Mobile App Security

Der Einzug mobiler Apps ins Unternehmen erm√∂glicht den Mitarbeitern flexibleres und unabh√§ngigeres Arbeiten. So die ideale Vorstellung. F√ľr die Verantwortlichen stellt jedoch die Notwendigkeit, bereits bei der App-Planung, Entwicklung und anschlie√üend bei der Verteilung sowie der Netzwerkkommunikation das Thema Mobile App Security zu beachten, eine gro√üe Herausforderung dar.

Mobile App Security

Abbildung 1 Mobile App Security

In Projekten wird immer noch deutlich, dass vielen Entwicklern das Knowhow um konkrete Ma√ünahmen rund um die mobile Sicherheit fehlt. Dabei ist das Thema so wichtig: Schlagzeilen √ľber Datendiebst√§hle aufgrund mangelnder Sicherheit h√§ufen sich. Je mehr mobile Endger√§te und somit mobile Apps im Einsatz sind, desto gr√∂√üer ist die Angriffsfl√§che. In diesem Beitrag zeigen wir Ihnen M√∂glichkeiten auf, wie Sie Ihre Mobile App Security sicherstellen k√∂nnen.

Datenleak und Malware machen Datensicherheit zum heißen Thema

Headliner wie ‚ÄěDatenleak: Millionen Passw√∂rter im Netz ver√∂ffentlicht‚Äú kommen ja nicht von ungef√§hr. In diesem Fall haben Hacker Anfang 2019 √ľber 700 Millionen verschiedene E-Mail-Adressen und mehr als 21 Millionen unterschiedliche Passw√∂rter gestohlen und ver√∂ffentlicht. Zu den Opfern z√§hlen Internetnutzer weltweit. Die Kombinationen aus E-Mail-Adressen und Passw√∂rtern er√∂ffnen den Hackern Zugang zu etlichen Online-Diensten wie soziale Netzwerke oder Shoppingplattformen. Das m√∂gliche Ausma√ü ist f√ľr Privatpersonen schon kaum annehmbar.

Nun stellen Sie sich mal vor, Hackern gelingt der Zugriff auf unternehmensinterne Daten. Dazu z√§hlen in vielen F√§llen nicht nur Ihre eigenen Daten, sondern auch sensible Kundendaten. Stellen Sie sich weiter vor, dass der Diebstahl √∂ffentlich gemacht wird und die Kundendaten nun f√ľr alle Internetnutzer barrierefrei einsehbar sind. Das Ausma√ü? Katastrophal! Ende 2018 wurde z. B. bekannt, dass der Hotelkette Marriott bis zu einer halben Milliarde G√§stedaten gestohlen worden sind. Dabei geht es um Informationen wie Namen, Passnummern, E-Mail-Adressen und ‚Äď im Falle einiger G√§ste ‚Äď auch um Kreditkartendaten.

Was können Sie also tun, damit Ihre Daten (und die Ihrer Kunden!) in Zeiten von Smartphones und Mobile Apps sicher sind?

Sichere Verteilung, sichere Verbindung und Single Sign-On

Beim Thema Mobile App Security kommen bei unseren Kunden immer sehr schnell drei Themen auf: Secure Deployment (sichere Verteilung), Secure Connection (sichere Verbindung) und Single Sign-On. Alle drei Themen sind Möglichkeiten, Mobile App Security anzugehen und sicherzustellen.

Secure Deployment

Allein die Verteilung der Apps auf mobile Endger√§te stellt schon ein hohes Sicherheitsrisiko dar. Kompromittierte Apps k√∂nnen sich √ľber Smartphones und Tablets Zugang zum Unternehmensnetzwerk verschaffen und dort f√ľr Datenmissbrauch sorgen. Ein Grund, warum mittlerweile in vielen Unternehmen den Mitarbeitern nicht mehr gew√§hrt wird, relevante Apps √ľber den standardm√§√üigen App Store des mobilen Betriebssystems zu beziehen. Viele Unternehmen setzen auf eine kontrollierte Verteilung der Apps und sogar eigene Enterprise App Stores, die einen Download nur aus einer sicheren Umgebung heraus erlauben. In der Regel k√∂nnen Sie dies mithilfe eines Mobile Device Managements (MDM) realisieren.

Ein Mobile Device Management kann als ‚Äězentralisiertes Verwaltungswerkzeug‚Äú f√ľr mobile Endger√§te bezeichnet werden. Viele Anwender wollen auch f√ľr ihren Arbeitsalltag ihre privaten Mobiltelefone verwenden (oder umgekehrt: die Unternehmensger√§te f√ľr den privaten Gebrauch). Mithilfe eines Mobile Device Managements kann eine Abschirmung zum Unternehmensnetzwerk hergestellt werden. Der Einsatz einer MDM-L√∂sung (wie MobileIron) sorgt daf√ľr, dass Mitarbeiter Apps im Unternehmensnetzwerk nur √ľber einen gesch√ľtzten App-Katalog beziehen k√∂nnen. Diese Apps k√∂nnen so begrenzt werden, dass sie nur √ľber gesicherte Verbindungen mit dem Unternehmensnetzwerk kommunizieren.

Mobile Infrastruktur [Check-Up]

Durch diese rasante Entwicklung ver√§ndern sich auch die Gesellschaft und die √ľbrige Technik. Daraus ergibt sich gleichzeitig die Herausforderung, die mobile Infrastruktur des Unternehmens und die dazu passende Software auf dem aktuellen Stand der Technik zu halten.

Verantwortliche k√∂nnen die MDM-Software √ľber ein Installationsprofil auf den Endger√§ten einrichten. Die Verwaltung und Pflege erfolgen dann √ľber einen zentralen Knotenpunkt f√ľr alle Ger√§te. Die Profile sind so konfiguriert, dass sie bestimmte Richtlinien und Zertifikate auf die mobilen Ger√§te √ľbertragen und dort die spezifischen Sicherheitsvorkehrungen umsetzen. F√ľr weitere Details zu Mobile Device Management empfehlen wir Ihnen unsere Knowhow-Seite.

Secure Connection

Der Secure-Connection-Ansatz bewertet nur das eigene Unternehmensnetzwerk als sicher und gesch√ľtzt. Ger√§te und Anwendungen, die sich au√üerhalb des Netzwerkes befinden, gelten grunds√§tzlich als Gefahr. Um nun mobile Endger√§te gesichert zu integrieren, k√∂nnen Sie ebenfalls ein Mobile Device Management einsetzen. Das MDM erm√∂glicht Administratoren den Aufbau gesicherter Verbindungen von den Endger√§ten in das Unternehmensnetzwerk. Gleichzeitig sichert es die Kommunikation der Ger√§te mit den Servern in der gesch√ľtzten Umgebung (im Unternehmensnetzwerk).

Das Thema ‚ÄěSecure Connection‚Äú ist ziemlich umfangreich und enth√§lt viele M√∂glichkeiten. Deswegen werden wir das Thema anschlie√üend detaillierter betrachten ‚Äď dieser Part dient erstmal nur dem √úberblick.

Single Sign-On (SSO)

Die unternehmerische Digitalisierung erfordert den Einsatz zus√§tzlicher Systeme und Anwendungen. Diese verlangen wiederum oftmals eine Authentifikation des Anwenders. Das bedeutet, dass die Anwender sich gezwungenerma√üen immer wieder neue Passw√∂rter merken m√ľssen ‚Äď ein ziemlich hoher administrativer Aufwand. Zus√§tzlich bergen viele (unsichere) Passw√∂rter ein erh√∂htes Sicherheitsrisiko. Abhilfe kann an dieser Stelle die immer beliebtere Authentifizierung mittels Single Sign-On schaffen.

SSO hat das Ziel, Ihnen als Anwender den gesicherten Zugang zu einer Systemlandschaft zu erm√∂glichen und dabei auf identische Anmeldedaten zur√ľckzugreifen. Das hei√üt: Sie k√∂nnen sich mit einem einzigen Log-In Zugriff auf alle angeschlossenen Systeme verschaffen ‚Äď √ľber Systemgrenzen hinweg. Es ist nicht mehr notwendig, ein weiteres Passwort einzugeben. Vielleicht fragen Sie sich jetzt: und das soll sicher sein? Bei SSO geht es generell darum, dass die Systeme sich gegenseitig vertrauen. Das bedeutet also, wenn Sie sich bei einem System bereits authentifiziert haben, vertrauen die anderen Systeme darauf, dass Sie tats√§chlich auch Sie sind. Die Sicherheit kommt daher, dass das erste System, an dem Sie sich angemeldet haben, vertrauensw√ľrdig ist und Sie sich dort mit einer sicheren Methode authentifizieren.

Zugriff durch externe Mitarbeiter

Eine weitere Herausforderung stellt das Handling von Ger√§ten externer (freiberuflicher) Mitarbeiter dar. Diese Ger√§te sind oftmals aufgrund kurzer Zeiten der Zusammenarbeit nicht im MDM registriert, ben√∂tigen aber dennoch Zugriff auf Anwendungen und Dienste des Unternehmens. In solchen F√§llen k√∂nnen Sie den externen Mitarbeitern im einfachsten Fall einen Zugriff auf relevante Apps √ľber die Sideloading-Funktionalit√§ten der mobilen Betriebssysteme erm√∂glichen. Das Sideloading beschreibt den Zugriff auf mobile Anwendungen aus externen Quellen (Drittanbietermarktpl√§tze, externe Server oder auch Hardware, wie USB-Sticks). Bei Android k√∂nnen Externe die Apps per APK-Download √ľber eine gesicherte Verbindung beziehen, bei Apple werden spezielle Zertifikate ben√∂tigt, die das Herunterladen einer fremden App gew√§hren.

Ein anderer ‚Äď aber dennoch einfach umzusetzender ‚Äď Ansatz ist die Registrierung externer Ger√§te √ľber einen individuellen Link, der Ihren externen Mitarbeitern als Voucher per Mail zur Verf√ľgung gestellt wird. Der Mitarbeiter meldet sich und sein Endger√§t √ľber diesen Link an. Der Link wird dabei von einem Administrator generiert und an den Mitarbeiter verschickt. Die Kontrolle, wer Zugriff auf das Netzwerk und die Anwendung erh√§lt, liegt also weiterhin beim Administrator. Anschlie√üend wird auf dem Ger√§t ein einfaches Profil eingerichtet und es k√∂nnen die ben√∂tigten Apps aus dem Firmennetzwerk bezogen werden. Dieses Profil ist stark begrenzt und nur die Kommunikation mit freigegebenen Ressourcen des Unternehmensnetzwerks ist zugelassen. Alternativ kann auch auf ein eigenes MDM f√ľr externe Ger√§te verzichtet werden, in diesem Fall sind jedoch die spezifischen Voraussetzungen der mobilen Betriebssysteme zu beachten.

Secure Connection: Sichere Kommunikation der Apps mit dem Unternehmensnetzwerk

Wie eingangs erklärt, möchten wir Ihnen auch Wege aufzeigen, wie Sie eine sichere Kommunikation der Apps mit dem Unternehmensnetzwerk herstellen können. Speziell die Frage, wie die App eine sichere Verbindung aufbauen kann, ist hier von Interesse. Zeitgemäße Technologien, wie Hypertext Transfer Protocol Secure (HTTPS) zum Schutz des Transportweges der Datenpakete, sind eine grundlegende Voraussetzung. Sie sollten in jedem Fall als Standard in jedem Unternehmen angesehen werden.

Mobile App Security

E-Book: Mobile App Security

Erfahren Sie, wie Sie mobile Apps im Unternehmen sicher verteilen und verwalten.

Der Schutz des Unternehmensnetzwerks wird durch den Einsatz eines Reverse Proxys und/oder einer Web Application Firewall sichergestellt. Der Proxy fungiert als eine Art sicheres Tor, das das dahinterliegende Netz vor unbefugtem Eindringen sch√ľtzt. Technisch betrachtet erfasst der Proxy Server Anfragen aus dem Internet und leitet zul√§ssige Datenpakete √ľber eine feste Route zum Endpunkt im Unternehmensnetzwerk. Nach einem √§hnlichen Prinzip arbeitet die Web Application Firewall, die zus√§tzlich jedes Datenpaket mittels Package Inspection pr√ľft.

Neben den genannten Methoden kommen noch weitere Technologien in Frage, mit denen Sicherheitsvorkehrungen im Umgang mit mobilen Anwendungen getroffen werden k√∂nnen. An dieser Stelle sei die Network Edge Authentification (NEA) genannt. NEA ist Teil des SAP Web Dispatchers und pr√ľft bereits beim ersten Kontakt eines Nutzers mit einer Anfrage dessen Autorit√§t. Schl√§gt diese Pr√ľfung fehl, wird jegliche weitere Kommunikation abgeblockt.

Lösungen und Produktbeispiele

Sowohl von der SAP als auch von anderen Herstellern gibt es Produktsuiten, mit denen sich selbst komplexe Security Guidelines wie der zuvor genannte Einsatz eines Reverse Proxys umsetzen lassen:

SAP WebDispatcher

Der SAP WebDispatcher versteht sich als eine Art Proxy, der zwischen dem SAP-System und dem Internet platziert ist. Seine Aufgabe ist es, ankommende Anfragen aus dem Web weiterzuleiten oder abzulehnen. Gleichzeitig besitzt er Funktionalitäten zur Lastverteilung und kann ankommende Anfragen gleichmäßig im Netzwerk verteilen.

Cisco Netscaler

Cisco Netscaler ist ein Produktportfolio von Cisco Systems, bestehend aus einer Vielzahl von Netzwerkprodukten. Die Ger√§te zeichnen sich durch ihre integrierten Sicherheitssysteme aus und geh√∂ren zu den meistverkauften Netzwerkger√§ten weltweit. Die Netscaler App Firewall sch√ľtzt beispielsweise effektiv die Kommunikation von Webanwendungen innerhalb des Firmennetzwerks nach au√üen.

In-App-VPN

In-App-VPN stellt ebenfalls die Kommunikation √ľber eine sichere Verbindung zwischen einer mobilen App und dem Unternehmensnetzwerk sicher. Hersteller von Mobile-Device-Management-L√∂sungen nutzen diese Technologie in ihren Produkten, um sowohl die mobilen Ger√§te als auch die Endpunkte im Netzwerk zu sch√ľtzen. In der Regel wird ein spezieller Endpunkt eingerichtet, der im Firmennetzwerk als Endpunkt des In-App-Tunnels dient. Bei der L√∂sung MobileIron hei√üt dieses Produkt z. B. ‚ÄěSentry‚Äú.

Die Umsetzung dieser Technologie beginnt bereits bei den Apps selbst, die In-App-VPN unterst√ľtzen m√ľssen. So wird zum Beispiel durch Wrapping ein Rahmen um die App gebildet, der zus√§tzliche Funktionen, wie eben In-App-VPN, bietet. Ein solch sicherer Verbindungsaufbau ist vor allem bei der Verwendung von Internetdiensten unerl√§sslich. Problematisch wird das Vorgehen jedoch, wenn keine Eigenentwicklungen, sondern Standard-Apps genutzt werden. In diesem Fall k√∂nnen die Apps nat√ľrlich nicht gewrapped werden.

SAP Cloud Connector

Der SAP Cloud Connector (SCC) regelt den Verbindungsaufbau aus der lokalen On-Premises-Umgebung zur SAP Cloud Platform (SCP). Die SCP ist ein Platform as a Service (PaaS) einschlie√ülich Entwicklungsumgebung. Vergleichbar mit Microsoft Azure. Die Verbindung wird √ľber einen VPN-Tunnel aufgebaut und verbindet sich mit dem SAP Cloud Platform Cockpit. Als Platform as a Service stellt die SCP verschiedene Werkzeuge bereit, die zur Entwicklung von hybriden und nativen Apps und Fiori-Anwendungen verwendet werden k√∂nnen. Gleichzeitig bietet sich den Anwendern ein Portal, das einen direkten und unkomplizierten Zugang zum Fiori Launchpad erm√∂glicht.

Sind Ihre Mobile Apps sicher und Ihre Daten gesch√ľtzt?

Eine passende Sicherheitsstrategie l√§sst sich nicht pauschal auf jedes Unternehmen √ľbertragen und ist immer im Einzelfall zu betrachten. Daher hier nochmal unser Appell: Ber√ľcksichtigen Sie das Thema Mobile App Security schon bei der Entwicklung mobiler Anwendungen. In den meisten F√§llen bietet es sich tats√§chlich an, fr√ľhzeitig auf die Erfahrung von Experten zu vertrauen und bereits im Anfangsstadium einer Mobile-Security-Strategie eine individuelle Beratung einzuholen.

Insbesondere wenn die eigenen Prozesse nicht dem Standard eines Systems oder einer SAP-Landschaft entsprechen, k√∂nnen Impulse von Au√üenstehenden entscheidende Vorteile bringen. Dadurch wird vermieden, mit einer halbgaren Systemlandschaft zu starten, die letztlich deutlich mehr Zeit, Aufwand und Kosten verschlingt, als urspr√ľnglich geplant. Zwar soll durch derartige L√∂sungen die Sicherheit im Umgang mit mobilen Apps verbessert werden, jedoch wird h√§ufig genau das Gegenteil erreicht. Weisen Sie der Vorabplanung, der Auswahl der geeigneten Plattform und dem Sicherheits- und Berechtigungsmanagement jedoch gen√ľgend Zeit zu, k√∂nnen Sie garantiert eine performante und effektive L√∂sung finden, die Ihren Anspr√ľchen gerecht wird.

Wie steht es um Ihre Mobile App Security? Sind Sie gut ger√ľstet oder stehen Sie noch ganz am Anfang? F√ľr mehr Informationen m√∂chten wir Ihnen zun√§chst unser E-Book zu genau diesem Thema anbieten. Darin enthalten sind Secure-Authentication-Ans√§tze sowie die Beschreibung von Architekturszenarien. Sollten Sie dar√ľber hinaus noch Fragen oder direkt Interesse an der Umsetzung einer Security-Strategie haben, dann freuen wir uns √ľber Ihren Kontakt.

Tobias Schießl

Tobias Schießl

Mein Name ist Tobias Schie√ül und ich bin begeisterter SAP Consultant im Bereich Mobility. Gerne unterst√ľtze ich Sie bei den Themen mobile Infrastrukturen und App-Entwicklung mit SAPUI5 oder Neptune.

Sie haben Fragen? Kontaktieren Sie mich!


Das könnte Sie auch interessieren:

Die besten Blogbeiträge zu Mobility Strategie.
Unser E-Book zum Thema Enterprise Mobility Management

Das könnte Sie auch interessieren

Viele Unternehmen wagen den Schritt, ihre h√§ufigsten SAP Prozesse auf eine mobile Oberfl√§che umzustellen. Dadurch erhoffen sie sich viele Vorteile, zum Beispiel eine Reduzierung der Prozessdauer, h√∂here Nutzerakzeptanz und intuitive Bedienung. H√§ufig herrscht allerdings Unsicherheit, ob auf Fiori oder auf […]

weiterlesen

Das Hype-Thema Fiori hat sich mittlerweile etabliert. Immer mehr Unternehmen setzen auf mobile Lösungen die direkt mit SAP Fiori oder auf den Prinzipien der Fiori UX-Guidelines basieren.

weiterlesen

Einen zuverl√§ssigen Service-Desk zu haben bedeutet oft gleichzeitig, ein besseres Gesch√§ft zu haben. Dieser Glaube wird sicherlich vielen Kunden gerecht, da einer ihrer gr√∂√üten Frustrationen von einem missbr√§uchlichen Benutzer-Support-System herr√ľhrt.

weiterlesen

Unsere Produkte zu Mobile App Security

Wir gestalten eine sichere mobile Infrastruktur f√ľr Ihr Unternehmen. Methodisch optimiert in vier Schritten. Zukunftssicher durch Knowledge Transfer.

Mehr Informationen

Das mooresche Gesetz besagt, dass sich die Komplexit√§t von Schaltkreisen regelm√§√üig verdoppelt. H√§lt Ihre mobile Infrastruktur diesen √Ąnderungen stand?

Mehr Informationen

Schnell und unkompliziert innerhalb von zwei Wochen in die mobile SAP-Welt eintauchen mit dem SAP Fiori Quickstart durch das Team von Mission Mobile.

Mehr Informationen

Schreiben Sie einen Kommentar

Bitte f√ľllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht ver√∂ffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support