Für den Einsatz in Industrieunternehmen existieren viele praktische Apps. Allerdings vernachlässigen Anwender häufig das ­Sicherheitsrisiko, das Apps mitbringen.

Für den Einsatz in Industrieunternehmen existieren viele praktische Apps. Allerdings vernachlässigen Anwender häufig das ­Sicherheitsrisiko, das Apps mitbringen.Fraunhofer SIT, Small Town Studio, Jürgen Effner, Mikhail Malyshev, Izaokas Sapiro, Mario Ragsac Jr., Dreef – Fotolia.com (6)

Bei der Risikobewertung des Einsatzes von Apps im Unternehmen sind sowohl die Vertrauenswürdigkeit als auch die Sicherheitsqualität der Apps zu berücksichtigen, die in Kontakt mit Unternehmensdaten kommen. Dabei beschreibt die Vertrauenswürdigkeit die Absichten des App-Entwicklers und die Sicherheitsqualität deren Umsetzung. Auf Basis praktischer Erfahrungen aus diversen Sicherheitsunter­suchungen für Hersteller und Anwender werden im Folgenden relevante Risiken generalisiert am Beispiel typischer Nutzungsabläufe zweier Apps beschrieben.

Die als ‚A‘ bezeichnete App ist eine vertrauenswürdige Anwendung, die zur Interaktion mit Unternehmensressourcen auf dessen Betriebsmittel, wie Mitarbeiter­computer, Produktionsmaschinen und Serversysteme, zugreift. Neben klassischen Büroanwendungen reichen Beispiele im Industriebereich von der Maschinensteuerung und Fernwartung über die Messwertaufnahme bis zum Management von Personal, Kundenbeziehungen und Geschäftsprozessen. Abhängig von der Sicherheitsqualität der App-Implementierung ergeben sich Risiken und Auswirkungen hinsichtlich des unternehmerischen Erfolgs und des Schutzes von Firmengeheimnissen.

Gut gemeint, schlecht gemacht: App-Szenario A

Bevor die eigentliche Datenübertragung zwischen App A und dem Unternehmen stattfindet, sollte die App die Authentizität der Gegenstelle prüfen, andernfalls können Angreifer die Kommunikation mitlesen und verändern (Man-in-the-Middle-Attacke). Diese Authentizitäts-Prüfung setzen Entwickler aufgrund der hohen Komplexität aber immer wieder fehlerhaft um. Kommen proprietäre Verfahren zur Kommunikationsabsicherung durch die App zum Einsatz, ist erfahrungsgemäß die Gefahr von Fehlern in Konzeption und Implementierung besonders groß. In diesem Fall besteht unter Umständen die Möglichkeit für Angreifer, Anmeldedaten für die Unternehmens-IT mitzulesen. Damit sind jene in der Lage, mit den Berechtigungen der erbeuteten Identität zu agieren und beispielsweise Produktionsdaten abzurufen oder Aktionen durchzuführen, wie Maschinen fernzusteuern, neu zu konfigurieren oder Einstellungen zu ändern. Dazu ist festzustellen, dass Apps mit schlechter Sicherheitsqualität häufig keine der genannten Absicherungen verwenden und die Daten zudem ungeschützt übertragen. Insbesondere bei der üblichen Nutzung von Drahtlosnetzwerken mittels Smartphones und Tablets ergibt sich in diesem Fall ein sehr hohes Risiko für die Vertraulichkeit von kommunizierten Unternehmensdaten, aber auch für die übermittelten Pass­wörter.

Durch das eigentlich legitime Abrufen von ­Daten durch Apps (grüne Linien) können Sicherheitslücken entstehen. Sind Sender und Empfänger nicht authentifiziert oder die gesendeten Daten nicht verschlüsselt, erlangen Angreifer Zugriff auf sensible Unternehm

Durch das eigentlich legitime Abrufen von ­Daten durch Apps (grüne Linien) können Sicherheitslücken entstehen. Sind Sender und Empfänger nicht authentifiziert oder die gesendeten Daten nicht verschlüsselt, erlangen Angreifer Zugriff auf sensible UnternehmFraunhofer SIT

Verwenden Unternehmen für die mobile Kommunikation eigene Schnittstellen zu Unternehmensdaten oder Produktionsanlagen (Backend), ist eine fehlende Konformitätsprüfung (Escaping) der übermittelten Daten eine typische Gefahrenquelle. Erwartet beispielsweise die empfangende Seite weniger oder andere Daten, kann dies für Angriffe mit manipulierten Daten ausgenutzt werden. Damit lassen sich, je nach Angriffsauswirkung, im Backend Fehlerfälle erzeugen, die zu einem Produktionsausfall oder zu massiven Störungen in den Datenbanken führen. Da Anbieter von Anwendungen das Verhalten bei nicht konformen Daten häufig nicht mithilfe von Funktionstests prüfen, fällt eine solche Verwundbarkeit zunächst nicht auf. Auch die Endgeräteseite darf hierbei nicht vernachlässigt werden. Andernfalls ist es möglich, dass manipulierte Daten zu einem unautorisierten Ändern der App-Funktionalität führen können. Ebenso können ähnliche Angriffe darauf abzielen, ein fehlerhaftes Berechtigungsmanagement im Unternehmens-Backend auszunutzen, um unberechtigt Daten abzurufen oder Aktionen im Produktionsnetzwerk auszulösen. Die dahinterstehenden Programmierfehler der App bestehen darin, dass Zugriffsbeschränkungen einseitig implementiert oder Server-Schnittstellen nur bei striktem Befolgen der vorgesehenen Nutzungsreihenfolge abge­sich­ert sind.

Weitere Risiken bestehen bei der Verarbeitung der Unternehmensdaten auf dem Endgerät. So berücksichtigen Entwickler immer wieder die Auswirkungen von Betriebssystemfunktionen auf die Vertraulichkeit von Daten unzureichend. Beispielsweise können Bildschirminhalte mit vertraulichen Informationen, vom Nutzer unbemerkt, durch das Betriebssystem zwischengespeichert werden, was eine Informationspreisgabe an Dritte deutlich vereinfacht. Auch verbleiben in Apps des Öfteren Programmteile, die nur für die Entwicklung vorgesehen waren und im Produktiveinsatz unbemerkt sicherheitsrelevante Informationen preisgeben können (Debugging-Informationen).

Nach dem Verarbeiten von Unternehmensdaten ist insbesondere deren un­sichere Speicherung ein Risikofaktor. Neben der unkontrollierten Ablage bei externen Online-Speicherdiensten (Cloud) ist häufig ein fehlender oder unsicherer Einsatz von Kryptographie ein Risiko bei Verlust oder Diebstahl von Geräten. Aufgrund der immer wieder festgestellten Fehler beim Absichern von Daten sind die Angaben von App-Herstellern zum sicheren Speichern von Daten und Unter­nehmenspasswörtern kritisch zu betrachten.

Risiken von Apps im Vergleich: geringe Sicherheitsqualität (A) und nicht vertrauenswürdige Apps (B)

Risiken von Apps im Vergleich: geringe Sicherheitsqualität (A) und nicht vertrauenswürdige Apps (B)Fraunhofer SIT

Die dunkle Seite des Mondes: App-Szenario B

Auch wenn das ausschließliche Nutzen von vertrauenswürdigen App-Märkten die Sicherheit stark erhöht, lässt sich auch dort Schad-Software, hier als App ‚B‘ bezeichnet, nicht ausschließen. Zwar sollen sogenannte Sandbox-Konzepte im Betriebssystem, die jede App in einen eigenen isolierten Bereich im Smartphone einsperren, Schad-Software von anderen Anwendungen trennen. Nutzt ein Mitarbeiter aber unwissentlich eine solche App zum Anzeigen oder Bearbeiten von Unternehmensdaten, erlangt diese damit Zugriff auf die Daten. Zudem kann eine Schad-App auch Interaktionsmöglichkeiten mit vertrauenswürdigen Apps missbrauchen (Confused-Deputy-Problem) oder versuchen direkt mit den Unternehmens-Servern zu kommunizieren. Gerade bei Browser-basierten HTML-Apps können, je nach Umsetzung, zwischengespeicherte Anmeldeinformationen (Cookies) auch von der Schadanwendung missbraucht werden. Getarnt als vermeintlich legitimer Smartphone-Zugriff umgeht ein Angreifer damit Schutzmechanismen am Übergang zwischen Internet und Unternehmensnetzwerk und erlangt so über autorisierte Netzwerkverbindungen möglicherweise Zugriff auf kritische Unternehmensbereiche, von denen aus er wei­tere Angriffe starten kann.

Schad-Software kann aber nicht nur unbemerkt gespeicherte Unternehmens­daten aus verschiedenen Quellen abrufen und an externe Dritte weitergeben. Angreifer versuchen auch Kamera und Mikro­fon unbemerkt zu aktivieren oder Smartphone-Ressourcen für verteilte Angriffe gegen Dritte zu verwenden (sogenannte Bot-Netze).

Vermeidbare Risiken umgehen

Aufgrund der Natur versteckter Schwächen und Funktionen einer App haben Nutzer nur begrenzte Möglichkeiten, das Risiko einer App zu beurteilen. Daher sollten sie mit Anfragen von Apps zum Erteilen von Berechtigungen sehr sorgsam umgehen und beispielsweise dem Zugriff auf Kalender, Adressbuch und Daten auf externen Speichermedien nicht pauschal zustimmen. Existieren gute Gründe für die Notwendigkeit einer Berechtigung, sollte die Seriosität des Anbieters zusätzlich betrachtet werden. Eine fehlende Beschreibung von Sicherheitsfunktionen wie Verschlüsselung oder eine geringe Reputation des Anbieters kann ein erster Hinweis auf eine App sein, die für den Unternehmenseinsatz ungeeignet ist. Je nach Unternehmensricht­linie sollten Anwender Apps, die mit Unternehmensdaten oder -netzwerken verwendet werden, jedoch nicht ohne Rücksprache einsetzen. Spätestens beim Eingeben von Passwörtern sollten sie die Vorgaben der internen Sicherheitsrichtlinie prüfen. 
Als Entscheidungsgrundlage für den Einsatz einer App benötigen Unternehmen somit einen ähnlichen Prozess wie für die Freigabe von klassischer Software. Die Prüfung in den App-Märkten leistet hier eine erste wichtige Hilfestellung, kann aber erfahrungsgemäß nicht das Erfüllen spezifischer Sicherheitsanforderungen von Unternehmen garantieren, da diese Prüfungen die Sicherheitsqualität gegenwärtig nicht beinhalten. Erst nach weiteren spezifischen Tests lassen sich Eignung und Sicherheitsqualität der Apps beurteilen. Der hohen Aktualisierungsrate von Apps kann zudem mit neuen Verfahren zur regelmäßigen Prüfung begegnet werden. Die ist sinnvoll, da einfache Programmierfehler in neuen App-Funktionen auch zu Sicherheitsrisiken führen können.

Mit Sicherheitseinstellungen an den Geräten, wie dem Verwenden der Verschlüsselungsfunktion des Datenspeichers mit einem Nutzerpasswort mit mindestens fünf alphanumerischen Zeichen und der automatischen Sperrung nach 10 min Inaktivität, lässt sich das Risiko für Unternehmen bei Geräteverlust zwar deutlich verringern, nicht aber das Risiko bei der Nutzung von Smartphone Apps durch den legitimen Nutzer. Auch das Verwenden eines Systems zur zentralen Konfiguration mobiler Geräte (Mobile Device Management) und der Einsatz von Network Access Control (NAC), um nur abgesicherten Geräten Zugriff zu Unternehmensdaten zu gewähren, sind wichtige Maßnahmen. Aber auch mit diesen sollte die IT-Sicherheit jeder im Unternehmen eingesetzten Software nicht ungeprüft bleiben.

Sicherer Umgang mit Apps und Mobilgeräten

Die wichtigsten Regeln

  • Kritisch prüfen, ob Anfragen von Apps zum ­Erteilen von Berechtigungen wirklich berechtigt sind: Keinesfalls pauschal zustimmen.
  • Die Seriosität des Anbieters prüfen: Verfügt die App über Sicherheitsfunktionen wie Verschlüsselung?
  • Vor dem Einsatz einer App, die Zugang zu Unternehmensdaten bekommen soll, Rücksprache mit der unternehmensinternen IT-Abteilung halten.
  • Gegebenenfalls spezifische Tests durchführen, um Sicherheitsqualität beurteilen zu können
  • Über Verfahren zum regelmäßigen Überprüfen aller eingesetzten Apps nachdenken
  • Sicherheitseinstellungen der Geräte nutzen: automatische Sperrung des Bildschirms; Datenspeicher verschlüsseln; Nutzerpasswort
  • Einsatz von zentraler Geräteverwaltung mittels Mobile Device Management oder Network ­Access Control prüfen

Dr. Jens Heider

ist Abteilungsleiter des Testlabors Mobile Sicherheit am Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt.

(dl)

Sie möchten gerne weiterlesen?