Sicherheitslücke im Google Play Store: Apps unbewusst installiert

Kommentar von Bernd Ullritz, Sales Manager Data Security Germany & Security Evangelist bei Check Point Software Technologies GmbH

[datensicherheit.de, 17.02.2015] Android-Versionen 4.3 und ältere bleiben nach Angaben von Check Point Software Technologies GmbH unsicher. Bis dato zählen Sicherheitsexperten elf bekannte, nicht-behobene Sicherheitslücken in dem weitverbreiteten Betriebssystem für mobile Geräte. Im jüngsten Fall fanden Hacker eine Schwachstelle im Google Play Store: Die Webversion des Dienstes ermöglicht Angreifern das Installieren und Starten von Apps – ohne Wissen des Nutzers.

Google habe die Sicherheitslücke durch Blockieren des Zugangs von älteren Versionen der Webversion nur provisorisch behoben. Ob Google einen „echten“ Fix für das Problem anbieten werde, bleibe fraglich. Bereits letzte Woche kündigte das Unternehmen an, eine Lücke im Android-Browser nicht mehr zu patchen. Nutzer von älteren Betriebssystemen sollten auf andere Browser umsteigen, da eine Behebung nicht mehr lohnenswert sei.

OpenSource-Betriebssysteme tragen durch ihre offenen Quellcodes ein höheres Sicherheitsrisiko in sich, so Check Point. Gleichzeitig sei ihre einfache Verfügbarkeit der Grund für ihren Erfolg und ihre Beliebtheit. Bei Angestellten in Unternehmen seien sie ebenfalls weit verbreitet. Im modernen Arbeitsalltag griffen die mobilen Geräte häufig auf Geschäftsnetzwerke zu und ermöglichten flexibles, effizientes Arbeiten. Zeitgleich seien sie durch den eingeschränkten Support sowie aufgrund der vielen bekannten und unbekannten Sicherheitsprobleme ein Risiko.

Unternehmen müssten solche Geräte in ihre Sicherheitsstrategie miteinbeziehen. Klassische Mobile Device Management (MDM)-Lösungen seien indes nicht mehr ausreichend, da eine Sicherheitslösung zwischen Geschäftsdaten und persönliche Apps unterscheiden müsse. Eine komplette Verwaltung von privaten Geräten von Mitarbeitern sei nicht mehr zeitgemäß.

Jedes Gerät ist als Endpunkt eines Netzwerks anzusehen und aufgrund der immer tiefer greifenden Mobilität müsse ein Sicherheitskonzept eine global greifende Lösung liefern. Verdächtige Dateien, Zugang zu verseuchten Websites und schädliche Bots müssten blockiert werden. In der dynamischen Welt der digitalen Integration könnten Anwender sich nicht auf die Softwarehersteller alleine verlassen.

Firmen müssten ihre Sicherheitsperimeter erweitern. Befallene Mobilgeräte trügen Gefahren in Netzwerke und Clouds hinein. Unternehmen bräuchten eine Sicherheitslösung, die sicheren und schnellen Austausch sowie Zugriff auf Unternehmensdaten durch autorisierte Nutzer gewähre. Diese müsse unabhängig plattformunabhängig und einfach zu implementieren sein. Neue Endgeräte und bestehende Sicherheitsmechanismen dürften dabei nicht ausgenommen werden, sondern seien wichtige Bauteile einer sicheren Infrastruktur.

Jede Schwachstelle in einem Mobilgerät sei eine offene Tür für Cyber-Kriminelle. Regelmäßige Logs und die zentrale Verwaltung von Ereignissen seinötig, um Sicherheitsrichtlinien anzupassen und durchzusetzen. Malware könne über jedes SmartPhone oder Tablet in ein Unternehmen eingeschleust werden. Unternehmen benötigten daher einen ganzheitliche Lösungsansatz, der sich an ihre Bedürfnisse anpasse.