Aufgrund des stetig wachsenden Einsatzes mobile Endgeräte stehen Unternehmen zunehmend vor der Herausforderung die richtige Herangehenweise für die Absicherung, Verwaltung und Nutzung der eingesetzten Unternehmensapps, gegen potentielle Angreifer, herauszufinden.
Die Absichten der Angreifer können dabei sehr unterschiedlich sein. Dies reicht vom Abhören der Sprach- und Textdienste und dem Aufzeichnen der Bewegungsdaten, über das Entwenden von sensiblen und personenbezogenen Daten. Die Täter können durch die Nutzung von kostenpflichtigen Mehrwertdiensten, das Manipulieren von Banktransaktionen oder ein absichtliches Verschlüsseln aller Nutzdaten auf dem mobilen Endgerät dem Geschädigten zusätzlich finanziellen Schaden zufügen.
Aufgrund des zunehmenden Interesses an BYOD Endgeräten, verbreitet sich das Konzept des Mobile Application Management (MAM) zunehmend. Dies ist damit begründet, dass kaum ein privater Anwender sein Gerät unter MDM, also der Verwaltung durch das Unternehmen, stellen lassen möchte. Jedes Unternehmen möchte aber die Sicherheit eines MDM-aktivierten Gerätes für seine Daten wahren. Hier bietet sich Wrapping als Konzept zur Durchsetzung von MAM an, auch wenn die entsprechenden Apps das nicht von Haus aus unterstützen.
Da nicht alle Apps eigene ausgefeilte Sicherheitsmechanismen wie Verschlüsselung der Nutzdaten und der Kommunikation sowie Konfigurierbarkeit mitbringen, bieten Hersteller mit Wrappinglösungen den Versuch, diese in bestehenden Apps ohne hohen Aufwand nachzurüsten.
Schutzschilde für Apps
Jede (Fremd-)App hat eine Vielzahl von Schnittstellen zu ihrer Umwelt, die durch die API-Funktionen des Betriebssystems bereitgestellt werden.
Die grundsätzliche Idee beim Wrappen von Apps besteht darin, eine (fremd) entwickelte App in eine zweite App, eine Art Schutzschild einpacken. Dieses Schutzschild verhindert, dass die App zum Beispiel über Datenabfluss oder -manipulation Schaden im Unternehmenskontext verursachen kann und Funktionen wie Authentifizierung, VPN, Verschlüsselung und Fernlöschung innerhalb der App genutzt werden können. Realisiert wird dies, indem die Anwendung so in einen Container gekapselt, dass jeder relevante API-Aufruf durch eine Kontrollschicht (Proxy) geleitet wird, um die unerwünschten Aktivitäten zu unterbinden.
- CheckMyTrip
Als Planungs- und Vorbereitungs-Tool eignet sich die App Check CheckMyTrip besonders gut. Sie wurde von den Entwicklern des Flugbuchungssystems Amadeus programmiert und stellt alle Reiseinformationen übersichtlich in einer Hauptansicht dar. Benutzer können in der App zudem alle benötigten Unterlagen für ihre Reise hinterlegen, darunter Sitzplatzreservierungen im Flugzeug, Hotelbuchungen oder Restaurants. Die App bietet zudem auch Echtzeitinformationen zu gebuchten Flügen. Ein neuer digitaler Assistent hilft beim Buchen oder Ändern einer Reise. - Kunden beim Dinner beeindrucken
Ein Geschäftsessen in einer fremden Stadt steht an? Dann hilft die App von TripAdvisor, die besten Restaurants und Lokale für den erfolgreichen Vertragsabschluss zu finden. - Google Maps
Google Maps führt samt Sprachnavigation ans Ziel. Die kostenlose Navigation mit detaillierter Routenführung hilft im Auto, in der Bahn oder zu Fuß. Auch Geschäfte, Restaurants und Sehenswürdigkeiten in der Nähe lassen sich anzeigen. - Sicher Reisen
Eine empfehlenswerte App für Geschäftsreisende ist das „Sicher Reisen“-Tool des Auswärtigen Amtes. In ihr finden sich Ratschläge für Reisevorbereitung, Notfälle sowie die Adressen der deutschen Vertretungen im Ausland und der Vertretungen des Reiselandes in Deutschland. Ebenfalls dabei sind eine Ortungsfunktion und ein „Ich bin OK“-Button, mit dem Reisende ihren Kollegen, Freunden oder Verwandten schnell ein Lebenszeichen senden können. - Kontaktpflege
Reisende, die kostenlos über WLAN mit ihren Liebsten daheim oder den Kollegen im Office telefonieren möchten, tun dies zumeist über Skype. Idealerweise sogar mit Video, damit die Tochter ihr tolles Bild aus dem Kindergarten gleich zeigen oder die neuen Büromöbel sofort besprochen werden können. - Reise und Gesundheit
Fit for Travel hat sich auf länderspezifische Informationen für die Reiseplanung spezialisiert. Dazu gehören auch umfangreiche Daten zu Gesundheitsrisiken an mehr als 300 Reisezielen, beispielsweise Hinweise zu Malaria, Vorsorgetipps gegen Reiseübelkeit und vieles mehr. Benutzer können sich via App an Impfungen erinnern lassen. Für die konkrete Urlaubsplanung bietet die App zudem eine Reihe von Checklisten zum Abhaken. Auch Klimatabellen und Botschaftsadressen sind hinterlegt. - Reisedaten im Griff
Mit TripIt, einer All-in-One Reiseorganisations-App, können Nutzer ihre Reisepläne und aktuelle Fluginformationen via Tablet und Smartphone auf einen Blick abrufen. Zudem lassen sich Familie, Freunde oder Kollegen von unterwegs über Flugänderungen oder bestimmte Reiseinformationen benachrichtigen. Reisedetails können per E-Mail oder SMS vom Handy oder Tablet weitergeleitet werden. Zusätzlich ermöglicht die App das Hinzufügen persönlicher Kommentare oder individueller Informationen. - Mobiler Übersetzer
Mit dem Google-Übersetzertool findet jeder Geschäftsreisende schnell heraus, dass der japanische Kollege lediglich wissen möchte, wie es einem geht. Der Translator für Android und iPhone übersetzt in bis zu 133 Sprachen. Das geht via Spracheingabe, Kamera, Tastatur oder sogar Handschrift. Reisende können außerdem offline übersetzen – eine Internetverbindung ist nicht notwendig. - Währungsrechner
Der Währungsrechner von Finanzen 100 zeigt mithilfe weniger Klicks Währungen, Wechselkurse und Umrechnungstabellen. Er ist unter Android ebenfalls erhältlich. - Wetterfrosch
Sehr praktisch ist zudem die App von Wetter.com. Schneit es in Genf? Wie warm wird es in Dubai? Mit der richtigen Wettervorhersage lässt sich auch der Koffer besser packen.
Dem Administrator eines Unternehmens erlaubt das App Wrapping dadurch, einer App zusätzliche Security- und Management-Funktionen zuzuweisen. Hierzu gehören unter anderem:
Implementierung App-spezifischer Data Loss Prevention (DLP)-Verfahren
Beispiele: Kontrolle von "öffnen in" Funktionen beziehungsweise das Verbot der Funktionen "Cut/Copy/Paste"Erweiterung der Managebarkeit einer App
Beispiel: anwenderspezifische BerechtigungenErstellung App-spezifischer abgesicherter Kommunikationsverbindungen (Micro-VPN) zwischen der App und dem Back-End-System
Implementieren der Verschlüsselung von App-Daten
Beispiele: auf Gerät-/UserbasisEinbettung von Analyse-, Benchmark- oder Betriebsanalysen
Beispiele: Analytics über Verteilung, Stabilität, Eskalationen im KompromitierungsfallImplementierung eines Kompromitierungsschutzes
Beispiel: Manipulationsschutz für Gerät, App und Daten
Damit App Wrapping funktioniert, muss das Schutzschild in die App injiziert werden. Viele Flyer sprechen von einem Container um die App herum. Viele Anbieter erstellen jedoch keine "Hülle" sondern nutzen Verfahren zur Code Injection in bestehende Programmpakete. Diese Code Injection sorgt im Anschluss dafür, dass API Aufrufe (Stichwort: Method Swizzling) in das Betriebssystem durch eine "Art" Proxy gehen, der die Daten validiert und gegebenenfalls zusätzlich absichert. Anstatt einen API-Call, zum Beispiel den Aufbau einer ungsicherten Internetverbindung, direkt auszuführen, versucht der injizierte Code diese Methode "abzufangen" um, bei diesem Beispiel zu bleiben, eine gesicherte Verbindung aufzubauen.
Mit Datenschutz und Datensicherheit kennen sich die Befragten laut eigenen Angaben aus. Doch es fehlt an spezifischen Kenntnissen zu mobilen Apps.
Funktionalität ist das entscheidende Auswahlkriterium bei der App-Auswahl.
Mehr als die Hälfte der befragten Unternehmen weist kein explizites Budget für IT-Security aus.
In den Sicherheitskonzepten der Unternehmen spielen mobile Aspekte häufig keine Rolle.
Vergleicht man die Wrapping-Lösungen und die dabei verwendeten technischen Verfahren mit Frameworks der Jailbreak und Rooting-Szene, fällt auf, dass die vermeintlich neuen Verfahren von dort entlehnt sind. Es bleibt zu hoffen, dass die Weiterentwicklung der Wrapping Technologie nicht ausschließlich auf den Erkenntnissen der Jailbreak- und Rooting-Szene basieren beziehungsweise von deren Einsetzbarkeit und Weiterentwicklung abhängen. Daneben zeigt dies, dass diese technischen Verfahren sowohl für "Schlechtes" als auch für "Gutes" genutzt werden können.