Foto: kromkrathog, Fotolia.de
Ein Vorteil der "App-Landschaft" ist gleichzeitig einer ihrer gravierendsten Nachteile: die große Zahl von Anwendungen, die meist von kleineren Software-Häusern oder einzelnen Entwicklern in den App-Stores eingestellt werden. Das erschwert die Orientierung und die Suche nach der passenden Anwendung. Zudem ist es für einen Nutzer schwer, die Qualität der App zu bewerten, vor allem dann, wenn sie von weniger bekannten Entwicklungshäusern stammt.
Das ist vor allem bei Anwendungen kritisch, die für die Verwaltung von IT-Umgebungen und Cloud-Ressourcen eingesetzt werden. In diesen Bereichen spielt der Faktor Sicherheit eine große Rolle. Schlampig programmierte Apps, die Sicherheitslücken aufweisen, können sich schnell zu einem Risiko für eine IT-Infrastruktur entwickeln. Es empfiehlt sich daher, Apps im Vorfeld genau unter die Lupe zu nehmen. Dies kann anhand folgender Kriterien erfolgen:
Kommentare von anderen Nutzern der App berücksichtigen: Häufig finden sich dort Hinweise auf Unzulänglichkeiten oder Probleme im Zusammenhang mit bestimmten Funktionen.
Einen Blick auf Versionshistorie der App werfen: Folgen viele neue Versionen innerhalb eines kurzen Zeitraumes, spricht das nicht unbedingt für eine sorgfältige Arbeitsweise der Entwickler.
Aktualisierungsintervalle berücksichtigen: Umgekehrt ist es problematisch, wenn das letzte Update einer App ein, zwei oder gar drei Jahre zurückliegt, wie das bei einigen Netzwerk- und IT-Management-Apps der Fall ist. Das kann ein Indikator dafür sein, dass der Entwickler das Projekt nicht mehr mit dem nötigen Nachdruck verfolgt. In diesem Fall besteht die Gefahr, dass Sicherheitslücken bestehen bleiben und die Anpassung an neue Versionen von Android, iOS, Windows oder Blackberry OS unterbleibt.
Web-Seite des Entwicklers prüfen: Seriöse Entwickler stellen weiterführende Informationen über ihr Unternehmen, ihre Produkte und sich selbst zur Verfügung, beispielsweise auf einer Web-Seite. Ein Blick darauf lohnt sich. Vorsicht ist geboten, wenn, wie das bei den Recherchen zu diesem Beitrag mehrfach passierte, keine Daten über den Anbieter einer App zu finden waren oder der Link zu dessen Web-Seite im Nichts endete.
Auf Produkte von renommierten IT-Firmen zurückgreifen: Wer Risiken minimieren möchte, auch was den langfristigen Support einer App betrifft, sollte sich bei etablierten Anbietern nach entsprechenden Apps umsehen. Unternehmen wie etwa Veeam, ManageEngine, SolarWinds oder SmarterApps bieten Apps an, mit denen sich Server, Netzwerksysteme, Storage-Geräte, Verzeichnisdienste und Cloud-Computing-Ressourcen "remote" verwalten lassen. Allerdings lassen sich viele dieser Apps nur im Zusammenspiel mit den erweiterten IT-Management-Paketen dieser Firmen einsetzen.
Die häufigsten Sicherheitslücken in Apps
Das Open Web Application Security Project (OWASP) hat eine Liste mit den Sicherheitslücken zusammengestellt, die im Zusammenhang mit dem Einsatz von mobilen Apps am häufigsten auftreten. Die Non-Profit-Organisation hat sich zum Ziel gesetzt, die Sicherheit von Web-Diensten und -Anwendungen zu verbessern. Die Empfehlung des OWASP: App-Entwickler und Unternehmen, die Apps in "kritischen" Bereichen einsetzen, sollten im Vorfeld eine Schwachstellenanalyse (Vulnerability Analysis) durchführen.
Hier die Top 5 der Sicherheitsrisiken:
Unsicherer Transport von Daten: Einige Apps übermitteln sensible Daten in unverschlüsselter Form beziehungsweise ermöglichen es, die Informationen an unsicheren Speicherorten wie Cloud-Storage-Ressourcen abzulegen.
Unzureichende Server Side Controls: API-Aufrufe (Application Programming Interfaces) im Backend, also bei den Servern, werden unzureichend abgesichert.
Mangelhafter Schutz auf der Transportebene (Transport Layer): Teilweise ist Absicherung der Datenkommunikation mittels SSL (Secure Socket Layer) oder TLS (Transport Level Security) nicht ausreichend.
Lückenhafter Schutz gegen Client-Side Injection: Manche Apps führen eine unzureichende "Input Validation" durch, wenn sie mit Daten "gefüttert" werden. Dies können Angreifer nutzen, um beispielsweise Attacken mittels SQL-Injection durchzuführen.
Schwache Authentifizierung und Autorisierung: Defizite beim Umfang mit IDs und Passwörtern durch Apps können Sicherheitsrisiken mit sich bringen. Das gilt speziell für Anwendungen, die IT-Administratoren oder Nutzer mit speziellen Zugriffsrechten (Super User) verwenden.
- Die Cloud per App managen
Erfüllt der Cloud-Partner alle Service-Versprechen? Laufen die Applikationen problemlos? Mit den hier vorgestellten Apps hat der IT-Verantwortliche seine Cloud-Dienste auch unterwegs unter Kontrolle. - CloudTools Azure 1
Vom einem iPad oder iPhone aus hat ein Administrator mit CloudTools for Windows Azure Zugriff auf IT-Ressourcen in der Microsoft-Cloud. - CloudTools Azure 2
Azur-Ressourcen unterwegs verwalten. - AzureWatch
Derzeit noch im Beta-Test ist AzureWatch von Paraleap Technologies. Das Tool stellt zentrale Management-Funktionen für Instanzen in Windows Azure bereit. - Cloud Smart Meter 1
Cloud Smart Meter for Windows Azure von Newvem Insight ist ebenfalls noch in der Testphase. - Cloud Smart Meter 2
Für die Amazon Web Services bietet die Firma bereits eine voll funktionsfähige Management-App an. - Eazy2 1
Wie der Name bereits sagt, ist Eazy2 auf eine möglichst einfache Bedienung ausgelegt. - Eazy2 2
Die kostenlose App ermöglicht die Verwaltung von EC2-Instanzen. - Eazy2 3
Dabei unterstützt die App mehrere Nutzer-Accounts. - Decaf Amazon EC2 1
Decaf Amazon EC2 Client zählt mit einem Preis von 9,99 Euro zu den relativ kostspieligen Apps, mit denen sich Amazon-EC2-Instanzen managen lassen. - Decaf Amazon EC2 2
Deshalb sollte User prüfen, ob nicht eine der kostenlosen Apps für seine Anforderungen reicht. - AWS Manager 1
Mit der kostenlosen AWS Console für iOS und Android lassen sich IT-Ressourcen in der Amazon-Cloud von Mobilgeräten aus verwalten. - AWS Manager 2
Mit der kostenlosen AWS Console für iOS und Android lassen sich IT-Ressourcen in der Amazon-Cloud von Mobilgeräten aus verwalten.
Ein anderes Thema ist die Frage, für welche Plattformen es überhaupt entsprechende Apps zum IT-Management gibt. Dass sich die Entwickler von IT-Management-Apps derzeit auf iOS (Apple) und Android (Google) konzentrieren, hat einen einfachen Grund: Nach Angaben der Marktforschungsgesellschaft IDC war 2012 auf 68,8 Prozent der Smartphones Android installiert; iOS kam auf 18,8 Prozent. Windows Phone / Mobile rangierte mit 2,5 Prozent auf einem hinteren Platz.
Ähnlich sieht die Entwicklung bei den Tablets aus. IDC zufolge erreicht Android 2013 einen weltweiten Marktanteil von 48,8 Prozent, iOS einen von 46 Prozent. Windows kommt auf 2,8 Prozent, Windows RT für ARM-Prozessoren auf 1,9 Prozent. Daran wird sich bis 2017 wenig ändern. Windows 8 oder dessen Nachfolger wird dann zwar auf 7,4 Prozent zulegen, und Windows RT erreicht 2,7 Prozent. Das ist im Vergleich zu Android (46 Prozent) und iOS (43,5 Prozent) immer noch vergleichsweise wenig. Für Nutzer von IT-Management-Apps bedeutet dies, dass sie wohl eher zu einem Android- oder Apple-Gerät greifen müssen, wenn sie ein hoch mobiles Endgerät benötigen. Es sei denn, Microsoft erbarmt sich und stellt selbst Apps für Windows und Windows Phone zur Verfügung.
- Active Directory per Apps managen
Mit Hilfe kleiner Tools können Admins und Systembetreuer auch von unterwegs das Active Directory ihrer Netze per Smartphone oder Tablet managen - ActiveDirectory Assist 1
Der ActiveDirectory Assist erlaubt die Verwaltung von Usern, Gruppen, Rechnern und der entsprechenden Attribute in Active Directory. - ActiveDirectory Assist 2
Dabei lassen sich die Eigenschaften eines Users im AD sehr detailiert verwalten. - ActiveDirManager
ActiveDirManager für Android-Mobilgeräte stellt für die Verwaltung von Active Directory eine Sicht in Form eines Verzeichnisbaums zur Verfügung. Kostenpunkt der App: 3,90 Euro. - ActiveDiroid
Kostenlos erhältlich ist die Android-App ActiveDiroid. Sie ist für Tablets mit Displays von 10 Zoll vorgesehen. - AD HelpDesk 1
AD HelpDesk von ImplBits ist nach Angaben des Anbieters Implbits Software ein vollwertiger Ersatz für Active-Directory-Verwaltungswerkzeuge wie ADUC. - AD HelpDesk 2
Das AD-Tool wartet trotz der Komplexität der Directory-Verwaltung mit einem übersichtlichen Userinterface auf. - ADManager Mobile
ADManager Mobile stammt von AEG Europe, eigentlich eine Agentur für die Vermarktung von Sport- und Musikveranstaltungen. Derzeit ist unklar, ob der Hersteller die App noch pflegt oder weiterentwickelt. - Smash! Mobile User
Smash! Mobile User Manager steht seit November 2010 für Android-Geräte zur Verfügung. Die kostenlose App wurde allerdings seit der Veröffentlichung von Version 1.0 nicht mehr aktualisiert.