Technische Vorgaben

Mobile First – Sicherheitsvorgaben für mobile Unternehmens-Apps
Kommentare

Die Nachfrage nach Unternehmens-Apps für mobile Endgeräte boomt. Das zeigt sich unter anderem daran, dass die Zahl der Entwicklungsprojekte in den Unternehmen steigt, in denen ein „Mobile First“-Ansatz verfolgt wird. Ein wichtiges Ziel dabei ist, dass die Apps auf den unterschiedlichsten Typen mobiler Endgeräte laufen – von Android über iOS bis hin zu Windows Phone. Für die Entwicklungsplattformen bedeutet das: Sie müssen Anwendungen ermöglichen, deren Geschäftslogik „Backend“ in einem zentralen Rechenzentrum liegt und deren Frontend auf unterschiedlichen mobilen Endgeräten läuft. Zusätzlich gilt es, hohe Sicherheitsanforderungen zu erfüllen. 

Im Folgenden werden drei grundlegende technische Bedingungen bei der Entwicklung mobiler Unternehmens-Apps genannt.

Erstens: Sichere Benutzerauthentifizierung gewährleisten

Auf der ersten Stufe genügt eine anonyme Authentifizierung, bei der Benutzer auf öffentliche Inhalte zugreifen können, ohne dass eine Abfrage von Benutzername und Kennwort erfolgen muss. Auf der zweiten Stufe ist eine so genannte Basic Authentication notwendig, bei der eine mobile Unternehmens-App den Benutzernamen und das Passwort übermitteln muss. Auf der dritten Stufe schließlich, wenn es um eine hohe Sicherheit geht, müssen die Entwickler das Anmeldeformular individuell gestalten. Zusätzlich zu Benutzername und Passwort ist ein Sicherheitszertifikat erforderlich – nur dann können Anwender auf unternehmenskritische Daten und Ressourcen zugreifen.

Zweitens: Datenverkehr zwischen mobilen Endgeräten und dem Backend-Rechenzentrum verschlüsseln

Die sichere Kommunikation von mobilen Clients zu den Applikationen im Rechenzentrum muss bei Bedarf über den HTTPS-REST-Transport und TLS (Transport Layer Security) sichergestellt sein. Damit ist eine geschützte Verbindung bei der Übertragung sensibler oder vertraulicher Daten zum Unternehmensnetzwerk möglich. Die dazu benötigten Basisfunktionen werden bereits von Android und iOS unterstützt und die mobile App muss dafür sorgen, dass die Übertragung über eine SSL-Verbindung läuft.

Drittens: Transparente Datenverschlüsselung auf den Backend-Systemen einführen

Die Transparent Data Encryption (TDE), wie sie beispielsweise die relationale Datenbank der Entwicklungsplattform OpenEdge von Progress verwendet, verschlüsselt und entschlüsselt Daten in Echtzeit. Erforderlich ist dies, wenn so genannte „ruhende Daten“ (Data at Rest), etwa aufgrund gesetzlicher Vorschriften, Bestimmungen oder Richtlinien, effizient geschützt werden müssen. Softwareentwickler können so ganz gezielt Verschlüsselungsalgorithmen für mobile Unternehmens-Apps einsetzen.
Die Sicherheit mobiler Unternehmens-Apps muss drei große Bereiche berücksichtigen: erstens Anwendungen und Daten auf mobilen Endgeräten, zweitens den Datentransfer und drittens die Systeme, Applikationen und Daten im zentralen Rechenzentrum. An allen drei Brennpunkten müssen Unternehmen spezielle Sicherheitsvorkehrungen treffen. Eine hohe Sicherheit kann nur dann gewährleistet werden, wenn sich Unternehmen bei der Bereitstellung oder Entwicklung mobiler Apps in einer ganzheitlichen Sicht den unterschiedlichsten Anforderungen annehmen und dafür End-to-End-Lösungen implementieren.

Aufmacherbild: Smart hand touch on First Aid icon from tablet computer von Shutterstock / Urheberrecht: watcharakun

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -