App-Sicherheit
am Arbeitsplatz
White Paper
Ein Service von
Die ideale Lösung für den sicheren
Einsatz von Consumer Apps
im...
App-Sicherheit am Arbeitsplatz
2
Längst reichen unternehmens-
eigene Apps nicht mehr aus, um
das volle Potenzial mobiler G...
App-Sicherheit am Arbeitsplatz
3
Der Einsatz von Consumer Apps im Unternehmen
Mitarbeiter wünschen sich, Apps auch geschäf...
App-Sicherheit am Arbeitsplatz
4
Unternehmensanforderungen an Consumer Apps
Eine der Hauptanforderungen an Consumer Apps i...
App-Sicherheit am Arbeitsplatz
5
02Sicherheitsanforderungen an Apps und
wie diese geprüft werden
Für den reibungslosen Ein...
App-Sicherheit am Arbeitsplatz
6
Unterschiedliche Vorgehensweisen und Möglichkeiten
Grundsätzlich gibt es beim Prüfen von ...
App-Sicherheit am Arbeitsplatz
7
Die zuvor angesprochenen Frameworks vermitteln einen guten Eindruck
über die kritischen P...
App-Sicherheit am Arbeitsplatz
8
Alle Apps eines Unternehmens sind im mTrust App Center unter dem
eigenen App Katalog zu f...
App-Sicherheit am Arbeitsplatz
9
Transportweg
Lokale
Datenspeicherung
App-Verhalten
nn Welche Daten werden über-
tragen?
n...
App-Sicherheit am Arbeitsplatz
10
Unternehmensbezogene Sicherheitsprofile - Individuelle
Bewertung
Um eine individuelle Be...
App-Sicherheit am Arbeitsplatz
11
Fazit Mit dem rasanten Anstieg an Consumer Apps steigt auch der Einsatz
dieser Apps im U...
App-Sicherheit am Arbeitsplatz
12
Unser Team besteht aus IT Sicherheitsexperten und Beratern der M-Way
Consulting GmbH mit...
App-Sicherheit am Arbeitsplatz
13
Stresemannstr. 79 | 70191 Stuttgart | Deutschland
Telefon: +49 711 252 548 00 | Fax: +49...
Nächste SlideShare
Wird geladen in …5
×

App-Sicherheit am Arbeitsplatz - mTrust.io

320 Aufrufe

Veröffentlicht am

Heutzutage sind Apps nicht mehr aus dem Alltag wegzudenken. Auch Unternehmen haben sich mobilen Anwendungen bereits angenommen und geben ihren Mitarbeitern damit die Möglichkeit überall und jederzeit auf Unternehmensdaten zugreifen zu können. Längst reichen die unternehmensinternen Apps allerdings nicht mehr aus, um das volle Potenzial mobiler Geräte auszuschöpfen und daher werden vermehrt Consumer Apps für den Unternehmensgebrauch genutzt.

Das Whitepaper informiert Sie über das Thema App-Sicherheit am Arbeitsplatz, die Nutzung vom Apps am Arbeitsplatz und geht hierbei besonders auf die Sicherheitsanforderungen von Unternehmen ein. Es beschreibt, worauf es bei App-Sicherheitstests ankommt und welche Vorgehensweisen und Herausforderungen es gibt.

Das mTrust App Center ermöglicht Ihnen den sicheren Einsatz von Consumer Apps am Arbeitsplatz. Dies garantiert ihnen den Schutz Ihrer sensiblen Unternehmensdaten, trotz des Einsatzes von Apps aus den öffentlichen App Stores.

Mehr unter http://mtrust.io

Veröffentlicht in: Mobil
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
320
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
2
Aktionen
Geteilt
0
Downloads
2
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

App-Sicherheit am Arbeitsplatz - mTrust.io

  1. 1. App-Sicherheit am Arbeitsplatz White Paper Ein Service von Die ideale Lösung für den sicheren Einsatz von Consumer Apps im Unternehmen. Apps aus öffentlichen App Stores sicher im Unternehmen einsetzen mit mTrust
  2. 2. App-Sicherheit am Arbeitsplatz 2 Längst reichen unternehmens- eigene Apps nicht mehr aus, um das volle Potenzial mobiler Geräte auszuschöpfen. Wie eine Erhebung des Mobile Device Management Herstellers IBM Fiberlink zeigt, wer- den daher vermehrt auch Consu- mer Apps für den Unternehmens- gebrauch zugelassen. Rund 62% der verteilten Anwendungen sind Consumer Apps (IBM, 2014). Doch wie lässt sich die Sicherheit von Un- ternehmensdaten gewährleisten, wenn Consumer Apps zugelassen werden sollen? Apps - der unscheinbare Mittelpunkt der mobilen Branche Mobile Endgeräte und mit ihnen mobile Apps haben ihren Siegeszug längst angetreten. Neue Geräte erhalten bei der Veröffentlichung viel Aufmerksamkeit, jedoch spielen Apps die entscheidende Rolle für den Erfolg einer Plattform. Apps sind in jeder Lebenslage präsent und erleichtern dem Nutzer den Alltag. Die Erfahrung im Umgang mit Apps führt auch dazu, dass Anwender hohe Erwartungen an die Usability haben und sich einen angepassten Funktionsumfang wünschen. Dedi- zierte Aufgaben werden so häufig auf mehrere Apps verteilt (siehe: Facebook, Facebook Mes- senger, Facebook Seitenmanager), um die Komplexität in einer App möglichst gering zu halten. Das Resultat ist jedoch, dass Anwender sowie Unternehmen mit einer Vielzahl von Apps konfrontiert werden. Die Entscheidung, welche Apps sinnvoll und vor allem sicher eingesetzt werden können, wird zunehmend schwieriger, denn die Sicherheitsanforderungen zur Platzierung von Apps in den öffent- lichen App Stores ist häufig gering. Eine Prüfung der veröffentlichten Apps erfolgt meist nur in Hinblick auf Stabilität und Inhalt, jedoch weniger auf die Implementierung spezifischer Sicherheitsfunktiona- litäten. Die hohen Sicherheitsan- forderungen von Unternehmen spielen bei der Entwicklung von Consumer Apps oft nur eine unter- geordnete Rolle. aller mobilen Sicherheitsvorfälle treten auf Anwendungsebene ein (Gartner, 2014) 01Apps - Das, was wirklich zählt 75%
  3. 3. App-Sicherheit am Arbeitsplatz 3 Der Einsatz von Consumer Apps im Unternehmen Mitarbeiter wünschen sich, Apps auch geschäftlich nutzen zu dürfen, die sie bereits privat kennen und schätzen gelernt haben. Doch dies ist häufig mit etlichen Risiken verbunden (Stratecast, 2013). Die zuvor angesprochene heterogene Entwicklerlandschaft und oft laxe Kontrollen der App Stores sorgen dafür, dass viele Apps teilweise gravie- rende Sicherheitslücken aufweisen. Dies macht einen unbeschränkten Einsatz im Unternehmen häufig zu einem riskanten Unterfangen. Da Apps meist nativ entwickelt werden, bieten sie die Möglichkeit, auf eine Vielzahl von Gerätefunktionen zuzugreifen. Dies erhöht jedoch zusätzlich die Risiken, die von einer App ausgehen können. Nicht selten werden Benutzer durch kostenfreie oder günstige Apps gelockt, die sich allerdings entweder über In-App-Werbung oder häufig auch über das Erheben und Weiterreichen von Daten finanzieren. So ist es zum Normalfall geworden, dass bereits simple Anwendungen Zugriff auf die Internetverbindung verlangen (ZScaler, 2014). Dieser Umstand sorgt dafür, dass erhobene Informationen auch unbe- merkt versendet werden können. Besonders kritisch ist dies, wenn die App dabei Zugriff auf sensible Unternehmensdaten erlangt und diese womöglich unverschlüsselt versendet. Eine App kann auch als Einfallstor zum Gerät oder im schlimmsten Fall sogar zum Unternehmensnetzwerk missbraucht werden. Daher ist es zwingend notwendig geeignete Sicher- heitsmaßnahmen zu ergreifen und Prozesse zu etablieren, um sich dem Risiko einzelner Anwendungen bewusst zu werden. Zunächst sollte festgehalten werden, wie generell mit Consumer Apps umzugehen ist. Sollten diese im Unternehmenskontext genutzt werden, so ist es notwendig, einen Bestell- und Freigabeprozess zu definieren. Wenn die Nutzung von Apps ausgeschlossen werden soll, ist es neben einer eventuell technischen Umsetzung als Black- oder Whitelist auch wichtig, die eigenen Mitarbeiter entsprechend zu informieren. Dies schafft Klarheit und sorgt dafür, dass unnötige Supportzyklen vermieden wer- den. In vielen Fällen gilt es auch die Lizenzfragen zu klären. Wer ist für die Lizenzierung zuständig? Ist die App für den geschäftlichen Einsatz ausrei- chend lizenziert? Oder in umgekehrter Richtung für den privaten Bereich? Dies sind alles Punkte, die vorab geklärt werden müssen, häufig aber nicht beachtet werden.
  4. 4. App-Sicherheit am Arbeitsplatz 4 Unternehmensanforderungen an Consumer Apps Eine der Hauptanforderungen an Consumer Apps ist sicherlich der eigene Schutzbedarf. Unternehmen ist daran gelegen ihre Unternehmensdaten zu schützen. Dies erfolgt aus einer Eigenverantwortung heraus oder aber auch aufgrund von Compliance Anforderungen. Nicht selten geht das Abhandenkommen von Unternehmensdaten mit einem Imageverlust ein- her, außerdem können auch rechtliche Verfahren und Strafen mögliche Konsequenzen sein. Damit das volle Potenzial von mobilen Anwendungen genutzt werden kann, müssen zunächst einige Herausforderungen gemeistert werden. Um die Sicherheit von Unternehmensdaten zu gewährleisten, ist es unerlässlich, die eigenen Mitarbeiter aktiv einzubinden. Denn neben der Mitarbeiterzufriedenheit spielt auch die Akzeptanz eine entscheidende Rolle und es sollte nicht darauf gewartet werden, bis Mitarbeiter mobile Lösungen aktiv einfordern. Ein klares Konzept für die mobile Ausrichtung des Unternehmens ist deshalb unerlässlich und sollte unbedingt auch Sicherheitsaspekte beinhalten. Unternehmen müssen sich im Klaren darüber sein welche Daten wohin wandern und wie es um die Klassifizie- rung dieser beschaffen ist. Daher ist das Überprüfen von Consumer Apps hinsichtlich der Verarbeitung und Übertragung von Unternehmensdaten vor der Freigabe für den Unternehmenseinsatz elementar. „Mobile security breaches are - and will continue to be - the result of misconfiguration and misuse on an app level, rather than the outcome of deeply technical attacks on mobile devices“ Dionisio Zumerle Gartner Principal Research Analyst
  5. 5. App-Sicherheit am Arbeitsplatz 5 02Sicherheitsanforderungen an Apps und wie diese geprüft werden Für den reibungslosen Einsatz im Unternehmen müssen Apps also den Sicherheitsanforderungen entsprechen. Um dies zu gewährleisten, ist es notwendig zunächst alle Systeme und Schnittstellen zu betrachten, welche Unternehmensdaten verarbeiten. Auf Seiten der mobilen Geräte geschieht dies im Regelfall innerhalb einer App. Es ist deshalb wichtig, hinter die Fassa- de der Apps zu blicken und sich bewusst zu machen, wie und welche Daten verarbeitet werden. Bei unternehmenseigenen Apps gestaltet sich dies meist unkomplizierter, da sie entweder im Unternehmen selbst, oder aber in enger Zusammenarbeit mit einem externen Partner, entwickelt wurden. Sobald man jedoch auch Consumer Apps einsetzen möchte wird es schwie- rig, denn in den wenigsten Fällen sind Entwickler dazu bereit, Einblick in ihren Quellcode oder die Architektur der Anwendung zu gewähren. Daher ist es notwendig, geeignete Mittel und Wege zu finden, Apps dennoch auf Sicher- heitsaspekte hin zu untersuchen. Für die Sicherheitstests von Apps gibt es zahlreiche Frameworks, die oft bereits im Web-Bereich erprobt sind und sich auch auf die Überprüfung von Apps anwenden lassen. Eines der bekanntesten Frameworks ist das „Open Web Application Security Project“, kurz OWASP. Das OWASP stellt eine jähr- liche Top10 Liste der kritischsten Risiken für Web Anwendungen zur Verfü- gung. Anhand dieser Liste lässt sich ableiten, welche Vorkehrungen getroffen werden müssen, um eine Web Anwendung abzusichern. Seit einiger Zeit gibt es auch einen mobilen Ableger des OWASP. Hier wird dediziert auf mobile Risiken eingegangen. Diese beinhalten neben Punkten wie unsicherer Daten- speicher, Transportweg-Absicherung, Datenlecks, Autorisierung und Authen- tifizierung sowie Sitzungsmanagement auch Themen wie unzureichende Server-Absicherung und gebrochene Verschlüsselung (OWASP, 2014). Die Absicherung der Daten auf dem Transportweg ist entscheidend, denn mobile Geräte kommunizieren häufig über nicht vertrauenswürdige und meist drahtlose Netze. Dies erleichtert einem potenziellen Angreifer ein Mitlesen der Daten erheblich. Wenn sensible oder gar vertrauliche Daten verarbeitet werden ist es umso wichtiger, diese entsprechend sicher zu übertragen. Dennoch gibt es zahlreiche Apps, die selbst dieses klare Prinzip verletzen. Das es sich hierbei auch um kritische Apps handelt, verdeutlicht das Beispiel von getesteten Banking-Apps, bei welchen deutliche Schwach- stellen bei der SSL Implementierung und im Klartext übertragenen Userda- ten aufgedeckt wurden (IOActive Labs, 2014). Hauptkategorien der App-Sicherheitsrisiken nach OWASP Transportweg Unsichere Datenübertragung Lokale Datenspeicherung Unsichere Speicherung von Daten App-Verhalten Datenlecks, unsichere Eingaben
  6. 6. App-Sicherheit am Arbeitsplatz 6 Unterschiedliche Vorgehensweisen und Möglichkeiten Grundsätzlich gibt es beim Prüfen von Apps verschiedene Detailierungs- grade, die gewählt werden können. Sie reichen von einer oberflächlichen Prüfung bis hin zu dedizierten Penetrationstests, bei welchen die Anwen- dung selbst, aber auch Schnittstellen und Server tiefgreifend geprüft und attackiert werden. Oberflächliche Prüfungen lassen sich bereits durch automatisierte Testszenarien durchführen. Grundsätzlich besteht jedoch bei einer automatisierten Prüfung das Problem, dass im Voraus bekannt sein muss, was zu prüfen ist. Ab einer gewissen Tiefe lässt sich eine ma- nuelle Prüfung selten vermeiden, denn nur so kann sichergestellt wer- den, dass alle Anwendungsfälle und Angriffsszenarien abgedeckt werden. Neben der Art und Weise, wie getestet wird, unterscheidet man auch, was getestet wird. Prinzipiell wird hier zwischen dynamischer und statischer Analyse unterschieden. Unter einer statischen Analyse ist zunächst alles angesiedelt, was ohne Interaktion mit der App analysiert werden kann. Dies beinhaltet daher im Wesentlichen eine Analyse des Quellcodes oder der vorhanden Binärdateien. Eine dynamische Analyse setzt im Gegensatz zur statischen Analyse auf eine Interaktion mit der eigentlichen App. Häufig werden auch Backend- server überprüft und Schnittstellen angesprochen. Bei der dynamischen Analyse werden somit auch Angriffe gegen den Dienst oder die Anwen- dung selbst durchgeführt. App Sicherheitstests und ihre Herausforderungen Die verschiedenen Testmöglich- keiten bringen dabei unterschied- lichste Herausforderungen mit sich. Nicht in jedem Fall ist es ge- wünscht oder gar erlaubt, eine App bis in das letzte Detail zu testen. Bei einer unternehmenseigenen App ist dies häufig unproblema- tisch, handelt es sich aber um eine App eines Fremdanbieters so ist es nicht ohne Weiteres möglich, An- griffe gegen dessen Infrastruktur durchzuführen. Daher muss man sich zunächst be- wusst machen in welchem Rahmen es sinnvoll ist eine App zu testen. Eine weitere Herausforderungen stellt die teilweise starke Abhängig- keit von Betriebssystemfunktionen dar. Zusätzlich setzten einige Tests gar administrative Berechtigungen (Root oder Jailbreak) voraus. Tests sind daher sehr plattformabhängig und die Testmethodik muss gegebenenfalls überarbeitet wer- den, sobald ein Hersteller benötigte Funktionalitäten verändert oder entfernt. Hochentwickelte Schadsoftware, die im Verborgenen agiert, ver- schlüsselt kommuniziert und sich gegebenenfalls erst bei einem speziellen Event aktiviert, lässt sich kaum mit einem rein automati- sierten Sicherheitstest ausfindig machen. Daher ist es oft unum- gänglich auch manuelle Testver- fahren in Betracht zu ziehen. Eine weitere Herausforderung stellen regelmäßige Updates dar. Jedes Update verändert potenziell das Verhalten und den Funktionsum- fang der App. Um eine valide Aus- sage zur Beschaffenheit der App treffen zu können muss folglich auch jedes Update geprüft wer- den. Nur so lässt sich sicherstellen, dass die Testergebnisse tatsächlich noch dem aktuellen Zustand der App entsprechen und das sich das Sicherheitsniveau nicht verändert hat.
  7. 7. App-Sicherheit am Arbeitsplatz 7 Die zuvor angesprochenen Frameworks vermitteln einen guten Eindruck über die kritischen Punkte beim Testen einer App. Die verschiedenen Testmöglichkeiten und unterschiedlichen Herausforderungen unterstrei- chen die Komplexität, die der sichere Einsatz von Apps mit sich bringt. Mit dem mTrust App Center wird hierfür eine geeignete Lösung zur Verfügung gestellt. Damit erhalten Kunden Zugriff auf Testergebnisse von Consumer Apps, die in ihrem Unternehmen verwendet werden können. Die detaillierten App-Bewertungen können in bestehende Beantragungs- und Freigabeprozesse eingebunden werden, um etwa ein Black- oder Whitelisting im Mobile Device Management zu implementieren. Damit kann sichergestellt werden, dass Mitarbeiter nur Apps verwenden, die zuvor mit Hilfe der Informationen aus dem mTrust App Center als sicher eingestuft wurden. 03mTrust App Center Zugriff auf das mTrust App Center über die webbasierte Benutzeroberfläche Erstellen eines individuellen Profils und bewerten der gewünschten Apps Einbindung in nachfolgende Prozesse und Systeme (Beispiel: MDM Whitelist) Risikofreier Einsatz von Consumer Apps im Unternehmen App-Katalog als Sammelbecken der geprüften Apps Alle bereits getesteten Apps sind im mTrust App Center über eine Weboberfläche oder per API-Schnittstelle abrufbar. Dabei ist stets direkt ersichtlich, welche Version zuletzt getestet wurde und in welchem Status sich die App aktuell befindet. Zusätzlich ist es möglich sich automatisch benachrichtigen zu lassen, sobald eine App vollständig getestet wurde. Ist eine App noch nicht im Katalog vorhanden so wurde diese noch nicht von uns geprüft. In diesem Fall kann ein Antrag auf eine Überprüfung erstellt werden. Über eine integrierte Funktion im mTrust App Center können Apps aus dem Google Play Store und dem Apple App Store direkt beantragt werden. Anschließend wird die App getestet und sobald dies abgeschlossen ist, erfolgt eine automatische Benachrichtigung. Erste Schritte zur Verwendung des mTrust App Center
  8. 8. App-Sicherheit am Arbeitsplatz 8 Alle Apps eines Unternehmens sind im mTrust App Center unter dem eigenen App Katalog zu finden. Über verschiedene Such- und Filtermas- ken ist es möglich, stets einen Überblick zu bewahren. Zusätzlich können Bewertungen für ältere App Versionen eingesehen werden. Einmal täglich wird geprüft, ob für Apps eine neue Version im öffentlichen App Store vorliegt. Sollte dies der Fall sein, so wird dies au- tomatisch vom System erkannt und der Kunde wird darauf hingewiesen. Jedes Update erfordert eine erneute Überprüfung der App, da die bishe- rige Bewertung durch das Update hinfällig wird. Nicht immer resultiert daraus zwingend eine andere Bewertung, allerdings muss dennoch eine vollständige Prüfung durchgeführt werden, da sonst das bisherige Sicher- heitsniveau nicht mehr garantiert werden kann. Vorbereitung Testdurchführung Veröffentlichung nn Erfassung Metadaten nn Aufstellung Testfälle nn Erstellung Test-Accounts nn Vorbereitung Testgeräte nn Durchführung Testfälle nn Überprüfung App-Verhalten nn Analyse Datenverkehr nn Auswertung Gerätespeicher nn Veröffentlichung Ergebnisse nn Benachrichtigungen App- Beantrager Dokumentation Sicherheitstests und unser Prüfprozess Die eigentliche Sicherheitsüberprüfung sieht einen Test der App in jeweils der aktuellsten Version für iOS oder Android vor. Dabei kommen aktuelle Testgeräte in Form von Smartphones und Tablets zum Einsatz. Die Geräte stehen dediziert für die Tests zur Verfügung und sind entsprechend präpariert. Getestet wird nicht auf virtuellen Systemen wie Emulatoren oder Simulatoren, sondern auf echten Geräten, wie sie auch bei unseren Kunden vorzufinden sind. Das Vorgehen ist dabei klar strukturiert und die Ergebnisse werden fortlaufend dokumentiert, sodass sie sich jederzeit reproduzieren lassen. Definierter Prüfprozess der App-Sicherheitsanalysen
  9. 9. App-Sicherheit am Arbeitsplatz 9 Transportweg Lokale Datenspeicherung App-Verhalten nn Welche Daten werden über- tragen? nn Wohin werden die Daten übertragen? nn Welche Protokolle werden verwendet? nn Werden sensible Daten geschützt? nn Welche Daten werden abgelegt? nn Wo werden die Daten abgelegt? nn In welcher Form werden die Daten abgelegt? nn Sind sensible Daten entsprechend geschützt? nn Welche Berechtigungen fordert die App an? nn Weist die App Auffälligkeiten bei der Benutzung auf? nn Interagiert die App mit anderen Apps oder Systemdiensten? nn Verwendet die App externe Dienste? Unsere Sicherheitsexperten un- tersuchen die Apps mittels auto- matischer sowie manueller Tests. Diese werden mithilfe spezifischer Diagnose-Tools durchgeführt. Dadurch können Apps ganzheitlich analysiert und somit auch beispiels- weise verschlüsselte SSL Verbin- dungen aufgebrochen werden, um alle möglichen Sicherheitsrisiken indentifizieren zu können. Die anfallenden Informationen werden ausgewertet und im mTrust App Center dokumentiert. Unterneh- men müssen sich hierdurch nicht mit der Komplexität einer Sicher- heitsanalyse von Consumer Apps auseinandersetzen, sondern kön- nen direkt von den bereitgestellten Informationen profitieren. Auszug der Prüfungskriterien des mTrust App Center Screenshot der mTrust Web-GUI
  10. 10. App-Sicherheit am Arbeitsplatz 10 Unternehmensbezogene Sicherheitsprofile - Individuelle Bewertung Um eine individuelle Bewertung durchzuführen werden verschiedene Sicherheitsprofile eingesetzt. Durch die Sicherheitsprofile ist es möglich, die individuellen Sicherheitsanforderungen eines Unternehmens im mTrust App Center abzubilden. Das Sicherheitsprofil dient als Kriterium für die Bewer- tung der Apps. Abhängig vom Sicherheitsprofil kann sich somit eine unter- schiedliche Bewertung der App ergeben. So ist es etwa möglich individuelle Sicherheitsprofile für unterschiedliche Abteilungen oder Benutzergruppen zu erstellen. Denn eine App, welche für den Außendienst positiv bewertet wurde, kann für die Entwicklungsabtei- lung z. B. zu einem negativen Ergebnis führen. Die Sicherheitsprofile können also ähnlich differenziert gestaltet werden, wie die im Unternehmen bereits bestehende Richtlinien oder Zugriffsberechtigungen. Die Sicherheit einer App hängt von vielen Faktoren ab. Daher wird die mTrust App Bewertung individuell für das jeweilige Sicherheitsprofil erstellt. Die App Bewertung erfolgt nach einem 3-stufigen System. App kann ohne Einschränkung genutzt werden App kann mit Einschränkung genutzt werden App sollte nicht genutzt werden Neben der eigentlichen Bewertung werden zusätzliche Informationen und Ergebnisse der App Bewertung angezeigt. Informationen zu Art und Um- fang des Tests, Berechtigungen welche die App anfordert und Zielsysteme mit welchen die App kommuniziert, werden direkt dargestellt. Zusätzlich wird dargestellt, welche Punkte konkret zur aktuellen Bewertung geführt haben. Hat beispielsweise ein Kunde in seinem Sicherheitsprofil hinter- legt, dass Kontaktdaten vertraulich zu behandeln sind, so fällt die Bewer- tung für jede App negativ aus, welche die Kontakte weiterverarbeitet, versendet oder speichert. Bei jeder Änderung des Sicherheitsprofils wird die Bewertung zunächst ungültig, da sich die Rahmenbedingungen für die Bewertung geändert haben. Daher muss anschließend anhand der neuen Kriterien eine erneute Bewertung durchgeführt werden. Dieses Vorgehen sorgt dafür, dass individuelle und wechselnde Anforderungen von Unternehmen und Abteilungen berücksichtigt werden und sich in der App Bewertung widerspiegeln. Hauptkategorien der Sicherheitsprofile Nutzungskontext Wie werden die Geräte verwendet: Private, dienstliche oder kombinierte Nutzung? Schutzbedarf der Daten Welche Anfoderungen an Daten- schutz und Datensicherheit bestehen? Schutz der Geräte Wie stark sind die Geräte bereits abgesichert? Unerwünschte Funktionen Wie streng sind die mobilen Endgeräte reguliert?
  11. 11. App-Sicherheit am Arbeitsplatz 11 Fazit Mit dem rasanten Anstieg an Consumer Apps steigt auch der Einsatz dieser Apps im Unternehmen stark an. Hierdurch sind sensible Unterneh- mensdaten so gefährdet wie nie, da viele Apps aus den öffentlichen App Stores nicht den Sicherheitsanforderungen der Unternehmen entspre- chen. Ein präventives Verbot aller Consumer Apps ist heutzutage aller- dings keine Alternative. Durch eine vorgelagerte Überprüfung der Apps können kritische Sicherheitsrisiken frühzeitig erkannt werden. Das mTrust App Center bietet hierzu die ideale Lösung, indem es die Testergebnisse gesammelt zur Verfügung stellt und durch Sicherheitsprofile eine indivi- duelle Bewertung gemäß den Sicherheitsanforderungen von Unterneh- men bereitstellt. Diese Informationen können in nachfolgende Prozesse und Systeme, wie beispielsweise die Black-oder Whitelists eines Mobile Device Managements (MDM), einfließen und so den Aufwand sowie die Supportzyklen in der IT Abteilung reduzieren. Quellen Im Folgenden sind die Ressourcen aufgelistet, die im Rahmen der Recherche für dieses White Paper verwendet wurden. IBM (2014): „Apps in the Enterprise” Gartner (2014): „Mobile Security Breaches 2014” Stratecast (2013): „The Hidden Truth Behind Shadow IT“ IOActive Labs (2014): „Personal banking apps leak info through phone“ OWASP (2014): „OWASP Mobile Security Project” ZScaler (2014): „And the mice will “Play”…: App Stores and the Illusion of Control“
  12. 12. App-Sicherheit am Arbeitsplatz 12 Unser Team besteht aus IT Sicherheitsexperten und Beratern der M-Way Consulting GmbH mit langjähriger Erfahrung im Bereich “Mobile Security” und der Analyse von mobilen Applikationen. Das mTrust App Center ent- stand aus dem Leistungsbaustein der individuellen Sicherheitsanalyse für Consumer und Enterprise Apps. Diese Expertise wurde für die Entwicklung und Konzeption des mTrust App Centers genutzt und kann somit einem breiten Kundenkreis zur Verfügung gestellt werden. Erfahren Sie mehr und testen Sie unsere Demo unter www.mtrust.io. Von der Planung über die Integration bis hin zur Betreuung hilft M-Way Consulting bei der Realisierung individueller Mobility Lösungen. Das Leis- tungsspektrum umfasst neben der Beratung auch spezifische Workshops und Schulungen. Bei der Mobilisierung interner Geschäftsprozesse profi- tieren Kunden von der langjährigen Projekterfahrung der Mobile Consultants. Die M-Way Consulting GmbH wurde 2012 in Stuttgart gegrün- det und zählt heute namhafte Unternehmen verschiedener Branchen zu ihren Kunden. Wenn Sie weitere Fragen haben, dürfen Sie uns gerne kontaktieren. Mail: info@mtrust.io Web: www.mtrust.io Veröffentlicht: August 2014. Copyright © 2014 M-Way Consulting. Alle Rechte vorbehalten. Über M-Way Consulting Über mTrust
  13. 13. App-Sicherheit am Arbeitsplatz 13 Stresemannstr. 79 | 70191 Stuttgart | Deutschland Telefon: +49 711 252 548 00 | Fax: +49 711 252 548 09 www.mwayconsulting.com www.mtrust.io

×