F

Apps in Unternehmen: Achten Sie auf die Sicherheit geschäftskritischer Daten

Unternehmen sollten Apps und ihre Berechtigungen grundsätzlich kritisch betrachten. Im Ernstfall droht die Offenlegung geschäftskritischer Daten.

Wie sollten wir das Risiko bewerten, dass auf BYOD-Geräten (Bring Your Own Device) im Zusammenhang mit dem Sammeln...

von Nutzerdaten bei mobilen Anwendungen einhergeht? Geben wir durch die Nutzung von Angry Birds und ähnlichen Apps Informationen preis, über die wir uns Sorgen machen müssen?

Das durch den Anwender fast schon unbemerkte Sammeln von Nutzerdaten durch Smartphone- und Tablet-Apps hat inzwischen in vielen Unternehmen ernsthafte Bedenken ausgelöst. Das Ausmaß, in dem manche Apps Daten und Informationen sammeln, ist für viele ein regelrechter Schock, und Unternehmen sollten daher genau überprüfen, welchen Anwendungen ihre Angestellten welche Rechte gewähren.

Viele Apps verlangen unverhältnismäßig weitgehende Benachrichtigungen

Apps wie Angry Birds stehen natürlich aufgrund ihrer großen Popularität im Medienfokus, aber natürlich sammeln auch weniger bekannte Apps Nutzer- und Profildaten. Manche kostenfreien Anwendungen rechtfertigen dieses Sammeln von Nutzerdaten dadurch, dass sie die Daten für eine gezieltere Werbeansprache benötigen würden. Die folgenden Zugriffsrechte werden sehr häufig verlangt, und alle haben enorme Auswirkung auf Datenschutz und -sicherheit der Nutzer:

  • Geografische Ortung,
  • Zugriff auf das Netzwerk,
  • Empfangen von Daten aus dem Internet,
  • Wlan- und Internetverbindungen anzeigen,
  • Telefonstatus und –identität übermitteln,
  • USB-Speicher anzeigen oder verändern,
  • Zugriff auf die Kamera für Videos oder Fotos,
  • auf dem Geräte gespeicherte Nutzer-Accounts anzeigen,
  • Zugriff auf Kontaktliste,
  • Zugriff auf schreibgeschützten Speicher.

IT-Abteilungen sollten Ihre Mitarbeiter daher davon in Kenntnis setzen, dass wahrscheinlich alle Daten, die diese einer App zur Verfügung stellen, an den App-Anbieter übermittelt werden. Inzwischen ist es wohl auch nicht mehr so weit hergeholt, davon auszugehen, dass entsprechend übermittelte Daten auch von Geheimdiensten wie NSA oder GCHQ mitgelesen werden. 

Dafür müssten App-Anbieter noch nicht einmal mit Geheimdiensten kooperieren, weil diese ohnehin einen Großteil des Internetverkehrs auswerten. Es gibt zwar bislang keine Dokumente darüber, dass Geheimdienste gezielt Apps ausspähen, aber da die App-Daten natürlich über das Internet versendet werden, dürften auch hier Geheimdienste mitlesen.

Es gibt Berichte, wonach das Update eines Android-Gerätes bis zu 500 Datensätze offenlegt, die Rückschlüsse auf die bisherige Verwendung zulassen. Zweifellos sammeln viele App-Anbieter weitaus mehr Informationen, als sie tatsächlich bräuchten, und oft kümmern sie sich zudem auch nicht um eine effektive Verschlüsselung der Daten. Aus diesem Grund sollten Nutzer von mobilen Anwendungen ihre Profilinformationen auf einem absoluten Minimum belassen. Personenbezogene Informationen über Geschlecht, Familienstand usw. sind für das Funktionieren der meisten Apps absolut irrelevant. Über diese Angaben lässt sich aber leicht ein fast allumfassendes Bild über unsere Lebensgewohnheiten machen.

Private Nutzerdaten können schnell zu geschäftskritischen Informationen werden

Für die meisten Unternehmen dürfte das Offenbaren solch persönlicher Details ihrer Mitarbeiter über Apps keine direkte Auswirkung auf den täglichen Geschäftsablauf haben. In bestimmten Geschäftsbereichen sollte man aber vielleicht trotzdem vorsichtig sein. Man denke zum Beispiel an ein Unternehmen, das physische Sicherheitsdienste anbietet. Jedes Mal, wenn ein Angestellter mit einer bestimmten App ein Foto macht und auf dem Geräte Geotagging aktiviert ist, könnten so seine ungefähren Koordinaten offenbart werden. Auf diese Weise könnte man theoretisch herausfinden, wo der Angestellte etwas oder jemanden für seinen Arbeitgeber bewacht. 

Dieses Beispiel sollte verdeutlichen, dass einfach jede App, die Zugang zu sensiblen Informationen hat, auf ihr Risiko hin untersucht werden sollte. Forscher der Sicherheitsberater IOActive haben zum Beispiel auch herausgefunden, dass 40 Prozent aller Mobile-Banking-Apps SSL-Zertifikate nicht validieren und so Man-in-the-Middle-Angriffe nicht erfolgreich abwehren könnten.

Um den Abfluss sensibler Daten zu verhindern, sollten Nutzer ihr GPS wann immer möglich ausschalten und auch die Wlan-Verbindungen nur dann aktivieren, wenn sie gerade tatsächlich gebraucht wird. Ein Smartphone oder Tablet mit aktiviertem Wlan-Modul sucht permanent nach einem Wlan-Endpunkt und sendet dabei auch seine MAC-Adresse mit. Mit dieser einzigartigen Kennung ist es dann zum Beispiel wiederum möglich, den Standort des Gerätes nachzuverfolgen. 

Letztendlich sollten sich Nutzer immer aus allen Apps abmelden, wenn sie nicht mehr benötigt werden, und sich genau ansehen, welche Berechtigungen sie erfordern. Sollte eine App unnötig viele Berechtigungen verlangen, sollte man dringend nach einer Alternative suchen. Eine Wetter-App zum Beispiel braucht garantiert keinen Zugang zu den gespeicherten Kontakten.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im September 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close