2018-06-08 09:02:14

Datenschutz: Für Unternehmens-Apps tickt die Uhr

IT- und Datensicherheit wissen viele erst dann zu schätzen, wenn es bereits zu spät ist. Im Hinblick auf die bevorstehende EU-Datenschutzgrundverordnung (DSGVO) ist dies keine gute Ausgangslage. Vor allem im Bereich der mobilen Applikationen drückt der Schuh gewaltig.

Es bleibt nur noch wenig Zeit bis zum Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018. Ab diesem Zeitpunkt müssen Unternehmen belegen können, dass die Daten in ihren mobilen Applikationen sicher sind und jegliche Verletzung sofort melden. Bei Verstoß sehen die Regeln zur Speicherung, Verarbeitung und Weitergabe der Daten von EU-Bürgern harte Strafen vor. Noch immer sind viele Unternehmen nicht ausreichend darauf vorbereitet, obwohl neben Strafgebühren auch Imageschäden und hohe wirtschaftliche Einbußen drohen, darauf macht App-Management- Spezialist IQ Mobile aufmerksam. „Die DSGVO bedeutet nicht nur höhere Anforderungen an eine umfassendere Sicherheitsstrategie für die Gesamt-IT, sondern erfordert auch eine Optimierung des App-Managements und eine Schulung aller betroffenen Mitarbeiter“, sagt Harald Winkelhofer, Gründer und Geschäftsführer von IQ mobile.

Beim professionellen App Management hat das Thema Sicherheit Priorität

Der boomende Markt für Mobile Apps nimmt aufgrund der Nähe zum Nutzer mit seinen höchstpersönlichen und sensiblen Daten eine besondere Stellung ein. Hinzu kommt die Gefahr unerkannter Schatten-IT durch BYOD (Bring your own device), den Trend, bei dem Mitarbeiter ihre eigenen mobilen Endgeräte für geschäftliche Tätigkeiten nutzen. „Unternehmen sollten hier sofort aktiv werden“, sagt Winkelhofer. „Nicht nur aus Angst vor drohenden Strafen sollte die Sicherheit im Mittelpunkt jeder App-Strategie stehen. Angesichts vieler potentieller Schwachstellen ist es schwierig, einen maßgeschneiderten Prozess zu finden“, weiß Winkelhofer. Es komme auf ein frühzeitiges App-Management an, das das Thema Sicherheit von Anfang an priorisiert. Nur so könnten Sicherheitsprobleme im späteren Lebenszyklus der App vermieden werden, denn Reparaturen seien kostspielig und ressourcenintensiv.

Vertrauen in Apple und Google reicht nicht

Viele Unternehmen sind der Annahme, dass Apple und Google in ihren Stores gründliche Sicherheitsprüfungen an den Apps durchführen. Das ist den Experten von IQ mobile zufolge ein Irrglaube. Die Überprüfungen der Stores zielten zumeist auf zwei eher eigennützige Aspekte ab: Einerseits solle der App-Store selbst sicher bleiben und andererseits wolle man dort keinen unerlaubten, „anzüglichen Content“ platzieren. Die wirkliche Sicherheit von Apps werde folglich nicht oder nur sehr oberflächlich betrachtet. Daten, oft als das „Öl des 21. Jahrhunderts“ bezeichnet, versprechen ein enormes Potenzial für Angreifer und müssen daher vom Herausgeber der App selbst noch stärker geschützt werden. Welche Maßnahmen Unternehmen ergreifen sollten, um die Sicherheit der Kundendaten gewährleisten zu können, erklärt Ulrich Fleck, CSO bei SEC Consult Group: „Klare Coding Guidelines für die Erstellung von Apps und eine Messung derer Einhaltung können sicherstellen, dass die Anforderungen umgesetzt werden. Wichtig ist vor allem wenig bis keine Datenhaltung am Gerät selbst. Das sind nur einige von vielen wichtigen Maßnahmen“, so Fleck.

Verschlüsselung und Isolierung sichern besonders sensible Daten

Gerade Unternehmen mit schützenswerten Daten, wie die Österreichische Post AG mit innovativen Services wie den E-Briefkasten oder ihrer Mobilen Postapp, müssen sich für jede Eventualität wappnen und absichern und tun dies auch schon aktiv mit dem App-Security- Angebot von IQ mobile. Personenbezogene oder sensible Daten sollten am besten verschlüsselt und in gesicherte isolierte Zonen wie beispielsweise Linux-Container auf Seiten der App-Betreiber gespeichert werden. Zusätzlich sind stündliche Snapshots und tägliche Backups der Server erforderlich. Im Falle eines Diebstahls von personenbezogenen Daten gibt es strenge Auflagen seitens der österreichischen Datenschutzbehörde DSB in Bezug auf ihre Meldung und Wiederherstellung. Ein erheblicher aber doch wichtiger Aufwand, den jedes Unternehmen in seine Budgetplanung einkalkulieren sollte.

Einfallstore für Cyber-Kriminelle schließen

„Der Erfolg einer App hängt von einer sicheren User Experience ab. Wer eine App ins Rennen schickt, muss die mobile Anwendung bereits in der Entwicklungsphase auf Schwachstellen abklopfen und mögliche Einfallstore für Cyber-Kriminelle schließen“, warnt Winkelhofer. Vor dem Hintergrund der neuen europäischen Rechtsvorschriften bietet das Unternehmen einen App-Security Test, um bestehende Apps für die neuen Datenschutzvorschriften fit zu machen.

„Die sich ständig verändernde Soft & Hardware wird sich auch in Zukunft – Stichwort Künstliche Intelligenz, Robotik und Augmented Reality – nicht vereinfachen. Deshalb ist für uns der aktive Kontakt und Austausch mit Herstellern und Partnern unerlässlich und genau diese Marktkenntnis ermöglicht es uns, für jeden Kunden die richtigen Werkzeuge und Lösungen bereitzustellen“, ist sich Winkelhofer gewiss.

mat

Druckversion