Home / Allgemein / Apps lassen sich besser absichern
als ganze Smartphones

Apps lassen sich besser absichern
als ganze Smartphones

 Flächenangriffe und gezielte Attacken auf Smartphones, Tablets und Apps sind alltäglich geworden. Gut also, wenn Unternehmen die Apps, mit denen ihre Mitarbeiter auf die Enterprise IT zugreifen und die Apps, mit denen ihre Kunden E-Commerce oder Bank-Transaktionen autorisieren, gegen Attacken absichern können. Dabei sollten sie natürlich auch die Identität des jeweiligen Nutzers bestätigen können und benutzerfreundlich sein. Und das alles ohne das gesamte Endgerät kontrollieren zu müssen.

Allein der Sicherheitsanbieter Kaspersky verzeichnete 2014 etwa 12 100 mobile Banking Trojaner, die es allesamt auf die Bankzugangs- und Transaktionsdaten von Nutzern abgesehen haben. Insgesamt verzeichneten die Sicherheitsspezialisten 2014 mehr als 295 000 mobile Schadprogramme, die Angriffe auf Smartphones starteten. Die Attacken, die auf den Identitäts-Diebstahl aus waren, um im Namen eines anderes Transaktionen durchzuführen, nahmen dabei einen erheblichen Anteil ein.

Gefährlich: ungeschützte Apps auf kaum gesicherten Smartphones

Ein wichtiges Einfallstor für Cyber-Kriminelle ist die mobile Kommunikation zwischen Mitarbeitern und den Servern des eigenen Unternehmens. Wenn zum Beispiel ein Vertriebsmitarbeiter von seinem Tablet oder Smartphone CRM-Daten abruft, Aufträge bestätigt oder Kundendaten überträgt, sind unzureichend gesicherte mobile Devices eine große Gefahr. Über sie können Viren oder Trojaner ins Unternehmensnetz eingeschleust werden oder Daten abgezogen werden. Ähnliches gilt im B2C-E-Commerce. Kunden bestellen über ihr Smartphone Waren oder Services oder schließen Bankgeschäfte online ab. Das läuft heute in der Regel über mobile Apps. Diese Apps residieren auf oftmals ungesicherten oder nur unzureichend gesicherten Smartphones, sind also ihrerseits Cyberattacken ausgesetzt.

Mobile App Sicherung statt Mobile Device Management

Viele Unternehmen versuchen, diesen Gefahren mit Hilfe von Mobile Device Management beizukommen, die vereinfacht gesagt, sämtliche Programme und Datenkommunikation auf dem mobilen Device zentral kontrollieren und schützen. Allerdings ist das bei Geräten von Mitarbeitern, die privat und beruflich genutzt werden keine optimale Lösung. Und auf die Devices von Kunden hat ein Unternehmen ohnehin keinen Einfluss. Aus diesem Grund liegt es nahe, die App und somit die bereitgestellten mobilen Services selbst so abzusichern, dass sie auch in einer ungesicherten und nicht 100% kontrollierbaren Umgebung nicht korrumpiert werden kann.

Die Lösung von Kobil Systems, einem Anbieter einer mobilen Security-Plattform aus Worms, besteht aus einem Frontend- und Backend-Teil. Das Software Development Kit lässt sich in jede mobile App einbetten. Es stellt die Fähigkeiten bereit, Apps vor dem Kopieren aus dedizierten Geräten, der Manipulation und der Erstellung von Fake-Apps zu schützen. Die mit Hilfe des SDK entwickelten Apps beherbergen den Frontend-Teil der Sicherheitslösung. Es bietet eine Reihe integrierter Sicherheitsfunktionen wie

  • Schutz vor Debugging und Reverse Engineering,
  • Security Sensoren (Jailbreak-, Malware-Detection),
  • Methoden der Software-Härtung zur Verhinderung bekannter Laufzeitangriffe,
  • Schutz von bösartigen URL,
  • Verschlüsselung
  • Speicher für anwendungsspezifische Zertifikate, vertrauenswürdige Zertifizierungsstellen sowie für private Schlüssel und persönliche Zertifikate.
  • Unerreichbarkeit für Anwendungen von Dritten.

Bei der ersten Aktivierung wird die mit dem SDK entwickelte App mit dem jeweiligen Mobilgerät verknüpft und registriert sich selbst auf dem Smart Security Management Server (SSMS), der den Backend-Teil der Sicherheitslösung darstellt. Er kontrolliert:

  • ob die mobile App wirklich auf dem ursprünglich registrierten Gerät läuft oder auf ein anderes Gerät kopiert wurde,
  • ob die laufende App noch über ihren Originalcode verfügt oder modifiziert wurde,
  • ob die Version dieser App korrekt ist oder aktualisiert werden muss,
  • gegebenenfalls die Authentifizierung (die PIN des Anwenders) der mobilen Plattform.

Damit kann das Unternehmen sicher sein, dass sie eine sichere Verbindung zum Endgerät hat und die verschlüsselten Daten, die von der App kommen auch authentisch sind. Ein solcher „Stacheldrahtzaun“ um ein App, sichert sie und die über sie kommunizierten Daten auch in unsicheren Umgebungen ab. Außerdem lässt sich die Lösung zur eindeutigen Identifikation ihrer Nutzer einsetzen. Über solchermaßen geschützte Apps lassen sich außerdem Transaktionen sicher autorisieren und sichere (verschlüsselte) Kommunikation lässt sich ebenfalls betreiben.

 

Share

Leave a Reply