Das vor Jahrzehnten auf Groß- und Midrange-Rechnern propagierte objektorientierte Programmieren wird heute in Gestalt der mobilen Apps griffig und für den Anwender sichtbar umgesetzt. Doch die schöne neue App-Welt ist auch voller Gefahren und benötigt umsichtiges Management. Gleichzeitig darf die Kontrolle den Nutzern nicht den Spaß an ihrem mobilen Werk- und Spielzeug verderben.
„In den nächsten 12 bis 18 Monaten wird jedes größere Unternehmen auf der Welt hunderte von mobilen Apps im Einsatz haben, die von tausenden von Benutzern verwendet werden, die ihrerseits auf Millionen von Dokumenten zugreifen. Mobile Apps und mobiler Content werden die künftige Arbeitswelt ganz entscheidend prägen“, diese Zukunftsvision entwirft Bob Tinker, CEO von MobileIron, einem Anbieter im Bereich Mobile Device Management.
Je mehr mobile Apps zu geschäftsentscheidenden Komponenten werden, desto mehr werden sie auch zu Angriffszielen von Industriespionen und anderen Kriminellen. Das sichere Management von Apps ist deshalb zentral für die Sicherheit des gesamten Unternehmens.
Ein solches Management muss zum einen sicherstellen, dass die heruntergeladenen Applikationen keinen Schadcode enthalten, vor allem aber auch, dass sie nicht aus Unwissen oder Bequemlichkeit von den Nutzern ein Zuviel an Rechten zugeteilt bekommen, sodass ein unkontrollierter Zugriff auf sensible Daten möglich wird. Nicht vorhandene Hardwareverschlüsslung – wie bei vielen Android-Geräten – oder Nutzermanipulationen an den Sandboxing-Mechanismen (Jailbreaking in der iOS-Welt, Geräterooting bei Android) sind weitere Stellen der Verwundbarkeit.
Ohne umfassendes Management geht angesichts dieser Gemengelage im Unternehmenskontext gar nichts. Gleichzeitig sollen aber natürlich die neu gewonnene Mobilität nicht durch sicherheitstechnische Fußfesseln und Verwaltungsbürokratie wieder zunichte gemacht werden.
„Wir sind ein dynamisches Unternehmen mit vielen jungen Kreativen. Gerade im Smartphone-Bereich wollen wir deshalb möglichst viel zulassen, sodass unsere Mitarbeiter ihr Smartphone produktiv, aber sicher nutzen“, sagt Manuel Miseré, IT-Leiter bei der Agentur-Gruppe Serviceplan. „Wenn wir etwas verbieten müssen, beispielsweise das Filesharing-Programm Dropbox, dann sorgen wir für adäquaten Ersatz durch eine Inhouse-Lösung“, erläutert Miseré die Serviceplan-Strategie.
So plant die Agentur-Gruppe eine eigene Filesharing-App sowie die Verwaltung von sensiblen Daten über die Sandbox-App Absolute Safe des Mobile Device Management Systems Absolute Manage. Daten in diesem App-Container sind passwortgeschützt und können mit einem umfangreichen Berechtigungs- und Verschlüsselungsmanagement ausgestattet werden.
Sicherheitslücken bei Android
Effiziente Verschlüsselungsmechanismen sind ein zentrales Element für den Schutz vor Datenmanipulationen durch Dritte. Nicht ohne Grund spielt das auf Linux basierende Android-System in mobilen Unternehmensanwendungen deshalb im Moment so gut wie keine Rolle: Es bringt von Haus aus keine Verschlüsselungsmechanismen mit und sieht vor allem keinen Hardwarespeicher für die Aufbewahrung des Schlüssels vor. Außerdem können bei dem mobilen Linux-Abkömmling im Gegensatz zu iOS die Apps untereinander Daten austauschen, wenn nicht zusätzliche Sicherheitsmechanismen installiert sind, merkt Rolf Haas, Principal Security Engineer bei McAfee an – ein ideales Betätigungsfeld also für Malwareautoren.
Um Android unternehmenstauglicher zu machen, haben einzelne Smartphone- und Tablet-Hersteller Hardwarespeichermöglichkeiten auf ihren Mobilgeräten implementiert. Im Smartphone-Bereich hat beispielsweise Samsung einiges getan (für die Modelle Galaxy S II, Galaxy Tab 8.9 / 10.1 und Galaxy Note) und im Tablet-Umfeld wurden das Lenovo ThinkPad Tablet oder das Fujitsu Stylistic M532 Tablet entsprechend erweitert. Die Fragmentierung des Android-Umfelds – aufgrund der vielen Betriebssystem-Varianten – wird dadurch aber nicht beseitigt, sondern durch proprietäre Sonderlösungen eher weiter zementiert.
Schutz von Mails und ihren Anhängen
E-Mail-Zugriff von unterwegs ist derzeit die am meisten benutzte App in den Unternehmen. Die zuverlässige Authentifizierung des jeweiligen mobilen Clients am zentralen Postfach ist für den sicheren Mailzugang deshalb unabdingbar. Mobile-Device-Management-Systeme enthalten dafür Agenten, die durchaus auch brutale Attacken überstehen können.
So ist der Agent von Absolute Manage, des MDM-Systems von Absolute Software, bei einigen Android-Systemen in die Firmware integriert und „überlebt“ nach Aussage von Gernot Hacker, Technical Account Manager bei Absolute in Deutschland, „sogar die Erneuerung der Firmware auf dem Mobilgerät“.
Ein besonders neuralgischer Punkt im E-Mail-Verkehr sind die Anhänge. Einige MDM-Hersteller bieten deshalb spezielle Container-Lösungen, die Mails und ihre Anhänge schützen. Eine umfassende Lösung hat hier MobileIron entwickelt. Diese schützt E-Mail- und Sharepoint-Anhänge gleichermaßen, denn „jede App auf einem Mobilgerät, ganz gleich ob sie autorisiert ist oder nicht-autorisiert ist, hat das Potenzial, vertrauliche Dokumente in nicht vertrauenswürdige Clouds zu verschieben“, meint Bob Tinker.
Mit Docs@Work hat die kalifornischen Softwareschmiede eine Verschlüsselungslösung entwickelt, die für einen „sicheren Transport, eine sichere Darstellung, die lokale Speicherung und Datenlösung von E-Mail- und Sharepoint-Anhängen sorgt.“ Die Anhänge lassen sich nur mit Doc@Work entschlüsseln, mit Drittanbieter-Apps kann also nicht auf diese Anhänge zugegriffen werden.
Optimale Lösung für unterschiedliche Umfelder
Die Sicherheit der im jeweiligen Unternehmen eingesetzten Apps wird von den MDM-Herstellern durch eigene vertrauenswürdige App-Stores sichergestellt, beispielsweise die Apps App“ bei Absolute Software oder die „Enterprise App Storefront“ bei Mobileiron. Der Zugriff auf öffentliche App Stores wird den Nutzern dabei untersagt beziehungsweise automatisch unterbunden.
Wenn freilich das Endgerät für den geschäftlich-privaten Mischbetrieb (BYOD) freigegeben ist, kann man den Zugriff auf öffentliche Stores nicht einfach unterbinden. Dann kommt es vor allem darauf an, dass das Mobile Device Management private und geschäftliche Apps auf dem Endgerät zuverlässig trennen kann.
Ein Enterprise Appstore ist vor allem auch dann notwendig, wenn ein Unternehmen Apps selbst erstellt. Diese sollen nicht nur sicher sein, sondern möglichst auch selektiv zur Verfügung gestellt werden können.
„Eigene Apps lassen sich über den Enterprise App Store rollenbasiert anbieten und ausrollen. Zusätzlich können selbst erstellte Apps per Policy konfiguriert werden, beispielsweise mit Richtlinien wie Authentifizierung erforderlich, Daten müssen verschlüsselt werden oder auch Interapp-, iTunes- oder iCloud-Sharing“, erläutert Lars Kroll, Security TSO Team Manager Central Europe bei Symantec die Möglichkeiten des Enterprise App Store bei seinem Unternehmen.
Mit Einschränkungen und Verboten muss gerade im Mobilbereich vorsichtig umgegangen werden, sonst fangen die Nutzer an herumzutricksen. „Den massivsten Schutz bietet bei mobilen Geräten das Blockieren des Zugriffs auf Appstores im Allgemeinen. Im Rahmen einer BYOD-Strategie ist dies aber nur schwer umzusetzen, das das Unternehmen nicht die volle Herrschaft über das Gerät übernehmen kann oder zumindest nicht übernehmen sollte“, meint Tobias Philipp, Presales Manager EMEA bei SAP.
Die Kunst bei Mobile Device Management besteht also nicht zuletzt darin, für unterschiedliche organisatorische Umfelder immer eine Lösung zu finden, welche die Balance zwischen Unternehmenssicherheit und Nutzerkomfort optimal ausregelt.
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…