Absicherung von mobilen Endgeräten

InApp-Security ist kein Hype mehr sondern Realität

06.12.2019 von Werner Theis
Warum neue Organisations- und Arbeitsformen das sichere mobile Arbeiten verändern.

Die Arbeitswelt ist nicht erst seit der Digitalisierung im Wandel. Es steht außer Zweifel, dass Digitalisierung und die Möglichkeit, mobil und unterwegs dennoch in Geschäftsvorfällen eingebunden zu sein, diese Veränderung beschleunigen und sie auch in ihrer Richtung beeinflussen. Zugleich haben neue Managementphilosophien, zu denen die Fokussierung auf das Kerngeschäft sowie Carving-in und Carving-out-Strategien gehören, starken Einfluss auf die Organisationen selbst.

Enterprise Apps sind als Träger von Geschäftsprozessen das Werkzeug der Wahl. Demenstrechend gut müssen sie gegen Datendiebstahl gesichert sein.
Foto: SYSTAG

Verstärkt wird diese Entwicklung durch neue Arbeitsformen wie Co-Working und das Aufkommen der Arbeits- und Lebensform "Digital Nomadismus", bei der Experten, die nicht an einen Arbeits- und Wohnort gebunden sind, sozusagen immer rund um den Planeten unterwegs sind, um dort eine Weile zu bleiben, wo es schön warm, angesagt und zugleich finanziell lukrativ ist.

Lesetipp: Management der mobilen Endgeräte im Jahre 2020

Die zunehmende Spezialisierung und die hohen Kosten, solche Experten voll zu beschäftigen, ohne sie ganz auszulasten, zwingen Unternehmen und Organisationen regelrecht, neue Wege in der Projekt- und Zusammenarbeit zu gehen. Ganz nebenbei wollen viele Experten schon wegen der hohen Stundensätze und dem Wunsch nach intellektuellen und anderen Herausforderungen sich gar nicht mehr fest an einen einzigen Arbeit- und Auftraggeber binden.

BYOD, COPE oder COBO

Zu guter Letzt bestimmen High Potentials immer mehr, wie und mit welchen Arbeitsmitteln sie arbeiten möchten. BYOD-Strategien ("Bring Your Own Device") und neue Arbeitsformen werden daher allein schon aus dem Wunsch der Unternehmensleitung nach einer effizienteren Personalbeschaffung und höheren Personalbindung heraus immer notwendiger.

Die Auflösung und Zerfaserung der Organisationen, wie wir sie bisher kannten, sind also in vollem Gange. Workflows und Tätigkeiten überschreiten die Unternehmensgrenzen. Beim Service ist das am offensichtlichsten. Kaum ein Energie- oder Telekom-Unternehmen macht Wartungs-, Reparatur- und Implementierungsaufgaben mehr komplett selbst. Call- und Service-Center sind in der Regel outgesourct und dennoch mit dem beauftragenden Unternehmen organisatorisch in vielfältigster Weise verflochten. Ähnliches gilt mehr und mehr für die Händlersysteme im Automobil- und vergleichbaren Sektoren.

Lesetipp: Enterprise Mobility - Sicherheit im Vordergrund

Enterprise Apps sind in solchen Fällen oft als Träger von Geschäftsprozessen das Werkzeug der Wahl. Sie können als B2B- und als B2C-Apps Einsatz finden. In beiden Fällen ist es aus unterschiedlichen Gründen wichtig darauf zu achten, dass die App selbst und die damit zu verarbeitenden Daten sicher und vor fremdem und unberechtigtem Zugriff geschützt bleiben. Bei Enterprise Apps, die im B2B Umfeld, also innerhalb eines Intranets eingesetzt werden, können die Sicherheitsfragen unproblematisch mit Hilfe eines UEM-Systems (Unified Endpoint Management) "abgefrühstückt" werden.

Externe Partner in interne Security-Konzepte mit einbinden

Anders sieht es bei B2C-Apps, die von Kunden benutzt werden, oder B2B-Apps aus, die nicht nur von internen Nutzern, sondern auch Geschäftspartnern wie Lieferanten, externe Dienstleister, und Vertriebspartner. In diesen beiden Fällen werden die Geräte, auf denen die Apps eingesetzt werden, nicht vom Kunden gemanagt. Daher müssen andere Techniken und Technologien für die Sicherheit und den Schutz der Daten benützt werden.

Lesetipp: Enterprise Mobility - etwas für Spezialisten

Die Sicherheit einer App hängt davon ab, wie sicher die Umgebung ist, in der sie läuft. Dabei ist beides zu betrachten: das mobile Endgerät und die Art der Übertragung der Daten. Die Sicherheit von Apps erfordert:

Die Sicherheit einer App hängt davon ab, wie sicher die Umgebung ist, in der sie läuft.
Foto: SYSTAG

Generell gilt: Wenn das Gerät sicher ist, kann auch eine App sicher sein. Erst gerade kam ans Licht, dass auch das vermeintliche sicher iOS professionell gehackt und Informationen über einen großen Zeitraum abgeschöpft wurden. Es gibt kaum eine Hacker-Attacke mehr, die ohne mobile Komponente ausgestattet, und vermehrt treten Angriffe auf, die dediziert auf Mobilgeräte ausgelegt sind.

Für die intern genutzten B2B-Apps bieten sich die Sicherung über einen durch eine UEM-Umgebung gemanagten Container an. Diese Containerisierung gibt es in zwei Ausprägungen:

Letztere kann aber nur bei Firmengeräten in der Ausprägung COPE (Corporate Owned, Personally Enabled) oder COBO (Company Owned, Business Only) eingesetzt werden.

Bei BYOD-Konzepten muss schon aus rechtlichen Gründen der Softwarecontainer eingesetzt werden. Es reicht eben nicht mehr aus, schöne, bunte Apps zu bauen. Vielmehr sind SDK-Kenntnisse (Software Development Kits) erforderlich, um adäquate UEM-Container-Umgebungen aktivieren und damit die Enterprise App sicher machen zu können.

Apps müssen "wehrhaft" und "verteidigungsfähig" gemacht werden.
Foto: Kaspersky Lab

Das Mantra "Security by Design" sorgt dafür, dass die Enterprise Apps von Anfang an mit "Best Practices" entwickelt werden. Dabei verwendet man grundsätzlich vertrauenswürdige Entwicklerwerkzeuge und Bibliotheken und sieht bereits in der Architektur Sicherheitsvorkehrungen vor. Man trägt im Interesse der Kunden Sorge, dass die von den Enterprise-Apps angesprochenen Backend-Systeme nur die nötigsten Rechte benötigen.

B2B-Enterprise Apps mit externem Nutzerkreis und B2C-Enterprise Apps bedürfen einer gesonderten Betrachtung. Eine Sicherung durch Containerisierung ist nicht möglich, da sich die Geräte außerhalb des Rechtskreises des Unternehmens bzw. der Organisation befinden und nicht durch sie gemanagt werden können. Damit kommen der Einsatz von UEM-Systemen und der Einsatz der Containerisierung im Prinzip nicht in Frage.

Das Ergebnis ist, dass diese Apps selbst "wehrhaft" oder "verteidigungsfähig" gemacht werden müssen. Wenn In-App-Security als Lösung erwogen wird, kommen darauf spezialisierte Drittprodukte zum Einsatz. Inzwischen hat sich eine große Zahl von Anbietern entwickelt, die unterschiedlichste Konzepte verfolgen. Es ist zu empfehlen, sich mit den Marktführern auseinander zu setzen. Diese sind den Berichten der Analysten Gartner, IDC, Forrester und Co. aufgelistet und eingeordnet.

In-App-Security sorgt beispielsweise dafür, dass der Code verschlüsselt wird und sich nicht mehr dekompilieren lässt. Eine der Lösungen bietet sogar eine sich permanent ändernde Verschlüsselung an: Das heißt, das nächste Mini-Release, das in den App-Store gestellt wird, ist völlig anders verschlüsselt als die Vorgängerversion. Alle Arbeiten, die Hacker bis dahin getätigt haben, sind damit obsolet. So verwundert es nicht, dass es fast keine Banken- oder Games-App mehr ohne In-App-Security gibt.

Es versteht sich, dass In-App Security nicht alle Probleme löst. Daher ist das ganzheitliche und generelle "Security by Design"-Konzept stets zu empfehlen. Nur auf diese Weise wird nicht nur die App selbst gesichert, sondern auch die Daten, die sie auf dem Gerät vorhält und die als "data in transit" über den Carrier oder WLAN versendet werden. Erst dann können Enterprise-Apps sicher bereitgestellt werden. In-App-Security ist kein Hype mehr, sondern schiere Notwendigkeit. Man sollte sich also mit Partnern zusammentun, die das nötige Wissen und langjährige Erfahrungen damit nachgewiesen haben. Und diese Partner gibt es bereits am Markt, man muss sie nur finden und für die eigene Lösung begeistern.

Lesetipp: Die veränderten Kundenbeziehungen