister WhatsApp von einer schwerwiegenden Sicherheitslücke betroffen ist (sehen Sie dazu auch das Interview unseres Chief Consulting Officers, Franco Cerminara, in der Tagesschau von Tele 1). Durch die Sicherheitslücke konnten Angreifer ohne Mitwirkung des Users einen Code auf dessen Smartphone ausführen. Dabei musste der Angreifer das Opfer lediglich anrufen – einfacher geht’s kaum! Der Angreifer macht sich dabei eine Sicherheitslücke in der Implementierung des VoIP-Signalisierungsprotokolls SRTCP (Secure Real-time Transport Control Protocol) von WhatsApp zunutze. Diese erlaubte es ihm, einen Schadcode zu übermitteln, ohne dass der Anruf überhaupt entgegengenommen wurde. WhatsApp-Betreiber Facebook hat dazu eine entsprechende Warnung ausgesprochen und die Nutzer angewiesen, umgehend die App zu aktualisieren.
Die Drahtzieher hinter der WhatsApp-Sicherheitslücke
Die Sicherheitslücke (CVE-2019-3568) ist sehr komplex. Sie wurde mutmasslich von der israelischen Firma NSO Group entwickelt, damit deren Kunden die Überwachungssoftware Pegasus auf die Geräte von Zielpersonen installieren können. NSO gibt an, die eigenen Produkte nur an Regierungen zu lizenzieren und selbst keine Angriffsziele auszuwählen. NSO-Software wird dabei beispielsweise eingesetzt, um Verdächtige aus dem terroristischen Milieu oder aus der organisierten Kriminalität zu überwachen. In diesem Zusammenhang wurde auch die Sicherheitslücke von Citizenlab entdeckt. Citizenlab ist eine kanadische Organisation, welche sich für Bürgerrechte einsetzt. Verschiedene Menschenrechtsaktivisten (auch von Amnesty International) wurden offenbar Opfer dieser Angriffe, wie Citizenlab aufdeckte.
Cyber Security für’s Smartphone? Unsere 6 Tipps helfen
Nach dem Bekanntwerden der Sicherheitslücke hat Facebook umgehend einen Sicherheits-Patch für Android (Version 2.9.134) und iOS (2.19.51) herausgebracht. Überprüfen Sie und Ihre Mitarbeitenden, ob die aktuellste Version von WhatsApp installiert wurde. Falls nicht, bringen Sie Ihr Gerät dringend auf den neuesten Stand. Denn die Sicherheitslücke kann durchaus als kritisch eingestuft werden, wenn man bedenkt wie weit verbreitet – nicht nur im privaten Umfeld – WhatsApp ist.
Unabhängig vom aktuellen WhatsApp-Hack: Der sichere Umgang mit mobilen Geräten durch Mitarbeitende ist für Unternehmen nur schwer kontrollierbar. Ein wichtiger Faktor dabei ist, dass sich die persönliche und geschäftliche Nutzung immer weiter vermischt. Was Vielen nicht bewusst ist: Smartphones stellen für Hacker ideale Spionagegeräte dar. Denn diese wahren «Hochleistungscomputer» sind mit diversen Sensoren ausgestattet (Kamera, Mikrofon, Beschleunigungssensor, GPS-Lokalisierung usw.) und können sich beinahe überall mit dem Internet vernetzen. Dies hat auch der renommierte Cyber Security-Guru Bruce Schneier anlässlich des InfoGuard Talks im letzten Jahr ausgeführt.
Es ist deshalb wichtig, dass Ihre Mitarbeitenden den sicheren Umgang mit Smartphones lernen im Rahmen von Security Awareness-Massnahmen. So schützen sie nicht nur ihre eigene Privatsphäre und Sicherheit, sondern auch die des Unternehmens. Worauf beim sicheren Umgang mit Smartphones & Co. geachtet werden muss? Wir haben Ihnen dazu die 6 wichtigsten Tipps zusammengestellt:
- Regelmässige Updates: Stellen Sie sicher, dass Ihre mobilen Geräte und jene Ihrer Mitarbeitenden regelmässig mit der neusten Software ausgestattet sind (OTA oder Over The Air Updates). Auch sollten Sie «automatisches Updaten» auf Ihren mobilen Geräten aktivieren.
- Zugang schützen: Mobile Geräte sollten einerseits mit einem Passwort, Fingerabdruck oder PIN-Code geschützt sein, andererseits sollten Sie bei neueren Geräten auch die integrierte Verschlüsselung der Daten aktivieren. Das können Sie in den Einstellungen überprüfen und gegebenenfalls ändern. Dadurch können Daten beim Verlust des Gerätes nicht ohne Weiteres ausgelesen werden.
- Sicherer Umgang mit Apps: Das grösste Sicherheitsrisiko stellt die Installation von Apps dar. Insbesondere bei Android-Geräten ist Vorsicht geboten: Google erlaubt es nämlich, Apps zu installieren, welche nicht aus dem offiziellen Google Play Store stammen und somit auch nicht geprüft wurden. Dadurch können gefährliche Apps von Drittanbietern installiert werden. Die Funktion «Installation von unsicheren Quellen erlauben» (oder ähnlich) sollte bei Android-Telefonen daher unbedingt deaktiviert sein.
Aber auch bei Apps aus den offiziellen Stores sollten Sie vorsichtig sein. Hier kann es ebenfalls vorkommen, dass bösartige Programme erst sehr spät entdeckt werden. Der gesunde Menschenverstand spielt hier eine zentrale Rolle. Prüfen Sie immer die Bewertung der App, die Sie installieren möchten, und lesen Sie die Kommentare. So können Sie besser beurteilen, ob die App sicher ist – oder eben nicht. - Kontrolle der App-Berechtigungen: Sobald eine App auf Funktionen des Smartphones zugreifen möchte, muss dies durch den Benutzer bei der Installation der App bewilligt werden. Diese Berechtigungen können Sie aber jederzeit in Ihren Einstellungen überprüfen und anpassen. Wenn es Sie zum Beispiel beunruhigt, dass eine Applikation Zugriff auf Ihre persönlichen Dateien oder auf das Mikrofon hat, entfernen Sie die Berechtigung. In der Regel funktioniert die App weiter wie gewohnt und wird sich melden, sobald eine Berechtigung erforderlich ist.
- Sicherer Umgang mit Internet und E-Mail: Ein Smartphone ist im Grunde nichts anderes als ein Mini-Computer. Und wie bei herkömmlichen Computern auch, lauern die meisten Gefahren im Internet, womit beim Surfen auf dem Smartphone die gleichen Gefahren lauern. Seien Sie auch vorsichtig beim Öffnen von E-Mail-Anhängen und lassen Sie sich nicht von Phishing-E-Mails hereinlegen. Tipps zum Schutz vor Phishing finden Sie in unserem kostenlosen Phishing-Poster.
- Sicheres Laden: Strafverfolgungs-Behörden können mit entsprechenden Geräten bei der Sicherstellung eines Smartphones die Daten auslesen. Das können aber auch Kriminelle! Deshalb ist bei öffentlichen Ladestationen grosse Vorsicht geboten. Sie wissen nicht, ob die USB-Schnittstelle in der Wand auch wirklich nur Strom übermittelt oder ob sich dahinter ein Auslese-Gerät verbirgt. Deshalb raten wir Ihnen, immer nur Ihr eigenes Original-Ladegerät zu verwenden – oder ein sogenanntes «USB-Kondom» zwischen Ihrem mobilen Gerät und dem USB-Port einzusetzen. Dieses verhindert den ungewollten Datenaustausch.
Das Cyber Security-Zauberwort heisst Security Awareness
Sie sehen: Gefahren lauern überall. Und schnell kann das private Mobilgerät eines Mitarbeitenden zu einem Sicherheitsrisiko für Ihr Unternehmen werden. Mitarbeitende fallen natürlich nicht absichtlich auf Cyberattacken herein. Sie wissen oftmals schlicht und einfach nicht, wie sie sich korrekt verhalten müssen. Ändern Sie das und sensibilisieren Sie Ihre Mitarbeitenden zum Thema Security Awareness!
InfoGuard bietet Ihnen Security Awareness-Schulungen an, in denen unter anderem der sichere Umgang mit Smartphones gelehrt wird. Egal ob Workshops, E-Learning-Kurse, Live Hacking oder interne Awareness-Kommunikation: Unsere Experten helfen Ihnen und Ihren Mitarbeitenden, das Unternehmen sicherer zu machen!