Die „sieben Tore“ der App Security
Dr. App diagnostiziert die wichtigsten Sicherheitsschwachstellen bei der Entwicklung und Nutzung von mobilen Enterprise Apps. Wie beim Fußball kommt es auf eine robuste Verteidigungsstrategie an.
Sie nutzen Apps in Ihrem Unternehmen oder planen deren Einsatz – und sind sich manchmal nicht sicher in puncto Sicherheit? In der Tat hat das Thema viele Facetten und es gibt ebenso viele Einfallstore für Missbrauch und Manipulation. Mögliche Schwachstellen liegen entlang des gesamten Entwicklungs- und Nutzungsprozesses einer App, wobei Android-Apps stärker gefährdet sind als die iOS-basierten Versionen. Sieben kritische Zonen beleuchtet mobivention-Geschäftsführer Dr. Hubert Weid, aka Dr. App (https://doktor-app.com), – und zeigt, wie sich Risiken minimieren lassen. Seine grundsätzliche Empfehlung lautet: „Vorbeugen ist besser als heilen. Also am besten gleich bei der App-Entwicklung an die Sicherheitsaspekte denken, die User aufklären, regelmäßige Sicherheits-Checks durchführen und den ganzen Prozess im Auge behalten.“
Sie nutzen Apps in Ihrem Unternehmen oder planen deren Einsatz ¬– und sind sich manchmal nicht sicher in puncto Sicherheit? In der Tat hat das Thema viele Facetten und es gibt ebenso viele Einfallstore für Missbrauch und Manipulation. Mögliche Schwachstellen liegen entlang des gesamten Entwicklungs- und Nutzungsprozesses einer App, wobei Android-Apps stärker gefährdet sind als die iOS-basierten Versionen. Sieben kritische Zonen beleuchtet mobivention-Geschäftsführer Dr. Hubert Weid, aka Dr. App (https://doktor-app.com), – und zeigt, wie sich Risiken minimieren lassen. Seine grundsätzliche Empfehlung lautet: „Vorbeugen ist besser als heilen. Also am besten gleich bei der App-Entwicklung an die Sicherheitsaspekte denken, die User aufklären, regelmäßige Sicherheits-Checks durchführen und den ganzen Prozess im Auge behalten.“
Sicherheit im Entwicklungsprozess
Code sichern
Bereits bei der App-Entwicklung sollte man den Source Code einer App gegen Reverse Engineering zu schützen. Reverse Engi-neering bedeutet, dass ein Software-Produkt oder ein System vom Ende zum Beginn hin analysiert wird. Im positiven Sinn lässt sich dieses Verfahren zur Fehleranalyse oder Qualitätsprüfung nutzen. Allerdings können auf diesem Weg Apps missbräuchlich ausspioniert und nachgebaut werden. Eine Methode, um geistiges Eigentum in diesem Bereich zu schützen, ist die Obfuskierung des Source Codes. Dabei wird der Programm-code oder der Quelltext bewusst komplett oder partiell verändert, sodass ein Duplizieren unwahrscheinlich bis unmöglich wird. Außerdem ist der Source Code sicher vor unberechtigtem Zugriff zu speichern. Dies gilt sowohl bei lokaler Speicherung als auch bei der Nutzung eines Cloud Services.
Datenschutzkonformität
Gerade vor dem Hintergrund der neuen Datenschutz-Grundverordnung (DSGVO) sollten Sie die Datenschutzkonformität Ihrer Apps rechtssicher gewährleisten können. Denn auch im Datenschutz gilt: Unwissenheit schützt vor Strafe nicht, und zwar den Anbieter. In erster Linie ist er für die Einhaltung der datenschutz-rechtlichen Vorgaben verantwortlich, auch wenn die App von einem Dienstleister entwickelt wurde. Deshalb sollten Sie bereits in einer frühen Entwicklungsphase die Grundprinzipien des Datenschutzes im Blick behalten. Zum Beispiel den Zweckbindungsgrundsatz, nach dem nur auf Daten zugegriffen werden darf, die für den im Voraus bestimmten Zweck notwendig sind. Das Impressum muss den Anforderungen an Telemediendienste entsprechen. Die Datenschutzerklärung muss den Nutzer über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten informieren. Überdies muss auch während der App-Nutzung eine gut lesbare Datenschutzerklärung jederzeit abrufbar sein – eine Verlinkung zu einer Website reicht nicht aus. Die Liste der Vorgaben ist lang. Eine Zusammenfassung der wichtigsten Punkte bietet beispielsweise der Düsseldorfer Kreis unter folgendem Link an: https://www.datenschutz-bayern.de/technik/orient/OH_Apps.pdf
Rechtssicherheit
Eng mit der Datenschutzkonformität hängt die Rechtssicherheit zusammen. Sie als Anbieter sind dafür verantwortlich, dass die App den jeweils gültigen rechtlichen Vorschriften entspricht. Dabei ist nicht nur die deutsche Gesetzeslage zu berücksichtigen sondern die Situation in jedem Markt, in dem die App vertrieben beziehungsweise genutzt wird. Andernfalls droht die Gefahr, dass Apple oder Google die Veröffentlichung ablehnen oder Bußgelder und Abmahnungen von Wett-bewerbern. Auch die Nutzungsrechte für Bild-, Video- und Textmaterial sind zu klären. Bei der Namensgebung der App sollten Sie gründlich recherchieren und sicherstellen, dass der Name nicht bereits geschützt ist oder verwendet wird. Den Namen Ihrer App lassen Sie in jedem Fall schützen. Professionelle App-Entwickler sind in der Regel mit diesen und vielen anderen Fallstricken vertraut.
Aber nicht nur bei der Entwicklung sondern auch bei der Nutzung von Apps gibt es vielfältige Sicherheitsaspekte zu berücksichtigen.
Sicherheit bei der Nutzung
Gerät sichern
Die App-Sicherheit im Nutzungsprozess beginnt beim Gerät und damit beim User. Er ist verantwortlich dafür, sein Gerät vor Diebstahl, Beschädigung oder Verlust zu schützen. Genauso wichtig ist es, einem unberechtigten Zugriff so gut wie möglich vorzubeugen. Das beginnt bereits bei der Verriegelung durch ein sicheres Passwort und der Verschlüsselung von Passwörtern. Auch regelmäßige Software-Updates und der Einsatz von Virenscannern sorgen für mehr Sicherheit. Unternehmen, die Apps auf mobilen Endgeräten einsetzen, sollten ihre Mitarbeiter über diese Verantwortlichkeiten ausführlich informieren.
Daten sichern
Neben der Sicherung der Geräte ist die Sicherung der Daten ein zentraler Aspekt der App Security. Ein Buzzword, das in diesem Zusammenhang oft fällt, ist BYOD (Bring your own device), also der Einsatz von auch privat genutzten Laptops, Tablets oder Smartphones innerhalb des Firmennetzwerks. Er bringt sicherheits-technisch einige Herausforderungen mit sich – unabhängig davon, ob Mitarbeiter ihre eigenen Geräte mitbringen oder Firmengeräte im privaten Umfeld nutzen. Hier empfiehlt sich ein möglichst sicheres Betriebssystem in Kombination mit einer MDM (Mobile Device Management)-Software. Mit dieser Software lassen sich die Geräte zentral vom Unternehmen aus verwalten. Bei Diebstahl oder Verlust ist eine Sperrung oder die Löschung kritischer Daten via Fernzugang möglich. Der Einsatz von Programmen wie Samsung Knox erlaubt es überdies, geschäftliche und private Inhalte separat und gesichert auf einem Gerät abzulegen.
Server sichern
Ein Großteil der Apps nutzt eine Client-Server-Architektur. Dabei werden Daten von einem Server heruntergeladen und/oder auf einem solchen gespeichert. App-Sicherheit ist damit auch eine Frage der Server-Sicherheit. Regelmäßige Sicherheitsupdates und Backups sind hier ebenso unverzichtbar wie eine vernünftige Verwaltung von Zugriffsrechten. So wird die Gefahr gebannt, dass durch unbeabsichtigte Aktivitäten Schaden entsteht. Auch die Datei-Berechtigungen sollten Sie möglichst niedrigschwellig halten. Darüber hinaus ist Server Monitoring angesagt: Die verantwortlichen Fachleute sollten kontinuierlich ein Auge darauf haben, ob und von wem Programme geändert werden. Auch ungewöhnliche Aktivitäten wie steigende CPU-Belastung, ein Zuwachs beim Traffic oder ähnliches können auf Missbrauchsversuche hinweisen. Mit speziellen Hackertools einen Testangriff auf seinem Server zu simulieren, ist in Deutschland nicht erlaubt. Die Zusammenarbeit mit entsprechenden Spezialisten ist jedoch möglich.
Kommunikation sichern
Last but not least gilt es, die Kommunikation zwischen App und externen Devices beziehungsweise dem Server wirkungsvoll zu sichern. Auf jeden Fall empfiehlt sich die ausschließliche Nutzung verschlüsselter Verbindungen, zum Beispiel über VPN-Tunnels. Hier ist in Unternehmen auch eine gründliche Aufklärung der App-Nutzer gefragt: Vorsicht an öffentlichen Hotspots ist geboten. Überdies schaltet man WLAN- und Bluetooth-Verbindungen am besten aus, wenn man sie gerade nicht nutzt. Sensible Apps lassen sich auf Smart Devices auch mit einem Passwort schützen und verbergen. Um (fast) keine Spuren im Netz zu hinterlassen, kann man über den sogenannten privaten Surfmodus ins Internet gehen.
Das Fazit von Dr. App: „Dies ist nur ein kleiner Überblick über die „App-Sicherungsmöglichkeiten“ entlang der gesamten Prozesskette. Um die Sicherheit beim Einsatz von Business Apps in Unternehmen zu optimieren, empfiehlt es sich, von Anfang an mit einem erfahrenen App-Entwicklungspartner zusammen-zuarbeiten. Er wird bereits bei der Entwicklung Sicherheit und Datenschutz im Blick haben, regelmäßige Sicherheits-Checks und die Information der User anregen und den ganzen Prozess prüfen. Gern können Sie sich bei diesbezüglichen Fragen auch an Dr. App wenden.“ Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
mobivention ist ein Full-Service Dienstleister für die Entwicklung, Konzeption, User Interface Design und Vermarktung von Apps für Smartphones und Tablets. Das 2003 gegründete Unternehmen gilt als Qualitätsführer im Markt. Das Unternehmen verfügt mit seinen 30 Mitarbeitern über einen langjährigen Erfahrungsschatz bezüglich der Herstellung von Apps und der Realisierung von Kundenprojekten. Dieses einzigartige Know-how ist Basis für die erfolgreiche Zusammenarbeit mit namhaften und renommierten Kunden aus den Branchen Industrie, Handel und Dienstleistung. https://mobivention.com
Dr. Ingrid Hartmann-Ladendorf
Dr. Ladendorf Public Relations GmbH
Färberstraße 71
D-60594 Frankfurt
Tel: + 49 69 42 60 27 80
E-Mail: ihl(at)ladendorf-pr.de
Datum: 07.06.2018 - 15:35 Uhr
Sprache: Deutsch
News-ID 1618554
Anzahl Zeichen: 9366
Kontakt-Informationen:
Ansprechpartner: Sarah Winter
Stadt:
Frankfurt
Telefon: 06942602782
Kategorie:
Datensicherheit
Meldungsart: bitte
Versandart: Veröffentlichung
Diese Pressemitteilung wurde bisher 637 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Die „sieben Tore“ der App Security"
steht unter der journalistisch-redaktionellen Verantwortung von
mobivention GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Köln, 21. März 2024 - Nur wenige Tage nach dem offiziellen Start des mobivention App Marketplace stößt die innovative Plattform bereits auf reges Interesse am Markt. Mit In Kraft treten des DMA für den Apple iOS App Store am 07.03.2024 hat mobivention seinen alternativen App Marketplace als ers
mobivention revolutioniert mit autorisiertem alternativen App-Marktplatz die Verteilung von iOS-Apps in der EU ...
Köln, 04.März 2024 - mobivention gibt die Einführung des mobivention App Marketplace bekannt, eine bahnbrechende Entwicklung für iOS App Entwickler und Unternehmenskunden in der Europäischen Union. Dieser Schritt folgt den neuesten Anforderungen des Digital Markets Act (DMA) der Europäischen
EM Tippspiel 2024 für Agenturen & Unternehmen ...
Köln, 18. Januar 2024 - Noch gut sechs Monate bis zur Fußball EM 2024 und die Vorbereitungen für den Start am 14. Juni 2024 laufen bereits auf Hochtouren. Auch mobivention hat seine Tippspiel Whitelabel Lösung "Tippspiel für Unternehmen" für diesen Event vorbereitet. Es bietet Agentu
Weitere Mitteilungen von mobivention GmbH
44 Prozent aller Datenschutzverletzungen im letzten Jahr betrafen Identitäten privilegierter Accounts ...
London, 4. Juni 2018. Im vergangenen Jahr wurde fast die Hälfte (44 Prozent) aller Datenverletzungen über Identitäten von Accounts mit privilegierten Zugriffsrechten verursacht. Das ergab der Report "IT Out of Control" von Balabit, ein Unternehmen von One Identity und führender Anbiete
Secardeo certEP v5 für Certificate Autoenrollment von non-Microsoft CAs ...
Die Ablage von Zertifikaten und Schlüsseln erfolgt in certEP v5 effizient in einer SQL Datenbank. Dabei können private Schlüssel verschlüsselt archiviert und nur durch Key Recovery Agents wiederhergestellt werden. Durch die neue Unterstützung von Hardware Security Modulen kann die Sicherheit we
Ipexx hilft bei neuem Datenschutzrecht ...
Wörnitz. Am 25. Mai tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in allen Staaten der Europäischen Union in Kraft. Damit möchte man ein einheitliches Datenschutzniveau in den Mitgliedstaaten gewährleisten. Die neue Regel gilt für personenbezogene Daten natürlicher Personen, die in Unt
KeyIdentity stellt umfangreichen IT-Security-Newsroom zur Verfügung ...
Weiterstadt, 03. Mai 2018 – KeyIdentity, ein globaler Anbieter von hoch skalierbaren, einfach einsetzbaren Identity- und Access-Management-Lösungen (IAM) auf Open-Source-Basis, stellt Kunden und Journalisten ab sofort einen umfangreichen Newsroom zur Verfügung. Interessenten erhalten so einen st




