Mobile Security in der Praxis
Die drei Grundlagen für Unternehmens-Apps
Nach Einschätzung des Anbieters Progress Software sollten drei technische Vorgaben für die Sicherheit mobiler Unternehmens-Apps möglichst schon im Vorfeld der Einführung geklärt sein.
Immer mehr Organisationen ermöglichen Mitarbeitern, mit Smartphones oder Tablets Unternehmens-Apps zu nutzen. Vor dem Einsatz aber, besser noch vor der Entwicklung von Apps, müssen die zentralen Sicherheitsfragen geklärt werden. Der Anbieter Progress Software hat die aus seiner Sicht wichtigsten, technischen Voraussetzungen formuliert.
1. Sichere Benutzer-Authentifizierung gewährleisten
Auf der ersten Stufe genügt eine anonyme Authentifizierung, bei der Benutzer auf öffentliche Inhalte zugreifen können, ohne dass eine Abfrage von Benutzername und Kennwort erfolgen muss. Auf der zweiten Stufe ist eine so genannte Basic Authentication notwendig, bei der eine mobile Unternehmens-App den Benutzernamen und das Passwort übermitteln muss. Auf der dritten Stufe schließlich, wenn es um eine hohe Sicherheit geht, müssen die Entwickler das Anmeldeformular individuell gestalten. Zusätzlich zu Benutzername und Passwort ist ein Sicherheitszertifikat erforderlich – nur dann können Anwender auf unternehmenskritische Daten und Ressourcen zugreifen.
2. Datenverkehr verschlüsseln
Die sichere Kommunikation von mobilen Clients zu den Applikationen im Rechenzentrum muss bei Bedarf über den HTTPS-REST-Transport und TLS (Transport Layer Security) sichergestellt sein. Damit ist eine geschützte Verbindung bei der Übertragung sensibler oder vertraulicher Daten zum Unternehmensnetzwerk möglich. Die dazu benötigten Basisfunktionen werden bereits von Android und iOS unterstützt und die mobile App muss dafür sorgen, dass die Übertragung über eine SSL-Verbindung läuft.
3. Transparente Datenverschlüsselung auf Back-End-Systemen
Die Transparent Data Encryption (TDE), wie sie beispielsweise die relationale Datenbank der Entwicklungsplattform OpenEdge von Progress verwendet, verschlüsselt und entschlüsselt Daten in Echtzeit. Erforderlich ist dies, wenn sogenannte »ruhende Daten« (Data at Rest), etwa aufgrund gesetzlicher Vorschriften, Bestimmungen oder Richtlinien, effizient geschützt werden müssen. Softwareentwickler können so ganz gezielt Verschlüsselungsalgorithmen für mobile Unternehmens-Apps einsetzen.
»Die Sicherheit mobiler Unternehmens-Apps muss drei große Bereiche berücksichtigen: erstens Anwendungen und Daten auf mobilen Endgeräten, zweitens den Datentransfer und drittens die Systeme, Applikationen und Daten im zentralen Rechenzentrum. An allen drei Brennpunkten müssen Unternehmen spezielle Sicherheitsvorkehrungen treffen«, sagt Gary Calcott, Technical Marketing Manager, Application Development & Deployment, bei Progress Software in Frankfurt am Main. »Eine hohe Sicherheit kann nur dann gewährleistet werden, wenn sich Unternehmen bei der Bereitstellung oder Entwicklung mobiler Apps in einer ganzheitlichen Sicht den unterschiedlichsten Anforderungen annehmen und dafür End-to-End-Lösungen implementieren«.
Lesen Sie mehr zum Thema
