Heutzutage sind Apps nicht mehr aus dem Alltag wegzudenken. Auch Unternehmen haben sich mobilen Anwendungen bereits angenommen und geben ihren Mitarbeitern damit die Möglichkeit überall und jederzeit auf Unternehmensdaten zugreifen zu können. Längst reichen die unternehmensinternen Apps allerdings nicht mehr aus, um das volle Potenzial mobiler Geräte auszuschöpfen und daher werden vermehrt Consumer Apps für den Unternehmensgebrauch genutzt.
Das Whitepaper informiert Sie über das Thema App-Sicherheit am Arbeitsplatz, die Nutzung vom Apps am Arbeitsplatz und geht hierbei besonders auf die Sicherheitsanforderungen von Unternehmen ein. Es beschreibt, worauf es bei App-Sicherheitstests ankommt und welche Vorgehensweisen und Herausforderungen es gibt.
Das mTrust App Center ermöglicht Ihnen den sicheren Einsatz von Consumer Apps am Arbeitsplatz. Dies garantiert ihnen den Schutz Ihrer sensiblen Unternehmensdaten, trotz des Einsatzes von Apps aus den öffentlichen App Stores.
Mehr unter http://mtrust.io
1. App-Sicherheit
am Arbeitsplatz
White Paper
Ein Service von
Die ideale Lösung für den sicheren
Einsatz von Consumer Apps
im Unternehmen.
Apps aus öffentlichen App Stores sicher im
Unternehmen einsetzen mit mTrust
2. App-Sicherheit am Arbeitsplatz
2
Längst reichen unternehmens-
eigene Apps nicht mehr aus, um
das volle Potenzial mobiler Geräte
auszuschöpfen. Wie eine Erhebung
des Mobile Device Management
Herstellers IBM Fiberlink zeigt, wer-
den daher vermehrt auch Consu-
mer Apps für den Unternehmens-
gebrauch zugelassen. Rund 62%
der verteilten Anwendungen sind
Consumer Apps (IBM, 2014). Doch
wie lässt sich die Sicherheit von Un-
ternehmensdaten gewährleisten,
wenn Consumer Apps zugelassen
werden sollen?
Apps - der unscheinbare
Mittelpunkt der mobilen
Branche
Mobile Endgeräte und mit ihnen
mobile Apps haben ihren Siegeszug
längst angetreten. Neue Geräte
erhalten bei der Veröffentlichung
viel Aufmerksamkeit, jedoch
spielen Apps die entscheidende
Rolle für den Erfolg einer Plattform.
Apps sind in jeder Lebenslage
präsent und erleichtern dem
Nutzer den Alltag.
Die Erfahrung im Umgang mit Apps
führt auch dazu, dass Anwender
hohe Erwartungen an die Usability
haben und sich einen angepassten
Funktionsumfang wünschen. Dedi-
zierte Aufgaben werden so häufig
auf mehrere Apps verteilt
(siehe: Facebook, Facebook Mes-
senger, Facebook Seitenmanager),
um die Komplexität in einer App
möglichst gering zu halten. Das
Resultat ist jedoch, dass Anwender
sowie Unternehmen mit einer
Vielzahl von Apps konfrontiert
werden. Die Entscheidung, welche
Apps sinnvoll und vor allem sicher
eingesetzt werden können, wird
zunehmend schwieriger, denn
die Sicherheitsanforderungen zur
Platzierung von Apps in den öffent-
lichen App Stores ist häufig gering.
Eine Prüfung der veröffentlichten
Apps erfolgt meist nur in Hinblick
auf Stabilität und Inhalt, jedoch
weniger auf die Implementierung
spezifischer Sicherheitsfunktiona-
litäten. Die hohen Sicherheitsan-
forderungen von Unternehmen
spielen bei der Entwicklung von
Consumer Apps oft nur eine unter-
geordnete Rolle.
aller mobilen
Sicherheitsvorfälle
treten auf
Anwendungsebene ein
(Gartner, 2014)
01Apps - Das, was
wirklich zählt
75%
3. App-Sicherheit am Arbeitsplatz
3
Der Einsatz von Consumer Apps im Unternehmen
Mitarbeiter wünschen sich, Apps auch geschäftlich nutzen zu dürfen, die
sie bereits privat kennen und schätzen gelernt haben. Doch dies ist häufig
mit etlichen Risiken verbunden (Stratecast, 2013). Die zuvor
angesprochene heterogene Entwicklerlandschaft und oft laxe
Kontrollen der App Stores sorgen dafür, dass viele Apps teilweise gravie-
rende Sicherheitslücken aufweisen. Dies macht einen unbeschränkten
Einsatz im Unternehmen häufig zu einem riskanten Unterfangen. Da
Apps meist nativ entwickelt werden, bieten sie die Möglichkeit, auf eine
Vielzahl von Gerätefunktionen zuzugreifen. Dies erhöht jedoch zusätzlich
die Risiken, die von einer App ausgehen können. Nicht selten werden
Benutzer durch kostenfreie oder günstige Apps gelockt, die sich allerdings
entweder über In-App-Werbung oder häufig auch über das Erheben und
Weiterreichen von Daten finanzieren. So ist es zum Normalfall geworden,
dass bereits simple Anwendungen Zugriff auf die Internetverbindung
verlangen (ZScaler, 2014).
Dieser Umstand sorgt dafür, dass erhobene Informationen auch unbe-
merkt versendet werden können. Besonders kritisch ist dies, wenn die
App dabei Zugriff auf sensible Unternehmensdaten erlangt und diese
womöglich unverschlüsselt versendet. Eine App kann auch als Einfallstor
zum Gerät oder im schlimmsten Fall sogar zum Unternehmensnetzwerk
missbraucht werden. Daher ist es zwingend notwendig geeignete Sicher-
heitsmaßnahmen zu ergreifen und Prozesse zu etablieren, um sich dem
Risiko einzelner Anwendungen bewusst zu werden.
Zunächst sollte festgehalten werden, wie generell mit Consumer Apps
umzugehen ist. Sollten diese im Unternehmenskontext genutzt werden,
so ist es notwendig, einen Bestell- und Freigabeprozess zu definieren.
Wenn die Nutzung von Apps ausgeschlossen werden soll, ist es neben
einer eventuell technischen Umsetzung als Black- oder Whitelist auch
wichtig, die eigenen Mitarbeiter entsprechend zu informieren. Dies schafft
Klarheit und sorgt dafür, dass unnötige Supportzyklen vermieden wer-
den. In vielen Fällen gilt es auch die Lizenzfragen zu klären. Wer ist für die
Lizenzierung zuständig? Ist die App für den geschäftlichen Einsatz ausrei-
chend lizenziert? Oder in umgekehrter Richtung für den privaten Bereich?
Dies sind alles Punkte, die vorab geklärt werden müssen, häufig aber
nicht beachtet werden.
4. App-Sicherheit am Arbeitsplatz
4
Unternehmensanforderungen an Consumer Apps
Eine der Hauptanforderungen an Consumer Apps ist sicherlich der eigene
Schutzbedarf. Unternehmen ist daran gelegen ihre Unternehmensdaten
zu schützen. Dies erfolgt aus einer Eigenverantwortung heraus oder aber
auch aufgrund von Compliance Anforderungen. Nicht selten geht das
Abhandenkommen von Unternehmensdaten mit einem Imageverlust ein-
her, außerdem können auch rechtliche Verfahren und Strafen mögliche
Konsequenzen sein.
Damit das volle Potenzial von mobilen Anwendungen genutzt werden
kann, müssen zunächst einige Herausforderungen gemeistert werden.
Um die Sicherheit von Unternehmensdaten zu gewährleisten, ist es
unerlässlich, die eigenen Mitarbeiter aktiv einzubinden. Denn neben der
Mitarbeiterzufriedenheit spielt auch die Akzeptanz eine entscheidende
Rolle und es sollte nicht darauf gewartet werden, bis Mitarbeiter mobile
Lösungen aktiv einfordern. Ein klares Konzept für die mobile Ausrichtung
des Unternehmens ist deshalb unerlässlich und sollte unbedingt auch
Sicherheitsaspekte beinhalten. Unternehmen müssen sich im Klaren
darüber sein welche Daten wohin wandern und wie es um die Klassifizie-
rung dieser beschaffen ist. Daher ist das Überprüfen von Consumer Apps
hinsichtlich der Verarbeitung und Übertragung von Unternehmensdaten
vor der Freigabe für den Unternehmenseinsatz elementar.
„Mobile security breaches are - and will continue
to be - the result of misconfiguration and
misuse on an app level, rather than the outcome
of deeply technical attacks on mobile devices“
Dionisio Zumerle
Gartner Principal Research Analyst
5. App-Sicherheit am Arbeitsplatz
5
02Sicherheitsanforderungen an Apps und
wie diese geprüft werden
Für den reibungslosen Einsatz im Unternehmen müssen Apps also den
Sicherheitsanforderungen entsprechen. Um dies zu gewährleisten, ist es
notwendig zunächst alle Systeme und Schnittstellen zu betrachten, welche
Unternehmensdaten verarbeiten. Auf Seiten der mobilen Geräte geschieht
dies im Regelfall innerhalb einer App. Es ist deshalb wichtig, hinter die Fassa-
de der Apps zu blicken und sich bewusst zu machen, wie und welche Daten
verarbeitet werden. Bei unternehmenseigenen Apps gestaltet sich dies
meist unkomplizierter, da sie entweder im Unternehmen selbst, oder aber
in enger Zusammenarbeit mit einem externen Partner, entwickelt wurden.
Sobald man jedoch auch Consumer Apps einsetzen möchte wird es schwie-
rig, denn in den wenigsten Fällen sind Entwickler dazu bereit, Einblick in ihren
Quellcode oder die Architektur der Anwendung zu gewähren. Daher ist es
notwendig, geeignete Mittel und Wege zu finden, Apps dennoch auf Sicher-
heitsaspekte hin zu untersuchen.
Für die Sicherheitstests von Apps gibt es zahlreiche Frameworks, die oft
bereits im Web-Bereich erprobt sind und sich auch auf die Überprüfung von
Apps anwenden lassen. Eines der bekanntesten Frameworks ist das „Open
Web Application Security Project“, kurz OWASP. Das OWASP stellt eine jähr-
liche Top10 Liste der kritischsten Risiken für Web Anwendungen zur Verfü-
gung. Anhand dieser Liste lässt sich ableiten, welche Vorkehrungen getroffen
werden müssen, um eine Web Anwendung abzusichern. Seit einiger Zeit gibt
es auch einen mobilen Ableger des OWASP. Hier wird dediziert auf mobile
Risiken eingegangen. Diese beinhalten neben Punkten wie unsicherer Daten-
speicher, Transportweg-Absicherung, Datenlecks, Autorisierung und Authen-
tifizierung sowie Sitzungsmanagement auch Themen wie unzureichende
Server-Absicherung und gebrochene Verschlüsselung (OWASP, 2014).
Die Absicherung der Daten auf dem Transportweg ist entscheidend, denn
mobile Geräte kommunizieren häufig über nicht vertrauenswürdige und
meist drahtlose Netze. Dies erleichtert einem potenziellen Angreifer ein
Mitlesen der Daten erheblich. Wenn sensible oder gar vertrauliche Daten
verarbeitet werden ist es umso wichtiger, diese entsprechend sicher zu
übertragen. Dennoch gibt es zahlreiche Apps, die selbst dieses klare Prinzip
verletzen. Das es sich hierbei auch um kritische Apps handelt, verdeutlicht
das Beispiel von getesteten Banking-Apps, bei welchen deutliche Schwach-
stellen bei der SSL Implementierung und im Klartext übertragenen Userda-
ten aufgedeckt wurden (IOActive Labs, 2014).
Hauptkategorien der
App-Sicherheitsrisiken
nach OWASP
Transportweg
Unsichere Datenübertragung
Lokale
Datenspeicherung
Unsichere Speicherung
von Daten
App-Verhalten
Datenlecks, unsichere
Eingaben
6. App-Sicherheit am Arbeitsplatz
6
Unterschiedliche Vorgehensweisen und Möglichkeiten
Grundsätzlich gibt es beim Prüfen von Apps verschiedene Detailierungs-
grade, die gewählt werden können. Sie reichen von einer oberflächlichen
Prüfung bis hin zu dedizierten Penetrationstests, bei welchen die Anwen-
dung selbst, aber auch Schnittstellen und Server tiefgreifend geprüft und
attackiert werden. Oberflächliche Prüfungen lassen sich bereits durch
automatisierte Testszenarien durchführen. Grundsätzlich besteht jedoch
bei einer automatisierten Prüfung das Problem, dass im Voraus bekannt
sein muss, was zu prüfen ist. Ab einer gewissen Tiefe lässt sich eine ma-
nuelle Prüfung selten vermeiden, denn nur so kann sichergestellt wer-
den, dass alle Anwendungsfälle und Angriffsszenarien abgedeckt werden.
Neben der Art und Weise, wie getestet wird, unterscheidet man auch, was
getestet wird. Prinzipiell wird hier zwischen dynamischer und statischer
Analyse unterschieden. Unter einer statischen Analyse ist zunächst alles
angesiedelt, was ohne Interaktion mit der App analysiert werden kann.
Dies beinhaltet daher im Wesentlichen eine Analyse des Quellcodes oder
der vorhanden Binärdateien.
Eine dynamische Analyse setzt im Gegensatz zur statischen Analyse auf
eine Interaktion mit der eigentlichen App. Häufig werden auch Backend-
server überprüft und Schnittstellen angesprochen. Bei der dynamischen
Analyse werden somit auch Angriffe gegen den Dienst oder die Anwen-
dung selbst durchgeführt.
App Sicherheitstests und ihre
Herausforderungen
Die verschiedenen Testmöglich-
keiten bringen dabei unterschied-
lichste Herausforderungen mit
sich. Nicht in jedem Fall ist es ge-
wünscht oder gar erlaubt, eine App
bis in das letzte Detail zu testen.
Bei einer unternehmenseigenen
App ist dies häufig unproblema-
tisch, handelt es sich aber um eine
App eines Fremdanbieters so ist es
nicht ohne Weiteres möglich, An-
griffe gegen dessen Infrastruktur
durchzuführen.
Daher muss man sich zunächst be-
wusst machen in welchem Rahmen
es sinnvoll ist eine App zu testen.
Eine weitere Herausforderungen
stellt die teilweise starke Abhängig-
keit von Betriebssystemfunktionen
dar. Zusätzlich setzten einige Tests
gar administrative Berechtigungen
(Root oder Jailbreak) voraus. Tests
sind daher sehr plattformabhängig
und die Testmethodik muss
gegebenenfalls überarbeitet wer-
den, sobald ein Hersteller benötigte
Funktionalitäten verändert oder
entfernt.
Hochentwickelte Schadsoftware,
die im Verborgenen agiert, ver-
schlüsselt kommuniziert und sich
gegebenenfalls erst bei einem
speziellen Event aktiviert, lässt sich
kaum mit einem rein automati-
sierten Sicherheitstest ausfindig
machen. Daher ist es oft unum-
gänglich auch manuelle Testver-
fahren in Betracht zu ziehen. Eine
weitere Herausforderung stellen
regelmäßige Updates dar. Jedes
Update verändert potenziell das
Verhalten und den Funktionsum-
fang der App. Um eine valide Aus-
sage zur Beschaffenheit der App
treffen zu können muss folglich
auch jedes Update geprüft wer-
den. Nur so lässt sich sicherstellen,
dass die Testergebnisse tatsächlich
noch dem aktuellen Zustand der
App entsprechen und das sich das
Sicherheitsniveau nicht verändert
hat.
7. App-Sicherheit am Arbeitsplatz
7
Die zuvor angesprochenen Frameworks vermitteln einen guten Eindruck
über die kritischen Punkte beim Testen einer App. Die verschiedenen
Testmöglichkeiten und unterschiedlichen Herausforderungen unterstrei-
chen die Komplexität, die der sichere Einsatz von Apps mit sich bringt.
Mit dem mTrust App Center wird hierfür eine geeignete Lösung zur
Verfügung gestellt. Damit erhalten Kunden Zugriff auf Testergebnisse von
Consumer Apps, die in ihrem Unternehmen verwendet werden können.
Die detaillierten App-Bewertungen können in bestehende Beantragungs-
und Freigabeprozesse eingebunden werden, um etwa ein Black- oder
Whitelisting im Mobile Device Management zu implementieren. Damit
kann sichergestellt werden, dass Mitarbeiter nur Apps verwenden, die
zuvor mit Hilfe der Informationen aus dem mTrust App Center als sicher
eingestuft wurden.
03mTrust App Center
Zugriff auf das mTrust
App Center über die
webbasierte
Benutzeroberfläche
Erstellen eines
individuellen Profils
und bewerten der
gewünschten Apps
Einbindung in
nachfolgende Prozesse
und Systeme
(Beispiel: MDM Whitelist)
Risikofreier Einsatz von
Consumer Apps im
Unternehmen
App-Katalog als Sammelbecken der geprüften Apps
Alle bereits getesteten Apps sind im mTrust App Center über eine
Weboberfläche oder per API-Schnittstelle abrufbar. Dabei ist stets direkt
ersichtlich, welche Version zuletzt getestet wurde und in welchem Status
sich die App aktuell befindet. Zusätzlich ist es möglich sich automatisch
benachrichtigen zu lassen, sobald eine App vollständig getestet wurde.
Ist eine App noch nicht im Katalog vorhanden so wurde diese noch nicht
von uns geprüft. In diesem Fall kann ein Antrag auf eine Überprüfung
erstellt werden. Über eine integrierte Funktion im mTrust App Center
können Apps aus dem Google Play Store und dem Apple App Store direkt
beantragt werden. Anschließend wird die App getestet und sobald dies
abgeschlossen ist, erfolgt eine automatische Benachrichtigung.
Erste Schritte zur Verwendung des mTrust App Center
8. App-Sicherheit am Arbeitsplatz
8
Alle Apps eines Unternehmens sind im mTrust App Center unter dem
eigenen App Katalog zu finden. Über verschiedene Such- und Filtermas-
ken ist es möglich, stets einen Überblick zu bewahren.
Zusätzlich können Bewertungen für ältere App Versionen eingesehen
werden. Einmal täglich wird geprüft, ob für Apps eine neue Version im
öffentlichen App Store vorliegt. Sollte dies der Fall sein, so wird dies au-
tomatisch vom System erkannt und der Kunde wird darauf hingewiesen.
Jedes Update erfordert eine erneute Überprüfung der App, da die bishe-
rige Bewertung durch das Update hinfällig wird. Nicht immer resultiert
daraus zwingend eine andere Bewertung, allerdings muss dennoch eine
vollständige Prüfung durchgeführt werden, da sonst das bisherige Sicher-
heitsniveau nicht mehr garantiert werden kann.
Vorbereitung Testdurchführung Veröffentlichung
nn Erfassung Metadaten
nn Aufstellung Testfälle
nn Erstellung Test-Accounts
nn Vorbereitung Testgeräte
nn Durchführung Testfälle
nn Überprüfung App-Verhalten
nn Analyse Datenverkehr
nn Auswertung Gerätespeicher
nn Veröffentlichung Ergebnisse
nn Benachrichtigungen App-
Beantrager
Dokumentation
Sicherheitstests und unser Prüfprozess
Die eigentliche Sicherheitsüberprüfung sieht einen Test der App in jeweils
der aktuellsten Version für iOS oder Android vor. Dabei kommen aktuelle
Testgeräte in Form von Smartphones und Tablets zum Einsatz. Die Geräte
stehen dediziert für die Tests zur Verfügung und sind entsprechend
präpariert. Getestet wird nicht auf virtuellen Systemen wie Emulatoren
oder Simulatoren, sondern auf echten Geräten, wie sie auch bei unseren
Kunden vorzufinden sind. Das Vorgehen ist dabei klar strukturiert und die
Ergebnisse werden fortlaufend dokumentiert, sodass sie sich jederzeit
reproduzieren lassen.
Definierter Prüfprozess der App-Sicherheitsanalysen
9. App-Sicherheit am Arbeitsplatz
9
Transportweg
Lokale
Datenspeicherung
App-Verhalten
nn Welche Daten werden über-
tragen?
nn Wohin werden die Daten
übertragen?
nn Welche Protokolle werden
verwendet?
nn Werden sensible Daten
geschützt?
nn Welche Daten werden abgelegt?
nn Wo werden die Daten abgelegt?
nn In welcher Form werden die
Daten abgelegt?
nn Sind sensible Daten
entsprechend geschützt?
nn Welche Berechtigungen fordert
die App an?
nn Weist die App Auffälligkeiten
bei der Benutzung auf?
nn Interagiert die App mit anderen
Apps oder Systemdiensten?
nn Verwendet die App externe
Dienste?
Unsere Sicherheitsexperten un-
tersuchen die Apps mittels auto-
matischer sowie manueller Tests.
Diese werden mithilfe spezifischer
Diagnose-Tools durchgeführt.
Dadurch können Apps ganzheitlich
analysiert und somit auch beispiels-
weise verschlüsselte SSL Verbin-
dungen aufgebrochen werden, um
alle möglichen Sicherheitsrisiken
indentifizieren zu können. Die
anfallenden Informationen werden
ausgewertet und im mTrust App
Center dokumentiert. Unterneh-
men müssen sich hierdurch nicht
mit der Komplexität einer Sicher-
heitsanalyse von Consumer Apps
auseinandersetzen, sondern kön-
nen direkt von den bereitgestellten
Informationen profitieren.
Auszug der Prüfungskriterien des mTrust App Center
Screenshot der mTrust Web-GUI
10. App-Sicherheit am Arbeitsplatz
10
Unternehmensbezogene Sicherheitsprofile - Individuelle
Bewertung
Um eine individuelle Bewertung durchzuführen werden verschiedene
Sicherheitsprofile eingesetzt. Durch die Sicherheitsprofile ist es möglich, die
individuellen Sicherheitsanforderungen eines Unternehmens im mTrust App
Center abzubilden. Das Sicherheitsprofil dient als Kriterium für die Bewer-
tung der Apps. Abhängig vom Sicherheitsprofil kann sich somit eine unter-
schiedliche Bewertung der App ergeben.
So ist es etwa möglich individuelle Sicherheitsprofile für unterschiedliche
Abteilungen oder Benutzergruppen zu erstellen. Denn eine App, welche für
den Außendienst positiv bewertet wurde, kann für die Entwicklungsabtei-
lung z. B. zu einem negativen Ergebnis führen. Die Sicherheitsprofile können
also ähnlich differenziert gestaltet werden, wie die im Unternehmen bereits
bestehende Richtlinien oder Zugriffsberechtigungen.
Die Sicherheit einer App hängt von vielen Faktoren ab. Daher wird die mTrust
App Bewertung individuell für das jeweilige Sicherheitsprofil erstellt. Die App
Bewertung erfolgt nach einem 3-stufigen System.
App kann ohne Einschränkung genutzt werden
App kann mit Einschränkung genutzt werden
App sollte nicht genutzt werden
Neben der eigentlichen Bewertung werden zusätzliche Informationen und
Ergebnisse der App Bewertung angezeigt. Informationen zu Art und Um-
fang des Tests, Berechtigungen welche die App anfordert und Zielsysteme
mit welchen die App kommuniziert, werden direkt dargestellt. Zusätzlich
wird dargestellt, welche Punkte konkret zur aktuellen Bewertung geführt
haben. Hat beispielsweise ein Kunde in seinem Sicherheitsprofil hinter-
legt, dass Kontaktdaten vertraulich zu behandeln sind, so fällt die Bewer-
tung für jede App negativ aus, welche die Kontakte weiterverarbeitet,
versendet oder speichert. Bei jeder Änderung des Sicherheitsprofils wird
die Bewertung zunächst ungültig, da sich die Rahmenbedingungen für die
Bewertung geändert haben. Daher muss anschließend anhand der neuen
Kriterien eine erneute Bewertung durchgeführt werden. Dieses Vorgehen
sorgt dafür, dass individuelle und wechselnde Anforderungen von
Unternehmen und Abteilungen berücksichtigt werden und sich in der App
Bewertung widerspiegeln.
Hauptkategorien der
Sicherheitsprofile
Nutzungskontext
Wie werden die Geräte verwendet:
Private, dienstliche oder
kombinierte Nutzung?
Schutzbedarf der Daten
Welche Anfoderungen an Daten-
schutz und Datensicherheit
bestehen?
Schutz der Geräte
Wie stark sind die Geräte bereits
abgesichert?
Unerwünschte Funktionen
Wie streng sind die mobilen
Endgeräte reguliert?
11. App-Sicherheit am Arbeitsplatz
11
Fazit Mit dem rasanten Anstieg an Consumer Apps steigt auch der Einsatz
dieser Apps im Unternehmen stark an. Hierdurch sind sensible Unterneh-
mensdaten so gefährdet wie nie, da viele Apps aus den öffentlichen App
Stores nicht den Sicherheitsanforderungen der Unternehmen entspre-
chen. Ein präventives Verbot aller Consumer Apps ist heutzutage aller-
dings keine Alternative. Durch eine vorgelagerte Überprüfung der Apps
können kritische Sicherheitsrisiken frühzeitig erkannt werden. Das mTrust
App Center bietet hierzu die ideale Lösung, indem es die Testergebnisse
gesammelt zur Verfügung stellt und durch Sicherheitsprofile eine indivi-
duelle Bewertung gemäß den Sicherheitsanforderungen von Unterneh-
men bereitstellt. Diese Informationen können in nachfolgende Prozesse
und Systeme, wie beispielsweise die Black-oder Whitelists eines Mobile
Device Managements (MDM), einfließen und so den Aufwand sowie die
Supportzyklen in der IT Abteilung reduzieren.
Quellen Im Folgenden sind die Ressourcen aufgelistet, die im Rahmen der
Recherche für dieses White Paper verwendet wurden.
IBM (2014): „Apps in the Enterprise”
Gartner (2014): „Mobile Security Breaches 2014”
Stratecast (2013): „The Hidden Truth Behind
Shadow IT“
IOActive Labs (2014): „Personal banking apps leak info
through phone“
OWASP (2014): „OWASP Mobile Security Project”
ZScaler (2014): „And the mice will “Play”…: App
Stores and the Illusion of Control“