Krypto-Algorithmen

Ab in den Container mit der App

Höchste Sicherheit muss bei mobilen Apps nicht zulasten der Bedienbarkeit gehen. Voraussetzung ist, dass Sicherheit bereits bei der Konzeption und der Entwicklung hohe Priorität eingeräumt wird.

Die sichersten mobilen Apps sind diejenigen, die Sicherheit bereits als Design-Prinzip verankert haben. Es ist wie beim Bau eines Hauses: Wenn die Fenster wackeln und die Türen nicht richtig schließen, dann kann auch ein guter Wachhund, der zum Beispiel auf den Namen „Firewall“ hört, vielleicht in vielen Fällen Schlimmes verhindern, aber einen Einbruch nicht gänzlich ausschließen.

Anzeige

Die beiden stärksten Waffen im Kampf gegen Datendiebstahl und -missbrauch sind Verschlüsselungsalgorithmen und Containerisierung. Wer Office-Funktionalitäten wie E-Mail, Kalender, To-do-Liste und einen Browser für den sicheren Zugriff auf geschäftskritische Dokumente bereits als verschlüsselte Container-Lösung anlegt und zusätzlich durch Passwort, PIN und zum Beispiel durch einen Fingerabdruck des Nutzers sichert, der hat die Hürde für Cyberkriminelle bereits sehr hoch aufgebaut. Auf einem mobilen Gerät eingesetzte Container haben außerdem den Vorteil, dass sie dienstliche genutzte Applikationen strikt von privaten Apps des Nutzers trennen. Einerseits sind sie hundertprozentig DSGVO-konform, weil sie die Privatsphäre des Nutzers respektieren, andererseits können private Anwendungen wie WhatsApp nicht auf dienstliche Apps und Daten zugreifen. Dienstliches und Privates läuft in voneinander getrennten, gekapselten Bereichen.

Secure Container Access

Bild: SecurePIM von Virtual Solution lässt sich sehr schnell in jeder Infrastruktur ausrollen und kommuniziert verschlüsselt mit MS Exchange und IBM Domino. (Quelle: Virtual Solution)

Mobile Office-Apps wie SecurePIM von Virtual Solution verschlüsseln die Daten zudem zweifach: auf dem mobilen Gerät und auf dem Transportweg. Sollte es einem Cyberkriminellen gelingen, sich trotz aller Sicherheitsmaßnahmen Zugriff zum Gerät zu verschaffen, kann er mit den gestohlenen Daten nichts anfangen. SecurePIM verschlüsselt auf dem mobilen Gerät gehaltene Daten mit dem Krypto-Standard AES-256 und hybrid mit ECC bis 256 Bit oder RSA bis 4096 Bit. Für höchste Sicherheitsansprüche kann zusätzlich eine SmartCard eingesetzt werden. Ist das der Fall, basieren alle asymetrischen Verschlüsselungsoperationen auf den privaten Schlüsseln und Zertifikaten, die physisch auf der SmartCard abgespeichert sind.

Auf dem Transportweg sind Daten einem hohen Diebstahlrisiko ausgesetzt. Im Prinzip kann jeder, der sich Zugriff auf einen Netzwerk-Router verschafft oder sich als „Man in the middle“ zwischen Nutzer und Empfänger schaltet, kritische Unternehmensdaten entwenden. Sinnvoll ist, sensible E-Mails Ende-zu-Ende zum Beispiel mit dem Krypto-Standard S/MIME zu verschlüsseln. Damit bleibt eine E-Mail vom Absender bis zur Entschlüsselung beim Empfänger auf allen Datenstrecken, Servern und Netzwerk-Routern vor dem Zugriff durch Unbefugte geschützt.

Volle Kontrolle für Administratoren

Verschlüsselte Kommunikation stellt sicher, dass schützenswerte Informationen über jedes Netzwerk und jede Infrastruktur übertragen werden können. SecurePIM von Virtual Solution etabliert eine TLS-verschlüsselte Kommunikation mit Exchange Server für Nutzer von Microsoft und dem IBM Traveller Server für Nutzer von Notes und Domino. Die Kommunikation mit dem SecurePIM Management Portal erfolgt ebenfalls über ein TLS-verschlüsseltes Web Service Interface. Dort können Administratoren mobile Nutzer verwalten, in Nutzergruppen einteilen und Rechte vergeben, Voreinstellungen zur Verschlüsselung treffen, die geforderte Passwortstärke festlegen, Regeln für Timeouts aufstellen und bei Verlust des Gerätes alle Daten im geschäftlichen Container remote löschen. Das SecurePIM Management Portal übernimmt damit typische Aufgaben eines Mobile-Device-Management-Systems (MDM). Es hat aber einen entscheidenden Vorteil: Das SecurePIM Management Portal hat nur Zugriff auf den geschäftlichen Teil des mobilen Endgeräts und löscht im Verlustfall lediglich die Daten dieses Containers. Ein herkömmliches MDM löscht sämtliche Daten, die sich auf dem mobilen Gerät befinden, auch die privaten, und kommt dadurch in Konflikt mit der DSGVO.

Für mobiles Arbeiten unentbehrlich sind nicht nur E-Mail- und Kalender-Funktionen, sondern auch der sichere Zugriff auf das Intranet und auf unternehmensinterne Dokumente. Der abgesicherte Zugriff sollte über ein Schlüssel-basiertes Gateway erfolgen, das eine VPN-Infrastruktur und VPN-Profile für die mobilen Geräte überflüssig macht. Das Gateway überprüft die Identität der Nutzer und erlaubt nur verifizierten Nutzern einen Zugriff auf Anwendungen und Daten des Unternehmens. Die Identitätsprüfung kann durch den Einsatz von Zertifikaten noch stärker abgesichert werden.

Sicherheit „by Design“

IT-Experten und vor allem die Nutzer sehen in der Regel Sicherheit und Bedienfreundlichkeit als entgegengesetzte Anforderungen. Zusätzliche Sicherheit kostet Zeit und macht zusätzliche Arbeit, so die weit verbreitete Auffassung. Ein aktuelles Beispiel: Ab dem 14. September 2019 gilt für die Geschäftsbereiche Online-Banking und Online-Shopping die neue Zahlungsrichtlinie PSD2 (Payment Services Directive 2) der Europäischen Union. Die Richtlinie verbannt TAN-Listen aus Papier und führt für Bank- und eCommerce-Kunden obligatorisch eine Zwei-Faktor-Authentifizierung ein. Ein Mehr an Sicherheit bedeutet für den Nutzer aber auch mehr Arbeit bei der Identifikation und Zahlungsabwicklung. E-Shop-Anbieter befürchten, dass dies die Verbraucher vergraulen könnte und dass die Umsätze in Folge zurückgehen.

Zusätzliche Sicherheit muss aber nicht zulasten der Bedienbarkeit gehen, wenn Sicherheit bereits „by Design“ fest in der Lösung implementiert ist. Verschlüsselte Container-Lösungen wie SecurePIM vereinen höchste Sicherheit mit leichter Bedienbarkeit für Nutzer und einfacher Konfiguration und Verwaltung für Administratoren. Es zahlt sich aus, schon vorab in die Sicherheit zu investieren, dann haben die Nutzer später keine Arbeit damit.

Wellershoff Sascha

Virtual Solution AG -

Vorstand

Sascha Wellershoff ist Chief Financial Officer (CFO). Er verfügt über umfangreiche und langjährige Erfahrungen in allen wesentlichen Finanzbereichen, die er in führenden Positionen global operierender Unternehmen gesammelt hat. Wellershoff fungierte zuletzt als Group CFO bei dem Münchner Informationslogistiker Retarus und hat dort den Wachstumsprozess insbesondere in Nordamerika entscheidend mitgeprägt.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.