Security in Mobile-Umgebungen
App Economy schützen
Unternehmen verfolgen immer häufiger eine "Mobility First"-Strategie - und die IT steht an erster Stelle, um diese umzusetzen. Dies zieht auch eine veränderte Rolle der IT-Sicherheit nach sich. Bisherige Verfahren zum Anwender- und Zugriffs-Management reichen heutzutage nicht mehr aus. Denn wichtige Treiber für die veränderte Security-Landschaft wie eine höhere Mobilität sowie die verkürzte Bereitstellung neuer Apps erfordern nicht nur ein Umdenken im Unternehmen, sondern auch bei der IT.
Unumstritten: Mobile wird für die Geschäftswelt seit Jahren immer wichtiger und BYOD (Bring Your Own Device) findet zunehmend Verbreitung. Unternehmen sind deshalb heute gefordert, ihren Mitarbeitern und Kunden Unternehmensanwendungen anzubieten, auf die sie über ihre eigenen mobilen Geräte zugreifen können. Die App wird damit zum Dreh- und Angelpunkt auf mobilen Endgeräten: Über Apps können Unternehmen ihren Kunden personalisierte Angebote machen und sie stärker an eine Marke und ihre Produkte binden - Rabatte, zusätzliche Angebote, abgestimmt auf die persönlichen Vorlieben des einzelnen Benutzers.
Damit stellen Apps eine direkte und dauerhafte Verbindung vom Unternehmen zum Nutzer. Doch die Bereitstellung dieser Anwendungen und der Schutz der Daten, die abgerufen werden, sind aufgrund der vielen unterschiedlichen Modelle schwierig. Bestehende Web-Anwendungsumgebungen lassen sich nicht nahtlos in mobile Apps integrieren. Ein weiterer Knackpunkt: Anwender wollen immer schneller Zugriff auf neue oder aktualisierte Anwendungen.
Das beste Vorgehen besteht darin, die Anwendungsprogrammierschnittstellen (APIs) auf sichere Art und Weise internen und externen Entwicklern offenzulegen. APIs bieten eine standardisierte Methode zur Bereitstellung von Informationen im Internet, auf Mobile Devices, in einer Service-orientierten Architektur (SOA) und in der Cloud. Die Verwendung von APIs, um eine konsistente Bedienbarkeit im Internet und in mobilen Anwendungen bereitzustellen, bietet den Unternehmen die Möglichkeit, neue Anwendungen schneller auf den Markt zu bringen. APIs sorgen außerdem für eine verbesserte Interaktion mit mobilen Anwendern. Ein Entwickler, der beispielsweise eine mobile App für einen Einzelhändler programmiert, kann die Standorte per Übersichtskarte einblenden und das Geschäft in der Nähe anzeigen oder auch Bezahldienste ermöglichen. APIs können hier als "Abkürzung" zu Geschäftsdaten in Echtzeit dienen. Zudem fungiert die Schnittstelle auch als Verbindung zu sozialen Netzwerken.
Allerdings gibt es einen Haken: Um Daten sicher, zuverlässig und kosteneffizient mit Entwicklern und Partnern sowie über mobile Apps oder Cloud-Services zu teilen, sind Herausforderungen wie Sicherheit, Systemleistung oder Datenanpassung zu bewältigen. API-Management ermöglicht dies, indem es APIs sicher und skalierbar veröffentlicht und verwaltet. Dazu verknüpft und öffnet es bestehende unternehmenskritische Systeme als APIs, sodass unterschiedliche Services miteinander kommunizieren können.
Apps bestimmen das Kundenerlebnis
Das Angebot muss erstklassig sein, da Kunden über mehr Optionen als in der Vergangenheit verfügen. Gleichzeitig sinkt ihre Geduld und Toleranz bei schlechter Bedienbarkeit. Ganze sechs Sekunden hat ein Unternehmen Zeit, um alles richtig zu machen: 59 Prozent der Verbraucher verlassen eine App und kehren auch meist nicht wieder zurück, sollten ihre Bedürfnisse in dieser Zeit nicht erfüllt werden, so das Ergebnis der Zogby-Studie "Software: The New Battleground for Brand Loyalty" vom März dieses Jahres.
Sicherheit gilt dabei in Unternehmen als größte Herausforderung dieser digitalen Transformation. Ein identitätsorientierter Ansatz ist dafür unerlässlich: Benutzer erwarten heute, dass der Zugriff auf ihre Anwendungen und Daten über viele unterschiedliche, meistens mobile Geräte und von jedem Standort aus sicher und einfach ist. Die Zielanwendungen können mobil oder lokal, in der Cloud oder in einer hybriden Umgebung implementiert sein. Das Schlüsselkriterium stellen nun Identitäten dar - sie sind der einzelne, einheitliche Steuerungspunkt für alle Anwendungen, Geräte, Daten und Anwender. Sie sind sozusagen der Schutzmechanismus für den Zugriff auf Anwendungen und Daten.
Anwender mit zu umfassenden Berechtigungen können in einem Unternehmen im Hinblick auf Sicherheit, Compliance und Haftung Schaden anrichten. Mit entsprechenden Lösungen lassen sich Benutzeridentitäten jedoch verwalten und rollenbasiert steuern - und es lässt sich festlegen, wer auf welche Daten über welches Gerät zugreifen darf und wie man diese verwenden kann. Solche Lösungen ermöglichen optimierte Berichte über Benutzeraktivitäten und Compliance für Administratoren sowie herkömmliche Benutzer. Dank der Automatisierung identitätsbezogener Kontrollmechanismen in physischen, virtuellen und Cloud-basierten Umgebungen lassen sich die geschäftliche Effizienz und Sicherheit verbessern.
Den Zugriff schützen, nicht verhindern
Besonders bei der Gewährleistung eines mobilen Zugriffs auf wichtige IT-Ressourcen oder Daten müssen Unternehmen zusätzliche Sicherheitsvorkehrungen implementieren. Ohne eine effektive Anwenderauthentifizierung und Zugriffsrichtlinien kann ein unangemessener Zugang zu Informationen schwerwiegende Folgen haben, zum Beispiel im Hinblick auf den Schutz des geistigen Eigentums eines Unternehmens. Dabei sind zwei wichtige Bereiche zu beachten: zum einen die strenge Authentifizierung der Anwender, zum anderen der Zugriff auf Web-Anwendungen.
Durch eine erweiterte Identitätsprüfung und Single Sign-on lässt sich die Bedienbarkeit anwendungsübergreifend verbessern. Zudem schützt dies vor Passwortangriffen, kompromittierten Daten sowie Session Hijacking, während Verschlüsselung von Informationen während der Übertragung verhindert, dass Daten während des Transfers zum Backend abgefangen werden. Eine 256-Bit-Verschlüsselung der Informationen während der Ablage - ob in der Cloud oder lokal - sichert die Daten zusätzlich. Aber auch das Backend muss gesichert sein: Eine fein abgestufte API-Zugriffskontrolle, die mit den Security-Richtlinien des Unternehmens abgestimmt ist, stellt sicher, dass Online-Kriminelle außen vor bleiben.
Das Identity- und Access-Management (IAM) unterstützt dies. Damit erhalten Mitarbeiter Zugriff auf Anwendungen und Daten basierend auf ihrer jeweiligen Rolle im Unternehmen - ändert sich diese, werden auch die Zugriffsrechte entsprechend angepasst. Identitätsbezogene Kontrollmechanismen lassen sich idealerweise automatisieren - und zwar in physischen, virtuellen und Cloud-basierten Umgebungen. Damit agiert sowohl die IT als auch das gesamte Unternehmen deutlich flexibler, denn manuelle Überprüfungen werden überflüssig. Compliance-Prozesse wie Berechtigungsvorgänge, Zertifizierungen oder Identifizierung inaktiver Konten lassen sich über IAM-Lösungen ebenfalls automatisieren.
Auch biometrische Lösungen sind eine Möglichkeit, Daten und Apps auf dem Smartphone oder Tablet, aber auch im Unternehmensnetzwerk zu sichern: Zugriff wird rein über die persönliche Identität gewährt. Der Vorteil gegenüber anderen Identifizierungsmöglichkeiten: Biometrische Daten sind extrem schwer zu fälschen. Die Authentifizierung kann dank Techniken wie Touch ID nur ein einziges Mal stattfinden - solange der Kontakt zwischen Anwendern und dem ausgewählten mobilen Gerät (beispielweise Smartphone) oder dem Wearable besteht, loggen sie sich automatisch in das System ein und erhalten über NFC oder eine ähnliche Technik den entsprechenden Zugriff auf Informationen und Applikationen. Biometrie ist allerdings nur eine Methode zur Authentifizierung und muss ein Bestandteil eines ganzheitlichen Security-Mixes sein.
Sicherheitsstrategie gefordert
Offene Schnittstellen setzen Unternehmen wie Anwender zunächst einmal Angriffsmöglichkeiten durch Kriminelle aus. Durch eine entsprechende Sicherheitsstrategie lassen sich diese Schwachstellen jedoch schließen. Dazu gehört auf Seiten der Anwender, bislang genutzte Passwörter in den Ruhestand zu schicken und durch eine Biometrielösung zu ersetzen. Eine unternehmensweite End-to-End-Sicherheitsstrategie mit Komponenten wie IAM-Lösung, Firewalls sowie Datenverschlüsselung während des Transfers und der Speicherung gehört auf jeden Fall dazu. Allerdings reicht es nicht aus, den Status quo einzufrieren: Sicherheit will kontinuierlich auf dem neuesten Stand gehalten und erweitert sein.
Lesen Sie mehr zum Thema
