Mobile-Security
Absicherung mobiler Apps im Unternehmen
Fortsetzung des Artikels von Teil 1
Über die Cloud beklaut
Der Umgang mit Daten ist nicht nur für Apps, sondern auch für die Mitarbeiter ein entscheidender Punkt. Viele Unternehmen nutzen zum gemeinsamen Austausch wichtiger Daten – beispielsweise zwischen Innen- und Außendienst – Cloud-Services von Drittanbietern wie Dropbox. Die Gefahr dabei besteht allerdings nicht nur darin, dass vertrauliche Informationen aus der Cloud in die falschen Hände geraten können, sondern auch, dass es ein Leichtes ist, Accounts bei solchen Anbietern zu "hacken". Im Handumdrehen sind Dateien modifiziert und ein Trojaner gelangt durch die Synchronisation auf das mobile Endgerät. Über das Öffnen dieser Datei erhalten Angreifer problemlos Zugriff auf das Unternehmensnetzwerk. Hier ist es weitaus sicherer eine eigene Infrastruktur aufzubauen, die vom Unternehmen selber den Anforderungen entsprechend verwaltet werden kann – sei es in Eigenregie entwickelt oder mit Hilfe eines kompetenten Dienstleisters. Auch auf die Wahl des Serverstandortes, intern oder beim Dienstleister, hat das Unternehmen dadurch einen entscheidenden Einfluss.
HTML- versus native App
Sicherheit ist bereits bei der Entscheidung zwischen nativer und HTML-App ein großes Thema, denn dabei bestehen erhebliche Unterschiede. Der offensichtlichste Punkt ist die Kontrolle: Da Web-Apps im Browserkontext laufen, sind viele Verarbeitungsprozesse bereits vorgeschrieben. Sicherheitsverfahren wie Certificate-Pinning sind dadurch zum Beispiel gar nicht oder nur über Umwege möglich. Auch der Speicherort von Daten wird bei HTML-Apps über den Browser festgelegt. Grundsätzlich ist also jede HTML5-basierte Lösung, die für interne Apps eingesetzt werden soll, unsicher.
Certificate-Pinning beschreibt ein Verfahren, bei dem Zertifikate, die zur Verschlüsselung von Datenverbindungen dienen, lokal gespeichert werden. Sie werden also bei der Ent- wicklung fest in einer App hinterlegt (englisch: to pin = anheften). Der Vorteil: Ein Zertifikat kann nicht einfach unbemerkt durch ein anderes ausgetauscht werden, wodurch Unbefugten der Zugriff auf sensible Daten erschwert wird.
Eine native App hingegen entsteht vollends in den Händen des Entwicklers. Dementsprechend hat er einen tiefen Zugriff auf verschiedenste Funktionen, wie zum Beispiel Verschlüsselung einzelner Daten. Darüber hinaus sind native im Vergleich zu HTML-Apps wesentlich aufwändiger bis gar nicht zu decodieren und geben so keine Einblicke in interne Mechanismen oder Daten. Sie bieten deutlich mehr Möglichkeiten, Informationen zu verschlüsseln und so zu verstecken, dass sie beispielsweise nicht einfach lokal im temporären Cache-Ordner des Browsers auftauchen.
- Absicherung mobiler Apps im Unternehmen
- Über die Cloud beklaut
- Kein Verlierer sein
- Die Gretchenfrage: Make or buy?
Lesen Sie mehr zum Thema
