Mobile Application Management

Schutz vor Spionage und Datenmissbrauch

21.10.2014 von Sebastian Wolters

Aufgrund mangelnder Schutzmechanismen sind Smartphones und Tablets die attraktivsten Ziele für Hacker- und Spionage-Attacken. Ein "Mobile Application Management" sorgt bei Unternehmen für eine sichere mobile Infrastruktur.

Unternehmen statten ihre Mitarbeiter zunehmend mit Smartphones oder Tablets aus. Die neuen Kommunikationswerkzeuge sind allerdings nur halb so effektiv und attraktiv, wenn aus Sicherheitsgründen die Nutzung von Apps untersagt wird. Vom technikfernen Ansatz "Mitarbeiter werden vertraglich verpflichtet, Sicherheitsregeln bei der Nutzung ihrer Smartphones einzuhalten" bis hin zur technisch aufwendigeren "Trennung des geschäftlichen und privaten Bereichs" gibt es ein breites Spektrum an Möglichkeiten in unterschiedlich restriktiven Ausprägungen.

Unternehmen bewegen hierbei Fragen zum Arbeitsrecht, zur Einhaltung und Erweiterung von Gesetzen und Richtlinien, zur Corporate-Governance-Kompatibilität, zur Haftung oder zur Verwaltung und Synchronisation der Geräte und Daten.

Die erste Herausforderung für CIOs und IT-Security-Verantwortliche entsteht durch die große Vielfalt an Endgeräten für die gängigen Betriebssysteme Android, iOS, Windows Phone und BlackBerry. Sie kann durch moderne Mobile-Device-Management-Systeme wie AirWatch, MobileIron, SAP Afaria oder 7P mittlerweile komfortabel bewältigt werden. Im Bereich der genutzten Software, der Apps, herrscht allerdings in den meisten Unternehmen ein undurchschaubarer Wildwuchs. Das Mobile Application Management wird deshalb zum zentralen Bestandteil einer ganzheitlichen Enterprise-Mobility-Strategie. Standardisierte Regeln und Kontrollen sind unumgänglich.

Ruggedized-Geräte

BYOD-Trend
Deutsche Beschäftige greifen oft zum privaten Notebook, um berufliche Aufgaben zu erledigen.

Mobile Arbeitswelt
Laut einer Studie des Hightech-Verbandes Bitkom setzen 75 Prozent der Mitarbeiter mobile Endgeräte außerhalb des Büros ein. Das bedeutet, dass diese Systeme besonders abgesichert werden müssen, etwa mithilfe von MDM-Lösungen.

Dominanz von Android und Windows
Laut einer Studie von Citrix dominieren derzeit Android und Windows auf Mobilgeräten, die in Unternehmen im Einsatz sind. Der hohe Stellenwert von Windows 8 ist verwunderlich. Er könnte durch Tablets und Notebooks bedingt sein.

MDM-Lifecycle
Ein Mobile Device Management muss den gesamten Lebenszyklus eines Mobilgeräts abdecken, von der Inbetriebnahme und Konfiguration bis zur "Außerdienststellung". Dies schließt das sichere Löschen sensibler Daten auf privaten Endgeräten mit ein.

Ist MDM Pflicht?
Hans-Heinrich Aenishänslin, EMEA Regional Sales Senior Manager Endpoint Systems Management bei Dell: " Jedes Unternehmen, dessen Mitarbeiter mobile Endgeräte einsetzen, benötigt eine MDM-Lösung!"

MDM-Ansätze I
Die Funktionsweise des MDM-Systems von MobileIron: Als Pufferzone zwischen Mobilgerät und Firmennetzwerk wird eine DMZ (Demilitarized Zone) platziert.

MDM-Ansätze II
Citrix zählt zu den führenden Anbietern von MDM-Lösungen. Citrix XenDesktop ermöglicht es, virtualisierte Desktop-Umgebungen auf unterschiedlichen Endgeräten zu nutzen, vom Thin-Client über PCs im Home-Office bis hin zu Smartphones und Tablets.

MDM-Ansätze III
Auf die Option, Mobilgeräten einen sicheren Zugriff auf Anwendungen und Daten im Firmennetz über virtualisierte Desktops einzuräumen, setzt auch Pironet. Hier werden sie über ein zentrales Rechenzentrum bereitgestellt.

MDM-Ansätze IV
Auch etliche deutsche Unternehmen bieten MDM-Lösungen an. Dazu zählt Pretioso aus Südergellersen nahe Lüneburg mit seiner Datomo-Produktlinie.

MDM als Service?
Michael Melzig, Senior Product Marketing Manager Business Clients bei Fujitsu: "Speziell für kleinere und mittelständische Unternehmen kann sich es rechnen, ein Mobile Device Management in Form eines Managed Service oder als Software as a Service aus der Cloud zu beziehen."

Gefahren durch Apps auf Tablets und Smartphones im Unternehmen

Laut aktuellen Zahlen verschiedener unabhängiger Testlabore steigt die Zahl der Sicherheitslücken und Schadsignaturen in Smartphone- und Tablet-Apps rasant. "mediaTest digital" und das Fraunhofer-Institut haben kürzlich unabhängig voneinander Statistiken veröffentlicht, aus denen hervorgeht, dass jede zweite App über alle mobilen Betriebssysteme hinweg sicherheitskritisches Verhalten und Schadprofile aufweist.

Apps fehlt häufig die Transparenz im Umgang mit personenbezogenen Daten und erhobenem Nutzungsverhalten. Zudem wird Datensammlern und Spionen die Arbeit durch mangelnde Sensibilisierung der App-Nutzer sowie fehlende Schutzmechanismen begünstigt. Für Unternehmen bedeutet die massenhafte und teils ungeschützte Übertragung sensibler Daten ein enormes Risiko, da unternehmensinterne Informationen in die falschen Hände gelangen. Aktuelle Enthüllungen rund um die NSA und andere Geheimdienste unterstreichen, in welchem Umfang personen- oder unternehmensbezogene Daten erhoben und ausgewertet werden.

Die typischen Schadprofile und Sicherheitslücken in öffentlich zugänglichen Apps sind breit gefächert. Sie beginnen bei der ungefragten Einräumung von Berechtigungen und Zugriffen auf sensible Informationen wie Kontaktdaten, E-Mails, Passwörter, Kreditkartendaten, Kalendereinträge oder Standortdaten. Hinzu kommen Sicherheitslecks wie der unverschlüsselte und ungefragte Versand von Daten.

In vielen Fällen werden die Daten an Werbenetzwerke und Tracking-Anbieter geleitet - ohne Zustimmung der Nutzer und somit auch ohne Wissen des Arbeitgebers. Hinzu kommen bekannte Schadsignaturen wie Malware und Viren, die insbesondere bei Android-Geräten weit verbreitet und schwer kontrollierbar sind.

Ruggedized Geräte

Sieben Schritte zum MDM
Wie kommt ein Unternehmen zu einem sicheren Mobile-Device-Management?

Mobility-Strategie
Zunächst muss jedes Unternehmen für sich definieren, welche Rolle das Thema Mobilität generell spielen und inwiefern MDM in eine Arbeitsplatzstrategie eingebettet werden soll. Dabei empfiehlt FI-TS, künftige Anforderungen in die Planung einzubeziehen. In der ersten Planungsphase müssen unternehmensspezifische Bedürfnisse evaluiert, der Status quo beurteilt und die Ziele für den MDM-Einsatz benannt werden.

ByoD – ja oder nein?
Die zweite wichtige Entscheidung lautet: Darf der Mitarbeiter sein eigenes privates Gerät beruflich verwenden, oder sollen firmeneigene Devices genutzt beziehungsweise angeschafft werden? Und: Welche Mitarbeiter benötigen überhaupt ein Mobilgerät? Für und gegen Bring your own Device (ByoD) gibt es jeweils viele Argumente. FI-TS hat sich für Firmengeräte entschieden – mit der Begründung, dass diese Variante weniger Sicherheitsrisiken berge. Die Festlegung auf ein Betriebssystem erleichtere die Umsetzung.

Anbieter wählen
Auf dem Markt für MDM-Lösungen tummeln sich zahlreiche Anbieter. Die Unterschiede im Angebot seien oft marginal, so FI-TS. Der Dienstleister plädiert deshalb für einen Anbieter „mit Branchenfokus“, weil dieser mit den spezifischen Anforderungen eines Industriezweigs vertraut sei und die wichtigen Features bereitstelle.

Technische Lösung
Eine MDM-Lösung umfasst im Wesentlichen folgende Funktionen: die Durchsetzung von Policies zur Absicherung des Endgeräts inklusive Daten und Apps, Richtlinien zur Trennung der beruflichen von der privaten Nutzung und zur Regulierung des Zugriffs auf interne sowie externe Daten, dazu Passwort- Bestimmungen und externe Gerätesteuerung für den Notfall. Ausführliche Beratung und ein sorgfältiger Vergleich der Lösungen sind unerlässlich.

Betriebsrat & Co.
Rechtlich handelt es sich bei MDM-Einführungen um Vertragsanpassungen oder Nutzungsvereinbarungen. Darin involviert beziehungsweise damit abgedeckt sind Pflichten und Rechte von Arbeitnehmern und -gebern sowie geldwerte Vorteile, aber auch das Fernmeldegeheimnis. Auf der organisatorischen Seite empfiehlt es sich, Betriebsrat, interne Kommunikation und Personalabteilung frühzeitig in die Planungen einzubeziehen, um Daten- und Mitarbeiterschutz, Personalschulungen, User-Support und begleitende Kommunikationsmaßnahmen abzustimmen.

Rollout und Testen
Ein Pilotprojekt mit einer begrenzten Zahl von Test-Usern könne bereits im Vorfeld des Rollouts gröbere Fehler aufdecken und die Benutzerfreundlichkeit der Lösung überprü- fen, so FI-TS. Der Rollout selbst sollte von einem Monitoring des technischen Betriebs und der Admin-Prozesse begleitet sein. In dieser Phase lassen sich Nachbesserungen vornehmen sowie das User-Verhalten überwachen und eventuell durch Kommunikationsmaßnahmen unterstützen.

User-Support
Bei der Einführung eines MDM geht es nicht um die reine Technik. Hier stehen vor allem die Mitarbeiter im Blickpunkt. Die sind unbedingt frühzeitig über die neue Mobility-Strategie des Unternehmens zu informieren. Während und nach dem eigentlichen Rollout müssen sie umfassend geschult und beraten werden. Manche Mitarbeiter brauchen ja vielleicht ein wenig Zeit, um sich an die neuen Geräte und Handhabungen zu gewöhnen. Für ein erfolgreiches MDM ist zudem wichtig, dass sie nicht nur über die technische Bedienung aufgeklärt werden, sondern auch über ihre Rechte und Möglichkeiten.

Beispiele für Bedrohungen

Im Folgenden sind einige beispielhafte Bedrohungen aufgelistet, die Unternehmen beim Einsatz von Smartphones und Apps bedenken sollten:

Datenspionage durch die Cloud

Neben der massenhaften Erhebung und Speicherung von Kommunikationsdaten durch die NSA und andere Geheimdienste sind insbesondere Cloud-Dienste anfällig für Spionageattacken. Die bekannten Cloud-Anbieter haben ihren Sitz in den USA und unterliegen somit dem Patriot Act. Sie müssen die Daten ihrer Nutzer auf Anfrage der Regierungsbehörden jederzeit herausgeben, auch ohne den konkreten Verdacht einer Straftat.

Dass diese Möglichkeiten in der Vergangenheit verstärkt missbraucht wurden, ist hinreichend bekannt. Cloud-Dienste sollten nur verwendet werden, wenn der Anbieter in Deutschland oder mindestens in Europa sitzt und die abgelegten Daten hochverschlüsselt sind, sodass selbst der Betreiber keine Möglichkeit der Einsichtnahme hat.

Systematische Angriffe auf E-Mail-Accounts

Im Januar 2013 berichtete die "New York Times", dass über den Zeitraum von vier Monaten ihre E-Mail-Accounts systematisch ausspioniert wurden. Seit Februar 2014 wird Rewe mit Daten erpresst, die ein Hacker aus dem E-Mail-Account eines Vorstandmitglieds gestohlen hat. Ob dies über einen stationären Zugriff oder den Zugang über sein Smartphone geschehen ist, ist bisher nicht bekannt. Es macht jedoch deutlich, wie wichtig eine vernünftige Absicherung der Smartphones und E-Mail-Apps ist.

Übermittlung der Standortdaten (GPS)

Die unverschlüsselte Übermittlung von Geodaten ist eine der häufigsten unbemerkten Sicherheitslücken in Smartphone-Apps. Für Unternehmen ergeben sich daraus das Risiko der Überwachung von Mitarbeitern und somit der Verlust vertraulicher und schützenswerter Informationen.

Hinzu kommt, dass durch die Erhebung von Standortdaten nicht nur der aktuelle Aufenthaltsort ermittelt, sondern auch der künftige vorhergesagt werden kann, was kürzlich britischen Studenten eindrucksvoll geglückt ist. Sie konnten auf Basis von Telefonnummern, GPS-Verläufen, Anrufen, versendeten SMS, Adressbüchern sowie Bluetooth- und WLAN-Verbindungen bei 200 freiwilligen Smartphone-Nutzern mit einer Genauigkeit von bis zu drei Metern vorhersagen, wo sich der Nutzer künftig befinden wird.

Internationale Spionage

Immer häufiger finden Sicherheitsexperten chinesische Schadsoftware auf Geräten mittelständischer Unternehmen. In diesem Fall steht das Ziel der Industriespionage im Vordergrund, was sich nicht zuletzt in der Überschwemmung des Marktes mit Plagiaten manifestiert. Vertrauliche Konstruktionszeichnungen und Fotos aus Forschungsabteilungen stehen hoch im Kurs.

Diese Bedrohung ist eines von vielen Beispielen, bei denen die Gefahr aus dem stationären PC-Bereich auf die mobile Infrastruktur übergeht. Einige Unternehmen schützen sich bereits vor diesen Gefahren, indem sie die Smartphone-Kameras deaktivieren. Da jedoch sensible Daten wie Fotos und Zeichnungen nicht nur per Kamera, sondern auch über E-Mails, Cloud-Dienste oder Messenger-Apps auf die Geräte gelangen, sollte die Softwareseite ebenso gewissenhaft überprüft werden.

MAM: für eine sichere mobile Infrastruktur

Die oben genannten Beispiele zeigen das breite Spektrum an Bedrohungen für die mobile IT-Infrastruktur und für sensible Unternehmensdaten. Das Mobile Application Management (MAM) gibt Unternehmen als Teil der Enterprise Mobility Strategie die Werkzeuge an die Hand, die nötig sind, um dem Datenkontrollverlust entgegenzuwirken.

Mobile Application Management beinhaltet Software- und Servicelösungen, die die Nutzung von Apps auf betrieblich genutzten Smartphones und Tablets nach Unternehmensrichtlinien gewährleisten und absichern. Berücksichtigt werden dabei sowohl eigens entwickelte, interne Apps als auch Apps aus öffentlich zugänglichen App Stores wie iTunes von Apple oder Google Play für Android.

Eine skalierbare Sicherheitsprüfung von Apps wird von einigen unabhängigen Testinstituten angeboten. Es sollte darauf geachtet werden, deutsche Anbieter zu wählen, da diese einen entsprechend hohen Anspruch an Datenschutz- und Datensicherheitsmerkmale der Apps stellen und bei ihren Prüfungen die Vorgaben aus dem Bundesdatenschutzgesetz berücksichtigen. Darüber hinaus ist es sinnvoll, einen Anbieter zu wählen, der weitestgehend auf das Prüfen von Apps spezialisiert ist. Durch die große Dynamik des App-Marktes und die hohe Update-Frequenz haben nur wenige Anbieter bisher die Möglichkeit und die technologischen Voraussetzungen, standardisiert, skalierbar und trotzdem tief greifend und zuverlässig zu prüfen.

Im Anschluss an das Testing bieten vereinzelte Institute schon die Möglichkeit, die Testergebnisse in Form von White- und Blacklisting-Katalogen zu bündeln und sie über die App Stores der Mobile-Device-Management (MDM)-Systeme automatisiert auf die Geräte der Mitarbeiter auszurollen. Dieses integrierte Vorgehen bildet das Herzstück des Mobile Application Managements und schützt Unternehmen zunehmend vor aufwendigen Recherchen, händischen App-Freigaben und kostspieligen Datenverlusten. Das MAM arbeitet eng verzahnt mit dem Mobile Device Management und schafft im Zusammenspiel eine integrierte und standardisierte Umgebung.

Weitere Disziplinen des Enterprise Mobility Managements

Um eine sichere und nachhaltige Enterprise-Mobility-Strategie zu verfolgen, sollte neben den beiden beschriebenen Bereichen (Mobile Application Management und Mobile Device Management) auch die dritte Disziplin, das Mobile Information Management (MIM), berücksichtigt werden.

Beim Mobile Information Management stehen Cloud-basierte Services im Hinblick auf den geräteübergreifenden Austausch, die Speicherung, die Synchronisation und die Kontrolle von Daten, Medien und Dokumenten im Mittelpunkt. Eine der wichtigsten Funktionen des MIM ist die sichere Kontrolle der Daten. Sie ermöglicht das Vorhalten verschlüsselter Daten und gewährt ausschließlich vertrauenswürdigen Anwendungen Zugriff darauf.

Die drei Kerndisziplinen des Enterprise Mobility Managements werden durch das Enterprise Mobility Consulting (EMC) vervollständigt. Das EMC beantwortet alle Fragen, mit denen sich Unternehmen bei der Einführung von Enterprise-Mobility-Konzepten konfrontiert sehen. Beim EMC wird ein Fünf-Stufen-Prozess durchlaufen, an dessen Ende eine individuelle Enterprise-Mobility-Strategie steht.

Die drei wichtigsten Praxistipps für eine ganzheitliche MAM-Strategie im Unternehmen sind:

Absichern der im Unternehmen verwendeten Apps
Absichern der eigenen Apps durch Audits und Zertifikate
Einführen von Sicherheitsrichtlinien (für App-Entwicklung und Nutzung von Apps im Unternehmen)

Weitere Informationen zum Enterprise Mobility Management finden Sie auch im Artikel So sichern Sie die mobile Infrastruktur ab. (cvi)