Home >Mobile >App-Sicherheit am Arbeitsplatz -

App-Sicherheit am Arbeitsplatz -

Date post:05-Dec-2014
Category:
View:92 times
Download:3 times
Share this document with a friend
Description:
Heutzutage sind Apps nicht mehr aus dem Alltag wegzudenken. Auch Unternehmen haben sich mobilen Anwendungen bereits angenommen und geben ihren Mitarbeitern damit die Möglichkeit überall und jederzeit auf Unternehmensdaten zugreifen zu können. Längst reichen die unternehmensinternen Apps allerdings nicht mehr aus, um das volle Potenzial mobiler Geräte auszuschöpfen und daher werden vermehrt Consumer Apps für den Unternehmensgebrauch genutzt. Das Whitepaper informiert Sie über das Thema App-Sicherheit am Arbeitsplatz, die Nutzung vom Apps am Arbeitsplatz und geht hierbei besonders auf die Sicherheitsanforderungen von Unternehmen ein. Es beschreibt, worauf es bei App-Sicherheitstests ankommt und welche Vorgehensweisen und Herausforderungen es gibt. Das mTrust App Center ermöglicht Ihnen den sicheren Einsatz von Consumer Apps am Arbeitsplatz. Dies garantiert ihnen den Schutz Ihrer sensiblen Unternehmensdaten, trotz des Einsatzes von Apps aus den öffentlichen App Stores. Mehr unter http://mtrust.io
Transcript:
  • 1. App-Sicherheit am Arbeitsplatz White Paper Ein Service von Die ideale Lsung fr den sicheren Einsatz von Consumer Apps im Unternehmen. Apps aus ffentlichen App Stores sicher im Unternehmen einsetzen mit mTrust
  • 2. App-Sicherheit am Arbeitsplatz 2 Lngst reichen unternehmens- eigene Apps nicht mehr aus, um das volle Potenzial mobiler Gerte auszuschpfen. Wie eine Erhebung des Mobile Device Management Herstellers IBM Fiberlink zeigt, wer- den daher vermehrt auch Consu- mer Apps fr den Unternehmens- gebrauch zugelassen. Rund 62% der verteilten Anwendungen sind Consumer Apps (IBM, 2014). Doch wie lsst sich die Sicherheit von Un- ternehmensdaten gewhrleisten, wenn Consumer Apps zugelassen werden sollen? Apps - der unscheinbare Mittelpunkt der mobilen Branche Mobile Endgerte und mit ihnen mobile Apps haben ihren Siegeszug lngst angetreten. Neue Gerte erhalten bei der Verffentlichung viel Aufmerksamkeit, jedoch spielen Apps die entscheidende Rolle fr den Erfolg einer Plattform. Apps sind in jeder Lebenslage prsent und erleichtern dem Nutzer den Alltag. Die Erfahrung im Umgang mit Apps fhrt auch dazu, dass Anwender hohe Erwartungen an die Usability haben und sich einen angepassten Funktionsumfang wnschen. Dedi- zierte Aufgaben werden so hufig auf mehrere Apps verteilt (siehe: Facebook, Facebook Mes- senger, Facebook Seitenmanager), um die Komplexitt in einer App mglichst gering zu halten. Das Resultat ist jedoch, dass Anwender sowie Unternehmen mit einer Vielzahl von Apps konfrontiert werden. Die Entscheidung, welche Apps sinnvoll und vor allem sicher eingesetzt werden knnen, wird zunehmend schwieriger, denn die Sicherheitsanforderungen zur Platzierung von Apps in den ffent- lichen App Stores ist hufig gering. Eine Prfung der verffentlichten Apps erfolgt meist nur in Hinblick auf Stabilitt und Inhalt, jedoch weniger auf die Implementierung spezifischer Sicherheitsfunktiona- litten. Die hohen Sicherheitsan- forderungen von Unternehmen spielen bei der Entwicklung von Consumer Apps oft nur eine unter- geordnete Rolle. aller mobilen Sicherheitsvorflle treten auf Anwendungsebene ein (Gartner, 2014) 01Apps - Das, was wirklich zhlt 75%
  • 3. App-Sicherheit am Arbeitsplatz 3 Der Einsatz von Consumer Apps im Unternehmen Mitarbeiter wnschen sich, Apps auch geschftlich nutzen zu drfen, die sie bereits privat kennen und schtzen gelernt haben. Doch dies ist hufig mit etlichen Risiken verbunden (Stratecast, 2013). Die zuvor angesprochene heterogene Entwicklerlandschaft und oft laxe Kontrollen der App Stores sorgen dafr, dass viele Apps teilweise gravie- rende Sicherheitslcken aufweisen. Dies macht einen unbeschrnkten Einsatz im Unternehmen hufig zu einem riskanten Unterfangen. Da Apps meist nativ entwickelt werden, bieten sie die Mglichkeit, auf eine Vielzahl von Gertefunktionen zuzugreifen. Dies erhht jedoch zustzlich die Risiken, die von einer App ausgehen knnen. Nicht selten werden Benutzer durch kostenfreie oder gnstige Apps gelockt, die sich allerdings entweder ber In-App-Werbung oder hufig auch ber das Erheben und Weiterreichen von Daten finanzieren. So ist es zum Normalfall geworden, dass bereits simple Anwendungen Zugriff auf die Internetverbindung verlangen (ZScaler, 2014). Dieser Umstand sorgt dafr, dass erhobene Informationen auch unbe- merkt versendet werden knnen. Besonders kritisch ist dies, wenn die App dabei Zugriff auf sensible Unternehmensdaten erlangt und diese womglich unverschlsselt versendet. Eine App kann auch als Einfallstor zum Gert oder im schlimmsten Fall sogar zum Unternehmensnetzwerk missbraucht werden. Daher ist es zwingend notwendig geeignete Sicher- heitsmanahmen zu ergreifen und Prozesse zu etablieren, um sich dem Risiko einzelner Anwendungen bewusst zu werden. Zunchst sollte festgehalten werden, wie generell mit Consumer Apps umzugehen ist. Sollten diese im Unternehmenskontext genutzt werden, so ist es notwendig, einen Bestell- und Freigabeprozess zu definieren. Wenn die Nutzung von Apps ausgeschlossen werden soll, ist es neben einer eventuell technischen Umsetzung als Black- oder Whitelist auch wichtig, die eigenen Mitarbeiter entsprechend zu informieren. Dies schafft Klarheit und sorgt dafr, dass unntige Supportzyklen vermieden wer- den. In vielen Fllen gilt es auch die Lizenzfragen zu klren. Wer ist fr die Lizenzierung zustndig? Ist die App fr den geschftlichen Einsatz ausrei- chend lizenziert? Oder in umgekehrter Richtung fr den privaten Bereich? Dies sind alles Punkte, die vorab geklrt werden mssen, hufig aber nicht beachtet werden.
  • 4. App-Sicherheit am Arbeitsplatz 4 Unternehmensanforderungen an Consumer Apps Eine der Hauptanforderungen an Consumer Apps ist sicherlich der eigene Schutzbedarf. Unternehmen ist daran gelegen ihre Unternehmensdaten zu schtzen. Dies erfolgt aus einer Eigenverantwortung heraus oder aber auch aufgrund von Compliance Anforderungen. Nicht selten geht das Abhandenkommen von Unternehmensdaten mit einem Imageverlust ein- her, auerdem knnen auch rechtliche Verfahren und Strafen mgliche Konsequenzen sein. Damit das volle Potenzial von mobilen Anwendungen genutzt werden kann, mssen zunchst einige Herausforderungen gemeistert werden. Um die Sicherheit von Unternehmensdaten zu gewhrleisten, ist es unerlsslich, die eigenen Mitarbeiter aktiv einzubinden. Denn neben der Mitarbeiterzufriedenheit spielt auch die Akzeptanz eine entscheidende Rolle und es sollte nicht darauf gewartet werden, bis Mitarbeiter mobile Lsungen aktiv einfordern. Ein klares Konzept fr die mobile Ausrichtung des Unternehmens ist deshalb unerlsslich und sollte unbedingt auch Sicherheitsaspekte beinhalten. Unternehmen mssen sich im Klaren darber sein welche Daten wohin wandern und wie es um die Klassifizie- rung dieser beschaffen ist. Daher ist das berprfen von Consumer Apps hinsichtlich der Verarbeitung und bertragung von Unternehmensdaten vor der Freigabe fr den Unternehmenseinsatz elementar. Mobile security breaches are - and will continue to be - the result of misconfiguration and misuse on an app level, rather than the outcome of deeply technical attacks on mobile devices Dionisio Zumerle Gartner Principal Research Analyst
  • 5. App-Sicherheit am Arbeitsplatz 5 02Sicherheitsanforderungen an Apps und wie diese geprft werden Fr den reibungslosen Einsatz im Unternehmen mssen Apps also den Sicherheitsanforderungen entsprechen. Um dies zu gewhrleisten, ist es notwendig zunchst alle Systeme und Schnittstellen zu betrachten, welche Unternehmensdaten verarbeiten. Auf Seiten der mobilen Gerte geschieht dies im Regelfall innerhalb einer App. Es ist deshalb wichtig, hinter die Fassa- de der Apps zu blicken und sich bewusst zu machen, wie und welche Daten verarbeitet werden. Bei unternehmenseigenen Apps gestaltet sich dies meist unkomplizierter, da sie entweder im Unternehmen selbst, oder aber in enger Zusammenarbeit mit einem externen Partner, entwickelt wurden. Sobald man jedoch auch Consumer Apps einsetzen mchte wird es schwie- rig, denn in den wenigsten Fllen sind Entwickler dazu bereit, Einblick in ihren Quellcode oder die Architektur der Anwendung zu gewhren. Daher ist es notwendig, geeignete Mittel und Wege zu finden, Apps dennoch auf Sicher- heitsaspekte hin zu untersuchen. Fr die Sicherheitstests von Apps gibt es zahlreiche Frameworks, die oft bereits im Web-Bereich erprobt sind und sich auch auf die berprfung von Apps anwenden lassen. Eines der bekanntesten Frameworks ist das Open Web Application Security Project, kurz OWASP. Das OWASP stellt eine jhr- liche Top10 Liste der kritischsten Risiken fr Web Anwendungen zur Verf- gung. Anhand dieser Liste lsst sich ableiten, welche Vorkehrungen getroffen werden mssen, um eine Web Anwendung abzusichern. Seit einiger Zeit gibt es auch einen mobilen Ableger des OWASP. Hier wird dediziert auf mobile Risiken eingegangen. Diese beinhalten neben Punkten wie unsicherer Daten- speicher, Transportweg-Absicherung, Datenlecks, Autorisierung und Authen- tifizierung sowie Sitzungsmanagement auch Themen wie unzureichende Server-Absicherung und gebrochene Verschlsselung (OWASP, 2014). Die Absicherung der Daten auf dem Transportweg ist entscheidend, denn mobile Gerte kommunizieren hufig ber nicht vertrauenswrdige und meist drahtlose Netze. Dies erleichtert einem potenziellen Angreifer ein Mitlesen der Daten erheblich. Wenn sensible oder gar vertrauliche Daten verarbeitet werden ist es umso wichtiger, diese entsprechend sicher zu bertragen. Dennoch gibt es zahlreiche Apps, die selbst dieses klare Prinzip verletzen. Das es sich hierbei auch um kritische Apps handelt, verdeutlicht das Beispiel von getesteten Banking-Apps, bei welchen deutliche Schwach- stellen bei der SSL Implementierung und im Klartext bertragenen Userda- ten aufgedeckt wurden (IOActive Labs, 2014). Hauptkategorien der App-Sicherheitsrisiken nach OWASP Transportweg Unsichere Datenbertragung Lokale Datenspeicherung Unsichere Speicherung von Daten App-Verhalten Datenlecks, unsichere Eingaben
  • 6. App-Sicherheit am Arbeitsplatz 6 Unterschiedliche Vorgehensweisen und Mglichkeiten Grundstzlich gibt es beim Prfen von Apps verschiedene Detailierungs- grade, die gewhlt werden knnen. Sie reichen von einer oberflchlichen Prfung bis hin zu dedi
Embed Size (px)
Recommended