App-Sicherheit Risiken der Software-Bereitstellung für mobile Geräte

Autor / Redakteur: Anton Hofmeier* / Stephan Augsten

Selbst wenn ein Smartphone oder Tablet vom Unternehmen gestellt wird, kann es eine Gefahr darstellen. Denn einige mobile Apps können auf Unternehmenssysteme und -daten zugreifen und durch problematisches Verhalten die Datenschutz-Richtlinien verletzen. Dieses Risiko sollte nicht unterschätzt werden.

Firmen zum Thema

Bestehende Rollput-Prozesse für stationäre Anwendungen lassen sich auch auf mobile Apps übertragen.
Bestehende Rollput-Prozesse für stationäre Anwendungen lassen sich auch auf mobile Apps übertragen.
(Bild: Archiv)

Anton Hofmeier: „Vorhandenen Mitarbeiter sollten bereits die nötige Expertise besitzen, etablierte Mechanismen auf mobile Apps auszudehnen.“
Anton Hofmeier: „Vorhandenen Mitarbeiter sollten bereits die nötige Expertise besitzen, etablierte Mechanismen auf mobile Apps auszudehnen.“
(Bild: Flexera Software)
Unternehmen geben immer öfter mobile Endgeräte an ihre Mitarbeiter aus. Aber viele CIOs und CEOs wissen nicht um die Gefahr, die von Smartphones und Tablets ausgeht. Denn regelmäßig schleusen Betrüger Spyware-Programme in die großen App Stores ein.

Im Oktober 2014 analysierte ein Sicherheitsdienstleister das Verhalten von kostenlosen Taschenlampen-Apps für Android-Betriebssysteme. Viele, darunter auch die am häufigsten installierten, sammeln Nutzerdaten, wie Standortdaten oder den Inhalt von Textnachrichten, und schicken diese an Marketingfirmen.

Tatsächlich kann ein alarmierend großer Anteil der mobilen Apps, die in Unternehmensumgebungen verwendet werden, auf sicherheitsrelevante Gerätefunktionalität zugreifen oder ähnliche Eigenschaften besitzen, die ein Sicherheitsrisiko für Unternehmen darstellen. Wenn die IT-Abteilungen der Unternehmen nicht wissen, wie genau sich diese Apps verhalten, dann spielen sie gewissermaßen Russisches Roulette mit der Unternehmenssicherheit.

Gefährliches Spiel mit scheinbar harmlosen Apps

Die Gefahren durch Hacker oder heimtückische Softwareprogramme sind allbekannt. Aber auch scheinbar harmlose Alltags-Apps, die sich auf jedem mobilen Mitarbeiter-Gerät zuhauf befinden, können die sprichwörtliche Kugel in der Revolvertrommel sein. Denn die mobilen Betriebssysteme enthalten Programmierschnittstellen (Application Programming Interfaces, APIs).

Über diese APIs greifen Apps mitunter auf vertrauliche, proprietäre oder sensible Daten wie Kontakte, Fotos oder Kalender zu. Darüber hinaus können die Apps installierte Social-Media-Accounts des Unternehmens oder Hardware-Funktionen wie GPS, Kamera oder Audio-Rekorder ansteuern.

Viele Apps enthalten nicht dokumentierte Features, die sich für heimtückisches oder schädliches Vorgehen nutzen lassen. Das Risiko für Unternehmen ist groß, weil ihre IT-Abteilungen keine Übersicht und Kontrolle über das Verhalten von mobilen Anwendungen haben.

Etablierte Freigabeprozesse auf mobile Apps übertragen

Unternehmen mit ausgereiften Prozessen machen sich bereits die Mühe, geschäftliche Anwendungen für den internen Rollout vorzubereiten – seien es physische, virtuelle, Cloud-basierte, mobile oder Desktop-Anwendungen. Auf diese Weise ist eine standardisierte Best-Practice-Methode implementiert, mit der Anwendungen zuverlässig und vorausschauend getestet, paketiert und verteilt werden.

Einige Unternehmen etablieren neue Abteilungen, die sich ausschließlich mit mobilen Apps und deren Sicherheit beschäftigen. Was aber spricht dagegen, Best Practices und Prozesse für die Anwendungsvorbereitung und -bereitstellung zu implementieren, die sowohl mobile als auch stationäre und gehostete Anwendungen verwalten können?

Die vorhandenen Mitarbeiter sollten bereits die nötige Expertise besitzen, etablierte Mechanismen auf mobile Apps auszudehnen. Dadurch erreichen Unternehmen zusätzlich eine bessere betriebliche Effizienz und stellen sicher, dass für die Verteilung von allen Anwendungen ein einheitliches, standardisiertes Verfahren verwendet wird.

Die Berücksichtigung der mobilen Apps verlangt nicht mehr, als die Ausweitung bekannter Prozesse auf zusätzliche Formate, Betriebssysteme und Bereitstellungslösungen wie Systeme für das Mobile Device Management.

Fazit

Letztlich gilt es, einen umfassenden Ansatz für das Management des kompletten Lebenszyklus aller Unternehmensanwendungen zu implementieren. So können Unternehmen vorhandene Mitarbeiter, Erfahrungen und Technologien besser nutzen, um mobile Apps zu testen, ihr Gefahrenpotenzial zu bewerten und entsprechende Gegenmaßnahmen zu ergreifen. Oder mit anderen Worten: mit einer ungeladenen Waffe kann man auch nicht Russisches Roulette spielen.

Heute sind es mobile Geräte, die für Risiken in der Unternehmens-IT sorgen. Morgen kann es etwas anderes sein. Unternehmen benötigen Gewissheit, dass ein gewählter Sicherheitsansatz nicht nur aktuelle Entwicklungen abdeckt, sondern auch anstehende Veränderungen berücksichtigen kann.

* Anton Hofmeier ist Regional Vice President DACH bei Flexera Software.

(ID:43233594)