Mobile Apps erobern Firmen – und bringen neue Gefahren

Smartphones und Tablets haben sich in den Unternehmen fest etabliert. Zu diesem Ergebnis kommt die von dem IT-Sicherheitsspezialisten Symantec in Auftrag gegebene Studie „ State of Mobility 2012 „, an der auch rund 200 Unternehmen aus Deutschland teilgenommen haben.

Mobile Applikationen stehen demnach bei Firmen weltweit mittlerweile hoch im Kurs. 71 Prozent der befragten IT-Verantwortlichen denken darüber nach, ihren Nutzern maßgeschneiderte mobile Applikationen bereitzustellen. Ein Drittel der Umfrageteilnehmer verwendet schon derartige Anwendungen oder schafft gerade die Voraussetzungen dafür. In Deutschland sind mobile Apps bei 38 Prozent der befragten Firmen bereits im Einsatz.

Die Gründe für dieses rasante Wachstum sind schnell benannt: Zwei Drittel der Firmen weltweit und knapp 60 Prozent in Deutschland wollen durch ihre Mobil-IT-Strategien Komplexität und Kosten reduzieren sowie zusätzliche Produktivität bei den Mitarbeitern freisetzen. Drei Viertel der befragten Firmen setzen dabei alles daran, auch bei mobilen Endgeräten hohe Sicherheitsstandards durchzusetzen. Denn für 41 Prozent (37 Prozent in Deutschland) stellen mobile Lösungen nicht nur ein großes Produktivitätspotenzial dar, sondern gehören auch zu den drei größten Sicherheitsrisiken.

Mit Recht: denn anders als PCs oder Laptops stehen mobile Endgeräte der Smartphone- oder Tablet-Klasse von Haus aus unter der Administration des jeweiligen Nutzers – der nicht nur kriminelle Absichten, sondern bei Verlust oder Diebstahl des Gerätes auch eine andere Identität haben kann als die, die er zu haben vorgibt. Hier sind schnell alle Schleusen offen, wenn Unternehmen den Smartphone- und Tablet-Zugriff auf Unternehmensdaten zulassen, ohne dass sie die zugreifenden Geräte unter Kontrolle haben.

Bildergalerie

Top-iPhone-Apps für mehr Effizienz und Produktivität

Viele Unternehmen verstehen noch nicht, dass sich vor allem die Welt der Applikationen innerhalb der Mobil-IT deutlich verändert hat. Das bequeme Laden aller möglichen Apps aus einem Store beziehungsweise die Möglichkeit, eigene Apps zu erstellen, führt fast unweigerlich zu immer neuen Angriffsvektoren, wenn diese Apps nicht zentral überwacht und verwaltet werden. Ein solches Management der Apps muss einerseits sicherstellen, dass die Applikationen keinen Schadcode enthalten. Andererseits ist dafür zu sorgen, dass ihnen die Nutzern nicht aus Unwissen oder Bequemlichkeit zuviel Rechte zuteilen. Denn dann wäre ein unkontrollierter Zugriff auf sensible Daten möglich.

Christof Baumgärtner, Country Manager für Deustchland, Österreich und die Schweiz beim Mobil-IT-Spezialisten MobileIron, bringt es provokant auf den Punkt: „Durch die Mobil-IT entsteht ein neues IT-Paradigma, weil Apps, Security und Management untrennbar ineinander greifen – ganz im Gegensatz zur traditionellen IT.“

Mobile Device Management ist unabdingbar

In der Tat ist die Abschottung der einzelnen Mobilgeräte gegen Schadcode nur eine Seite einer Sicherheitsstrategie. Eine mindestens genau so große Gefahr droht durch Apps, die auf mobilen Endgeräten ohne Autorisierung auf sensible Daten zugreifen, sei es, weil sie auf Datenklau programmiert sind , sei es, weil ihnen vom Nutzer aus Nachlässigkeit zu viele Rechte eingeräumt wurden oder weil insgesamt die Zertifizierungs- und Authentifizierungsprozesse im mobilen Systemumfeld nicht geregelt sind.

Bildergalerie

Datenschutz bei Apps: Protect my Privacy schützt vor unerlaubtem Zugriff auf das Adressbuch

Nicht vorhandene Hardwareverschlüsslung – wie bei Android – oder Nutzermanipulationen an den Sandboxing-Mechanismen ( Jailbreaking in der iOS-Welt, Geräte-Rooting bei Android) verschärfen derartige Sicherheitsprobleme. „Eine Management-Umgebung, in der die mobilen Geräte zentral administriert werden können, ist unabdingbar“, sagt deshalb Rolf Haas, Principal Security Engineer, bei der Intel -Tochter McAfee. Nur so könnten einheitliche Einstellungen sowie die zentrale Umsetzung von Unternehmensrichtlinien in einem überschaubaren Kostenrahmen und vor allem auch plattformübergreifend möglich gemacht werden.

„Pervertierung des Smartphones“

Haas erläutert die Möglichkeiten eines solchen Mobile Device Managements (MDM) am Beispiel der administrativen Trennung von geschäftlicher und privater E-Mail: „Mit einem modernen Managementsystem lassen sich geschäftliche und private E-Mail-Konten gesondert verwalten und beispielsweise der geschäftliche Account bei Firmenaustritt löschen, während die privaten Accounts unberührt bleiben.“

Mit MDM ist auch der geschäftlich-private Mischbetrieb („Bring-your-own-device“, BYOD ) sauber organisierbar. Inwieweit es sich dabei um eine „Pervertierung des Smartphones“ handelt, wie es Stefan Strobel, Geschäftsführer des Heilbronner Sicherheitsspezialisten Cirosec, provokant formuliert, ist eher eine Sache des persönlichen Blickwinkels.

Mithilfe von Zertifikatetechniken lässt sich BYOD zumindest in der Tendenz sehr flexibel organisieren, sodass die Trennung von privatem und geschäftlichen Programmen und Dateien auf einem Gerät nicht auf ein relativ schwerfälliges logisches Device-Splitting hinausläuft. Ein solches logisches Splitting des Mobilgeräts liegt ja Virtualisierungsansätzen zugrunde, wie sie VMWare mit Mobile Horizon anbietet. Auf dieser Basis baut beispielsweise der Netzbetreiber und Telekom-Dienstleister Telefónica seinen kürzlich vorgestellten Service Dual Persona auf.

Zusätzliche Hardware für die App-Sicherheit

Die sichere Trennung geschäftlicher und privater E-Mail-Konten ist längst nur noch eine App unter vielen im Rahmen der Mobil-IT; denn auch Services für Push-Mail sind ja Apps. „Mobile Apps sind mittlerweile ein wichtiges IT-Standbein in den Unternehmen, einige haben schon bis zu hundertApps im Einsatz“, weiß Christof Baumgärtner von MobileIron. Umso wichtiger sei deshalb, dass die geschäftlichen Apps zentral administrierbar seien und jederzeit samt den Daten, auf die sie zugreifen, vom Endgerät gelöscht werden könnten, wenn der Mitarbeiter das Unternehmen verlässt oder der Verdacht von Manipulationen besteht.

Wem die App-Sicherung auf Softwarebasis nicht ausreicht, der kann zusätzliche Hardware zur Speicherung von Schlüsseln und Zugangsdaten verwenden. So hat der Nürnberger Sicherheitsspezialist Certgate auf der CeBIT sein Produkt „Mobile Application Protection Layer“ (MAPL) für Android vorgestellt. Neben einem Applikationsausführungsschutz durch PIN und eine Datei- und Datenbankverschlüsselung bietet es zusätzlich die Speicherung der Schlüssel auf einer Certgate-Smartcard im MicroSD-Format an, die direkt in das Smartphone integriert ist.

Für Joseph Souren, Vice President und General Manager EMEA bei Wave Systems, einem Anbeiter für hardwarebasierende IT-Sicherheit, sind Lösungen wie die von Certgate jedoch nicht „mainstream-tauglich“. Souren plädiert für den Einsatz des Konzepts der Trusted-Module-Platform (TPM), eines Kryptochips auf der Basis von Industriestandards, auch in Smartphones und Tablets. Er weist darauf hin, dass der TPM-Koordinator Trusted Computing Group Spezifikationen für ein Mobile Trusted Module entwickelt hat, die sich an den TPM-Vorgaben für Business-PCs und Laptops orientieren.

Sicherheit versus Nutzererfahrung

Der Aufwand, der betrieben wird, um Smartphones und Tablets unternehmenstauglich zu machen, muss natürlich in den Gesamtrahmen der IT-Ausgaben passen. Außerdem ist für ihn die verlässliche Klassifizierung der Daten Voraussetzung. Nicht zuletzt darf die Administration der Mobilgeräte nicht die positive Nutzererfahrung gefährden: Wenn das Smartphone durch rigide administrative Maßnahmen plötzlich zu einem Backstein mutiert, der lediglich schwer in der Hand liegt, aber sonst wenig Nutzen bietet, dann bleiben nur frustrierte Mitarbeiter zurück. Der erwartete Produktivitätszuwachs tritt so nicht ein.

Leave a comment