Die letzten Jahre waren nicht einfach für Android-Geräte. Gewiss, mehr als 900 Millionen dieser Geräte sind allein 2013 aktiviert worden. Allerdings nützen diese beeindruckenden Verkaufszahlen nichts, wenn es darum geht, Cyber-Kriminelle daran zu hindern, diese Open Source-Geräte für ihre Zwecke auszunutzen. Wir haben Android-Schwachstellen bereits ausführlich diskutiert. Auch haben wir gezeigt, wie ein VPN mit zentralem Management als Teil eines umfassenden Sicherheitskonzepts für Remote Access viele dieser Bedrohungen verringern kann. Jedoch bringt eine aktuelle Veröffentlichung der Ben-Gurion-University eine völlig neue Wendung in die Diskussion. In der Veröffentlichung heißt es, dass schädliche Apps verwendet werden können, um VPN-Konfigurationen zu umgehen und Verbindungen über eine fremde Netzwerkadresse umzuleiten.
Wie Jeffrey Ingalsbe, Leiter des Center for Cyber Security and Intelligence Studies der Universität von Detroit Mercy gegenüber SC Magazine erklärte, wird durch diese neue Schwachstelle „einer der [Sicherheits-] Pfeiler angegriffen, von welchem wir angenommen haben, wir könnten uns in der mobilen Welt darauf stützen“ – VPNs. Ingalsbe hat Recht: VPNs sind seit langem wesentlicher Bestandteil der Lösungen, welche den Fernzugriff auf Unternehmensnetzwerke sichern. Die Möglichkeit, dass dieses Stück Sicherheit nun Schaden nimmt, ist alarmierend. Wenn wir uns die von der Ben-Gurion-Universität entdeckte Schwachstelle jedoch genauer ansehen, wird deutlich, dass Cyber-Kriminelle sich eines alten Tricks in neuer Verkleidung bedienen.
Die Forscher verwendeten einen sogenannten Man-in-the-Middle-Angriff (MitM). Mit diesem eigentlich ziemlich simplen Angriff umgingen sie den Sicherheitsmechanismus des VPNs. Man-in-the-Middle-Angriffe sind so konzipiert, dass sie die Verbindungen zwischen zwei Endgeräten – in diesem Fall also die Verbindung zwischen einem Android-Gerät und einem Unternehmensnetzwerk – abfangen. Dies geschieht vor dem Eintritt in einen sicheren, verschlüsselten VPN-Tunnel. Stattdessen werden die unverschlüsselten Daten an einen anderen Ort umgeleitet, wie beispielsweise den Computer des Hackers. Dort werden die Daten schnell auf der lokalen Festplatte des Geräts gespeichert, bevor sie weiter in das VPN und in das Unternehmensnetzwerk geleitet werden. Glücklicherweise sind VPNs lediglich eine Komponente einer Defense-in-Depth-Strategie für sicheren Remote Access.
Die Schulung der Mitarbeiter ist vielleicht der wichtigste Schritt für Unternehmen zur Verhinderung dieser Art von Angriffen. Die neue Android-VPN-Schwachstelle wird erst dann zum Problem, wenn eine schädliche App heruntergeladen wird. IT-Sicherheitsexperten müssen ihre Mitarbeiter über die Gefahren eines unsicheren Remote Access aufklären. Dabei müssen sie auch die Bedeutung von Legitimitätsprüfungen aller Apps, welche Mitarbeiter auf ihre Geräte herunterladen, erläutern. Unter Berücksichtigung dessen sollte noch erwähnt werden, dass VPNs selber sicher sind, solange IT und Mitarbeiter zusammen arbeiten, um zu gewährleisten, dass alle notwendigen Sicherheitsvorkehrungen und -protokolle eingehalten werden.
Bisher sind, bis auf den von den Forschern der Ben-Gurion-Universität gemeldeten Fall, noch keine Fälle der Ausnutzung dieser sogenannten Android-VPN-Sicherheitslücke gemeldet worden. Dennoch bestärken aufkommende Bedrohungen wie diese immer wieder die Notwendigkeit einer umfassenden Remote Access-Sicherheitslösung. Jetzt, da das Jahr 2014 noch in den Kinderschuhen steckt, ist die geeignete Zeit für Unternehmen, ihre IT -Sicherheitsstruktur neu zu bewerten und alle möglicherweise vorhandenen Sicherheitslücken mit einem Patch zu beheben.
