Egal, ob iPhone, iPad, Android oder Blackberry: Alles redet von Mobile. Die kleinen (Smartphones) bis klobigen (iPad) Geräte scheinen die Fähigkeit zu haben, alle Probleme bei der Arbeit und den Kunden mit einem Schlag lösen zu können. Abgesehen von diesen wunderbaren Eigenschaften und dem neuen Schwung, den diese Geräte in den sonst tristen Alltag der Beschäftigten bringen: Die Entwicklung spezieller Unternehmens-Apps und Frontends birgt auch Risiken. Zudem gibt es Unterschiede zwischen der Anfertigung mobiler Anwendungen und "normaler" Enterprise-Applications. Und es gibt Sicherheitsthemen, die man bei der Entwicklung unbedingt beachten sollte.
1. Wie unterscheiden sich Risikoszenarien von Software auf mobilen Geräten von Enterprise-Anwendungen?
Die prägende Definition mobiler Anwendungen ist: Sie existieren auf Geräten außerhalb des Firmennetzes in den Händen einer extern tätigen Person. Damit ist es leichter denkbar, dass ein solches Gerät gehackt und der Source Code der Anwendung über Reverse Engineering geknackt wird.
Ein großer Teil der Sicherheitsanstrengungen sollte der Frage gewidmet sein, wie die Anwendungen auf den mobilen Endgeräten mit den Unternehmensservern interagieren und kommunizieren. Das ist auch deshalb wichtig, weil viele Unternehmen sensible Firmendaten auf Endgeräten gar nicht zulassen, sondern auf den Servern halten. Wer Verbindung zu den Servern aufnimmt, ist also drin - egal, ob legal oder illegal.
2. Wie interagieren mobile Anwendungen mit den Unternehmens-Servern?
Bei der Berichterstattung über die Sicherheitsprobleme mobiler Endgeräte geht es oft um die Geräte selber. Tatsächlich sind unternehmenswichtige oder sensible Daten auf den nach außen kommunizierenden Servern, mit denen Smartphones und Tablet-PCs interagieren, wesentlich mehr gefährdet.
Entwickler müssen um die Risiken mobiler Endgeräte wissen
Unternehmen, die sich aktiv mit Bedrohungsszenarien beschäftigen, müssen diesen Fakt berücksichtigen. Wenn ein Gerät gehackt und der Code geknackt werden kann, können auch mittelmäßig bewanderte Eindringlinge die Zielserver sehen, die die Anfragen der mobilen Geräte entgegennehmen und weiterverarbeiten. Die Server müssen Netzwerk- und Anwendungsattacken widerstehen können, die auf dieser Möglichkeit beruhen.
3. Haben Sie intern die Qualifikationen, diese Risiken zu managen?
Vor dem Hintergrund der explodierenden Nachfrage nach iPhone-, iPad-, Android- und Blackberry-Anwendungen stehen Software-Entwickler auch mit nur bescheidener Expertise momentan bei ihren Chefs hoch im Kurs. Sorgen Sie in einer konzertierten Aktion von IT, Personalverantwortlichen und der Geschäftsleitung dafür, dass die Qualifikationen der Entwickler dennoch an die gestiegenen Anforderungen durch die mobilen Applikationen angepasst werden.
4. Sind die Entwickler von Code für mobile Geräte im Vergleich zu anderen Programmierern im Hause in der Lage, die Sicherheitsanforderungen dieser Geräte zu verstehen?
Oft lautet die Antwort unglücklicherweise "eher weniger", aber Diskussionen über bekannte Störfälle bei mobilen Apps könnten das ändern. Viele der mobilen Entwickler kommen aus interaktiven oder kreativen Welten und sind es nicht gewöhnt, stabile Unternehmensanwendungen zu bauen, die hartnäckigen Attacken über das Internet standhalten. Das kann dazu führen, dass Fehler bei den Sicherheitsfunktionen gemacht werden. Sie müssen diese oft mangelhaften Qualifikationen berücksichtigen und versuchen, Ihre Entwickler dahingehend zu qualifizieren.
5. Haben Sie dafür gesorgt, dass vertrauliche Unternehmens- oder Kundeninformationen nicht nach der Arbeit auf dem Gerät verbleiben?
Software-Entwickler sollten Code schreiben, der den Verbleib von Daten auf den Endgeräten unterbindet. Die Gefahr, dass solche Daten bei Verlust oder Diebstahl in falsche Hände geraten, ist schlicht zu groß. Die Programmierer müssen aber auch berücksichtigen, dass spezielle Browser oder Betriebssysteme unter Umständen das Umgehen solcher Schutzmechanismen erlauben, etwa durch das Speichern von Daten im Cache.
6. Welche Prozesse gibt es in Ihrem Unternehmen für den Fall, dass dennoch auf den mobilen Geräten Kunden- oder Firmendaten verloren gehen oder gestohlen werden?
Existierende Prozesse für die Antwort auf Störfälle in der Unternehmens-IT müssen auf die mobile Welt übertragen werden. Bereiten Sie sich auf Worst Case-Szenarien vor, um den Stecker mobiler Endgeräte (funktioniert hier nur symbolisch!) zu ziehen, wenn es zu einem Einbruch ins Firmennetz kommt.
7. Wer ist für die Sicherheit von Endgeräten und Apps verantwortlich: Ihr Unternehmen, der Gerätehersteller, der Anbieter des mobilen Betriebssystems?
Es gibt unterschiedliche Abhängigkeiten in den Schlüsselarchitekturen der mobilen Geräte. Aber wer ist für welchen Bereich (Gerät, Betriebssystem, Anwendung) genau verantwortlich, wenn es tatsächlich zu einem Einbruch oder zu einem Angriff kommt?
Unterschiedliche Zuständigkeiten für Sicherheit berücksichtigen
Die Abhängigkeiten und Zuständigkeiten zu verstehen, hilft beim Umgang mit Störfällen in den mobilen Anwendungen.
8. Welche Entwicklungsansätze verfolgen Sie, um sichere Anwendungen für mobile Endgeräte zu programmieren?
Hat sich die Entwicklungsphilosophie in Ihrem Unternehmen verändert, seitdem Sie auch für mobile Endgeräte entwickeln und wissen, dass sie prinzipiell gefährdet sind, weil sie außerhalb des Firmennetzes benutzt werden? Welche Programmierstandards verfolgen Sie für das Entwickeln mobilen Codes? Wie verbreiten Sie diese Standards und wie stellen Sie sicher, dass sich Ihre Entwickler daran halten? Überprüfen Sie das regelmäßig? Oder nur dann, wenn wichtige Releases anstehen?
Innovative Entwicklungsprojekte für mobile Geräte müssen mit organisatorischen Standards auf Linie gebracht werden, damit am Ende sichere Software dabei herauskommt. Diese Standards müssen erweitert werden, um auch komplexere Bedrohungsszenarien zu berücksichtigen, die durch die verstärkte Benutzung mobiler Endgeräte entstehen.
Schlaue Sicherheitsmanager, rät John Dickson am Ende seines Aufsatz bei CSO Online, sollten gut vorbereitet sein, um diese wichtigen Fragen eher früh als zu spät stellen zu können. Organisationen, die diese Fragen zufriedenstellend mit der Formulierung mobiler Sicherheitsstrategien beantworten können, sind im Vorteil: Sie werden ohne Reue von den Möglichkeiten profitieren, die mobile Endgeräte und Anwendungen den Unternehmen bieten.