Netz- und IT-Management per App

Darauf ist bei Management-Apps zu achten

Bernd Reder ist freier Journalist mit den Schwerpunkten Netzwerke, IT und Telekommunikation in München.
Egal ob Active Directory oder Cloud-Ressourcen, das IT-Management kann heut auch per App erfolgen. Allerdings sollten Admins und Systembetreuer bei der App-Auswahl genau hinschauen, um unnötige Risiken für die eigene IT-Infrastruktur zu vermeiden.
16zu9_cloud_apps_fotolia_kromkrathog
16zu9_cloud_apps_fotolia_kromkrathog
Foto: kromkrathog, Fotolia.de

Ein Vorteil der "App-Landschaft" ist gleichzeitig einer ihrer gravierendsten Nachteile: die große Zahl von Anwendungen, die meist von kleineren Software-Häusern oder einzelnen Entwicklern in den App-Stores eingestellt werden. Das erschwert die Orientierung und die Suche nach der passenden Anwendung. Zudem ist es für einen Nutzer schwer, die Qualität der App zu bewerten, vor allem dann, wenn sie von weniger bekannten Entwicklungshäusern stammt.

Das ist vor allem bei Anwendungen kritisch, die für die Verwaltung von IT-Umgebungen und Cloud-Ressourcen eingesetzt werden. In diesen Bereichen spielt der Faktor Sicherheit eine große Rolle. Schlampig programmierte Apps, die Sicherheitslücken aufweisen, können sich schnell zu einem Risiko für eine IT-Infrastruktur entwickeln. Es empfiehlt sich daher, Apps im Vorfeld genau unter die Lupe zu nehmen. Dies kann anhand folgender Kriterien erfolgen:

  • Kommentare von anderen Nutzern der App berücksichtigen: Häufig finden sich dort Hinweise auf Unzulänglichkeiten oder Probleme im Zusammenhang mit bestimmten Funktionen.

  • Einen Blick auf Versionshistorie der App werfen: Folgen viele neue Versionen innerhalb eines kurzen Zeitraumes, spricht das nicht unbedingt für eine sorgfältige Arbeitsweise der Entwickler.

  • Aktualisierungsintervalle berücksichtigen: Umgekehrt ist es problematisch, wenn das letzte Update einer App ein, zwei oder gar drei Jahre zurückliegt, wie das bei einigen Netzwerk- und IT-Management-Apps der Fall ist. Das kann ein Indikator dafür sein, dass der Entwickler das Projekt nicht mehr mit dem nötigen Nachdruck verfolgt. In diesem Fall besteht die Gefahr, dass Sicherheitslücken bestehen bleiben und die Anpassung an neue Versionen von Android, iOS, Windows oder Blackberry OS unterbleibt.

  • Web-Seite des Entwicklers prüfen: Seriöse Entwickler stellen weiterführende Informationen über ihr Unternehmen, ihre Produkte und sich selbst zur Verfügung, beispielsweise auf einer Web-Seite. Ein Blick darauf lohnt sich. Vorsicht ist geboten, wenn, wie das bei den Recherchen zu diesem Beitrag mehrfach passierte, keine Daten über den Anbieter einer App zu finden waren oder der Link zu dessen Web-Seite im Nichts endete.

  • Auf Produkte von renommierten IT-Firmen zurückgreifen: Wer Risiken minimieren möchte, auch was den langfristigen Support einer App betrifft, sollte sich bei etablierten Anbietern nach entsprechenden Apps umsehen. Unternehmen wie etwa Veeam, ManageEngine, SolarWinds oder SmarterApps bieten Apps an, mit denen sich Server, Netzwerksysteme, Storage-Geräte, Verzeichnisdienste und Cloud-Computing-Ressourcen "remote" verwalten lassen. Allerdings lassen sich viele dieser Apps nur im Zusammenspiel mit den erweiterten IT-Management-Paketen dieser Firmen einsetzen.

Die häufigsten Sicherheitslücken in Apps

Das Open Web Application Security Project (OWASP) hat eine Liste mit den Sicherheitslücken zusammengestellt, die im Zusammenhang mit dem Einsatz von mobilen Apps am häufigsten auftreten. Die Non-Profit-Organisation hat sich zum Ziel gesetzt, die Sicherheit von Web-Diensten und -Anwendungen zu verbessern. Die Empfehlung des OWASP: App-Entwickler und Unternehmen, die Apps in "kritischen" Bereichen einsetzen, sollten im Vorfeld eine Schwachstellenanalyse (Vulnerability Analysis) durchführen.

Hier die Top 5 der Sicherheitsrisiken:

  • Unsicherer Transport von Daten: Einige Apps übermitteln sensible Daten in unverschlüsselter Form beziehungsweise ermöglichen es, die Informationen an unsicheren Speicherorten wie Cloud-Storage-Ressourcen abzulegen.

  • Unzureichende Server Side Controls: API-Aufrufe (Application Programming Interfaces) im Backend, also bei den Servern, werden unzureichend abgesichert.

  • Mangelhafter Schutz auf der Transportebene (Transport Layer): Teilweise ist Absicherung der Datenkommunikation mittels SSL (Secure Socket Layer) oder TLS (Transport Level Security) nicht ausreichend.

  • Lückenhafter Schutz gegen Client-Side Injection: Manche Apps führen eine unzureichende "Input Validation" durch, wenn sie mit Daten "gefüttert" werden. Dies können Angreifer nutzen, um beispielsweise Attacken mittels SQL-Injection durchzuführen.

  • Schwache Authentifizierung und Autorisierung: Defizite beim Umfang mit IDs und Passwörtern durch Apps können Sicherheitsrisiken mit sich bringen. Das gilt speziell für Anwendungen, die IT-Administratoren oder Nutzer mit speziellen Zugriffsrechten (Super User) verwenden.

Ein anderes Thema ist die Frage, für welche Plattformen es überhaupt entsprechende Apps zum IT-Management gibt. Dass sich die Entwickler von IT-Management-Apps derzeit auf iOS (Apple) und Android (Google) konzentrieren, hat einen einfachen Grund: Nach Angaben der Marktforschungsgesellschaft IDC war 2012 auf 68,8 Prozent der Smartphones Android installiert; iOS kam auf 18,8 Prozent. Windows Phone / Mobile rangierte mit 2,5 Prozent auf einem hinteren Platz.

Ähnlich sieht die Entwicklung bei den Tablets aus. IDC zufolge erreicht Android 2013 einen weltweiten Marktanteil von 48,8 Prozent, iOS einen von 46 Prozent. Windows kommt auf 2,8 Prozent, Windows RT für ARM-Prozessoren auf 1,9 Prozent. Daran wird sich bis 2017 wenig ändern. Windows 8 oder dessen Nachfolger wird dann zwar auf 7,4 Prozent zulegen, und Windows RT erreicht 2,7 Prozent. Das ist im Vergleich zu Android (46 Prozent) und iOS (43,5 Prozent) immer noch vergleichsweise wenig. Für Nutzer von IT-Management-Apps bedeutet dies, dass sie wohl eher zu einem Android- oder Apple-Gerät greifen müssen, wenn sie ein hoch mobiles Endgerät benötigen. Es sei denn, Microsoft erbarmt sich und stellt selbst Apps für Windows und Windows Phone zur Verfügung.