Webinar: "Lernen Sie APPVISORY kennen" startet in

Tag(e)

:

Stunde(n)

:

Minute(n)

:

Sekunde(n)

Sie wollen nicht warten? Sprechen Sie direkt mit uns!

App-Freigabe-Prozess: Was ist zu beachten?

8 Jun, 2021

Wie Unternehmen Apps freigeben

Wenn Unternehmen eine App für ihre Mitarbeitenden freigeben möchten, müssen sie im Vorhinein eine Vielzahl an Auswahlkriterien beachten. Denn Firmengeräte beinhalten sensible Unternehmensdaten, weshalb eine leichtsinnige Verteilung von Apps zu massiven Sicherheitseinbrüchen führen kann. Viele Unternehmen stellen sich deshalb die Frage, welche Apps aus den App-Stores überhaupt guten Gewissens im Unternehmenskontext eingesetzt werden dürfen und nach welchen Kriterien diese Entscheidung getroffen werden sollte. Die langjährige Erfahrung in der App-Security-Branche hat APPVISORY zu Experten im Bereich der App-Freigabe gemacht. Wir teilen unsere Erfahrungen und liefern wertvolle Tipps für die richtige App-Entscheidung.

Warum ist eine App-Freigabe wichtig?

Bevor Mitarbeitende eine App im Unternehmenskontext nutzen, ist es unabdingbar, dass diese vor dem Download gründlich überprüft wird. Der Schutz sensibler Firmendaten auf betrieblich genutzten Mobilgeräten hat dabei oberste Priorität. Viele Unternehmen arrangieren Apps deshalb manuell in einer Black- und Whitelist und grenzen dadurch die App-Auswahl für ihre Mitarbeitenden ein. Die Mitarbeitenden können die freigegebenen Apps aus der Whitelist anschließend zum Beispiel in einem firmeneigenen App Store auf ihre Mobilgeräte herunterladen. Doch welche Kriterien müssen Apps erfüllen, um auf der Whitelist zu landen und woher ziehen Firmen ihre Informationen für diese Filterung?

Apps freigeben im manuellen Auswahlprozess

Wenn sich Unternehmen die Frage nach Sicherheitslücken in einer App stellen, prüfen sie meistens manuell, ob die Anwendung DSGVO-konform ist. Die dafür benötigten App-Informationen suchen sie mühsam über Suchmaschinen oder über die von der App bereitgestellten Daten zusammen.

1. Datenschutzerklärung

Die Datenschutzerklärung der Anwendung, welche per DSGVO vorgeschrieben ist, soll den Unternehmen Aufschluss darüber geben, ob und wie die App mit Nutzerdaten umgeht. Bei in Deutschland angebotenen Anwendungen muss diese per Gesetz auf Deutsch vorliegen. Tut sie dies nicht, ist dies für die meisten Unternehmen das erste Ausschlusskriterium.

2. App-Berechtigungen

Auch die in der Datenschutzerklärung aufgeführten App-Berechtigungen berücksichtigen viele Firmen im Auswahlprozess. Die Administrator:innen müssen sich hierbei die Frage nach der Plausibilität der Zugriffsberechtigungen stellen. Viele Apps genehmigen sich deutlich mehr Berechtigungen, als sie für ihre Zweckerfüllung benötigen. Fragt die Taschenrechner-App beispielsweise den Standort des Users ab, ist dies kein gutes Zeichen.

3. Rezensionen, Checklisten und Quellcode-Analysen

Die meisten Unternehmen orientieren sich beim Freigabeprozess zudem stark an den Rezensionen im App-Store. Fallen diese überwiegend positiv aus, werten Firmen dies als verlässliches Zeichen. Auch die Quellenoffenheit (Open Source) wird von einigen Unternehmen bei den Überlegungen zur App-Freigabe berücksichtigt. Der Programmcode einer App sollte für jede:n frei zugänglich sein, sodass unabhängige Fachleute diesen auf Schwachstellen und versteckte Funktionen prüfen können. Im Internet stehen zudem eine Vielzahl von Checklisten zur Verfügung, die vermeintliche Prüfkriterien zur sicheren App-Freigabe auflisten. Unternehmen ohne umfassendes App-Security-Verständnis greifen häufig auf solche Listen zurück.

Problem: Zeitaufwand und Ungenauigkeit

Die händische Zusammenstellung einer Black- und Whitelist ist nicht nur zeitaufwendig, sondern auch sehr fehleranfällig. Sie beleuchtet die Sicherheitskriterien einer Anwendung – wenn überhaupt – nur oberflächlich. Denn die Prüfung der Datenschutzerklärung kostet viel Zeit und wird von den meisten Unternehmen nicht sorgfältig durchgeführt. Gleichzeitig sind Datenschutzerklärungen keine Garanten für die Einhaltung der DSGVO. Fehler im Programmcode und unzulässige Datenverbindungen sind keine Seltenheit. Genauso bieten Bewertungen in den App-Stores keine verlässliches Entscheidungsgrundlage, da Anbieter positive Rezensionen mühelos kaufen können. Auch die online zur Verfügung stehenden Checklisten stellen keine sichere Quelle dar, da sie in den meisten Fällen von Laien zusammengestellt werden und Auswahlkriterien unzureichend beleuchten.

Zeit kostet Geld

Zudem werden für viele Kriterien, wie der Analyse des Quellcodes, qualifizierte IT-Security-Experten benötigt. Unternehmen mit dieser Expetise investieren kostbare Zeit ihrer Mitarbeitenden und Unternehmen ohne IT-Security-Verantwortliche bares Geld. Denn diese müssen bei Rückfragen externe Dienstleister:innen einbeziehen. Dadurch verlängert sich die Laufzeit bis zur App-Freigabe ebenfalls. Der manuelle App-Freigabeprozess bedeutet für Unternehmen somit vor allem die Verschwendung wertvoller Ressourcen: Zeit und Geld. App-Freigabe-Prozesse müssen deshalb beschleunigt werden und unabhängig von Zeit und personellem Aufwand durchführbar sein.

App-Freigabe durch App-Risk-Management-Lösungen

Die Lösung sind App-Risk-Management-Services wie APPVISORY. Die App-Security-Lösung ist in der Lage, nach den Anforderungen des Unternehmens Apps zu analysieren und automatisiert Black- und Whitelists zuzuordnen. Mit unterschiedlichen Analyseverfahren und der darin enthaltenen Filterung nach dem Common Vulnerability Scoring System (CVSS) erleichtert sie die Risiko-Bewertung ausgewählter Apps. Dabei signalisiert der Score deutlich, ob und an welcher Stelle gefährliche Schwachstellen innerhalb der App vorhanden sind. Diese werden mit einschlägigen Bestimmungen und rechtlichen Regulationen wie der DSGVO nachvollziehbar untermauert. Der Effekt: Unternehmen gewinnen schnell und einfach den Überblick darüber, welche Apps sie sicher im Unternehmensumfeld freigeben und nutzen können.

Das könnte Sie auch interessieren:

Kurzmeldung: Sparkasse von Smishing-Vorfällen betroffen

SafeVac 2.0-App im Datenschutz Test

Wir haben die SafeVac 2.0-App des Paul-Ehrlich-Instituts datenschutztechnisch überprüft. Erfahren sie hier, worüber Sie sich bei der Nutzung bewusst sein sollten.

Möchten Sie die eingesetzten Apps in Ihrem Unternehmen überprüfen lassen?

PRESSEKONTAKT

 

Karina Quentin | PR & Communication

press@appvisory.com
Telefon +49 (0)511 35 39 94 22
Fax +49 (0)511 35 39 94-12

Newsletter

Exklusive Tipps und Neuigkeiten rund um Apps und Mobile Sicherheit

Contact