Tobias Schießl
12. März 2020

Mobile App Security

Der Einzug mobiler Apps ins Unternehmen ermöglicht den Mitarbeitern flexibleres und unabhängigeres Arbeiten. So die ideale Vorstellung. Für die Verantwortlichen stellt jedoch die Notwendigkeit, bereits bei der App-Planung, Entwicklung und anschließend bei der Verteilung sowie der Netzwerkkommunikation das Thema Mobile App Security zu beachten, eine große Herausforderung dar.

Mobile App Security

Abbildung 1 Mobile App Security

In Projekten wird immer noch deutlich, dass vielen Entwicklern das Knowhow um konkrete Maßnahmen rund um die mobile Sicherheit fehlt. Dabei ist das Thema so wichtig: Schlagzeilen über Datendiebstähle aufgrund mangelnder Sicherheit häufen sich. Je mehr mobile Endgeräte und somit mobile Apps im Einsatz sind, desto größer ist die Angriffsfläche. In diesem Beitrag zeigen wir Ihnen Möglichkeiten auf, wie Sie Ihre Mobile App Security sicherstellen können.

Datenleak und Malware machen Datensicherheit zum heißen Thema

Headliner wie „Datenleak: Millionen Passwörter im Netz veröffentlicht“ kommen ja nicht von ungefähr. In diesem Fall haben Hacker Anfang 2019 über 700 Millionen verschiedene E-Mail-Adressen und mehr als 21 Millionen unterschiedliche Passwörter gestohlen und veröffentlicht. Zu den Opfern zählen Internetnutzer weltweit. Die Kombinationen aus E-Mail-Adressen und Passwörtern eröffnen den Hackern Zugang zu etlichen Online-Diensten wie soziale Netzwerke oder Shoppingplattformen. Das mögliche Ausmaß ist für Privatpersonen schon kaum annehmbar.

Nun stellen Sie sich mal vor, Hackern gelingt der Zugriff auf unternehmensinterne Daten. Dazu zählen in vielen Fällen nicht nur Ihre eigenen Daten, sondern auch sensible Kundendaten. Stellen Sie sich weiter vor, dass der Diebstahl öffentlich gemacht wird und die Kundendaten nun für alle Internetnutzer barrierefrei einsehbar sind. Das Ausmaß? Katastrophal! Ende 2018 wurde z. B. bekannt, dass der Hotelkette Marriott bis zu einer halben Milliarde Gästedaten gestohlen worden sind. Dabei geht es um Informationen wie Namen, Passnummern, E-Mail-Adressen und – im Falle einiger Gäste – auch um Kreditkartendaten.

Was können Sie also tun, damit Ihre Daten (und die Ihrer Kunden!) in Zeiten von Smartphones und Mobile Apps sicher sind?

Sichere Verteilung, sichere Verbindung und Single Sign-On

Beim Thema Mobile App Security kommen bei unseren Kunden immer sehr schnell drei Themen auf: Secure Deployment (sichere Verteilung), Secure Connection (sichere Verbindung) und Single Sign-On. Alle drei Themen sind Möglichkeiten, Mobile App Security anzugehen und sicherzustellen.

Secure Deployment

Allein die Verteilung der Apps auf mobile Endgeräte stellt schon ein hohes Sicherheitsrisiko dar. Kompromittierte Apps können sich über Smartphones und Tablets Zugang zum Unternehmensnetzwerk verschaffen und dort für Datenmissbrauch sorgen. Ein Grund, warum mittlerweile in vielen Unternehmen den Mitarbeitern nicht mehr gewährt wird, relevante Apps über den standardmäßigen App Store des mobilen Betriebssystems zu beziehen. Viele Unternehmen setzen auf eine kontrollierte Verteilung der Apps und sogar eigene Enterprise App Stores, die einen Download nur aus einer sicheren Umgebung heraus erlauben. In der Regel können Sie dies mithilfe eines Mobile Device Managements (MDM) realisieren.

Ein Mobile Device Management kann als „zentralisiertes Verwaltungswerkzeug“ für mobile Endgeräte bezeichnet werden. Viele Anwender wollen auch für ihren Arbeitsalltag ihre privaten Mobiltelefone verwenden (oder umgekehrt: die Unternehmensgeräte für den privaten Gebrauch). Mithilfe eines Mobile Device Managements kann eine Abschirmung zum Unternehmensnetzwerk hergestellt werden. Der Einsatz einer MDM-Lösung (wie MobileIron) sorgt dafür, dass Mitarbeiter Apps im Unternehmensnetzwerk nur über einen geschützten App-Katalog beziehen können. Diese Apps können so begrenzt werden, dass sie nur über gesicherte Verbindungen mit dem Unternehmensnetzwerk kommunizieren.

Check up

Mobile Infrastruktur [Check-Up]

Durch diese rasante Entwicklung verändern sich auch die Gesellschaft und die übrige Technik. Daraus ergibt sich gleichzeitig die Herausforderung, die mobile Infrastruktur des Unternehmens und die dazu passende Software auf dem aktuellen Stand der Technik zu halten.

Verantwortliche können die MDM-Software über ein Installationsprofil auf den Endgeräten einrichten. Die Verwaltung und Pflege erfolgen dann über einen zentralen Knotenpunkt für alle Geräte. Die Profile sind so konfiguriert, dass sie bestimmte Richtlinien und Zertifikate auf die mobilen Geräte übertragen und dort die spezifischen Sicherheitsvorkehrungen umsetzen. Für weitere Details zu Mobile Device Management empfehlen wir Ihnen unsere Knowhow-Seite.

Secure Connection

Der Secure-Connection-Ansatz bewertet nur das eigene Unternehmensnetzwerk als sicher und geschützt. Geräte und Anwendungen, die sich außerhalb des Netzwerkes befinden, gelten grundsätzlich als Gefahr. Um nun mobile Endgeräte gesichert zu integrieren, können Sie ebenfalls ein Mobile Device Management einsetzen. Das MDM ermöglicht Administratoren den Aufbau gesicherter Verbindungen von den Endgeräten in das Unternehmensnetzwerk. Gleichzeitig sichert es die Kommunikation der Geräte mit den Servern in der geschützten Umgebung (im Unternehmensnetzwerk).

Das Thema „Secure Connection“ ist ziemlich umfangreich und enthält viele Möglichkeiten. Deswegen werden wir das Thema anschließend detaillierter betrachten – dieser Part dient erstmal nur dem Überblick.

Single Sign-On (SSO)

Die unternehmerische Digitalisierung erfordert den Einsatz zusätzlicher Systeme und Anwendungen. Diese verlangen wiederum oftmals eine Authentifikation des Anwenders. Das bedeutet, dass die Anwender sich gezwungenermaßen immer wieder neue Passwörter merken müssen – ein ziemlich hoher administrativer Aufwand. Zusätzlich bergen viele (unsichere) Passwörter ein erhöhtes Sicherheitsrisiko. Abhilfe kann an dieser Stelle die immer beliebtere Authentifizierung mittels Single Sign-On schaffen.

SSO hat das Ziel, Ihnen als Anwender den gesicherten Zugang zu einer Systemlandschaft zu ermöglichen und dabei auf identische Anmeldedaten zurückzugreifen. Das heißt: Sie können sich mit einem einzigen Log-In Zugriff auf alle angeschlossenen Systeme verschaffen – über Systemgrenzen hinweg. Es ist nicht mehr notwendig, ein weiteres Passwort einzugeben. Vielleicht fragen Sie sich jetzt: und das soll sicher sein? Bei SSO geht es generell darum, dass die Systeme sich gegenseitig vertrauen. Das bedeutet also, wenn Sie sich bei einem System bereits authentifiziert haben, vertrauen die anderen Systeme darauf, dass Sie tatsächlich auch Sie sind. Die Sicherheit kommt daher, dass das erste System, an dem Sie sich angemeldet haben, vertrauenswürdig ist und Sie sich dort mit einer sicheren Methode authentifizieren.

Zugriff durch externe Mitarbeiter

Eine weitere Herausforderung stellt das Handling von Geräten externer (freiberuflicher) Mitarbeiter dar. Diese Geräte sind oftmals aufgrund kurzer Zeiten der Zusammenarbeit nicht im MDM registriert, benötigen aber dennoch Zugriff auf Anwendungen und Dienste des Unternehmens. In solchen Fällen können Sie den externen Mitarbeitern im einfachsten Fall einen Zugriff auf relevante Apps über die Sideloading-Funktionalitäten der mobilen Betriebssysteme ermöglichen. Das Sideloading beschreibt den Zugriff auf mobile Anwendungen aus externen Quellen (Drittanbietermarktplätze, externe Server oder auch Hardware, wie USB-Sticks). Bei Android können Externe die Apps per APK-Download über eine gesicherte Verbindung beziehen, bei Apple werden spezielle Zertifikate benötigt, die das Herunterladen einer fremden App gewähren.

Ein anderer – aber dennoch einfach umzusetzender – Ansatz ist die Registrierung externer Geräte über einen individuellen Link, der Ihren externen Mitarbeitern als Voucher per Mail zur Verfügung gestellt wird. Der Mitarbeiter meldet sich und sein Endgerät über diesen Link an. Der Link wird dabei von einem Administrator generiert und an den Mitarbeiter verschickt. Die Kontrolle, wer Zugriff auf das Netzwerk und die Anwendung erhält, liegt also weiterhin beim Administrator. Anschließend wird auf dem Gerät ein einfaches Profil eingerichtet und es können die benötigten Apps aus dem Firmennetzwerk bezogen werden. Dieses Profil ist stark begrenzt und nur die Kommunikation mit freigegebenen Ressourcen des Unternehmensnetzwerks ist zugelassen. Alternativ kann auch auf ein eigenes MDM für externe Geräte verzichtet werden, in diesem Fall sind jedoch die spezifischen Voraussetzungen der mobilen Betriebssysteme zu beachten.

Secure Connection: Sichere Kommunikation der Apps mit dem Unternehmensnetzwerk

Wie eingangs erklärt, möchten wir Ihnen auch Wege aufzeigen, wie Sie eine sichere Kommunikation der Apps mit dem Unternehmensnetzwerk herstellen können. Speziell die Frage, wie die App eine sichere Verbindung aufbauen kann, ist hier von Interesse. Zeitgemäße Technologien, wie Hypertext Transfer Protocol Secure (HTTPS) zum Schutz des Transportweges der Datenpakete, sind eine grundlegende Voraussetzung. Sie sollten in jedem Fall als Standard in jedem Unternehmen angesehen werden.

Mobile App Security

E-Book: Mobile App Security

Erfahren Sie, wie Sie mobile Apps im Unternehmen sicher verteilen und verwalten.

Der Schutz des Unternehmensnetzwerks wird durch den Einsatz eines Reverse Proxys und/oder einer Web Application Firewall sichergestellt. Der Proxy fungiert als eine Art sicheres Tor, das das dahinterliegende Netz vor unbefugtem Eindringen schützt. Technisch betrachtet erfasst der Proxy Server Anfragen aus dem Internet und leitet zulässige Datenpakete über eine feste Route zum Endpunkt im Unternehmensnetzwerk. Nach einem ähnlichen Prinzip arbeitet die Web Application Firewall, die zusätzlich jedes Datenpaket mittels Package Inspection prüft.

Neben den genannten Methoden kommen noch weitere Technologien in Frage, mit denen Sicherheitsvorkehrungen im Umgang mit mobilen Anwendungen getroffen werden können. An dieser Stelle sei die Network Edge Authentification (NEA) genannt. NEA ist Teil des SAP Web Dispatchers und prüft bereits beim ersten Kontakt eines Nutzers mit einer Anfrage dessen Autorität. Schlägt diese Prüfung fehl, wird jegliche weitere Kommunikation abgeblockt.

Lösungen und Produktbeispiele

Sowohl von der SAP als auch von anderen Herstellern gibt es Produktsuiten, mit denen sich selbst komplexe Security Guidelines wie der zuvor genannte Einsatz eines Reverse Proxys umsetzen lassen:

SAP WebDispatcher

Der SAP WebDispatcher versteht sich als eine Art Proxy, der zwischen dem SAP-System und dem Internet platziert ist. Seine Aufgabe ist es, ankommende Anfragen aus dem Web weiterzuleiten oder abzulehnen. Gleichzeitig besitzt er Funktionalitäten zur Lastverteilung und kann ankommende Anfragen gleichmäßig im Netzwerk verteilen.

Cisco Netscaler

Cisco Netscaler ist ein Produktportfolio von Cisco Systems, bestehend aus einer Vielzahl von Netzwerkprodukten. Die Geräte zeichnen sich durch ihre integrierten Sicherheitssysteme aus und gehören zu den meistverkauften Netzwerkgeräten weltweit. Die Netscaler App Firewall schützt beispielsweise effektiv die Kommunikation von Webanwendungen innerhalb des Firmennetzwerks nach außen.

In-App-VPN

In-App-VPN stellt ebenfalls die Kommunikation über eine sichere Verbindung zwischen einer mobilen App und dem Unternehmensnetzwerk sicher. Hersteller von Mobile-Device-Management-Lösungen nutzen diese Technologie in ihren Produkten, um sowohl die mobilen Geräte als auch die Endpunkte im Netzwerk zu schützen. In der Regel wird ein spezieller Endpunkt eingerichtet, der im Firmennetzwerk als Endpunkt des In-App-Tunnels dient. Bei der Lösung MobileIron heißt dieses Produkt z. B. „Sentry“.

Die Umsetzung dieser Technologie beginnt bereits bei den Apps selbst, die In-App-VPN unterstützen müssen. So wird zum Beispiel durch Wrapping ein Rahmen um die App gebildet, der zusätzliche Funktionen, wie eben In-App-VPN, bietet. Ein solch sicherer Verbindungsaufbau ist vor allem bei der Verwendung von Internetdiensten unerlässlich. Problematisch wird das Vorgehen jedoch, wenn keine Eigenentwicklungen, sondern Standard-Apps genutzt werden. In diesem Fall können die Apps natürlich nicht gewrapped werden.

SAP Cloud Connector

Der SAP Cloud Connector (SCC) regelt den Verbindungsaufbau aus der lokalen On-Premises-Umgebung zur SAP Cloud Platform (SCP). Die SCP ist ein Platform as a Service (PaaS) einschließlich Entwicklungsumgebung. Vergleichbar mit Microsoft Azure. Die Verbindung wird über einen VPN-Tunnel aufgebaut und verbindet sich mit dem SAP Cloud Platform Cockpit. Als Platform as a Service stellt die SCP verschiedene Werkzeuge bereit, die zur Entwicklung von hybriden und nativen Apps und SAP Fiori-Anwendungen verwendet werden können. Gleichzeitig bietet sich den Anwendern ein Portal, das einen direkten und unkomplizierten Zugang zum Fiori Launchpad ermöglicht.

Sind Ihre Mobile Apps sicher und Ihre Daten geschützt?

Eine passende Sicherheitsstrategie lässt sich nicht pauschal auf jedes Unternehmen übertragen und ist immer im Einzelfall zu betrachten. Daher hier nochmal unser Appell: Berücksichtigen Sie das Thema Mobile App Security schon bei der Entwicklung mobiler Anwendungen. In den meisten Fällen bietet es sich tatsächlich an, frühzeitig auf die Erfahrung von Experten zu vertrauen und bereits im Anfangsstadium einer Mobile-Security-Strategie eine individuelle Beratung einzuholen.

Insbesondere wenn die eigenen Prozesse nicht dem Standard eines Systems oder einer SAP-Landschaft entsprechen, können Impulse von Außenstehenden entscheidende Vorteile bringen. Dadurch wird vermieden, mit einer halbgaren Systemlandschaft zu starten, die letztlich deutlich mehr Zeit, Aufwand und Kosten verschlingt, als ursprünglich geplant. Zwar soll durch derartige Lösungen die Sicherheit im Umgang mit mobilen Apps verbessert werden, jedoch wird häufig genau das Gegenteil erreicht. Weisen Sie der Vorabplanung, der Auswahl der geeigneten Plattform und dem Sicherheits- und Berechtigungsmanagement jedoch genügend Zeit zu, können Sie garantiert eine performante und effektive Lösung finden, die Ihren Ansprüchen gerecht wird.

Wie steht es um Ihre Mobile App Security? Sind Sie gut gerüstet oder stehen Sie noch ganz am Anfang? Für mehr Informationen möchten wir Ihnen zunächst unser E-Book zu genau diesem Thema anbieten. Darin enthalten sind Secure-Authentication-Ansätze sowie die Beschreibung von Architekturszenarien. Sollten Sie darüber hinaus noch Fragen oder direkt Interesse an der Umsetzung einer Security-Strategie haben, dann freuen wir uns über Ihren Kontakt.

Tobias Schießl

Websession: Mobile App Security

Sollten Sie darüber hinaus noch Fragen oder direkt Interesse an der Umsetzung einer Security-Strategie haben, dann vereinbaren Sie eine kostenlose Websession mit uns.

Tobias Schießl

Tobias Schießl

Mein Name ist Tobias Schießl und ich bin begeisterter SAP Consultant im Bereich Mobility. Gerne unterstütze ich Sie bei den Themen mobile Infrastrukturen und App-Entwicklung mit SAPUI5 oder Neptune.

Sie haben Fragen? Kontaktieren Sie mich!


Das könnte Sie auch interessieren:

Die besten Blogbeiträge zu Mobility Strategie.
Unser E-Book zum Thema Enterprise Mobility Management

Das könnte Sie auch interessieren

Viele Unternehmen wagen den Schritt, ihre häufigsten SAP Prozesse auf eine mobile Oberfläche umzustellen. Dadurch erhoffen sie sich viele Vorteile, zum Beispiel eine Reduzierung der Prozessdauer, höhere Nutzerakzeptanz und intuitive Bedienung. Häufig herrscht allerdings Unsicherheit, ob auf Fiori oder auf […]

weiterlesen

Das Hype-Thema Fiori hat sich mittlerweile etabliert. Immer mehr Unternehmen setzen auf mobile Lösungen die direkt mit SAP Fiori oder auf den Prinzipien der Fiori UX-Guidelines basieren.

weiterlesen

Einen zuverlässigen Service-Desk zu haben bedeutet oft gleichzeitig, ein besseres Geschäft zu haben. Dieser Glaube wird sicherlich vielen Kunden gerecht, da einer ihrer größten Frustrationen von einem missbräuchlichen Benutzer-Support-System herrührt.

weiterlesen

Unsere Produkte zu Mobile App Security

Wir gestalten eine sichere mobile Infrastruktur für Ihr Unternehmen. Methodisch optimiert in vier Schritten. Zukunftssicher durch Knowledge Transfer.

Mehr Informationen

Das mooresche Gesetz besagt, dass sich die Komplexität von Schaltkreisen regelmäßig verdoppelt. Hält Ihre mobile Infrastruktur diesen Änderungen stand?

Mehr Informationen

Schnell und unkompliziert innerhalb von zwei Wochen in die mobile SAP-Welt eintauchen mit dem SAP Fiori Quickstart durch das Team von Mission Mobile.

Mehr Informationen

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support