Containerization, App Wrapping und MAM
Sichere mobile Apps
Mit Smartphones und Tablets in der Mitarbeitertasche verlassen auch kritische Daten und Anwendungen das Unternehmen. Dem Zugewinn an Mobilität bei der Arbeitsgestaltung stehen Bedarf an kontrollierter Öffnung der internen IT-Infrastruktur und ein erhöhtes Risiko von Datenlecks gegenüber. Das rein geräteorientierte Mobile-Device-Management (MDM) stößt durch die Benutzerfreiheiten von Apple IOS und Co. an seine Grenzen. Gefragt sind neue Ansätze für ein Mobile-Application-Management (MAM), verfolgt von Anbietern wie Good, Mobileiron, Airwatch, Mocana, Citrix und Blackberry - hier ein Überblick.Iphones und Ipads halten nach ihrem weltweiten Erfolg als treuer Begleiter für alle privaten Fragen auch verstärkt Einzug in die Unternehmens-IT. Apple unterstützt diese Entwicklung mit spezifischen Enterprise-Funktionen im Standardrepertoire der IOS-Plattform. E-Mail, Kontakte und Kalender (PIM) lassen sich über eine SSL-gesicherte Verbindung mittels Exchange Activesync Protocol mit Groupware-Servern wie Microsoft Exchange und Lotus Domino abgleichen. Zu Intranet- und Anwendungs-Servern hinter der Unternehmens-Firewall bohren die Endgeräte durch feindliche Netze einen verschlüsselten VPN-Tunnel - bei Bedarf unter Einsatz von Client-Zertifikaten auch "on Demand". Client-Zertifikate sorgen auch bei der Benutzerauthentifizierung gegen Enterprise-WLANs und Web-Anwendungen für Komfort und Sicherheit. Ein komplexer Gerätezugangscode und die damit verbundene Geräteverschlüsselung schützen lokal gespeicherte Daten (Data at Rest), Apps und die Verbindungen ins Unternehmen vor dem Zugriff Dritter. Die in IOS fest implementierten Verwaltungsfunktionen ermöglichen es, in Verbindung mit einer entsprechenden MDM-Lösung all diese Aspekte zusammen mit weiteren Restriktionen zentral durch die IT zu administrieren. Dazu gehört auch die Bereitstellung interner Apps über einen unternehmensspezifischen App Store. Insgesamt führt IOS heute deutlich vor den Plattformen Google Android und Microsoft Windows Phone bei den Möglichkeiten zur Absicherung der IT-Integration. Daraus allein lässt sich aber allenfalls eine trügerische Sicherheit für den Unternehmenseinsatz ableiten. IOS-Geräte bleiben ohne zusätzliche Maßnahmen stets ihrem Grunddesign treu und damit fest unter Kontrolle des Anwenders. Sicherheitsrichtlinien des Unternehmens lassen sich kaum durchsetzen. So wandern über das Geschäftskonto empfangene E-Mail-Anhänge via "senden an" komfortabel in die private Dropbox oder mittels Airprint auf den heimischen Drucker. Unterbinden lässt sich dies netzwerkseitig nicht, denn der Benutzer kann jederzeit unkontrolliert WLANs hinzufügen und ein limitierendes VPN-on-Demand ins Unternehmen ohne Spuren temporär deaktivieren. Trügerische Sicherheit Auch ein seit IOS 6 verfügbarer "Zwangs-HTTP-Proxy" dichtet diese Lücke nur unzureichend ab. Airprint steuert zum Beispiel Drucker im lokalen WLAN vorbei an bestehenden VPN-Verbindungen an, auch wenn der integrierte Cisco-IPSec-Client eigentlich sämtlichen Datenverkehr ins Unternehmen leiten sollte ("Split Tunnel"). Das gilt auch für Airplay, das IOS-Bildschirme via WLAN an PCs zu übermitteln vermag. Eine MDM-basierte Unterbindung von Screenshots, um sensible Unternehmensdaten nicht zu leicht nach draußen sickern zu lassen, ist nicht zuletzt auf diesem Hintergrund weitgehend wirkungslos. Möchte sich der Benutzer von den durch die IT auferlegten Fesseln gänzlich lösen, kann er jederzeit das zentrale MDM-Profil löschen. Tröstlich ist hier zumindest, dass er damit auch alle Konfigurationsdaten, Zugangszertifikate und Apps aus einem Enterprise App Store inklusive Daten vom Gerät löscht. Apple überlässt es zudem Dritten, weitergehendes Risikopotenzial durch einen Jailbreak des Geräts zu erkennen und Gegenmaßnahmen einzuleiten. Reine MDM-Lösungen scheitern mittlerweile aber selbst an dieser Aufgabe. Eine Jailbreak-Prüfung kann nur durch eine aktiv laufende App erfolgen. Apple verbietet es MDM-Anbietern, MDM-Client-Apps, die diese Aufgabe klassischer Weise übernehmen, programmiertechnisch als "Navigations-App" zu deklarieren, um damit auch im Hintergrund regelmäßige Prüfungen durchführen zu können. Für den Anwender verbleibt kaum eine Motivation, eine ansonsten für den Tagesbetrieb funktionslose App regelmäßig aufzurufen. Dabei ist eine effektive Jailbreak-Überwachung für die Unternehmenssicherheit durchaus als existenziell anzusehen: So steht ein vermeintlich sicherer VPN-Kanal ins Unternehmen grundsätzlich jeder App auf dem mobilen Gerät als Einfallstor offen. Enterprise-Apps mit SSO einbinden Seit Anfang des Jahres adressiert Mobileiron Teile der Plattformschwachstellen mit Appconnect und Apptunnel als Funktionserweiterung seiner etablierten MDM-Lösung (siehe Link). Über das Appconnect SDK lassen sich Enterprise-Apps in ein geräteseitiges Single Sign-on (SSO) einbinden. Für die SSO-Anmeldung an die so geschaffenen Mobileiron-Enterprise-Apps sowie in regelmäßigen Intervallen wird jeweils der MDM-Client Mobileatwork aufgerufen und somit auch eine Jailbreak-Prüfung vor dem Start und während des Betriebs jeder App durchgeführt. Kompromitierte Geräte meldet die Client-App auf diesem Weg an die zentrale MDM-Verwaltung, die dann das Gerät regelbasiert von der Unternehmensanbindung ausschließen kann. Appconnect erlaubt zudem die Kontrolle, welcher Benutzer Zugriff auf Airprint und Screenshots erhält und mit welcher anderen App ein Datenaustausch mittels "senden an" und Zwischenablage zulässig ist. Optional lässt sich für HTTP-Zugriffe auf Anwendungs-Server ein verschlüsselter Datenkanal (Apptunnel) über den Reverse-Proxy namens Sentry hinter die Unternehmens-Firewall spannen. Ist kein IOS-Entwickler für die SDK-Integration der eigenen Apps zur Hand, lassen sich die Kontrollfunktionen auch mittels App Wrapping auf interne Apps anwenden. Mobileiron nutzt die neu geschaffenen Absicherungsmethoden im Web-Browser Webatwork und mit der in den MDM-Client integrierten Funktionalität Docsatwork für den Zugriff auf Sharepoint-Dateibibliotheken selbst. Die E-Mail-, Kalender- und Kontakte-Apps von IOS ersetzt Mobileiron zwar nicht durch eine sichere, für den BYOD-Einsatz vom Privatbereich sauber getrennte Enterprise-Variante, doch lassen sich zumindest E-Mail-Dateianhänge durch das Secure Exchange Activesync Gateway Sentry so verschlüsseln, dass sie sich nur noch im kontrollierten Container Docatworks öffnen lassen. All diese Maßnahmen dienen dem zentralen Ziel, Geschäftsdaten nicht unkontrolliert vom Gerät entweichen zu lassen. Ein ähnliche App-orientierte Absicherung verfolgt auch der MDM-Konkurrent Airwatch (siehe Link). Auch Airwatch bietet ein eigenes App SDK, App Wrapping, die App "Secure Content Locker" für den Dateizugriff hinter der Firewall und einen zentral kontrollierbaren Browser. Der Datenaustausch zwischen Secure Content Locker und per SDK/App Wrapping integrierten Enterprise Apps lässt sich ähnlich wie bei Mobileiron steuern. Ein Ersatz für geräteweite VPN-Verbindungen verbleibt allerdings noch auf der Entwickungs-Roadmap. Container für Business-Apps Einen Schritt weiter bei der Schaffung sicherer "Unternehmens-App-Containern" geht dagegen Good Technology mit seiner Produktfamilie. PIM-Aufgaben und ein Intranet-Browser fasst die Lösung Good for Enterprise (GFE, Link) in seiner Good App zusammen. Ein Datenaustausch lässt sich auf andere mittels Good Dynamics (GD, Infrastruktur plus SDK) abgesicherte Apps beschränken, für die sich der Benutzer auf dem Gerät nur einmalig mittels SSO autorisieren muss. "Goodifizierte" Apps sind mittlerweile auch über den Itunes App Store von Drittanbietern verfügbar. Good selbst bietet für den Zugriff mittels GD auf interne Windows-Freigaben und Sharepoint-Dateibibliotheken die Lösung Good Share an. Per Network Operating Center (NOC) jeweils für GFE und GD kommuniziert jede "goodifizierte" App sicher mit dem Unternehmen. Im Gegensatz zu Mobileiron und Airwatch werden zudem auch alle lokal gespeicherten Daten unabhängig von der plattformeigenen Geräteverschlüsselung verschlüsselt. Dies prädestiniert die Lösung im Gesamtergebnis für BYOD-Szenarien. Solange sich die NOCs allerdings lediglich in den fernen USA befinden, fällt das Antwortverhalten beim Übertragen größerer Datenmengen nicht immer befriedigend aus. Dies will Good mit einem für Europa näher positionierten NOC ändern. Das Monopol von Good for Enterprise mit seiner eigenen abgesicherten PIM-Anwendung steht vor seinem Ende: Citrix hat jüngst nach Einverleibung von Zenprise Xenmobile MDM und das Mobile Solution Bundle vorgestellt. Blackberry arbeitet nach dem Launch von Blackberry OS 10 und Blackberry Enterprise Service 10 fleißig an der Lösung Balance für IOS und Android, die in der Architektur der bekannten Blackberry Infrastructure mit seinen NOCs dem Good-Konzept auch anderweitig sehr ähnelt. App Wrapping plus VPN Anbindungsprobleme aufgrund eines Umwegs via NOC oder eines auf HTTP beschränkten SSL Reverse Proxys begegnet das finanziell von Intel und Symantec befeuerte Unternehmen Mocana mit seiner Lösung MAP (Mobile App Protection). Die mittels App Wrapping gebildeten Secure App Container nutzen für die sichere Unternehmensanbindung bestehende VPN-Infrastruktur auf IPSec-Basis (etwa Cisco ASA). Dass jede App eine eigene sichere VPN-Verbindung ins Unternehmen schlägt, vermeidet den Nachteil geräteweiter VPN-Ansätze auf Betriebssystembasis. Auch hier sorgt unter anderem ein auf die App-Container begrenzter Datenaustausch inklusive eigener lokaler Datenverschlüsselung dafür, dass Dokumente nicht unkontrolliert das Unternehmen verlassen. Auf der Roadmap der jungen Entwicklung verbleibt ein Single Sign-on für MAP-Apps sowie die Integration in eine zentrale Verwaltungsplattform oder MDM-Lösung. Bis dahin werden die Sicherheitseinstellungen den Apps beim "Einpacken" mit auf den Weg gegeben. Für die App-Distribution im Unternehmen muss ein anderweitig bereitgestellter Enterprise App Store sorgen. Mocana arbeitet deshalb mit der Firma Apperian zusammen. Der Autor auf LANline.de: pmeuser
Lesen Sie mehr zum Thema
