App-Ratgeber

So verhindern Sie den Daten-GAU: Datensicherheit in Apps

Daten sind das Öl das 21. Jahrhunderts. Daten sind wertvoll. Apps fördern diese Daten zutage. Wer seine App nicht entsprechend schützt, kann die Daten darin schnell verlieren und damit auch seine Reputation. Für manche Unternehmen bedeutet ein Datenskandal das Aus. In diesem Blogbeitrag erfahren Sie, wie Sie Ihr Unternehmen davor schützen können.

Sollte man kennen: Unterschied zwischen Datenschutz und Datensicherheit Die Begriffe Datenschutz und Datensicherheit erscheinen sehr ähnlich und meinen doch meist ganz unterschiedliche Dinge. Tatsächlich sind die Begriffe Sicherheit und Schutz eng miteinander verwandt. Sicherheit = „Zustand, der frei von unvertretbaren Risiken ist“ Schutz = „vor etwas bewahren, hüten oder verteidigen“ Im Kontext mit der DSGVO (Datenschutzgrundverordnung) wird Datenschutz aber immer in Verbindung mit personenbezogenen Daten genutzt. Der Fokus liegt hier auf den Schutz des Bürgers. Datensicherheit dagegen bezieht sich tatsächlich auf den Schutz von allen Daten gegen Verlust, ungewollter Veränderung oder Diebstahl. Wir gehen in diesem Artikel nur auf das Thema Datensicherheit ein. Das Thema Datenschutz behandeln wir in einem späteren Blogbeitrag. Überraschend persönlich! Fast jede App verarbeitet personenbezogene Daten - selbst dann, wenn an keiner Stelle ein Name auftaucht. Sie können also sicher sein, dass dies auch für die Apps ihres Unternehmens gilt – zumindest seit Mai 2018 mit Einführung der DSGVO. Diese fasst den Begriff der personenbezogenen Daten weiter als dies bisher der Fall war. Es reicht seitdem aus, dass es theoretisch möglich ist, den Nutzer zu identifizieren – und das ist anhand eines Smartphones fast immer der Fall. Für Unternehmen bedeutet das, dass sie nicht nur aus Eigeninteresse heraus ihre Daten schützen, sondern auch gesetzlich dazu verpflichtet sind und bei Nichtbeachtung hohe Strafen drohen. Vorsicht Falle: Diese Daten sind doch uninteressant – und deshalb nicht schützenswert Diese Aussage haben Sie bestimmt schon gehört oder sogar selbst gedacht und ausgesprochen. Die Wahrheit ist aber, dass fast alle Daten über uns Nutzer in Zusammenhang mit anderen Daten gebracht werden können. Es gibt Korrelationen, die wir nicht sehen, aber aus denen Computer Rückschlüsse auf Informationen ziehen können, die wir eigentlich für uns behalten wollten. Das sind zum Beispiel Gesundheits- und Finanzdaten, genauso wie Informationen über sexuelle Vorlieben.   Die größte Gefahr liegt bereits in der Konzeption der App-Software Software zu entwickeln ist einfach. Gute Software zu entwickeln ist schwer, aufwendig und teuer. Aus diesem Grunde gibt es im Markt sehr viele Apps in unterschiedlicher Qualität im Hinblick auf die Sicherheit der darin erhobenen und verarbeiteten Daten. Datensicherheit durch Technikgestaltung Unser Rat: Wenn Sie heute eine neue App entwickeln lassen, dann fordern Sie im Entwicklungskonzept explizit ein ausführliches Kapitel für das Thema „Datensicherheit“ ein. Darin sollten folgende Dinge erläutert werden. Checkliste: Datensicherheit by Design Welche Programmiersprache wird eingesetzt? Handelt es sich um native Entwicklung Objective-C/Swift/Android? Oder werden alternativ Frameworks eingesetzt? Welches ist das? Wie sicher ist dieses Framework? Gibt es bekannte Sicherheitslücken? Wie schnell werden Sicherheitsupdates veröffentlicht? Wie lange sind diese Frameworks bereits am Markt? Gibt es anerkannte Analysen zu diesem Framework? Wie werden Daten auf dem Smartphone gespeichert? In welchem Bereich (öffentlich, privat)? Werden diese verschlüsselt? Wie werden diese verschlüsselt? Welche Verfahren werden eingesetzt? Wie erfolgt die Schlüsselverwaltung? Wie erfolgt die Datenübertragung? Verschlüsselte Datenübertragung zum Server? Welche Kontrollen erfolgen? Welche Technologie kommt hier zum Einsatz? Wie erfolgt die Datenspeicherung auf dem Server? Sind die Daten dort verschlüsselt abgelegt? Welche Schnittstellen zu weiteren Systemen gibt es? Langfristiger Schutz des Systems Wie wird sichergestellt, dass die App-Software auf dem aktuellen Sicherheitsstand gehalten wird? Wie wird sichergestellt, dass der Server und die darauf befindliche Software immer alle aktuellen sichereitsrelevanten Updates erhält? Sind die Voreinstellungen in der App auf maximale Datensicherheit getrimmt? Nach der Fertigstellung nehmen Sie dieses Kapitel und geben Sie es einem Experten zur Durchsicht. Von Anfang an richtig geplant spart Geld und Ärger Die Implementierung notwendiger Sicherheitsmaßnahmen ist im Nachhinein nicht mehr möglich oder zumindest sehr aufwendig. Genau das Problem haben viele Apps, die bereits vor Mai 2018 in den Markt gekommen sind. Hier wurde möglicherweise aus Kostengründen auf aufwendige Sicherheitsmaßnahmen verzichtet. Unser Rat: Prüfen Sie auch bestehende Apps anhand der oben aufgeführten Checkliste! Die App-Nutzer sind selbst schuld? Was nützen alle Sicherheitsmaßnahmen, wenn die App-Nutzer ihr Passwort verraten, indem sie dasselbe Passwort für alles benutzen das Passwort einfach zu erraten ist das Passwort nie gewechselt wird sie ihr Passwort selbst veröffentlichen Für zwei der Punkte gibt es Lösungen über die App: der User wird gezwungen ein komplexes Passwort zu verwenden der User wird gezwungen das Passwort regelmäßig zu ändern Diese Lösungen sind bei Nutzern sehr unbeliebt und können zur Ablehnung der App führen. Deshalb werden diese Mechanismen selten eingesetzt. Unser Tipp: Lassen Sie den Nutzer beim Erststart selbst entscheiden, wie sicher sein System sein soll. Voreinstellungen mit maximaler Sicherheit Wenn Sie einem Nutzer selbst überlassen wollen, wie sicher und öffentlich seine Daten sind, dann achten Sie darauf, dass die Voreinstellung auf maximalen Datensicherheit getrimmt ist. Hinterlegen Sie zu jeder Einstellungsmöglichkeit eine ausführliche Information für den nicht technikaffinen Nutzer und weisen Sie diesen explizit auf die Risiken hin. Fazit:  Checken Sie jetzt die Datensicherheit ihrer Apps! Das Thema Datensicherheit ist eine wichtige Managementaufgabe. Lassen Sie IT-Abteilung für alle Apps, die Sie bereits im Store haben oder die sie entwickeln wollen, die Checkliste erstellen. Geben Sie das Ergebnis an einen Experten und lassen Sie den Handlungsbedarf abschätzen. Wenn Sie noch weitergehen wollen, engagieren Sie Unternehmen, um ihre App zu „hacken“. So werden unbekannte Schwachstellen entdeckt und können behoben werden. Sprechen Sie uns an.