SlideShare ist ein Scribd-Unternehmen logo

App-Sicherheit am Arbeitsplatz - mTrust.io

M-Way Consulting
M-Way Consulting

Heutzutage sind Apps nicht mehr aus dem Alltag wegzudenken. Auch Unternehmen haben sich mobilen Anwendungen bereits angenommen und geben ihren Mitarbeitern damit die Möglichkeit überall und jederzeit auf Unternehmensdaten zugreifen zu können. Längst reichen die unternehmensinternen Apps allerdings nicht mehr aus, um das volle Potenzial mobiler Geräte auszuschöpfen und daher werden vermehrt Consumer Apps für den Unternehmensgebrauch genutzt. Das Whitepaper informiert Sie über das Thema App-Sicherheit am Arbeitsplatz, die Nutzung vom Apps am Arbeitsplatz und geht hierbei besonders auf die Sicherheitsanforderungen von Unternehmen ein. Es beschreibt, worauf es bei App-Sicherheitstests ankommt und welche Vorgehensweisen und Herausforderungen es gibt. Das mTrust App Center ermöglicht Ihnen den sicheren Einsatz von Consumer Apps am Arbeitsplatz. Dies garantiert ihnen den Schutz Ihrer sensiblen Unternehmensdaten, trotz des Einsatzes von Apps aus den öffentlichen App Stores. Mehr unter http://mtrust.io

Mobil
1 von 13
Downloaden Sie, um offline zu lesen
App-Sicherheit am Arbeitsplatz White Paper Ein Service von Die ideale Lösung für den sicheren Einsatz von Consumer Apps im Unternehmen. Apps aus öffentlichen App Stores sicher im Unternehmen einsetzen mit mTrust
App-Sicherheit am Arbeitsplatz 2 Längst reichen unternehmens- eigene Apps nicht mehr aus, um das volle Potenzial mobiler Geräte auszuschöpfen. Wie eine Erhebung des Mobile Device Management Herstellers IBM Fiberlink zeigt, wer- den daher vermehrt auch Consu- mer Apps für den Unternehmens- gebrauch zugelassen. Rund 62% der verteilten Anwendungen sind Consumer Apps (IBM, 2014). Doch wie lässt sich die Sicherheit von Un- ternehmensdaten gewährleisten, wenn Consumer Apps zugelassen werden sollen? Apps - der unscheinbare Mittelpunkt der mobilen Branche Mobile Endgeräte und mit ihnen mobile Apps haben ihren Siegeszug längst angetreten. Neue Geräte erhalten bei der Veröffentlichung viel Aufmerksamkeit, jedoch spielen Apps die entscheidende Rolle für den Erfolg einer Plattform. Apps sind in jeder Lebenslage präsent und erleichtern dem Nutzer den Alltag. Die Erfahrung im Umgang mit Apps führt auch dazu, dass Anwender hohe Erwartungen an die Usability haben und sich einen angepassten Funktionsumfang wünschen. Dedi- zierte Aufgaben werden so häufig auf mehrere Apps verteilt (siehe: Facebook, Facebook Mes- senger, Facebook Seitenmanager), um die Komplexität in einer App möglichst gering zu halten. Das Resultat ist jedoch, dass Anwender sowie Unternehmen mit einer Vielzahl von Apps konfrontiert werden. Die Entscheidung, welche Apps sinnvoll und vor allem sicher eingesetzt werden können, wird zunehmend schwieriger, denn die Sicherheitsanforderungen zur Platzierung von Apps in den öffent- lichen App Stores ist häufig gering. Eine Prüfung der veröffentlichten Apps erfolgt meist nur in Hinblick auf Stabilität und Inhalt, jedoch weniger auf die Implementierung spezifischer Sicherheitsfunktiona- litäten. Die hohen Sicherheitsan- forderungen von Unternehmen spielen bei der Entwicklung von Consumer Apps oft nur eine unter- geordnete Rolle. aller mobilen Sicherheitsvorfälle treten auf Anwendungsebene ein (Gartner, 2014) 01Apps - Das, was wirklich zählt 75%
App-Sicherheit am Arbeitsplatz 3 Der Einsatz von Consumer Apps im Unternehmen Mitarbeiter wünschen sich, Apps auch geschäftlich nutzen zu dürfen, die sie bereits privat kennen und schätzen gelernt haben. Doch dies ist häufig mit etlichen Risiken verbunden (Stratecast, 2013). Die zuvor angesprochene heterogene Entwicklerlandschaft und oft laxe Kontrollen der App Stores sorgen dafür, dass viele Apps teilweise gravie- rende Sicherheitslücken aufweisen. Dies macht einen unbeschränkten Einsatz im Unternehmen häufig zu einem riskanten Unterfangen. Da Apps meist nativ entwickelt werden, bieten sie die Möglichkeit, auf eine Vielzahl von Gerätefunktionen zuzugreifen. Dies erhöht jedoch zusätzlich die Risiken, die von einer App ausgehen können. Nicht selten werden Benutzer durch kostenfreie oder günstige Apps gelockt, die sich allerdings entweder über In-App-Werbung oder häufig auch über das Erheben und Weiterreichen von Daten finanzieren. So ist es zum Normalfall geworden, dass bereits simple Anwendungen Zugriff auf die Internetverbindung verlangen (ZScaler, 2014). Dieser Umstand sorgt dafür, dass erhobene Informationen auch unbe- merkt versendet werden können. Besonders kritisch ist dies, wenn die App dabei Zugriff auf sensible Unternehmensdaten erlangt und diese womöglich unverschlüsselt versendet. Eine App kann auch als Einfallstor zum Gerät oder im schlimmsten Fall sogar zum Unternehmensnetzwerk missbraucht werden. Daher ist es zwingend notwendig geeignete Sicher- heitsmaßnahmen zu ergreifen und Prozesse zu etablieren, um sich dem Risiko einzelner Anwendungen bewusst zu werden. Zunächst sollte festgehalten werden, wie generell mit Consumer Apps umzugehen ist. Sollten diese im Unternehmenskontext genutzt werden, so ist es notwendig, einen Bestell- und Freigabeprozess zu definieren. Wenn die Nutzung von Apps ausgeschlossen werden soll, ist es neben einer eventuell technischen Umsetzung als Black- oder Whitelist auch wichtig, die eigenen Mitarbeiter entsprechend zu informieren. Dies schafft Klarheit und sorgt dafür, dass unnötige Supportzyklen vermieden wer- den. In vielen Fällen gilt es auch die Lizenzfragen zu klären. Wer ist für die Lizenzierung zuständig? Ist die App für den geschäftlichen Einsatz ausrei- chend lizenziert? Oder in umgekehrter Richtung für den privaten Bereich? Dies sind alles Punkte, die vorab geklärt werden müssen, häufig aber nicht beachtet werden.
App-Sicherheit am Arbeitsplatz 4 Unternehmensanforderungen an Consumer Apps Eine der Hauptanforderungen an Consumer Apps ist sicherlich der eigene Schutzbedarf. Unternehmen ist daran gelegen ihre Unternehmensdaten zu schützen. Dies erfolgt aus einer Eigenverantwortung heraus oder aber auch aufgrund von Compliance Anforderungen. Nicht selten geht das Abhandenkommen von Unternehmensdaten mit einem Imageverlust ein- her, außerdem können auch rechtliche Verfahren und Strafen mögliche Konsequenzen sein. Damit das volle Potenzial von mobilen Anwendungen genutzt werden kann, müssen zunächst einige Herausforderungen gemeistert werden. Um die Sicherheit von Unternehmensdaten zu gewährleisten, ist es unerlässlich, die eigenen Mitarbeiter aktiv einzubinden. Denn neben der Mitarbeiterzufriedenheit spielt auch die Akzeptanz eine entscheidende Rolle und es sollte nicht darauf gewartet werden, bis Mitarbeiter mobile Lösungen aktiv einfordern. Ein klares Konzept für die mobile Ausrichtung des Unternehmens ist deshalb unerlässlich und sollte unbedingt auch Sicherheitsaspekte beinhalten. Unternehmen müssen sich im Klaren darüber sein welche Daten wohin wandern und wie es um die Klassifizie- rung dieser beschaffen ist. Daher ist das Überprüfen von Consumer Apps hinsichtlich der Verarbeitung und Übertragung von Unternehmensdaten vor der Freigabe für den Unternehmenseinsatz elementar. „Mobile security breaches are - and will continue to be - the result of misconfiguration and misuse on an app level, rather than the outcome of deeply technical attacks on mobile devices“ Dionisio Zumerle Gartner Principal Research Analyst
App-Sicherheit am Arbeitsplatz 5 02Sicherheitsanforderungen an Apps und wie diese geprüft werden Für den reibungslosen Einsatz im Unternehmen müssen Apps also den Sicherheitsanforderungen entsprechen. Um dies zu gewährleisten, ist es notwendig zunächst alle Systeme und Schnittstellen zu betrachten, welche Unternehmensdaten verarbeiten. Auf Seiten der mobilen Geräte geschieht dies im Regelfall innerhalb einer App. Es ist deshalb wichtig, hinter die Fassa- de der Apps zu blicken und sich bewusst zu machen, wie und welche Daten verarbeitet werden. Bei unternehmenseigenen Apps gestaltet sich dies meist unkomplizierter, da sie entweder im Unternehmen selbst, oder aber in enger Zusammenarbeit mit einem externen Partner, entwickelt wurden. Sobald man jedoch auch Consumer Apps einsetzen möchte wird es schwie- rig, denn in den wenigsten Fällen sind Entwickler dazu bereit, Einblick in ihren Quellcode oder die Architektur der Anwendung zu gewähren. Daher ist es notwendig, geeignete Mittel und Wege zu finden, Apps dennoch auf Sicher- heitsaspekte hin zu untersuchen. Für die Sicherheitstests von Apps gibt es zahlreiche Frameworks, die oft bereits im Web-Bereich erprobt sind und sich auch auf die Überprüfung von Apps anwenden lassen. Eines der bekanntesten Frameworks ist das „Open Web Application Security Project“, kurz OWASP. Das OWASP stellt eine jähr- liche Top10 Liste der kritischsten Risiken für Web Anwendungen zur Verfü- gung. Anhand dieser Liste lässt sich ableiten, welche Vorkehrungen getroffen werden müssen, um eine Web Anwendung abzusichern. Seit einiger Zeit gibt es auch einen mobilen Ableger des OWASP. Hier wird dediziert auf mobile Risiken eingegangen. Diese beinhalten neben Punkten wie unsicherer Daten- speicher, Transportweg-Absicherung, Datenlecks, Autorisierung und Authen- tifizierung sowie Sitzungsmanagement auch Themen wie unzureichende Server-Absicherung und gebrochene Verschlüsselung (OWASP, 2014). Die Absicherung der Daten auf dem Transportweg ist entscheidend, denn mobile Geräte kommunizieren häufig über nicht vertrauenswürdige und meist drahtlose Netze. Dies erleichtert einem potenziellen Angreifer ein Mitlesen der Daten erheblich. Wenn sensible oder gar vertrauliche Daten verarbeitet werden ist es umso wichtiger, diese entsprechend sicher zu übertragen. Dennoch gibt es zahlreiche Apps, die selbst dieses klare Prinzip verletzen. Das es sich hierbei auch um kritische Apps handelt, verdeutlicht das Beispiel von getesteten Banking-Apps, bei welchen deutliche Schwach- stellen bei der SSL Implementierung und im Klartext übertragenen Userda- ten aufgedeckt wurden (IOActive Labs, 2014). Hauptkategorien der App-Sicherheitsrisiken nach OWASP Transportweg Unsichere Datenübertragung Lokale Datenspeicherung Unsichere Speicherung von Daten App-Verhalten Datenlecks, unsichere Eingaben
App-Sicherheit am Arbeitsplatz 6 Unterschiedliche Vorgehensweisen und Möglichkeiten Grundsätzlich gibt es beim Prüfen von Apps verschiedene Detailierungs- grade, die gewählt werden können. Sie reichen von einer oberflächlichen Prüfung bis hin zu dedizierten Penetrationstests, bei welchen die Anwen- dung selbst, aber auch Schnittstellen und Server tiefgreifend geprüft und attackiert werden. Oberflächliche Prüfungen lassen sich bereits durch automatisierte Testszenarien durchführen. Grundsätzlich besteht jedoch bei einer automatisierten Prüfung das Problem, dass im Voraus bekannt sein muss, was zu prüfen ist. Ab einer gewissen Tiefe lässt sich eine ma- nuelle Prüfung selten vermeiden, denn nur so kann sichergestellt wer- den, dass alle Anwendungsfälle und Angriffsszenarien abgedeckt werden. Neben der Art und Weise, wie getestet wird, unterscheidet man auch, was getestet wird. Prinzipiell wird hier zwischen dynamischer und statischer Analyse unterschieden. Unter einer statischen Analyse ist zunächst alles angesiedelt, was ohne Interaktion mit der App analysiert werden kann. Dies beinhaltet daher im Wesentlichen eine Analyse des Quellcodes oder der vorhanden Binärdateien. Eine dynamische Analyse setzt im Gegensatz zur statischen Analyse auf eine Interaktion mit der eigentlichen App. Häufig werden auch Backend- server überprüft und Schnittstellen angesprochen. Bei der dynamischen Analyse werden somit auch Angriffe gegen den Dienst oder die Anwen- dung selbst durchgeführt. App Sicherheitstests und ihre Herausforderungen Die verschiedenen Testmöglich- keiten bringen dabei unterschied- lichste Herausforderungen mit sich. Nicht in jedem Fall ist es ge- wünscht oder gar erlaubt, eine App bis in das letzte Detail zu testen. Bei einer unternehmenseigenen App ist dies häufig unproblema- tisch, handelt es sich aber um eine App eines Fremdanbieters so ist es nicht ohne Weiteres möglich, An- griffe gegen dessen Infrastruktur durchzuführen. Daher muss man sich zunächst be- wusst machen in welchem Rahmen es sinnvoll ist eine App zu testen. Eine weitere Herausforderungen stellt die teilweise starke Abhängig- keit von Betriebssystemfunktionen dar. Zusätzlich setzten einige Tests gar administrative Berechtigungen (Root oder Jailbreak) voraus. Tests sind daher sehr plattformabhängig und die Testmethodik muss gegebenenfalls überarbeitet wer- den, sobald ein Hersteller benötigte Funktionalitäten verändert oder entfernt. Hochentwickelte Schadsoftware, die im Verborgenen agiert, ver- schlüsselt kommuniziert und sich gegebenenfalls erst bei einem speziellen Event aktiviert, lässt sich kaum mit einem rein automati- sierten Sicherheitstest ausfindig machen. Daher ist es oft unum- gänglich auch manuelle Testver- fahren in Betracht zu ziehen. Eine weitere Herausforderung stellen regelmäßige Updates dar. Jedes Update verändert potenziell das Verhalten und den Funktionsum- fang der App. Um eine valide Aus- sage zur Beschaffenheit der App treffen zu können muss folglich auch jedes Update geprüft wer- den. Nur so lässt sich sicherstellen, dass die Testergebnisse tatsächlich noch dem aktuellen Zustand der App entsprechen und das sich das Sicherheitsniveau nicht verändert hat.
App-Sicherheit am Arbeitsplatz 7 Die zuvor angesprochenen Frameworks vermitteln einen guten Eindruck über die kritischen Punkte beim Testen einer App. Die verschiedenen Testmöglichkeiten und unterschiedlichen Herausforderungen unterstrei- chen die Komplexität, die der sichere Einsatz von Apps mit sich bringt. Mit dem mTrust App Center wird hierfür eine geeignete Lösung zur Verfügung gestellt. Damit erhalten Kunden Zugriff auf Testergebnisse von Consumer Apps, die in ihrem Unternehmen verwendet werden können. Die detaillierten App-Bewertungen können in bestehende Beantragungs- und Freigabeprozesse eingebunden werden, um etwa ein Black- oder Whitelisting im Mobile Device Management zu implementieren. Damit kann sichergestellt werden, dass Mitarbeiter nur Apps verwenden, die zuvor mit Hilfe der Informationen aus dem mTrust App Center als sicher eingestuft wurden. 03mTrust App Center Zugriff auf das mTrust App Center über die webbasierte Benutzeroberfläche Erstellen eines individuellen Profils und bewerten der gewünschten Apps Einbindung in nachfolgende Prozesse und Systeme (Beispiel: MDM Whitelist) Risikofreier Einsatz von Consumer Apps im Unternehmen App-Katalog als Sammelbecken der geprüften Apps Alle bereits getesteten Apps sind im mTrust App Center über eine Weboberfläche oder per API-Schnittstelle abrufbar. Dabei ist stets direkt ersichtlich, welche Version zuletzt getestet wurde und in welchem Status sich die App aktuell befindet. Zusätzlich ist es möglich sich automatisch benachrichtigen zu lassen, sobald eine App vollständig getestet wurde. Ist eine App noch nicht im Katalog vorhanden so wurde diese noch nicht von uns geprüft. In diesem Fall kann ein Antrag auf eine Überprüfung erstellt werden. Über eine integrierte Funktion im mTrust App Center können Apps aus dem Google Play Store und dem Apple App Store direkt beantragt werden. Anschließend wird die App getestet und sobald dies abgeschlossen ist, erfolgt eine automatische Benachrichtigung. Erste Schritte zur Verwendung des mTrust App Center
App-Sicherheit am Arbeitsplatz 8 Alle Apps eines Unternehmens sind im mTrust App Center unter dem eigenen App Katalog zu finden. Über verschiedene Such- und Filtermas- ken ist es möglich, stets einen Überblick zu bewahren. Zusätzlich können Bewertungen für ältere App Versionen eingesehen werden. Einmal täglich wird geprüft, ob für Apps eine neue Version im öffentlichen App Store vorliegt. Sollte dies der Fall sein, so wird dies au- tomatisch vom System erkannt und der Kunde wird darauf hingewiesen. Jedes Update erfordert eine erneute Überprüfung der App, da die bishe- rige Bewertung durch das Update hinfällig wird. Nicht immer resultiert daraus zwingend eine andere Bewertung, allerdings muss dennoch eine vollständige Prüfung durchgeführt werden, da sonst das bisherige Sicher- heitsniveau nicht mehr garantiert werden kann. Vorbereitung Testdurchführung Veröffentlichung nn Erfassung Metadaten nn Aufstellung Testfälle nn Erstellung Test-Accounts nn Vorbereitung Testgeräte nn Durchführung Testfälle nn Überprüfung App-Verhalten nn Analyse Datenverkehr nn Auswertung Gerätespeicher nn Veröffentlichung Ergebnisse nn Benachrichtigungen App- Beantrager Dokumentation Sicherheitstests und unser Prüfprozess Die eigentliche Sicherheitsüberprüfung sieht einen Test der App in jeweils der aktuellsten Version für iOS oder Android vor. Dabei kommen aktuelle Testgeräte in Form von Smartphones und Tablets zum Einsatz. Die Geräte stehen dediziert für die Tests zur Verfügung und sind entsprechend präpariert. Getestet wird nicht auf virtuellen Systemen wie Emulatoren oder Simulatoren, sondern auf echten Geräten, wie sie auch bei unseren Kunden vorzufinden sind. Das Vorgehen ist dabei klar strukturiert und die Ergebnisse werden fortlaufend dokumentiert, sodass sie sich jederzeit reproduzieren lassen. Definierter Prüfprozess der App-Sicherheitsanalysen
App-Sicherheit am Arbeitsplatz 9 Transportweg Lokale Datenspeicherung App-Verhalten nn Welche Daten werden über- tragen? nn Wohin werden die Daten übertragen? nn Welche Protokolle werden verwendet? nn Werden sensible Daten geschützt? nn Welche Daten werden abgelegt? nn Wo werden die Daten abgelegt? nn In welcher Form werden die Daten abgelegt? nn Sind sensible Daten entsprechend geschützt? nn Welche Berechtigungen fordert die App an? nn Weist die App Auffälligkeiten bei der Benutzung auf? nn Interagiert die App mit anderen Apps oder Systemdiensten? nn Verwendet die App externe Dienste? Unsere Sicherheitsexperten un- tersuchen die Apps mittels auto- matischer sowie manueller Tests. Diese werden mithilfe spezifischer Diagnose-Tools durchgeführt. Dadurch können Apps ganzheitlich analysiert und somit auch beispiels- weise verschlüsselte SSL Verbin- dungen aufgebrochen werden, um alle möglichen Sicherheitsrisiken indentifizieren zu können. Die anfallenden Informationen werden ausgewertet und im mTrust App Center dokumentiert. Unterneh- men müssen sich hierdurch nicht mit der Komplexität einer Sicher- heitsanalyse von Consumer Apps auseinandersetzen, sondern kön- nen direkt von den bereitgestellten Informationen profitieren. Auszug der Prüfungskriterien des mTrust App Center Screenshot der mTrust Web-GUI
App-Sicherheit am Arbeitsplatz 10 Unternehmensbezogene Sicherheitsprofile - Individuelle Bewertung Um eine individuelle Bewertung durchzuführen werden verschiedene Sicherheitsprofile eingesetzt. Durch die Sicherheitsprofile ist es möglich, die individuellen Sicherheitsanforderungen eines Unternehmens im mTrust App Center abzubilden. Das Sicherheitsprofil dient als Kriterium für die Bewer- tung der Apps. Abhängig vom Sicherheitsprofil kann sich somit eine unter- schiedliche Bewertung der App ergeben. So ist es etwa möglich individuelle Sicherheitsprofile für unterschiedliche Abteilungen oder Benutzergruppen zu erstellen. Denn eine App, welche für den Außendienst positiv bewertet wurde, kann für die Entwicklungsabtei- lung z. B. zu einem negativen Ergebnis führen. Die Sicherheitsprofile können also ähnlich differenziert gestaltet werden, wie die im Unternehmen bereits bestehende Richtlinien oder Zugriffsberechtigungen. Die Sicherheit einer App hängt von vielen Faktoren ab. Daher wird die mTrust App Bewertung individuell für das jeweilige Sicherheitsprofil erstellt. Die App Bewertung erfolgt nach einem 3-stufigen System. App kann ohne Einschränkung genutzt werden App kann mit Einschränkung genutzt werden App sollte nicht genutzt werden Neben der eigentlichen Bewertung werden zusätzliche Informationen und Ergebnisse der App Bewertung angezeigt. Informationen zu Art und Um- fang des Tests, Berechtigungen welche die App anfordert und Zielsysteme mit welchen die App kommuniziert, werden direkt dargestellt. Zusätzlich wird dargestellt, welche Punkte konkret zur aktuellen Bewertung geführt haben. Hat beispielsweise ein Kunde in seinem Sicherheitsprofil hinter- legt, dass Kontaktdaten vertraulich zu behandeln sind, so fällt die Bewer- tung für jede App negativ aus, welche die Kontakte weiterverarbeitet, versendet oder speichert. Bei jeder Änderung des Sicherheitsprofils wird die Bewertung zunächst ungültig, da sich die Rahmenbedingungen für die Bewertung geändert haben. Daher muss anschließend anhand der neuen Kriterien eine erneute Bewertung durchgeführt werden. Dieses Vorgehen sorgt dafür, dass individuelle und wechselnde Anforderungen von Unternehmen und Abteilungen berücksichtigt werden und sich in der App Bewertung widerspiegeln. Hauptkategorien der Sicherheitsprofile Nutzungskontext Wie werden die Geräte verwendet: Private, dienstliche oder kombinierte Nutzung? Schutzbedarf der Daten Welche Anfoderungen an Daten- schutz und Datensicherheit bestehen? Schutz der Geräte Wie stark sind die Geräte bereits abgesichert? Unerwünschte Funktionen Wie streng sind die mobilen Endgeräte reguliert?
App-Sicherheit am Arbeitsplatz 11 Fazit Mit dem rasanten Anstieg an Consumer Apps steigt auch der Einsatz dieser Apps im Unternehmen stark an. Hierdurch sind sensible Unterneh- mensdaten so gefährdet wie nie, da viele Apps aus den öffentlichen App Stores nicht den Sicherheitsanforderungen der Unternehmen entspre- chen. Ein präventives Verbot aller Consumer Apps ist heutzutage aller- dings keine Alternative. Durch eine vorgelagerte Überprüfung der Apps können kritische Sicherheitsrisiken frühzeitig erkannt werden. Das mTrust App Center bietet hierzu die ideale Lösung, indem es die Testergebnisse gesammelt zur Verfügung stellt und durch Sicherheitsprofile eine indivi- duelle Bewertung gemäß den Sicherheitsanforderungen von Unterneh- men bereitstellt. Diese Informationen können in nachfolgende Prozesse und Systeme, wie beispielsweise die Black-oder Whitelists eines Mobile Device Managements (MDM), einfließen und so den Aufwand sowie die Supportzyklen in der IT Abteilung reduzieren. Quellen Im Folgenden sind die Ressourcen aufgelistet, die im Rahmen der Recherche für dieses White Paper verwendet wurden. IBM (2014): „Apps in the Enterprise” Gartner (2014): „Mobile Security Breaches 2014” Stratecast (2013): „The Hidden Truth Behind Shadow IT“ IOActive Labs (2014): „Personal banking apps leak info through phone“ OWASP (2014): „OWASP Mobile Security Project” ZScaler (2014): „And the mice will “Play”…: App Stores and the Illusion of Control“
App-Sicherheit am Arbeitsplatz 12 Unser Team besteht aus IT Sicherheitsexperten und Beratern der M-Way Consulting GmbH mit langjähriger Erfahrung im Bereich “Mobile Security” und der Analyse von mobilen Applikationen. Das mTrust App Center ent- stand aus dem Leistungsbaustein der individuellen Sicherheitsanalyse für Consumer und Enterprise Apps. Diese Expertise wurde für die Entwicklung und Konzeption des mTrust App Centers genutzt und kann somit einem breiten Kundenkreis zur Verfügung gestellt werden. Erfahren Sie mehr und testen Sie unsere Demo unter www.mtrust.io. Von der Planung über die Integration bis hin zur Betreuung hilft M-Way Consulting bei der Realisierung individueller Mobility Lösungen. Das Leis- tungsspektrum umfasst neben der Beratung auch spezifische Workshops und Schulungen. Bei der Mobilisierung interner Geschäftsprozesse profi- tieren Kunden von der langjährigen Projekterfahrung der Mobile Consultants. Die M-Way Consulting GmbH wurde 2012 in Stuttgart gegrün- det und zählt heute namhafte Unternehmen verschiedener Branchen zu ihren Kunden. Wenn Sie weitere Fragen haben, dürfen Sie uns gerne kontaktieren. Mail: info@mtrust.io Web: www.mtrust.io Veröffentlicht: August 2014. Copyright © 2014 M-Way Consulting. Alle Rechte vorbehalten. Über M-Way Consulting Über mTrust
App-Sicherheit am Arbeitsplatz 13 Stresemannstr. 79 | 70191 Stuttgart | Deutschland Telefon: +49 711 252 548 00 | Fax: +49 711 252 548 09 www.mwayconsulting.com www.mtrust.io

Empfohlen

The Forrester Wave™: Enterprise Mobile Management, 3. Quartal 2014
The Forrester Wave™: Enterprise Mobile Management, 3. Quartal 2014The Forrester Wave™: Enterprise Mobile Management, 3. Quartal 2014
The Forrester Wave™: Enterprise Mobile Management, 3. Quartal 2014Symantec
 
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...Martin Merck
 
Mobile-App-Risiken minimieren: Sichere und zuverlässige Bereitstellung
Mobile-App-Risiken minimieren: Sichere und zuverlässige BereitstellungMobile-App-Risiken minimieren: Sichere und zuverlässige Bereitstellung
Mobile-App-Risiken minimieren: Sichere und zuverlässige BereitstellungFlexera
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...Symantec
 
Praxisleitfaden für Business Apps - Potenziale, Technologien, Kosten, Vorbere...
Praxisleitfaden für Business Apps - Potenziale, Technologien, Kosten, Vorbere...Praxisleitfaden für Business Apps - Potenziale, Technologien, Kosten, Vorbere...
Praxisleitfaden für Business Apps - Potenziale, Technologien, Kosten, Vorbere...FLYACTS GmbH
 
MobileIron
MobileIronMobileIron
MobileIroncbacher
 
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...usability.de
 
Herbert schwerzmann byod integration_von_modernen_endgeräten
Herbert schwerzmann byod integration_von_modernen_endgerätenHerbert schwerzmann byod integration_von_modernen_endgeräten
Herbert schwerzmann byod integration_von_modernen_endgerätenDigicomp Academy AG
 

Empfohlen

The Forrester Wave™: Enterprise Mobile Management, 3. Quartal 2014
The Forrester Wave™: Enterprise Mobile Management, 3. Quartal 2014The Forrester Wave™: Enterprise Mobile Management, 3. Quartal 2014
The Forrester Wave™: Enterprise Mobile Management, 3. Quartal 2014Symantec
 
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...Martin Merck
 
Mobile-App-Risiken minimieren: Sichere und zuverlässige Bereitstellung
Mobile-App-Risiken minimieren: Sichere und zuverlässige BereitstellungMobile-App-Risiken minimieren: Sichere und zuverlässige Bereitstellung
Mobile-App-Risiken minimieren: Sichere und zuverlässige BereitstellungFlexera
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...Symantec
 
Praxisleitfaden für Business Apps - Potenziale, Technologien, Kosten, Vorbere...
Praxisleitfaden für Business Apps - Potenziale, Technologien, Kosten, Vorbere...Praxisleitfaden für Business Apps - Potenziale, Technologien, Kosten, Vorbere...
Praxisleitfaden für Business Apps - Potenziale, Technologien, Kosten, Vorbere...FLYACTS GmbH
 
MobileIron
MobileIronMobileIron
MobileIroncbacher
 
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Bus...usability.de
 
Herbert schwerzmann byod integration_von_modernen_endgeräten
Herbert schwerzmann byod integration_von_modernen_endgerätenHerbert schwerzmann byod integration_von_modernen_endgeräten
Herbert schwerzmann byod integration_von_modernen_endgerätenDigicomp Academy AG
 
Proteinas blog
Proteinas blogProteinas blog
Proteinas blogAdrianitalisseth
 
Gesundheitstag
GesundheitstagGesundheitstag
Gesundheitstagohaarmann
 
easy.affiliate V3 - Ihr Private Affiliate Network & mehr
easy.affiliate V3 - Ihr Private Affiliate Network & mehreasy.affiliate V3 - Ihr Private Affiliate Network & mehr
easy.affiliate V3 - Ihr Private Affiliate Network & mehrThomas Goschnick
 
Defender direct kids against hunger-1705
Defender direct kids against hunger-1705Defender direct kids against hunger-1705
Defender direct kids against hunger-1705SuperServiceChallenge2013
 
SWOP
SWOPSWOP
SWOPDanny Verhoef
 
Enterprise Mobility – Was Unternehmen wissen müssen
Enterprise Mobility – Was Unternehmen wissen müssenEnterprise Mobility – Was Unternehmen wissen müssen
Enterprise Mobility – Was Unternehmen wissen müssenM-Way Consulting
 
Wiz khalifa
Wiz khalifaWiz khalifa
Wiz khalifaMorris Saladin
 
Not und Brot Nr. 46
Not und Brot Nr. 46Not und Brot Nr. 46
Not und Brot Nr. 46MuenzenbergFORUM
 
Piraten ab
Piraten abPiraten ab
Piraten abZuzana Boledovicova
 
Von der Revolte zur Revolution
Von der Revolte zur RevolutionVon der Revolte zur Revolution
Von der Revolte zur RevolutionMuenzenbergFORUM
 
CALIPRI C4x - Radprofilmessung & Schienenprofilmessung
CALIPRI C4x - Radprofilmessung & SchienenprofilmessungCALIPRI C4x - Radprofilmessung & Schienenprofilmessung
CALIPRI C4x - Radprofilmessung & SchienenprofilmessungNextSense GmbH
 
Die amerikanische Großfarm und Traktorenstation der IAH im Ural
Die amerikanische Großfarm und Traktorenstation der IAH im UralDie amerikanische Großfarm und Traktorenstation der IAH im Ural
Die amerikanische Großfarm und Traktorenstation der IAH im UralMuenzenbergFORUM
 
Adaptive Case Management in IT Service Management Prozessen
Adaptive Case Management in IT Service Management ProzessenAdaptive Case Management in IT Service Management Prozessen
Adaptive Case Management in IT Service Management ProzessenCassini_HH
 
Als Communisant im Widerstand
Als Communisant im WiderstandAls Communisant im Widerstand
Als Communisant im WiderstandMuenzenbergFORUM
 
Aufruf an das deutsche volk
Aufruf an das deutsche volkAufruf an das deutsche volk
Aufruf an das deutsche volkMuenzenbergFORUM
 
Propaganda als Waffe (2)
Propaganda als Waffe (2)Propaganda als Waffe (2)
Propaganda als Waffe (2)MuenzenbergFORUM
 
Willi Münzenberg - Der Spartakusprozess in Stuttgart
Willi Münzenberg - Der Spartakusprozess in StuttgartWilli Münzenberg - Der Spartakusprozess in Stuttgart
Willi Münzenberg - Der Spartakusprozess in StuttgartMuenzenbergFORUM
 
Nieder mit Spartakus
Nieder mit SpartakusNieder mit Spartakus
Nieder mit SpartakusMuenzenbergFORUM
 
easy.tracking-v3.5
easy.tracking-v3.5easy.tracking-v3.5
easy.tracking-v3.5Thomas Goschnick
 
Ewigkeitssontag 2013
Ewigkeitssontag 2013Ewigkeitssontag 2013
Ewigkeitssontag 2013Vendersheim
 
Enterprise Mobility Plattformen – Aktuelle Lösungen und Trends [White Paper]
Enterprise Mobility Plattformen – Aktuelle Lösungen und Trends [White Paper]Enterprise Mobility Plattformen – Aktuelle Lösungen und Trends [White Paper]
Enterprise Mobility Plattformen – Aktuelle Lösungen und Trends [White Paper]M-Way Consulting
 
Whitepaper ar-achieving application readiness maturity-de
Whitepaper ar-achieving application readiness maturity-deWhitepaper ar-achieving application readiness maturity-de
Whitepaper ar-achieving application readiness maturity-deFlexera
 

Weitere ähnliche Inhalte

Andere mochten auch

Gesundheitstag
GesundheitstagGesundheitstag
Gesundheitstagohaarmann
 
easy.affiliate V3 - Ihr Private Affiliate Network & mehr
easy.affiliate V3 - Ihr Private Affiliate Network & mehreasy.affiliate V3 - Ihr Private Affiliate Network & mehr
easy.affiliate V3 - Ihr Private Affiliate Network & mehrThomas Goschnick
 
Enterprise Mobility – Was Unternehmen wissen müssen
Enterprise Mobility – Was Unternehmen wissen müssenEnterprise Mobility – Was Unternehmen wissen müssen
Enterprise Mobility – Was Unternehmen wissen müssenM-Way Consulting
 
Von der Revolte zur Revolution
Von der Revolte zur RevolutionVon der Revolte zur Revolution
Von der Revolte zur RevolutionMuenzenbergFORUM
 
CALIPRI C4x - Radprofilmessung & Schienenprofilmessung
CALIPRI C4x - Radprofilmessung & SchienenprofilmessungCALIPRI C4x - Radprofilmessung & Schienenprofilmessung
CALIPRI C4x - Radprofilmessung & SchienenprofilmessungNextSense GmbH
 
Die amerikanische Großfarm und Traktorenstation der IAH im Ural
Die amerikanische Großfarm und Traktorenstation der IAH im UralDie amerikanische Großfarm und Traktorenstation der IAH im Ural
Die amerikanische Großfarm und Traktorenstation der IAH im UralMuenzenbergFORUM
 
Adaptive Case Management in IT Service Management Prozessen
Adaptive Case Management in IT Service Management ProzessenAdaptive Case Management in IT Service Management Prozessen
Adaptive Case Management in IT Service Management ProzessenCassini_HH
 
Als Communisant im Widerstand
Als Communisant im WiderstandAls Communisant im Widerstand
Als Communisant im WiderstandMuenzenbergFORUM
 
Aufruf an das deutsche volk
Aufruf an das deutsche volkAufruf an das deutsche volk
Aufruf an das deutsche volkMuenzenbergFORUM
 
Willi Münzenberg - Der Spartakusprozess in Stuttgart
Willi Münzenberg - Der Spartakusprozess in StuttgartWilli Münzenberg - Der Spartakusprozess in Stuttgart
Willi Münzenberg - Der Spartakusprozess in StuttgartMuenzenbergFORUM
 
Ewigkeitssontag 2013
Ewigkeitssontag 2013Ewigkeitssontag 2013
Ewigkeitssontag 2013Vendersheim
 

Andere mochten auch (20)

Proteinas blog
Proteinas blogProteinas blog
Proteinas blog
 
Gesundheitstag
GesundheitstagGesundheitstag
Gesundheitstag
 
easy.affiliate V3 - Ihr Private Affiliate Network & mehr
easy.affiliate V3 - Ihr Private Affiliate Network & mehreasy.affiliate V3 - Ihr Private Affiliate Network & mehr
easy.affiliate V3 - Ihr Private Affiliate Network & mehr
 
Defender direct kids against hunger-1705
Defender direct kids against hunger-1705Defender direct kids against hunger-1705
Defender direct kids against hunger-1705
 
SWOP
SWOPSWOP
SWOP
 
Enterprise Mobility – Was Unternehmen wissen müssen
Enterprise Mobility – Was Unternehmen wissen müssenEnterprise Mobility – Was Unternehmen wissen müssen
Enterprise Mobility – Was Unternehmen wissen müssen
 
Wiz khalifa
Wiz khalifaWiz khalifa
Wiz khalifa
 
Not und Brot Nr. 46
Not und Brot Nr. 46Not und Brot Nr. 46
Not und Brot Nr. 46
 
Piraten ab
Piraten abPiraten ab
Piraten ab
 
Von der Revolte zur Revolution
Von der Revolte zur RevolutionVon der Revolte zur Revolution
Von der Revolte zur Revolution
 
CALIPRI C4x - Radprofilmessung & Schienenprofilmessung
CALIPRI C4x - Radprofilmessung & SchienenprofilmessungCALIPRI C4x - Radprofilmessung & Schienenprofilmessung
CALIPRI C4x - Radprofilmessung & Schienenprofilmessung
 
Die amerikanische Großfarm und Traktorenstation der IAH im Ural
Die amerikanische Großfarm und Traktorenstation der IAH im UralDie amerikanische Großfarm und Traktorenstation der IAH im Ural
Die amerikanische Großfarm und Traktorenstation der IAH im Ural
 
Adaptive Case Management in IT Service Management Prozessen
Adaptive Case Management in IT Service Management ProzessenAdaptive Case Management in IT Service Management Prozessen
Adaptive Case Management in IT Service Management Prozessen
 
Als Communisant im Widerstand
Als Communisant im WiderstandAls Communisant im Widerstand
Als Communisant im Widerstand
 
Aufruf an das deutsche volk
Aufruf an das deutsche volkAufruf an das deutsche volk
Aufruf an das deutsche volk
 
Propaganda als Waffe (2)
Propaganda als Waffe (2)Propaganda als Waffe (2)
Propaganda als Waffe (2)
 
Willi Münzenberg - Der Spartakusprozess in Stuttgart
Willi Münzenberg - Der Spartakusprozess in StuttgartWilli Münzenberg - Der Spartakusprozess in Stuttgart
Willi Münzenberg - Der Spartakusprozess in Stuttgart
 
Nieder mit Spartakus
Nieder mit SpartakusNieder mit Spartakus
Nieder mit Spartakus
 
easy.tracking-v3.5
easy.tracking-v3.5easy.tracking-v3.5
easy.tracking-v3.5
 
Ewigkeitssontag 2013
Ewigkeitssontag 2013Ewigkeitssontag 2013
Ewigkeitssontag 2013
 

Ähnlich wie App-Sicherheit am Arbeitsplatz - mTrust.io

Enterprise Mobility Plattformen – Aktuelle Lösungen und Trends [White Paper]
Enterprise Mobility Plattformen – Aktuelle Lösungen und Trends [White Paper]Enterprise Mobility Plattformen – Aktuelle Lösungen und Trends [White Paper]
Enterprise Mobility Plattformen – Aktuelle Lösungen und Trends [White Paper]M-Way Consulting
 
Whitepaper ar-achieving application readiness maturity-de
Whitepaper ar-achieving application readiness maturity-deWhitepaper ar-achieving application readiness maturity-de
Whitepaper ar-achieving application readiness maturity-deFlexera
 
Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!AFF Group
 
Mobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und HerausforderungenMobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und HerausforderungenUniversity St. Gallen
 
In 5 Schritten zur Mobile Business App
In 5 Schritten zur Mobile Business AppIn 5 Schritten zur Mobile Business App
In 5 Schritten zur Mobile Business AppitCampus GmbH
 
Touch Mahal - Mobile Hype
Touch Mahal - Mobile HypeTouch Mahal - Mobile Hype
Touch Mahal - Mobile HypeBusinessVALUE24
 
a3 systems präsentiert die dante App
a3 systems präsentiert die dante Appa3 systems präsentiert die dante App
a3 systems präsentiert die dante Appa3 systems GmbH
 
Focused Health App: Ihre Gesundheitsdaten im Blick (Studentisches Projekt an ...
Focused Health App: Ihre Gesundheitsdaten im Blick (Studentisches Projekt an ...Focused Health App: Ihre Gesundheitsdaten im Blick (Studentisches Projekt an ...
Focused Health App: Ihre Gesundheitsdaten im Blick (Studentisches Projekt an ...Michael Groeschel
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 
Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?HOB
 
Open-Source- Sicherheits- und Risikoanalyse 2018
Open-Source- Sicherheits- und Risikoanalyse 2018Open-Source- Sicherheits- und Risikoanalyse 2018
Open-Source- Sicherheits- und Risikoanalyse 2018Black Duck by Synopsys
 
Web application security
Web application securityWeb application security
Web application securityOliver Hader
 
Citirx Day 2013: Enterprise mobility in der Praxis
Citirx Day 2013: Enterprise mobility in der PraxisCitirx Day 2013: Enterprise mobility in der Praxis
Citirx Day 2013: Enterprise mobility in der PraxisDigicomp Academy AG
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertAlexander Junk
 
Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten. Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten. University St. Gallen
 
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...Microsoft Österreich
 
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-SystemsInterview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-SystemsOPTIMAL SYSTEMS GmbH
 
Zusammenfassung von Impulsvortrag 5 und 6
Zusammenfassung von Impulsvortrag 5 und 6Zusammenfassung von Impulsvortrag 5 und 6
Zusammenfassung von Impulsvortrag 5 und 6Subrata Sinha
 

Ähnlich wie App-Sicherheit am Arbeitsplatz - mTrust.io (20)

Enterprise Mobility Plattformen – Aktuelle Lösungen und Trends [White Paper]
Enterprise Mobility Plattformen – Aktuelle Lösungen und Trends [White Paper]Enterprise Mobility Plattformen – Aktuelle Lösungen und Trends [White Paper]
Enterprise Mobility Plattformen – Aktuelle Lösungen und Trends [White Paper]
 
Whitepaper ar-achieving application readiness maturity-de
Whitepaper ar-achieving application readiness maturity-deWhitepaper ar-achieving application readiness maturity-de
Whitepaper ar-achieving application readiness maturity-de
 
Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!Das Mobile Prozesse Team - Mobilität für Ihr Business!
Das Mobile Prozesse Team - Mobilität für Ihr Business!
 
Mobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und HerausforderungenMobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und Herausforderungen
 
In 5 Schritten zur Mobile Business App
In 5 Schritten zur Mobile Business AppIn 5 Schritten zur Mobile Business App
In 5 Schritten zur Mobile Business App
 
Touch Mahal - Mobile Hype
Touch Mahal - Mobile HypeTouch Mahal - Mobile Hype
Touch Mahal - Mobile Hype
 
a3 systems präsentiert die dante App
a3 systems präsentiert die dante Appa3 systems präsentiert die dante App
a3 systems präsentiert die dante App
 
Focused Health App: Ihre Gesundheitsdaten im Blick (Studentisches Projekt an ...
Focused Health App: Ihre Gesundheitsdaten im Blick (Studentisches Projekt an ...Focused Health App: Ihre Gesundheitsdaten im Blick (Studentisches Projekt an ...
Focused Health App: Ihre Gesundheitsdaten im Blick (Studentisches Projekt an ...
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?
 
Open-Source- Sicherheits- und Risikoanalyse 2018
Open-Source- Sicherheits- und Risikoanalyse 2018Open-Source- Sicherheits- und Risikoanalyse 2018
Open-Source- Sicherheits- und Risikoanalyse 2018
 
Web application security
Web application securityWeb application security
Web application security
 
Citirx Day 2013: Enterprise mobility in der Praxis
Citirx Day 2013: Enterprise mobility in der PraxisCitirx Day 2013: Enterprise mobility in der Praxis
Citirx Day 2013: Enterprise mobility in der Praxis
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziert
 
Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012
 
Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten. Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten.
 
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
 
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-SystemsInterview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
 
Zusammenfassung von Impulsvortrag 5 und 6
Zusammenfassung von Impulsvortrag 5 und 6Zusammenfassung von Impulsvortrag 5 und 6
Zusammenfassung von Impulsvortrag 5 und 6
 

App-Sicherheit am Arbeitsplatz - mTrust.io

  • 1. App-Sicherheit am Arbeitsplatz White Paper Ein Service von Die ideale Lösung für den sicheren Einsatz von Consumer Apps im Unternehmen. Apps aus öffentlichen App Stores sicher im Unternehmen einsetzen mit mTrust
  • 2. App-Sicherheit am Arbeitsplatz 2 Längst reichen unternehmens- eigene Apps nicht mehr aus, um das volle Potenzial mobiler Geräte auszuschöpfen. Wie eine Erhebung des Mobile Device Management Herstellers IBM Fiberlink zeigt, wer- den daher vermehrt auch Consu- mer Apps für den Unternehmens- gebrauch zugelassen. Rund 62% der verteilten Anwendungen sind Consumer Apps (IBM, 2014). Doch wie lässt sich die Sicherheit von Un- ternehmensdaten gewährleisten, wenn Consumer Apps zugelassen werden sollen? Apps - der unscheinbare Mittelpunkt der mobilen Branche Mobile Endgeräte und mit ihnen mobile Apps haben ihren Siegeszug längst angetreten. Neue Geräte erhalten bei der Veröffentlichung viel Aufmerksamkeit, jedoch spielen Apps die entscheidende Rolle für den Erfolg einer Plattform. Apps sind in jeder Lebenslage präsent und erleichtern dem Nutzer den Alltag. Die Erfahrung im Umgang mit Apps führt auch dazu, dass Anwender hohe Erwartungen an die Usability haben und sich einen angepassten Funktionsumfang wünschen. Dedi- zierte Aufgaben werden so häufig auf mehrere Apps verteilt (siehe: Facebook, Facebook Mes- senger, Facebook Seitenmanager), um die Komplexität in einer App möglichst gering zu halten. Das Resultat ist jedoch, dass Anwender sowie Unternehmen mit einer Vielzahl von Apps konfrontiert werden. Die Entscheidung, welche Apps sinnvoll und vor allem sicher eingesetzt werden können, wird zunehmend schwieriger, denn die Sicherheitsanforderungen zur Platzierung von Apps in den öffent- lichen App Stores ist häufig gering. Eine Prüfung der veröffentlichten Apps erfolgt meist nur in Hinblick auf Stabilität und Inhalt, jedoch weniger auf die Implementierung spezifischer Sicherheitsfunktiona- litäten. Die hohen Sicherheitsan- forderungen von Unternehmen spielen bei der Entwicklung von Consumer Apps oft nur eine unter- geordnete Rolle. aller mobilen Sicherheitsvorfälle treten auf Anwendungsebene ein (Gartner, 2014) 01Apps - Das, was wirklich zählt 75%
  • 3. App-Sicherheit am Arbeitsplatz 3 Der Einsatz von Consumer Apps im Unternehmen Mitarbeiter wünschen sich, Apps auch geschäftlich nutzen zu dürfen, die sie bereits privat kennen und schätzen gelernt haben. Doch dies ist häufig mit etlichen Risiken verbunden (Stratecast, 2013). Die zuvor angesprochene heterogene Entwicklerlandschaft und oft laxe Kontrollen der App Stores sorgen dafür, dass viele Apps teilweise gravie- rende Sicherheitslücken aufweisen. Dies macht einen unbeschränkten Einsatz im Unternehmen häufig zu einem riskanten Unterfangen. Da Apps meist nativ entwickelt werden, bieten sie die Möglichkeit, auf eine Vielzahl von Gerätefunktionen zuzugreifen. Dies erhöht jedoch zusätzlich die Risiken, die von einer App ausgehen können. Nicht selten werden Benutzer durch kostenfreie oder günstige Apps gelockt, die sich allerdings entweder über In-App-Werbung oder häufig auch über das Erheben und Weiterreichen von Daten finanzieren. So ist es zum Normalfall geworden, dass bereits simple Anwendungen Zugriff auf die Internetverbindung verlangen (ZScaler, 2014). Dieser Umstand sorgt dafür, dass erhobene Informationen auch unbe- merkt versendet werden können. Besonders kritisch ist dies, wenn die App dabei Zugriff auf sensible Unternehmensdaten erlangt und diese womöglich unverschlüsselt versendet. Eine App kann auch als Einfallstor zum Gerät oder im schlimmsten Fall sogar zum Unternehmensnetzwerk missbraucht werden. Daher ist es zwingend notwendig geeignete Sicher- heitsmaßnahmen zu ergreifen und Prozesse zu etablieren, um sich dem Risiko einzelner Anwendungen bewusst zu werden. Zunächst sollte festgehalten werden, wie generell mit Consumer Apps umzugehen ist. Sollten diese im Unternehmenskontext genutzt werden, so ist es notwendig, einen Bestell- und Freigabeprozess zu definieren. Wenn die Nutzung von Apps ausgeschlossen werden soll, ist es neben einer eventuell technischen Umsetzung als Black- oder Whitelist auch wichtig, die eigenen Mitarbeiter entsprechend zu informieren. Dies schafft Klarheit und sorgt dafür, dass unnötige Supportzyklen vermieden wer- den. In vielen Fällen gilt es auch die Lizenzfragen zu klären. Wer ist für die Lizenzierung zuständig? Ist die App für den geschäftlichen Einsatz ausrei- chend lizenziert? Oder in umgekehrter Richtung für den privaten Bereich? Dies sind alles Punkte, die vorab geklärt werden müssen, häufig aber nicht beachtet werden.
  • 4. App-Sicherheit am Arbeitsplatz 4 Unternehmensanforderungen an Consumer Apps Eine der Hauptanforderungen an Consumer Apps ist sicherlich der eigene Schutzbedarf. Unternehmen ist daran gelegen ihre Unternehmensdaten zu schützen. Dies erfolgt aus einer Eigenverantwortung heraus oder aber auch aufgrund von Compliance Anforderungen. Nicht selten geht das Abhandenkommen von Unternehmensdaten mit einem Imageverlust ein- her, außerdem können auch rechtliche Verfahren und Strafen mögliche Konsequenzen sein. Damit das volle Potenzial von mobilen Anwendungen genutzt werden kann, müssen zunächst einige Herausforderungen gemeistert werden. Um die Sicherheit von Unternehmensdaten zu gewährleisten, ist es unerlässlich, die eigenen Mitarbeiter aktiv einzubinden. Denn neben der Mitarbeiterzufriedenheit spielt auch die Akzeptanz eine entscheidende Rolle und es sollte nicht darauf gewartet werden, bis Mitarbeiter mobile Lösungen aktiv einfordern. Ein klares Konzept für die mobile Ausrichtung des Unternehmens ist deshalb unerlässlich und sollte unbedingt auch Sicherheitsaspekte beinhalten. Unternehmen müssen sich im Klaren darüber sein welche Daten wohin wandern und wie es um die Klassifizie- rung dieser beschaffen ist. Daher ist das Überprüfen von Consumer Apps hinsichtlich der Verarbeitung und Übertragung von Unternehmensdaten vor der Freigabe für den Unternehmenseinsatz elementar. „Mobile security breaches are - and will continue to be - the result of misconfiguration and misuse on an app level, rather than the outcome of deeply technical attacks on mobile devices“ Dionisio Zumerle Gartner Principal Research Analyst
  • 5. App-Sicherheit am Arbeitsplatz 5 02Sicherheitsanforderungen an Apps und wie diese geprüft werden Für den reibungslosen Einsatz im Unternehmen müssen Apps also den Sicherheitsanforderungen entsprechen. Um dies zu gewährleisten, ist es notwendig zunächst alle Systeme und Schnittstellen zu betrachten, welche Unternehmensdaten verarbeiten. Auf Seiten der mobilen Geräte geschieht dies im Regelfall innerhalb einer App. Es ist deshalb wichtig, hinter die Fassa- de der Apps zu blicken und sich bewusst zu machen, wie und welche Daten verarbeitet werden. Bei unternehmenseigenen Apps gestaltet sich dies meist unkomplizierter, da sie entweder im Unternehmen selbst, oder aber in enger Zusammenarbeit mit einem externen Partner, entwickelt wurden. Sobald man jedoch auch Consumer Apps einsetzen möchte wird es schwie- rig, denn in den wenigsten Fällen sind Entwickler dazu bereit, Einblick in ihren Quellcode oder die Architektur der Anwendung zu gewähren. Daher ist es notwendig, geeignete Mittel und Wege zu finden, Apps dennoch auf Sicher- heitsaspekte hin zu untersuchen. Für die Sicherheitstests von Apps gibt es zahlreiche Frameworks, die oft bereits im Web-Bereich erprobt sind und sich auch auf die Überprüfung von Apps anwenden lassen. Eines der bekanntesten Frameworks ist das „Open Web Application Security Project“, kurz OWASP. Das OWASP stellt eine jähr- liche Top10 Liste der kritischsten Risiken für Web Anwendungen zur Verfü- gung. Anhand dieser Liste lässt sich ableiten, welche Vorkehrungen getroffen werden müssen, um eine Web Anwendung abzusichern. Seit einiger Zeit gibt es auch einen mobilen Ableger des OWASP. Hier wird dediziert auf mobile Risiken eingegangen. Diese beinhalten neben Punkten wie unsicherer Daten- speicher, Transportweg-Absicherung, Datenlecks, Autorisierung und Authen- tifizierung sowie Sitzungsmanagement auch Themen wie unzureichende Server-Absicherung und gebrochene Verschlüsselung (OWASP, 2014). Die Absicherung der Daten auf dem Transportweg ist entscheidend, denn mobile Geräte kommunizieren häufig über nicht vertrauenswürdige und meist drahtlose Netze. Dies erleichtert einem potenziellen Angreifer ein Mitlesen der Daten erheblich. Wenn sensible oder gar vertrauliche Daten verarbeitet werden ist es umso wichtiger, diese entsprechend sicher zu übertragen. Dennoch gibt es zahlreiche Apps, die selbst dieses klare Prinzip verletzen. Das es sich hierbei auch um kritische Apps handelt, verdeutlicht das Beispiel von getesteten Banking-Apps, bei welchen deutliche Schwach- stellen bei der SSL Implementierung und im Klartext übertragenen Userda- ten aufgedeckt wurden (IOActive Labs, 2014). Hauptkategorien der App-Sicherheitsrisiken nach OWASP Transportweg Unsichere Datenübertragung Lokale Datenspeicherung Unsichere Speicherung von Daten App-Verhalten Datenlecks, unsichere Eingaben
  • 6. App-Sicherheit am Arbeitsplatz 6 Unterschiedliche Vorgehensweisen und Möglichkeiten Grundsätzlich gibt es beim Prüfen von Apps verschiedene Detailierungs- grade, die gewählt werden können. Sie reichen von einer oberflächlichen Prüfung bis hin zu dedizierten Penetrationstests, bei welchen die Anwen- dung selbst, aber auch Schnittstellen und Server tiefgreifend geprüft und attackiert werden. Oberflächliche Prüfungen lassen sich bereits durch automatisierte Testszenarien durchführen. Grundsätzlich besteht jedoch bei einer automatisierten Prüfung das Problem, dass im Voraus bekannt sein muss, was zu prüfen ist. Ab einer gewissen Tiefe lässt sich eine ma- nuelle Prüfung selten vermeiden, denn nur so kann sichergestellt wer- den, dass alle Anwendungsfälle und Angriffsszenarien abgedeckt werden. Neben der Art und Weise, wie getestet wird, unterscheidet man auch, was getestet wird. Prinzipiell wird hier zwischen dynamischer und statischer Analyse unterschieden. Unter einer statischen Analyse ist zunächst alles angesiedelt, was ohne Interaktion mit der App analysiert werden kann. Dies beinhaltet daher im Wesentlichen eine Analyse des Quellcodes oder der vorhanden Binärdateien. Eine dynamische Analyse setzt im Gegensatz zur statischen Analyse auf eine Interaktion mit der eigentlichen App. Häufig werden auch Backend- server überprüft und Schnittstellen angesprochen. Bei der dynamischen Analyse werden somit auch Angriffe gegen den Dienst oder die Anwen- dung selbst durchgeführt. App Sicherheitstests und ihre Herausforderungen Die verschiedenen Testmöglich- keiten bringen dabei unterschied- lichste Herausforderungen mit sich. Nicht in jedem Fall ist es ge- wünscht oder gar erlaubt, eine App bis in das letzte Detail zu testen. Bei einer unternehmenseigenen App ist dies häufig unproblema- tisch, handelt es sich aber um eine App eines Fremdanbieters so ist es nicht ohne Weiteres möglich, An- griffe gegen dessen Infrastruktur durchzuführen. Daher muss man sich zunächst be- wusst machen in welchem Rahmen es sinnvoll ist eine App zu testen. Eine weitere Herausforderungen stellt die teilweise starke Abhängig- keit von Betriebssystemfunktionen dar. Zusätzlich setzten einige Tests gar administrative Berechtigungen (Root oder Jailbreak) voraus. Tests sind daher sehr plattformabhängig und die Testmethodik muss gegebenenfalls überarbeitet wer- den, sobald ein Hersteller benötigte Funktionalitäten verändert oder entfernt. Hochentwickelte Schadsoftware, die im Verborgenen agiert, ver- schlüsselt kommuniziert und sich gegebenenfalls erst bei einem speziellen Event aktiviert, lässt sich kaum mit einem rein automati- sierten Sicherheitstest ausfindig machen. Daher ist es oft unum- gänglich auch manuelle Testver- fahren in Betracht zu ziehen. Eine weitere Herausforderung stellen regelmäßige Updates dar. Jedes Update verändert potenziell das Verhalten und den Funktionsum- fang der App. Um eine valide Aus- sage zur Beschaffenheit der App treffen zu können muss folglich auch jedes Update geprüft wer- den. Nur so lässt sich sicherstellen, dass die Testergebnisse tatsächlich noch dem aktuellen Zustand der App entsprechen und das sich das Sicherheitsniveau nicht verändert hat.
  • 7. App-Sicherheit am Arbeitsplatz 7 Die zuvor angesprochenen Frameworks vermitteln einen guten Eindruck über die kritischen Punkte beim Testen einer App. Die verschiedenen Testmöglichkeiten und unterschiedlichen Herausforderungen unterstrei- chen die Komplexität, die der sichere Einsatz von Apps mit sich bringt. Mit dem mTrust App Center wird hierfür eine geeignete Lösung zur Verfügung gestellt. Damit erhalten Kunden Zugriff auf Testergebnisse von Consumer Apps, die in ihrem Unternehmen verwendet werden können. Die detaillierten App-Bewertungen können in bestehende Beantragungs- und Freigabeprozesse eingebunden werden, um etwa ein Black- oder Whitelisting im Mobile Device Management zu implementieren. Damit kann sichergestellt werden, dass Mitarbeiter nur Apps verwenden, die zuvor mit Hilfe der Informationen aus dem mTrust App Center als sicher eingestuft wurden. 03mTrust App Center Zugriff auf das mTrust App Center über die webbasierte Benutzeroberfläche Erstellen eines individuellen Profils und bewerten der gewünschten Apps Einbindung in nachfolgende Prozesse und Systeme (Beispiel: MDM Whitelist) Risikofreier Einsatz von Consumer Apps im Unternehmen App-Katalog als Sammelbecken der geprüften Apps Alle bereits getesteten Apps sind im mTrust App Center über eine Weboberfläche oder per API-Schnittstelle abrufbar. Dabei ist stets direkt ersichtlich, welche Version zuletzt getestet wurde und in welchem Status sich die App aktuell befindet. Zusätzlich ist es möglich sich automatisch benachrichtigen zu lassen, sobald eine App vollständig getestet wurde. Ist eine App noch nicht im Katalog vorhanden so wurde diese noch nicht von uns geprüft. In diesem Fall kann ein Antrag auf eine Überprüfung erstellt werden. Über eine integrierte Funktion im mTrust App Center können Apps aus dem Google Play Store und dem Apple App Store direkt beantragt werden. Anschließend wird die App getestet und sobald dies abgeschlossen ist, erfolgt eine automatische Benachrichtigung. Erste Schritte zur Verwendung des mTrust App Center
  • 8. App-Sicherheit am Arbeitsplatz 8 Alle Apps eines Unternehmens sind im mTrust App Center unter dem eigenen App Katalog zu finden. Über verschiedene Such- und Filtermas- ken ist es möglich, stets einen Überblick zu bewahren. Zusätzlich können Bewertungen für ältere App Versionen eingesehen werden. Einmal täglich wird geprüft, ob für Apps eine neue Version im öffentlichen App Store vorliegt. Sollte dies der Fall sein, so wird dies au- tomatisch vom System erkannt und der Kunde wird darauf hingewiesen. Jedes Update erfordert eine erneute Überprüfung der App, da die bishe- rige Bewertung durch das Update hinfällig wird. Nicht immer resultiert daraus zwingend eine andere Bewertung, allerdings muss dennoch eine vollständige Prüfung durchgeführt werden, da sonst das bisherige Sicher- heitsniveau nicht mehr garantiert werden kann. Vorbereitung Testdurchführung Veröffentlichung nn Erfassung Metadaten nn Aufstellung Testfälle nn Erstellung Test-Accounts nn Vorbereitung Testgeräte nn Durchführung Testfälle nn Überprüfung App-Verhalten nn Analyse Datenverkehr nn Auswertung Gerätespeicher nn Veröffentlichung Ergebnisse nn Benachrichtigungen App- Beantrager Dokumentation Sicherheitstests und unser Prüfprozess Die eigentliche Sicherheitsüberprüfung sieht einen Test der App in jeweils der aktuellsten Version für iOS oder Android vor. Dabei kommen aktuelle Testgeräte in Form von Smartphones und Tablets zum Einsatz. Die Geräte stehen dediziert für die Tests zur Verfügung und sind entsprechend präpariert. Getestet wird nicht auf virtuellen Systemen wie Emulatoren oder Simulatoren, sondern auf echten Geräten, wie sie auch bei unseren Kunden vorzufinden sind. Das Vorgehen ist dabei klar strukturiert und die Ergebnisse werden fortlaufend dokumentiert, sodass sie sich jederzeit reproduzieren lassen. Definierter Prüfprozess der App-Sicherheitsanalysen
  • 9. App-Sicherheit am Arbeitsplatz 9 Transportweg Lokale Datenspeicherung App-Verhalten nn Welche Daten werden über- tragen? nn Wohin werden die Daten übertragen? nn Welche Protokolle werden verwendet? nn Werden sensible Daten geschützt? nn Welche Daten werden abgelegt? nn Wo werden die Daten abgelegt? nn In welcher Form werden die Daten abgelegt? nn Sind sensible Daten entsprechend geschützt? nn Welche Berechtigungen fordert die App an? nn Weist die App Auffälligkeiten bei der Benutzung auf? nn Interagiert die App mit anderen Apps oder Systemdiensten? nn Verwendet die App externe Dienste? Unsere Sicherheitsexperten un- tersuchen die Apps mittels auto- matischer sowie manueller Tests. Diese werden mithilfe spezifischer Diagnose-Tools durchgeführt. Dadurch können Apps ganzheitlich analysiert und somit auch beispiels- weise verschlüsselte SSL Verbin- dungen aufgebrochen werden, um alle möglichen Sicherheitsrisiken indentifizieren zu können. Die anfallenden Informationen werden ausgewertet und im mTrust App Center dokumentiert. Unterneh- men müssen sich hierdurch nicht mit der Komplexität einer Sicher- heitsanalyse von Consumer Apps auseinandersetzen, sondern kön- nen direkt von den bereitgestellten Informationen profitieren. Auszug der Prüfungskriterien des mTrust App Center Screenshot der mTrust Web-GUI
  • 10. App-Sicherheit am Arbeitsplatz 10 Unternehmensbezogene Sicherheitsprofile - Individuelle Bewertung Um eine individuelle Bewertung durchzuführen werden verschiedene Sicherheitsprofile eingesetzt. Durch die Sicherheitsprofile ist es möglich, die individuellen Sicherheitsanforderungen eines Unternehmens im mTrust App Center abzubilden. Das Sicherheitsprofil dient als Kriterium für die Bewer- tung der Apps. Abhängig vom Sicherheitsprofil kann sich somit eine unter- schiedliche Bewertung der App ergeben. So ist es etwa möglich individuelle Sicherheitsprofile für unterschiedliche Abteilungen oder Benutzergruppen zu erstellen. Denn eine App, welche für den Außendienst positiv bewertet wurde, kann für die Entwicklungsabtei- lung z. B. zu einem negativen Ergebnis führen. Die Sicherheitsprofile können also ähnlich differenziert gestaltet werden, wie die im Unternehmen bereits bestehende Richtlinien oder Zugriffsberechtigungen. Die Sicherheit einer App hängt von vielen Faktoren ab. Daher wird die mTrust App Bewertung individuell für das jeweilige Sicherheitsprofil erstellt. Die App Bewertung erfolgt nach einem 3-stufigen System. App kann ohne Einschränkung genutzt werden App kann mit Einschränkung genutzt werden App sollte nicht genutzt werden Neben der eigentlichen Bewertung werden zusätzliche Informationen und Ergebnisse der App Bewertung angezeigt. Informationen zu Art und Um- fang des Tests, Berechtigungen welche die App anfordert und Zielsysteme mit welchen die App kommuniziert, werden direkt dargestellt. Zusätzlich wird dargestellt, welche Punkte konkret zur aktuellen Bewertung geführt haben. Hat beispielsweise ein Kunde in seinem Sicherheitsprofil hinter- legt, dass Kontaktdaten vertraulich zu behandeln sind, so fällt die Bewer- tung für jede App negativ aus, welche die Kontakte weiterverarbeitet, versendet oder speichert. Bei jeder Änderung des Sicherheitsprofils wird die Bewertung zunächst ungültig, da sich die Rahmenbedingungen für die Bewertung geändert haben. Daher muss anschließend anhand der neuen Kriterien eine erneute Bewertung durchgeführt werden. Dieses Vorgehen sorgt dafür, dass individuelle und wechselnde Anforderungen von Unternehmen und Abteilungen berücksichtigt werden und sich in der App Bewertung widerspiegeln. Hauptkategorien der Sicherheitsprofile Nutzungskontext Wie werden die Geräte verwendet: Private, dienstliche oder kombinierte Nutzung? Schutzbedarf der Daten Welche Anfoderungen an Daten- schutz und Datensicherheit bestehen? Schutz der Geräte Wie stark sind die Geräte bereits abgesichert? Unerwünschte Funktionen Wie streng sind die mobilen Endgeräte reguliert?
  • 11. App-Sicherheit am Arbeitsplatz 11 Fazit Mit dem rasanten Anstieg an Consumer Apps steigt auch der Einsatz dieser Apps im Unternehmen stark an. Hierdurch sind sensible Unterneh- mensdaten so gefährdet wie nie, da viele Apps aus den öffentlichen App Stores nicht den Sicherheitsanforderungen der Unternehmen entspre- chen. Ein präventives Verbot aller Consumer Apps ist heutzutage aller- dings keine Alternative. Durch eine vorgelagerte Überprüfung der Apps können kritische Sicherheitsrisiken frühzeitig erkannt werden. Das mTrust App Center bietet hierzu die ideale Lösung, indem es die Testergebnisse gesammelt zur Verfügung stellt und durch Sicherheitsprofile eine indivi- duelle Bewertung gemäß den Sicherheitsanforderungen von Unterneh- men bereitstellt. Diese Informationen können in nachfolgende Prozesse und Systeme, wie beispielsweise die Black-oder Whitelists eines Mobile Device Managements (MDM), einfließen und so den Aufwand sowie die Supportzyklen in der IT Abteilung reduzieren. Quellen Im Folgenden sind die Ressourcen aufgelistet, die im Rahmen der Recherche für dieses White Paper verwendet wurden. IBM (2014): „Apps in the Enterprise” Gartner (2014): „Mobile Security Breaches 2014” Stratecast (2013): „The Hidden Truth Behind Shadow IT“ IOActive Labs (2014): „Personal banking apps leak info through phone“ OWASP (2014): „OWASP Mobile Security Project” ZScaler (2014): „And the mice will “Play”…: App Stores and the Illusion of Control“
  • 12. App-Sicherheit am Arbeitsplatz 12 Unser Team besteht aus IT Sicherheitsexperten und Beratern der M-Way Consulting GmbH mit langjähriger Erfahrung im Bereich “Mobile Security” und der Analyse von mobilen Applikationen. Das mTrust App Center ent- stand aus dem Leistungsbaustein der individuellen Sicherheitsanalyse für Consumer und Enterprise Apps. Diese Expertise wurde für die Entwicklung und Konzeption des mTrust App Centers genutzt und kann somit einem breiten Kundenkreis zur Verfügung gestellt werden. Erfahren Sie mehr und testen Sie unsere Demo unter www.mtrust.io. Von der Planung über die Integration bis hin zur Betreuung hilft M-Way Consulting bei der Realisierung individueller Mobility Lösungen. Das Leis- tungsspektrum umfasst neben der Beratung auch spezifische Workshops und Schulungen. Bei der Mobilisierung interner Geschäftsprozesse profi- tieren Kunden von der langjährigen Projekterfahrung der Mobile Consultants. Die M-Way Consulting GmbH wurde 2012 in Stuttgart gegrün- det und zählt heute namhafte Unternehmen verschiedener Branchen zu ihren Kunden. Wenn Sie weitere Fragen haben, dürfen Sie uns gerne kontaktieren. Mail: info@mtrust.io Web: www.mtrust.io Veröffentlicht: August 2014. Copyright © 2014 M-Way Consulting. Alle Rechte vorbehalten. Über M-Way Consulting Über mTrust
  • 13. App-Sicherheit am Arbeitsplatz 13 Stresemannstr. 79 | 70191 Stuttgart | Deutschland Telefon: +49 711 252 548 00 | Fax: +49 711 252 548 09 www.mwayconsulting.com www.mtrust.io