Startseite > Markt > Absicherung mobiler Apps im Unternehmen

Mobile-Security

Absicherung mobiler Apps im Unternehmen

12. Oktober 2015, 10:09 Uhr | Jörg Rensmann, Gründer und Geschäftsführer, "infoMantis"

Geht es um Smart-Devices im Unternehmen, drehen sich aktuelle Diskussionen hauptsächlich um die Entscheidung zwischen Bring-Your-Own-Device (BYOD) oder Choose-Your-Own-Device (CYOD). Doch ob privates Gerät oder vom Arbeitgeber gestellt, die weitaus interessantere Frage lautet, welche mobilen Sicherheitsmechanismen Unternehmen einleiten können, um sich vor den Gefahren eines vernetzten Arbeitsumfeldes zu schützen.

So oder so muss entschieden werden, welche Apps das Unternehmen zur Verfügung stellt, wo und wie die Apps auf dem Gerät Daten speichern und wie diese vor Fremdzugriffen abgesichert sind. Unterschiedliche Gerätelandschaften sowie die sich ständig ändernden Betriebssysteme sind hier nur zwei der vielen Herausforderungen, die gemeistert werden müssen. Worauf müssen Unternehmen also achten, wo lauern die größten Gefahren und wie kann das Projekt "Mobile Sicherheit" am effizientesten umgesetzt werden?

You shall not pass
Eine Grundvoraussetzung ist, dass die eingesetzten Apps ihre interne Datenhaltung sauber absichern – sprich die Daten verschlüsseln und verstecken. Es darf also keine Möglichkeit bestehen, über den Dateibrowser des Gerätes Zugriff zu sensiblen Daten oder Zugangsschlüsseln zu erhalten. Inkonsistent programmierte Apps gewähren Angreifern den Zugang zu solchen Daten. Die Absicherung fängt somit bereits dort an, wo festgelegt wird, auf welche Daten und Funktionen des Gerätes eine App Zugriff haben soll. Über sogenannte Sandboxes können Anwendungen der Zugriff auf bestimmte Bereiche verweigert werden, ohne dabei die Funktionalität einzuschränken. Schnittstellen zum Web sollten über eine saubere und rigorose Validierung der notwendigen Zertifikate abgesichert und die zugehörigen Signaturen fest in der App hinterlegt werden.

Durch die Anbindung an das Internet generell haben sich die Gefahren bei der Nutzung von mobilen Endgeräten erheblich erhöht. Das schließt sowohl gerätebezogene Schwachstellen als auch IT-Infrastrukturen des Unternehmens mit ein. Ein Beispiel ist die Anbindung an interne sowie externe WLAN-Netze. Jedes mit dem internen Netz verbundene Gerät stellt ein Einfallstor für Fremdzugriffe dar. In erster Linie ein Problem, dass sich nicht direkt auf das mobile Endgerät bezieht, da es hier vor allem darum geht, das Netzwerk entsprechend einzurichten und abzusichern. Sobald das beruflich genutzte Gerät allerdings auch mit privaten Netzwerken verbunden wird, auf deren Sicherheit das Unternehmen keinen Einfluss hat, dann ist auch die Qualität der genutzten Apps gefragt und wie diese mit Daten umgehen. Den Umweg über nicht ausreichend abgesicherte private Netzwerke nehmen Angreifer dankend in Kauf, um auf Unternehmensdaten zuzugreifen oder Trojaner einzuschleusen.