9-2018

Weitere Magazine

Info

Software/Tools/Kits Die „sieben Tore“ der App Security Sicherheit im Entwicklungsprozess: Code sichern mobivention GmbH https://mobivention.com Dr. App diagnostiziert die wichtigsten Sicherheitsschwachstellen bei der Entwicklung und Nutzung von mobilen Enterprise Apps. Wie beim Fußball kommt es auf eine robuste Verteidigungsstrategie an. Bei der Benutzung von Apps im Unternehmen sind sich die Anwender nicht immer sicher in puncto Sicherheit. In der Tat hat das Thema viele Facetten und es gibt ebenso viele Einfallstore für Missbrauch und Manipulation. Mögliche Schwachstellen liegen entlang des gesamten Entwicklungs- und Nutzungsprozesses einer App, wobei Android-Apps stärker gefährdet sind als die iOS-basierten Versionen. Sieben kritische Zonen beleuchtet mobivention-Geschäftsführer Dr. Hubert Weid, aka Dr. App (https://doktor-app.com), – und zeigt, wie sich Risiken minimieren lassen. Seine grundsätzliche Empfehlung lautet: „Vorbeugen ist Kurz gefasst Die Verwendung von Apps auch im industriellen Umfeld wird immer beliebter. Allerdings sind sich viele Anwender der Sicherheitsschwachstellen nicht bewusst. Der Artikel zeigt mögliche Schwachstellen und Möglichkeiten der Minimierung der Risiken. besser als heilen. Also am besten gleich bei der App-Entwicklung an die Sicherheitsaspekte denken, die User aufklären, regelmäßige Sicherheits- Checks durchführen und den ganzen Prozess im Auge behalten.“ Bereits bei der App-Entwicklung sollte man den Source Code einer App gegen Reverse Engineering schützen. Reverse Engineering bedeutet, dass ein Software-Produkt oder ein System vom Ende zum Beginn hin analysiert wird. Im positiven Sinn lässt sich dieses Verfahren zur Fehleranalyse oder Qualitätsprüfung nutzen. Allerdings können auf diesem Weg Apps missbräuchlich ausspioniert und nachgebaut werden. Eine Methode, um geistiges Eigentum in diesem Bereich zu schützen, ist die Obfuskierung des Source Codes. Dabei wird der Programmcode oder der Quelltext bewusst komplett oder partiell verändert, sodass ein Duplizieren unwahrscheinlich bis unmöglich wird. Außerdem ist der Source Code sicher vor unberechtigtem Zugriff zu speichern. Dies gilt sowohl bei lokaler Speicherung als auch bei der Nutzung eines Cloud Services. Datenschutzkonformität Gerade vor dem Hintergrund der neuen Datenschutz-Grundverordnung (DSGVO) sollte man die Datenschutzkonformität der Apps rechtssicher gewährleisten können. Denn auch im Datenschutz gilt: Unwissenheit schützt vor Strafe nicht, und zwar den Anbieter. In erster Linie ist er für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich, auch wenn die App von einem Dienstleister entwickelt wurde. Deshalb sollten bereits in einer frühen Entwicklungsphase die Grundprinzipien des Datenschutzes im Blick behalten werden. Zum Beispiel den Zweckbindungsgrundsatz, nach dem nur auf Daten zugegriffen werden darf, die für den im Voraus bestimmten Zweck notwendig sind. Das Impressum muss den Anforderungen an Telemediendienste entsprechen. Die Datenschutzerklärung muss den Nutzer über Art, 36 PC & Industrie 9/<strong>2018</strong>
Software/Tools/Kits Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten informieren. Überdies muss auch während der App-Nutzung eine gut lesbare Datenschutzerklärung jederzeit abrufbar sein – eine Verlinkung zu einer Website reicht nicht aus. Die Liste der Vorgaben ist lang. Eine Zusammenfassung der wichtigsten Punkte bietet beispielsweise der Düsseldorfer Kreis unter folgendem Link an: https://www.datenschutz-bayern.de/ technik/orient/OH_Apps.pdf Rechtssicherheit Eng mit der Datenschutzkonformität hängt die Rechtssicherheit zusammen. Der Anbieter ist dafür verantwortlich, dass die App den jeweils gültigen rechtlichen Vorschriften entspricht. Dabei ist nicht nur die deutsche Gesetzeslage zu berücksichtigen sondern die Situation in jedem Markt, in dem die App vertrieben beziehungsweise genutzt wird. Andernfalls droht die Gefahr, dass Apple oder Google die Veröffentlichung ablehnen oder Bußgelder und Abmahnungen von Wettbewerbern. Auch die Nutzungsrechte für Bild-, Video- und Textmaterial sind zu klären. Bei der Namensgebung der App sollte gründlich recherchiert und sicherstellt werden, dass der Name nicht bereits geschützt ist oder verwendet wird. Den Namen der App sollte man in jedem Fall schützen lassen. Professionelle App-Entwickler sind in der Regel mit diesen und vielen anderen Fallstricken vertraut. Aber nicht nur bei der Entwicklung sondern auch bei der Nutzung von Apps gibt es vielfältige Sicherheitsaspekte zu berücksichtigen. Gerät sichern Die App-Sicherheit im Nutzungsprozess beginnt beim Gerät und damit beim User. Er ist verantwortlich dafür, sein Gerät vor Diebstahl, Beschädigung oder Verlust zu schützen. Genauso wichtig ist es, einem unberechtigten Zugriff so gut wie möglich vorzubeugen. Das beginnt bereits bei der Verriegelung durch ein sicheres Passwort und der Verschlüsselung von Passwörtern. Auch regelmäßige Software-Updates und der Einsatz von Virenscannern sorgen für mehr Sicherheit. Unternehmen, die Apps auf mobilen Endgeräten einsetzen, sollten ihre Mitarbeiter über diese Verantwortlichkeiten ausführlich informieren. Daten sichern Neben der Sicherung der Geräte ist die Sicherung der Daten ein zentraler Aspekt der App Security. Ein Buzzword, das in diesem Zusammenhang oft fällt, ist BYOD (Bring your own device), also der Einsatz von auch privat genutzten Laptops, Tablets oder Smartphones innerhalb des Firmennetzwerks. Er bringt sicherheitstechnisch einige Herausforderungen mit sich – unabhängig davon, ob Mitarbeiter ihre eigenen Geräte mitbringen oder Firmengeräte im privaten Umfeld nutzen. Hier empfiehlt sich ein möglichst sicheres Betriebssystem in Kombination mit einer MDM (Mobile Device Management)-Software. Mit dieser Software lassen sich die Geräte zentral vom Unternehmen aus verwalten. Bei Diebstahl oder Verlust ist eine Sperrung oder die Löschung kritischer Daten via Fernzugang möglich. Der Einsatz von Programmen wie Samsung Knox erlaubt es überdies, geschäftliche und private Inhalte separat und gesichert auf einem Gerät abzulegen. Server sichern Ein Großteil der Apps nutzt eine Client-Server-Architektur. Dabei werden Daten von einem Server heruntergeladen und/oder auf einem solchen gespeichert. App-Sicherheit ist damit auch eine Frage der Server-Sicherheit. Regelmäßige Sicherheitsupdates und Backups sind hier ebenso unverzichtbar wie eine vernünftige Verwaltung von Zugriffsrechten. So wird die Gefahr gebannt, dass durch unbeabsichtigte Aktivitäten Schaden entsteht. Auch die Datei-Berechtigungen sollten möglichst niedrigschwellig gehalten werden. Darüber hinaus ist Server Monitoring angesagt: Die verantwortlichen Fachleute sollten kontinuierlich ein Auge darauf haben, ob und von wem Programme geändert werden. Auch ungewöhnliche Aktivitäten wie steigende CPU-Belastung, ein Zuwachs beim Traffic oder ähnliches können auf Missbrauchsversuche hinweisen. Mit speziellen Hackertools einen Testangriff auf seinem Server zu simulieren, ist in Deutschland nicht erlaubt. Die Zusammenarbeit mit entsprechenden Spezialisten ist jedoch möglich. Das Fazit von Dr. App: „Dies ist nur ein kleiner Überblick über die „App-Sicherungsmöglichkeiten“ entlang der gesamten Prozesskette. Um die Sicherheit beim Einsatz von Business Apps in Unternehmen zu optimieren, empfiehlt es sich, von Anfang an mit einem erfahrenen App-Entwicklungspartner zusammenzuarbeiten. Er wird bereits bei der Entwicklung Sicherheit und Datenschutz im Blick haben, regelmäßige Sicherheits-Checks und die Information der User anregen und den ganzen Prozess prüfen.“ Kommunikation sichern Last but not least gilt es, die Kommunikation zwischen App und externen Devices beziehungsweise dem Server wirkungsvoll zu sichern. Auf jeden Fall empfiehlt sich die ausschließliche Nutzung verschlüsselter Verbindungen, zum Beispiel über VPN-Tunnels. Hier ist in Unternehmen auch eine gründliche Aufklärung der App-Nutzer gefragt: Vorsicht an öffentlichen Hotspots ist geboten. Überdies schaltet man WLAN- und Bluetooth-Verbindungen am besten aus, wenn man sie gerade nicht nutzt. Sensible Apps lassen sich auf Smart Devices auch mit einem Passwort schützen und verbergen. Um (fast) keine Spuren im Netz zu hinterlassen, kann man über den sogenannten privaten Surfmodus ins Internet gehen. ◄ Aktion Deutschland Hilft Das starke Bündnis bei Katastrophen Wenn Menschen durch große Katastrophen in Not geraten, helfen wir. Gemeinsam, schnell und koordiniert. Aktion Deutschland Hilft - Bündnis deutscher Hilfsorganisationen. Spendenkonto (IBAN): DE62 3702 0500 0000 1020 30 Jetzt Förderer werden unter: www.Aktion-Deutschland-Hilft.de PC & Industrie 9/<strong>2018</strong> 37
Seite 1 und 2: September 9/2018 Jg. 22 PA-Profil V
Seite 3 und 4: Editorial Von Luft und Liebe Die Di
Seite 5 und 6: Inhalt 9/2018 Positionierung mit h
Seite 7 und 8: Aktuelles Geeignete Beleuchtungen s
Seite 9 und 10: ANZEIGE Aktuelles NetModule feiert
Seite 11 und 12: Klassenbester ARM-Prozessor in anwe
Seite 13 und 14: SBC/Boards/Module Compass Intellige
Seite 15 und 16: SBC/Boards/Module MANO311 • Ein 2
Seite 17 und 18: IPCs/Embedded Systeme Leistungsfäh
Seite 19 und 20: IPCs/Embedded Systeme Palmsize Embe
Seite 21 und 22: IPCs/Embedded Systeme Industrie-PC-
Seite 23 und 24: Messtechnik mit 25 MHz abgetastet w
Seite 25 und 26: Messtechnik Robustes, schnelles und
Seite 27 und 28: Messtechnik Bild 2: Pickerings 30 A
Seite 29 und 30: Messtechnik Nominiert für den Inno
Seite 31 und 32: Messtechnik Feuchtemessmodul für a
Seite 33 und 34: Positionierung mit höchster Zuverl
Seite 35: Software/Tools/Kits Neue Version de
Seite 39 und 40: Software/Tools/Kits Mobile Scanner
Seite 41 und 42: IoT Aufbau eines intelligenten, glo
Seite 43 und 44: Steuern und Regeln Miniatur-Servore
Seite 45 und 46: Kommunikation Ein Switch, der mit s
Seite 47 und 48: Kommunikation Turcks TBEN-L-RFID-Mo
Seite 49 und 50: Modulares Open Source IIoT Gateway
Seite 51 und 52: Kommunikation PA-Profil V4.0 verabs
Seite 53 und 54: Bedienen und Visualisieren Multifun
Seite 55 und 56: Bedienen und Visualisieren 7-Zoll-T
Seite 57 und 58: Bildverarbeitung Deep Learning, Int
Seite 59 und 60: Elektromechanik Verwechslung ausges
Seite 61 und 62: Elektromechanik Klimatisierung mitt
Seite 63 und 64: Sicherheit in Zeiten des Internet d
Seite 65 und 66: Bauelemente stand RFB des DA-Wandle
Seite 67 und 68: Störsichere Stromversorgungen Stro
Seite 69 und 70: Stromversorgung Intelligentes μExt
Seite 71 und 72: Sie möchten alte S5-Anlagen an Ind

9-2018

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?