Für Unternehmen und Behörden sind Lösungen für das Mobile Device Management (MDM) heute das Mittel der Wahl, um die wachsende Zahl an Smartphones und Tablet-Geräten in der Organisation „einzufangen“. Doch nicht alle Nutzungsszenarien lassen sich mittels solcher Lösungen abdecken. Sollen für Partner, Kunden und andere Interessierte mobile Dienste angeboten werden, müssen andere Ansätze erwogen werden.
Bei Unternehmen und Behörden treffen wir heute zwei Perspektiven auf mobile Sicherheit und die damit verbundenen Herausforderungen an:
1. Eine wachsende Anzahl an Smartphones und Tablets – mit oftmals heterogenen Betriebssystemlandschaften – muss zentral verwaltet werden. Durch das Management mobiler Endgeräte soll ein angemessenes Sicherheitsniveau hergestellt werden, aber auch ein kosteneffizienter und transparenter IT-Betrieb. Zum Teil sind spezielle Sicherheitsfunktionalitäten am Endgerät zu implementieren. Außerdem werden Bring-Your-Own-Device-Konzepte (BYOD) diskutiert, also selektive Zugriffsmöglichkeiten privater Endgeräte auf Ressourcen im Unternehmensnetzwerk. Aber auch Firmengeräte dürfen immer häufiger ganz offiziell privat genutzt werden.
2. Unternehmen entwickeln mobile Strategien. Dabei werden Dienste (Apps) für Kunden, Partner und Mitarbeiter entwickelt und implementiert. Sicherheitsaspekte müssen bereits in der Design- und Architekturphase berücksichtigt und über Sicherheitsanalysen und –konzepte konkretisiert werden.
Bei der zweiten Perspektive unterliegen die Geräte der externen Nutzer (v.a. Kunden, Interessenten) in der Regel nicht der Managementhoheit des eigenen Unternehmens. Damit entfallen die Möglichkeiten des MDM, insbesondere die richtlinienkonforme Konfiguration und das Umsetzen von Passwort-Policies. Dies birgt einige Gefahren.
Ein Beispiel: Die Bordmittel von iOS und Android bieten in aktuellen Versionen für viele Anwendungsfälle zwar ausreichende Verschlüsselungsmechanismen an, aber die faktische Stärke der Verschlüsselung hängt letztlich von der Sorgfalt des Nutzers bei der Wahl des Passworts ab. Im schlechtesten Fall – wenn überhaupt keine Gerätesperre vorliegt – würden lokal auf dem Gerät gespeicherte Daten sogar unverschlüsselt vorliegen. Sollte es bei einer App notwendig sein, sensitive Daten lokal zu speichern, verbietet sich die Nutzung der Bordmittel von iOS und Android. Das Schutzverfahren muss dann von der Geräteplattform entkoppelt werden.
Bei der Entwicklung und Bereitstellung von Apps gibt es weitere Herausforderungen. Zusätzlich zu einer Web Application Firewall für HTML-Traffic muss ein mobiles Gateway implementiert werden, das das eigene Unternehmen (Backend) vor Angriffen schützt, die im Umfeld von Web Services zu erwarten sind. Das Gateway übernimmt zum Beispiel auch Aufgaben für die Authentisierung, die Autorisierung von Nutzern mittels Zugriff auf LDAP, die Verschlüsselung des Datenstroms zwischen Endgerät und Gateway sowie für das API Management. Für dieses Szenario gibt es neben einigen selbstgestrickten Lösungen auch vermehrt Standardprodukte von Herstellern wie Layer 7 oder Vordel. Banken, Versicherungen, Finanzdienstleister, Energieversorger und alle anderen Branchen, die einer großen Anzahl an Nutzern mobile Dienste anbieten wollen, müssen sich künftig mit solchen Lösungen beschäftigen.
