Mobile Security
Mit Zertifikaten die wachsende Flut mobiler Apps absichern
Wer lage genug in der IT-Branche tätig ist, wird Veränderungen in Hülle und Fülle miterlebt haben. Jede dieser Veränderungen war unausweichlich, doch manche sind interessanter als andere. So ist beispielsweise der Aufstieg der mobilen Anwendungen ohne Zweifel einer der größten Veränderungsprozesse.
Bei mobilen Anwendungen für Verbraucher, wie etwa Videospielen und sozialen Medien, kann man Sicherheitslücken ohne weiteres aufspüren, wenn man sich auf diesem Gebiet auskennt. Vielen Entwicklern mobiler Apps fehlt jedoch ein fundiertes Sicherheits-Know-how, und so kann es passieren, dass ihre Anwendungen Risiken ausgesetzt sind, an die sie überhaupt nicht gedacht haben. Als die ersten mobilen Anwendungen aufkamen, stellte sich einigen Sicherheitsverantwortlichen auch die Frage, wer eigentlich für die Verteilung und Verwaltung der Sicherheitszertifikate bei mobilen Geräten verantwortlich ist.
Seit immer mehr zertifikatsbedingte Sicherheitspannen die Aufmerksamkeit der Verbraucher erregen, sind die Sicherheitsprobleme mobiler Apps in aller Munde. Legionen von Kaffeetrinkern haben die mobile App von Starbucks gelöscht, nachdem Hacker deren Sicherheitsmängel ausgenutzt hatten, um direkt auf die Bank- und Kreditkartenkonten von Verbrauchern zuzugreifen. Und als sich herausstellte, dass die “OnStar RemoteLink”-App Zertifikate nicht richtig überprüfte und damit Hacker in die Lage versetzte, Fahrzeuge von GM aus der Ferne zu verfolgen, zu entsperren und sogar zu starten, überlegten sich GM-Fahrer zweimal, ob sie die mobile App des Autoherstellers wirklich nutzen sollen. GM hat das Problem seither behoben, doch viele Konkurrenten scheinen das nicht getan zu haben: Vor kurzem nutzte ein Hacker genau die gleiche Schwachstelle bei Zertifikaten in iOS-Anwendungen für BMW, Mercedes und Chrysler aus.
Solche Probleme zeigen, wie wichtig digitale Schlüssel und Zertifikate sind - tatsächlich bilden sie das Sicherheitsfundament für alle vernetzten Geräte. Doch seit selbst die konservativsten Unternehmen begonnen haben, Geschäftsanwendungen für mobile Geräte zu entwickeln, ist es schwierig geworden, den Überblick zu behalten. Unternehmen geben weitere Informationen preis, die früher auf ihre eigenen Netzwerke beschränkt waren. Und noch trüber werden die Gewässer der mobilen Sicherheit durch die BYOD-Revolution (Bring Your Own Device), in deren Zuge Mitarbeiter mit Geräten auf geschäftliche Daten zugreifen, über die das Unternehmen keine Kontrolle hat. All dies hat dazu geführt, dass die Verifizierung digitaler Zertifikate wesentlich schwieriger geworden ist. Doch solange sich die beschriebenen Bedingungen nicht ändern, werden Cyber-Kriminelle fortfahren, digitale Zertifikate sowie Unternehmens- und Mitarbeiterdaten auf mobilen Geräten auszunutzen - ganz einfach deswegen, weil es sich leicht bewerkstelligen lässt.
Um dem einen Riegel vorzuschieben, müssen die Entwickler mobiler Apps in der Lage sein, ihre kryptographischen Schlüssel und digitalen Zertifikate zu schützen. Unternehmen wie Venafi stellen Sicherheitstools zur Verfügung, mit denen Entwickler Zertifikate auf mobilen Geräten finden und verwalten können. Genau wie das menschliche Immunsystem den Körper nach Krankheitserregern und Anomalien absucht, kontrollieren sie wie - das Immunsystem für das Internet - mobile Geräte im Unternehmensnetzwerk, um Anomalien und Risiken bei Zertifikaten zu finden und problematische Zertifikate rasch zurückzuziehen. Zudem integrieren sich solche Ansätze mit den meisten Lösungen für Mobile Device Management (MDM) und trägt so zur Durchsetzung von Unternehmensrichtlinien bei, die Unternehmen dabei helfen können, sich in einem Meer von Vorschriften und Sicherheitsanforderungen über Wasser zu halten.
Hari Nair ist Director Product Management bei Venafi
Lesen Sie mehr zum Thema
