Mobile Security – eine Herausforderung der Digitalisierung

Risiken in mobilen Umgebungen und was Sie dagegen tun können
0 Bewertungen
1
5
0
 
 
 
Bewerten
 
 
 
 
 
 
0 Kommentare  
95 Downloads  
Wer von der Digitalisierung profitieren will, kommt auch im das Thema Mobility nicht herum. Doch gerade wenn Mitarbeiter mobile Geräte nutzen, drohen Gefahren. Dieses Whitepaper zeigt auf, welche Risiken Unternehmen im Auge behalten sollten und zeigt auf, wie man diesen begegnen kann.

Inhalt:

Im digitalen Zeitalter ist das mobile Endgerät auch aus dem Unternehmensalltag nicht mehr wegzudenken: Auf dem Weg zur Arbeit schon einen Blick in die Emails werfen, interne News kommunizieren, Echtzeiterfassung von Kundendaten und -anfragen sowie der mobile Zugriff auf Firmenressourcen – all das und mehr ist möglich, überall, jederzeit und ganz nach den individuellen Nutzergepflogenheiten jedes Einzelnen.

Zugleich stellen mobile Geräte aber auch eine große Herausforderung für die IT-Sicherheit des Unternehmens dar. Für ungeschützte Geräte sind die potentiellen Angriffsvektoren auf die darauf gespeicherten Daten durch Netzwerkverkehr, physikalische Zugriffe, Schwachstellen, Malicious Code und Social Engineering nahezu grenzenlos. Speziell im Unternehmensumfeld sollte genau deswegen die Sicherheit mobiler Endgeräte einer der Schlüsselaspekte für die Sicherheitsstrategie der Zukunft sein.

Dieses Whitepaper zeigt detailliert auf, welche Rolle die Hardwareplattform, das Betriebssystem, die mobilen Applikationen und schließlich die Kommunikation der Geräte mit den Backend-Systemen im Hinblick auf mögliche Risiken spielen. Im zweiten Teil des Dokuments werden verschiedene Maßnahmen (etwa Mobile Device Management, App-Assessments, App-Reputation-Dienste sowie Security-Lösungen auf dem Device) vorgestellt, mit denen sich mobile Geräte absichern lassen.

Originalauszug aus dem Dokument:

Man-in-the-Middle-Attacken sind wohl die häufigste Art, um kritische Daten aus der

Kommunikation zwischen mobilen Applikationen und deren Backend-Systemen abzufangen. Hierbei werden Anmeldedaten, Konfigurationsdaten und für die Funktionalität wichtige Inhalte übertragen. Um die Kritikalität und Integrität der Daten wie auch des Benutzers selber zu schützen, ist es besonders wichtig, Schutzmechanismen für die Kommunikation zwischen Applikationen und Backend-Servern zu implementieren.

Zunächst sollten kritische Daten niemals im Klartext gespeichert und übertragen werden. Insbesondere Passwörter sollten immer nur gehashed mit erhöhter Entropie („salted“) angelegt werden. Darüber hinaus ist auch der Kommunikationskanal an sich zu schützen. Datenübertragungen sollten immer über HTTPS abgesichert sein, sodass der Kommunikationskanal selber bereits verschlüsselt ist. Dies sollte dann auch dem aktuellen Stand der Technik entsprechen.

Trotz verschlüsseltem Kanal gibt es für Angreifer weitere Möglichkeiten, sich in die Kommunikation einzuklinken. Um dies zu verhindern, sollte das Zertifikat des Backend-Servers von einer bekannten und vertrauenswürdigen Zertifizierungsstelle signiert sein und von der Applikation selbst auf Vertrauenswürdigkeit, Gültigkeit und Richtigkeit überprüft werden. Nur so lässt sich die Authentizität des Backend-Servers überprüfen und der Kommunikationskanal absichern. Ist es für den Use Case der Applikation möglich, sollte hier zusätzlich Certificate Pinning eingesetzt werden, um ein Eindringen in die Verbindung weiter zu erschweren. 

Kommentar verfassen

LOGIN für heise Business Services

Sie haben noch keinen Account?
Hier registrieren und informieren.