ArtikelSecurity

Spioniere an einem anderen Tag: Wie mobile Agenten in die Privatsphäre von Benutzern eindringen

Eduard Meelhuysen, Vice President Sales EMEA bei Bitglass

Autor/Redakteur: Eduard Meelhuysen, Vice President EMEA Sales bei Bitglass/gg

Mit der zunehmenden Einführung von BYOD im Arbeitsalltag stehen Unternehmen vor der Herausforderung, Datensicherheit, Privatsphäre und Benutzerfreundlichkeit miteinander in Einklang zu bringen. Um die mit dem Unternehmensnetzwerk verbundenen Mobilgeräte zu überwachen, setzen zahlreiche Firmen auf Mobile Device Management-Lösungen (MDM). Dies erfordert die Installation eines Software-Agenten auf dem privaten Endgerät der Mitarbeiter. In der Regel sind sich die Mitarbeiter darüber bewusst, dass sie durch die Aktivierung der Software auf ihren persönlichen Geräten ein gewisses Maß an Kontrolle über ihre Daten an ihren Arbeitgeber abgeben.

Wie ein Experiment von Bitglass allerdings zeigt, hat die allgemein vorherrschende Vorstellung, sowohl auf Seiten der Mitarbeiter als auch der Arbeitgeber, mit der Realität wenig zu tun. Vor allem mit Blick auf die Europäische Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft treten wird und Nutzern mehr Rechte zur Wahrung ihrer Privatsphäre einräumt, lassen die Ergebnisse aufhorchen.

Das Experiment

In einem einwöchigen Experiment testete ein IT-Forschungsteam von Bitglass, inwieweit MDM dazu genutzt werden kann, Smartphones und Tablets von Mitarbeitern ohne ihr Wissen zu überwachen und zu steuern. Jeder, der an der Studie teilnahm, gab dem Team die Erlaubnis, MDM-Zertifikate per Push an ihre Geräte zu übertragen. Eine Praxis, die üblicherweise für die Datenübertragung über das Firmennetzwerk über ein Virtual Private Network (VPN) oder einen globalen Proxy verwendet wird. In nur sieben Tagen sammelte die MDM-Software eine Reihe von Informationen über die Interessen, Aktivitäten, Identitäten und Beziehungen der Mitarbeiter. Während des Experiments gelang es den Versuchsleitern, auf folgende Informationen zuzugreifen:

  1. Surfverhalten

Mit dem Routing des Datenverkehrs über einen globalen Proxy war es möglich, das Surfverhalten von Mitarbeitern zu erfassen. Der Zugriff auf ihren Browserverlauf gewährte Einblick in sämtliche Vorgänge, von der Amazon-Produktsuche über vertrauliche Anfragen bei Gesundheitsdienstleistern bis hin zu politischen Interessen und Mitgliedschaften.

  1. SSL-verschlüsselte Daten

Darüber hinaus gelang es den IT-Experten, mittels eines globalen Proxies in Verbindung mit einem vertrauenswürdigen Zertifikat, die SSL-Verschlüsselung zu deaktivieren. Durch die unverschlüsselte Umleitung von SSL-Datenverkehr erhielt das Forschungsteam Zugang zu den persönlichen E-Mail-Postfächern von Benutzern, ihren Konten bei sozialen Netzwerken und Bankdaten. Mit anderen Worten: Alle sicheren Anmeldedaten wurden offengelegt, da Benutzernamen und Kennwörter, die zur Kontoanmeldung verwendet werden, als Klartext an den Server der Versuchsleiter übermittelt wurden.

  1. E-Mailverkehr

Die Fähigkeit zur Überwachung aus- und eingehender privater Kommunikation mittels MDM war auch bei Apps von Drittanbietern möglich – und sogar auf iOS, was die vorherrschende Meinung, dass App-Sandboxing den Einblick von Arbeitgebern in das Benutzerverhalten einschränke, wohl widerlegt. Mit Hilfe von Apps wie Gmail und Messenger gelang es sogar, versendete persönliche Mitteilungen abzufangen und eine Liste aller auf dem Gerät eines Mitarbeiters installierten Apps zu erstellen.

  1. Aufenthaltsorte

Die meisten Teilnehmer des Experiments waren sich darüber bewusst, dass Administratoren verwalteter Geräte problemlos deren Standort ermitteln können, sofern GPS aktiviert ist. Wenigen war jedoch klar, inwieweit dies für das Erstellen eines Bewegungsprofils missbraucht werden kann. Das Forschungsteam ging noch einen Schritt weiter und sorgte dafür, dass GPS ohne Benachrichtigung des Benutzers im Hintergrund aktiv blieb. Dies ging nicht nur deutlich zu Lasten der Akkuleistung, sondern gab anhand des Standorts auch Auskunft über die Freizeitgewohnheiten der Teilnehmer. Dadurch konnte das Forschungsteam nachvollziehen, wo die Mitarbeiter ihre Freizeit verbrachten, wie häufig sie einkaufen gingen und vieles mehr.

  1. Geräteeinstellungen

Vor allem das im Rahmen von MDM mögliche Zurücksetzen der Geräteeinstellungen, bereitet Mitarbeitern Sorgen, da viele von ihnen private Kontakte, Notizen, Fotos und andere Daten auf ihren persönlichen Geräten speichern. Dem Forschungsteam gelang es im Experiment, mittels MDM die Backup-Funktion so einzuschränken, dass eine Wiederherstellung von Diensten wie iCloud unmöglich wurde und den Betroffenen so gut wie keine Möglichkeit zur Wiedergewinnung verlorener Daten blieb.

  1. Benutzerzugriff

Das Forschungsteam war zudem in der Lage, in zentrale Sicherungs- und Sperrfunktionen einzugreifen und so den Benutzerzugriff auf die Kamera, Apps wie FaceTime und grundlegende Aktionen wie Kopieren und Einfügen einzuschränken.

Angesichts des bevorstehenden Inkrafttretens der DSGVO im Mai 2018 ist es für europäische Unternehmen ratsam, die Sicherheit ihrer BYOD-Konzepte – beziehungsweise deren Potential für Sicherheitslücken – einer Prüfung zu unterziehen. Sie müssen sicherstellen, dass Mitarbeiterdaten nur in dem laut Datenschutzvereinbarung deklarierten Ausmaß verarbeitet und gespeichert werden. Gleichzeitig muss die Art der Datenverarbeitung gewährleisten, dass Mitarbeiter ihre Einwilligung dazu widerrufen können und die bereits gesammelten Daten nicht an Dritte übermittelt sowie im Fall eines Widerspruchs gelöscht werden können.

Für den Fall, dass Mitarbeiter auf Grund von Datenschutzbedenken die Installation von MDM-Lösungen ablehnen, sollten Unternehmen bei der mobilen Sicherheit auch andere Ansätze in Betracht ziehen. Agentenlose BYOD-Softwarelösungen beispielsweise ermöglichen ein verbessertes Anwendungserlebnis, da keinerlei Einschränkungen in den Geräte- und Anwendungsfunktionen vorgenommen werden. Gleichzeitig ist die vollständige Übersicht und Kontrolle über Geschäftsdaten sichergestellt, ohne in die Privatsphäre der Endbenutzer einzugreifen, womit die Einhaltung von Datenschutzbestimmungen gewährleistet ist.

Weitere Informationen: https://www.dropbox.com/s/k6ig6mp5f7p49nw/Spy_Another_Day_EU1.pdf?dl=0