Illustration: Absmeier, Geralt
IT- und Datensicherheit wissen viele erst dann zu schätzen, wenn es bereits zu spät ist. Im Hinblick auf die bevorstehende EU-Datenschutzgrundverordnung (DSGVO) ist dies keine gute Ausgangslage. Vor allem im Bereich der mobilen Applikationen drückt der Schuh gewaltig. Die Zeiger stehen auf fünf vor zwölf: Bis zu 20 Millionen Euro oder vier Prozent des weltweiten Gesamtumsatzes sollen Unternehmen, die sich nicht an die DSGVO halten, in Zukunft bezahlen. Es gibt gravierenden Nachholbedarf beim professionellen App-Management.
Es bleibt nur noch wenig Zeit bis zum Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018. Ab diesem Zeitpunkt müssen Unternehmen belegen können, dass die Daten in ihren mobilen Applikationen sicher sind und jegliche Verletzung sofort melden. Bei Verstoß sehen die Regeln zur Speicherung, Verarbeitung und Weitergabe der Daten von EU-Bürgern harte Strafen vor. Noch immer sind viele Unternehmen nicht ausreichend darauf vorbereitet, obwohl neben Strafgebühren auch Imageschäden und hohe wirtschaftliche Einbußen drohen, darauf macht App-Management-Spezialist IQ Mobile aufmerksam. »Die DSGVO bedeutet nicht nur höhere Anforderungen an eine umfassendere Sicherheitsstrategie für die Gesamt-IT, sondern erfordert auch eine Optimierung des App-Managements und eine Schulung aller betroffenen Mitarbeiter«, sagt Harald Winkelhofer, Gründer und Geschäftsführer von IQ mobile.
Beim professionellen App Management hat das Thema Sicherheit Priorität
Der boomende Markt für Mobile Apps nimmt aufgrund der Nähe zum Nutzer mit seinen höchstpersönlichen und sensiblen Daten eine besondere Stellung ein. Hinzu kommt die Gefahr unerkannter Schatten-IT durch BYOD (Bring your own device), den Trend, bei dem Mitarbeiter ihre eigenen mobilen Endgeräte für geschäftliche Tätigkeiten nutzen. »Unternehmen sollten hier sofort aktiv werden«, sagt Winkelhofer. »Nicht nur aus Angst vor drohenden Strafen sollte die Sicherheit im Mittelpunkt jeder App-Strategie stehen. Angesichts vieler potenzieller Schwachstellen ist es schwierig, einen maßgeschneiderten Prozess zu finden«, weiß Winkelhofer. Es komme auf ein frühzeitiges App-Management an, das das Thema Sicherheit von Anfang an priorisiert. Nur so könnten Sicherheitsprobleme im späteren Lebenszyklus der App vermieden werden, denn Reparaturen seien kostspielig und ressourcenintensiv.
Vertrauen in Apple und Google reicht nicht
Viele Unternehmen sind der Annahme, dass Apple und Google in ihren Stores gründliche Sicherheitsprüfungen an den Apps durchführen. Das ist den Experten von IQ mobile zufolge ein Irrglaube. Die Überprüfungen der Stores zielten zumeist auf zwei eher eigennützige Aspekte ab: Einerseits solle der App-Store selbst sicher bleiben und andererseits wolle man dort keinen unerlaubten, »anzüglichen Content« platzieren. Die wirkliche Sicherheit von Apps werde folglich nicht oder nur sehr oberflächlich betrachtet. Daten, oft als das »Öl des 21. Jahrhunderts« bezeichnet, versprechen ein enormes Potenzial für Angreifer und müssen daher vom Herausgeber der App selbst noch stärker geschützt werden. Welche Maßnahmen Unternehmen ergreifen sollten, um die Sicherheit der Kundendaten gewährleisten zu können, erklärt Ulrich Fleck, CSO bei SEC Consult Group: »Klare Coding Guidelines für die Erstellung von Apps und eine Messung derer Einhaltung können sicherstellen, dass die Anforderungen umgesetzt werden. Wichtig ist vor allem wenig bis keine Datenhaltung am Gerät selbst. Das sind nur einige von vielen wichtigen Maßnahmen«, so Fleck.
Verschlüsselung und Isolierung sichern besonders sensible Daten
Gerade Unternehmen mit schützenswerten Daten müssen sich für jede Eventualität wappnen und absichern und tun dies auch schon aktiv mit dem App-Security-Angebot von IQ mobile. Personenbezogene oder sensible Daten sollten am besten verschlüsselt und in gesicherte isolierte Zonen wie beispielsweise Linux-Container auf Seiten der App-Betreiber gespeichert werden. Zusätzlich sind stündliche Snapshots und tägliche Backups der Server erforderlich. Im Falle eines Diebstahls von personenbezogenen Daten gibt es strenge Auflagen seitens der Datenschutzbehörde in Bezug auf ihre Meldung und Wiederherstellung. Ein erheblicher aber doch wichtiger Aufwand, den jedes Unternehmen in seine Budgetplanung einkalkulieren sollte.
Einfallstore für Cyberkriminelle schließen
»Der Erfolg einer App hängt von einer sicheren User Experience ab. Wer eine App ins Rennen schickt, muss die mobile Anwendung bereits in der Entwicklungsphase auf Schwachstellen abklopfen und mögliche Einfallstore für Cyberkriminelle schließen«, warnt Winkelhofer. Vor dem Hintergrund der neuen europäischen Rechtsvorschriften bietet das Unternehmen einen App-Security-Test, um bestehende Apps für die neuen Datenschutzvorschriften fit zu machen. »Die sich ständig verändernde Soft- und Hardware wird sich auch in Zukunft – Stichwort künstliche Intelligenz, Robotik und Augmented Reality – nicht vereinfachen. Deshalb ist für uns der aktive Kontakt und Austausch mit Herstellern und Partnern unerlässlich und genau diese Marktkenntnis ermöglicht es uns, für jeden Kunden die richtigen Werkzeuge und Lösungen bereitzustellen«, ist sich Winkelhofer gewiss.
Die zehn größten Risiken für Web-Applikationen: neue Sicherheitslage für Web-Anwendungen
Höhere Reichweite und mehr Sicherheit – Mitarbeiter-Apps gehen der IT zur Hand
Nur knapp die Hälfte der Unternehmen schult Mitarbeiter regelmäßig zur IT-Sicherheit
Vier gewinnt: Warum die Verwendung von App-ID die IT-Sicherheit deutlich erhöht