Die Bedrohung von mobilen Kommunikationsgeräten ist stark im Steigen.
Wie im neuesten Bericht „DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014“ zu lesen ist, sind die Angriffe aus dem Internet insbesondere in den Bereichen Spam, Schadprogramme,
Social Engineering und Identitätsdiebstahl weiter am Steigen.

Die Anzahl von Schadprogrammen für Handy, Tablett und dergleichen ist sehr stark am Steigen. Zusätzlich zu den etablierten Angriffsmöglichkeiten, bieten diese Geräte durch den „allways on“ Modus weitere Angriffsmöglichkeiten.

So können scheinbar nützliche Apps Schadprogramme enthalten die Informationen zusammensuchen und sie dann als teure SMS versenden. Es kann jederzeit ihr Standort überwacht werden oder Passwörter und Logdateien ausspioniert werden.

Öffentliche Hotspots bieten meist keine Verschlüsselung an, so dass unbefugte Dritte mitlesen können. Das ist besonders interessant bei online-Banking oder der Übertragung von vertraulichen Nachrichten.

Wenn sie über GSM telefonieren sind sie nicht abhörsicher. Ihre geheimen und schützenswerten Informationen können mitgehört werden.

Auch industrielle Netzwerke stehen im Fokus von Cyberangriffen. So konnte mittels Spearpishing und ausgefeiltem Social Networking in das Netzwerk eines Stahlerzeugers eingedrungen werden. Es häuften sich Ausfälle von Steuerungskomponenten. Und am Schluss konnte ein Stahlofen nicht mehr geregelt heruntergefahren werden. Er befand sich in einem undefinierten Zustand, damit entstand ein hoher Sachschaden.

In mehreren Grosskonzernen wurden hochrangige Mitarbeiter mittels fingierter E-Mails darüber informiert, dass infolge eines Updates im IT-System zur Personalverwaltung ein Verdacht auf Inkonsistenzen in einzelnen Datensätzen bestehe. Unter diesem Vorwand wurden die Adressaten aufgefordert, die Kopie eines amtlichen Lichtbildausweises und die Bankverbindung ihres Gehaltskontos zu übermitteln. Die E-Mails in nahezu perfekter deutscher bzw. englischer Sprache enthielten die Legende einer vollständigen Mailhistorie samt E-Mail-Headern mit authentischen Firmen-E-Mail-Adressen, um den Vorgang augenscheinlich zu legitimieren. Bemerkenswert war, dass die in der gefälschten Historie genannten Mitarbeiter tatsächlich in den jeweiligen Personalabteilungen tätig waren. Die Konten der Mitarbeiter, die der Aufforderung folgten,
wurden geplündert und aufgelöst.

Gerne mache ich für sie eine Schnittstellenanalyse ihrer Prozessleitsysteme, oder unterstütze sie in einer Sensibilisierungskampagne für ihre Mitarbeiter.