CRM & Data

KEIN TAG OHNE ANGRIFF

Harald Winkelhofer 08.08.2017 08:10

Teil 1 unserer Interview-Serie zu Mobile und App-Security.

Sicherheit in der IT setzt sich immer stärker mit den Mobile Devices auseinander. Gerade mobile Apps werden vermehrt durch die Menge an hinterlegten Daten zu willkommenen Portalen für Zugriffe durch Hacker. Was sie suchen, ist das „Öl des 21. Jahrhunderts“: Daten.
IQ mobile hat sich darum nun gemeinsam mit der SEC Consult Unternehmensberatung GmbH in eine „Power-Partnerschaft“ begeben und setzt im Bereich Mobile Security deutliche Zeichen.

Unsere zweiteilige Interview-Serie zu dem Themenfeld soll euch wichtige Aspekte, Argumente, aber auch vielleicht noch nicht Bedachtes zum Überdenken darlegen. Interviewt haben wir für euch Ulrich Fleck, Managing Director von SEC Consult und Harald Winkelhofer, Managing Director von IQ mobile.

Hacker, Datendiebe oder Cyberkriminelle, die sich über Sicherheitslücken Zugang zu mobilen Devices verschaffen, sind ein weltweites Problem. Wie ist die Situation in Österreich bzw. gesamteuropäisch zu sehen?

U. Fleck: Das Web endet nicht an den Landesgrenzen und auch die großen App-Stores haben keine besondere lokale Ausprägung von VPN Clients in China mal abgesehen.– so viel sei als Präambel vorausgeschickt. Österreich ist de facto in Sachen Mobile Security keine „Insel der Seligen“. Bedingt durch unsere Größe stehen wir hierzulande zwar nicht im Top-Fokus, aber die österreichische Wirtschaftskraft ist groß und so ist Österreich oft auch Ziel von Hackerangriffen. Besonders im Fokus stehen dabei jene Unternehmen, die wir als „hidden champions“ bezeichnen. Sie sind zumeist Vorreiter ihrer Branche, wenn nicht sogar (Welt-) Marktführer, und somit begehrtes Ziel für Cyberkriminelle. Durch die Konsolidierung der mobilen Betriebssysteme (Red. Anmerk. siehe https://www.recode.net/2017/7/17/15984222/microsoft-windows-phone-mobile-operating-system-android-iphone-ios ) kommt es immer mehr zu einer Verschmelzung von Daten auf Mobilen und Stationären Geräten. Das Smartphone als „Computer mit (sehr) kleiner Tastatur“ hat aber ein weiteres, recht banales Sicherheitsrisiko: Man verliert es leicht. Damit sind die Daten am Handy zumeist nur sehr schlecht geschützt. User sind hier oft selbst zu „blauäugig“ – oder besser zu wenig sensibilisiert. Die Devices können leicht gestohlen werden – was ist dann mit den Daten in der App?

H. Winkelhofer: Wir sehen, dass derzeit kein Tag ohne „Angriffe“ im mobilen Bereich vergeht – Tendenz steigend https://www.iq-mobile.at/blog/app-security-schutz-vor-datenklau/. Genau das veranlasste uns neben den Standardmethoden der IT-Security im mobilen Bereich die Zusammenarbeit mit ausgewiesenen Experten zu suchen, die nun gemeinsam mit uns mobile Lösungen und Apps auf „Herz und Nieren“ prüfen und analysieren.

Welche Priorität nimmt Mobile Security in den Unternehmen hierzulande bereits ein? Ist das Bewusstsein für die Notwendigkeit umfangreicher Maßnahmen bereits vorhanden?

U. Fleck: Was vielfach in Österreich anders ist: Wir haben im internationalen Vergleich nur einen geringen Anteil einer „bring your own device“-Policy. Das heißt, Mitarbeiter bringen bei uns nur selten eigene Notebooks zur Arbeit mit und arbeiten mit diesen. Das schützt uns hierzulande vor „Wildwuchs“. Dennoch verspüren wir eine steigende Nachfrage nach Dienstleistungen, gerade die Wirksamkeit von Mobile Device Management Lösungen stehen zunehmend im Zentrum unserer Tests und Sicherheitsüberprüfungen – Immer mehr wird auch die Sicherheit von Container Lösungen hinterfragt. Diese Lösungen ermöglichen eine Trennung von privatem und beruflichem Gebrauch. Zumeist sehen sich die Verantwortlichen in Unternehmen nicht dort, wo sie bei der Integration verschiedener Clients sein wollen.

Eine unserer markantesten Erfahrungen: Viele Kunden sind der Annahme, dass Apple und Google in ihren Stores gründliche Sicherheitsprüfungen an den Apps durchführen. Das ist ein Irrglaube! Die Überprüfungen der Stores zielen zumeist auf zwei Aspekte ab: Einerseits, dass der App-Store selbst sicher bleibt und andererseits, dass kein unerlaubter, „anzüglicher Content“ platziert wird. Die wirkliche Sicherheit von Apps wird nicht/oder nur sehr oberflächlich betrachtet.

Traditionell sind Branchen, wie „Finance“ in Sachen Sicherheit sensibler, aber insgesamt gibt es keine Branche, die sich bei Mobile Security besonders hervortut. Das sollte sich bald ändern.

H. Winkelhofer: Wir erkennen, dass das Bewusstsein für Mobile Security deutlich im Steigen ist. Und das ist gut so, weil höchst an der Zeit! Teilweise hat das mit der Umsetzung der Datenschutzgrundverordnung ab Mai 2018 zu tun https://www.iq-mobile.at/blog/datenschutz-jetzt-auch-mobile/. Auf der anderen Seite sind die hohe Komplexität und die „Türen“ sowie „Hintertüren“, die z.B. durch Schnittstellen, u.ä. geschlossen zu halten sind, echte Herausforderungen für viele Unternehmen.

Stichwort „App Security“: Zahlreiche Studien weisen darauf hin, dass eine Vielzahl von Apps Sicherheitslücken aufweist. Wo liegen für Unternehmen bzw. App-Anbieter die größten Risiken und unbekannten Faktoren?

U. Fleck: Das größte Problem ist die sogenannte „Luftschnittstelle“. Das Mobilfunknetz ist im Gegensatz zum Firmen LAN nur schwer kontrollierbar. Jeder Virus auf einem Laptop ist da leichter zu entdecken, da sein Netzwerkverkehr an zentraler Stelle (Z.B. Firewall) auffallen kann. Über das Mobilfunknetz fällt diese zentrale Stelle weg. Der Mobilfunkprovider ist hier für User und App-Betreiber nur eingeschränkt ein guter Überwachungspunkt und eigentlich auch unabhängiger Dienstleister mit anderen Aufgaben

Das größte Risiko des unerwünschten Abflusses von Daten liegt allerdings in den Funktionen von Apps (Stichwort: Kryptografie) und deren Programmierung. Schlechtes oder wenig sorgfältiges Development, alte Bibliotheken, alte Software-Pakete, Backends, die oft „vergessen“ werden, u.v.m. Da kann der Auftraggeber nur wenig überprüfen und muss sich stark auf den Ausführenden und sein Know-how und den Qualitätszugang verlassen. Ein häufiges Problem liegt auch in der Abwärtskompatibilität, d.h. dass neue Libraries noch nicht unterstützt werden.

H. Winkelhofer: Zumeist sind es die „einfachen Dinge“, wie Logins und Login-Methoden oder im Hintergrund Schnittstellen zu anderen Systemen, die oft dramatische Lücken bieten. Ein Beispiel: Viele alte iOS oder Android Versionen älterer Geräte sind immer noch im Umlauf. Wenn, aber nur die jeweils aktuellsten Versionen Sicherheitslücken in den Betriebssystemen schließen, haben Hacker hier enormes Potential, Daten abzugreifen. Natürlich ist der „alte IT-Scherz“ der schwachen Passwörter auch tatsächlich gültig. Die meisten sind viel zu schwach. Das liegt simpel an zwei Gründen: Man will sich nicht bei jedem Service ein anderes und schon gar kein komplexes Passwort merken müssen. Leider ist das heutzutage eine fatal falsche Herangehensweise!

Daten, oft als das „Öl des 21. Jahrhunderts“ bezeichnet, versprechen ein enormes Potenzial. Sie müssen noch stärker geschützt werden. Welche Maßnahmen sollten Unternehmen setzen, um die Sicherheit ihrer mobilen Anwendungen und der Kundendaten gewährleisten zu können?

U. Fleck: Die effektivste Maßnahme sind klare “Coding Guidelines“ für die Erstellung von Apps. Und Apps sind etwas Essentielles für Unternehmen, da sie Services „mobil machen“. Neben der Einführung von Coding Guidelines ist auch die Messung ob diese eingehalten werden essentiell. Nur solche Quality Gates im Software Entwicklungsprozess können sicherstellen, dass die Anforderungen umgesetzt werden. Wichtig auch: Privacy by design. Prinzipiell sollte man beherzigen, dass der Entwickler nur wenig bis keine Datenhaltung am Gerät vorsieht. Die Authentifizierung und Autorisierung sollte keinesfalls am Gerät sprich Client, sondern auf dem Server passieren. Das sind nur einige von vielen wichtigen Maßnahmen.

H. Winkelhofer: Besonders personenbezogene Daten sind höchst sensibel. Sie sollten am besten verschlüsselt und in gesicherte isolierte Zonen (zum Beispiel: Linux Container) seitens der App-Betreiber gespeichert werden. Zusätzlich sind stündliche Snapshots und tägliche Backups der Server erforderlich. Im Falle eines Diebstahls von Personen bezogenen Daten gibt es strenge Auflagen seitens der DSB (der Datenschutzbehörde) zur Meldung und Wiederherstellung der Daten.

Weitere Informationen geben wir gerne in einem persönlichen Gespräch. Kontaktieren Sie uns unter winkelhofer@iq-mobile.at oder auf www.sec-consult.com.

 

 

IQ MOBILE NEWSLETTER

Bleiben Sie auf dem Laufenden!