To Author's Page
Das Smartphone ist in der mobilen Kommunikation nicht mehr wegzudenken. Denn zusätzlich zum Telefonat bietet es den Usern über intelligente Apps viele Vorteile – Vorteile, die die IT-Verantwortlichen vor neue Herausforderungen stellt. Denn ob sie tatsächlich sicher sind, ist gar nicht sicher. Google und Apple beispielsweise wollen sogar keine Sicherheitskontrollen in ihren App-Stores durchführen! Und ob die vom Hersteller als sicher deklarierten Apps alle Sicherheitsbedürfnisse bedienen, ist ebenfalls keineswegs sicher. Sogar sichere Apps werden mit gleichem Namen, gleichem Look und gleichen Funktionen kopiert und mit einer Sicherheitslücke von kriminellen Kräften in App-Stores gezielt eingestellt. Was muss also geschehen, damit das Smartphone nicht zum Spion wird? Damit beschäftigte sich am 20. November 2014 auf der euroID – Internationale Fachmesse und Konferenz für Identifikation – eine Vortragsreihe mit anschließender Podiumsdiskussion. Geleitet wurde sie von mir als Vertreter der Frankfurt School, die verschiedene Fortbildungen zu IT- und Cyber-Security anbietet.
In der Plenumsdiskussion zitierte Peter Löwenstein die Info-Broschüre vom BSI die – überzogen formuliert – empfiehlt, das Smartphone nur zum Telefonieren zu nutzen – und bitteschön nur mit bekannten Telefonnummern. Denn eine Art „TÜV“-Funktion kann das BSI beim besten Willen nicht übernehmen. Dafür sei der Markt und die Entwicklung von mobilen Applikationen viel zu dynamisch.
Podiumsdiskussion mit (vlnr) Rainer M. Richter, Peter Löwenstein, Tobias Berlin und Armin Nilles
Das BSI moderiert deshalb Foren zwischen App-Entwicklern und Dienstleistern für mobile Sicherheit, um bereits bei der Entwicklung von Applikationen einvernehmlich Sicherheitsleitlinien zu verabschieden. Allein das sei eine beachtliche Herausforderung und respektable Leistung, denn die Interessen zwischen kleinen und großen App-Entwicklern aus unterschiedlichen Ländern (bsp. USA, Europa, China) sind oft sehr unterschiedlich und zudem von strategischem Kalkül beeinflusst, betonte Tobias Berlin. Schließlich beeinflussen solche Leitlinien die Entwicklungsschnelligkeit und das Marktpotential der Apps. Peter Löwenstein wies als Sicherheitsberater von Mobile Device Management Systemen darauf hin, dass App-Entwickler immer noch und viel zu oft den Sicherheitscheck erst am Ende der Entwicklung verstehen.
Wenn es also keine zentrale Sicherheitsüberprüfung von Apps geben kann – weder national, international noch supranational –, dann müsse man der Selbstorganisation und –regulation des Marktes vertrauen, resumierte Tobias Berlin vor einigen Jahren und gründet das Unternehmen mediaTest digital Berlin. Mit dessen „Trusted App Directory“ wird Unternehmen mehr Sicherheit für die Kontrolle ihres App-Portfolios angeboten. Eine White-/Blacklist macht transparent, worauf Unternehmen vertrauen können. Insbesondere dann, wenn Unternehmen eigene Apps für Ihre Kunden anbieten wollen, kann bereits bei der Entwicklung einer App die Sicherheit konzipiert, eingebaut, geprüft und testiert werden. Den Wettbewerb zwischen den Anbieter solcher Sicherheitsdienstleistungen bewertete Tobias Berlin als Vorteil, denn so könnten und müssten sie sich um die höchstmögliche und kundenfreundlichste Sicherheit verdient machen.
Rainer M. Richter von der IPSIOLN Consulting Group stimmte dieser Bewertung voll zu. Beim Einsatz von SmartID Technologien würden zu oft nur die Kosten und der Komfort in der Anwendung berücksichtigt. Im öfter wird die ID auf einem Smartphone gespeichert. Das sei in Zeiten von Cyber Crime besonders kritisch zu bewerten, damit das Smartphone eben nicht zum Spion wird und zum Diebstahl der Identität beträgt. Gelungen fand ich, wie Rainer M. Richter die Vorteile und Risiken unterschiedlicher SmartID Technologien auf dem Smartphone, mit dem Smartphone und über getrennte Devices vorstellte.
Mein Fazit: Die Entwicklungs- und Vermarktungszyklen sind dermaßen dynamisch, herausfordernd und schnell, dass die „Sicherheit“ oft nicht nachkommt. Wieso nachkommen? Wird Sicherheit gleich von Beginn an maßgebender Inhalt der Produktentwicklung, kann das Produkt erkennbar gegenüber dem Wettbewerb hervorgehoben werden. Sicherheit ist ein impliziertes Produktfeature und kein Ad-On.
Die nächste Gelegenheit mehr über Mobile Sicherheit zu erfahren, gibt es auf der nächsten Mobikon Messe am 11. – 12. Mai 2015 in Frankfurt .
Wer sich für spezielle und diskrete Inhouse-Seminare zu Themen IT-Security und Unternehmenssicherheit interessiert, kann sich gerne von uns beraten lassen . Jederzeit telefonisch oder per E-Mail oder auch persönlich.
Frankfurt School gGmbH
Adickesallee 32-34
60322 Frankfurt am Main
