©ejn
Wien. Die EU macht Ernst beim Datenschutz: Tritt die DSGVO am 28. Mai 2018 in Kraft, drohen hohe Strafen. Eine oft übersehene Gefahrenquelle sind datenhungrige und unsicherere Unternehmens-Apps.
Es bleibt nur noch wenig Zeit bis zum Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018. Ab diesem Zeitpunkt müssen Unternehmen belegen können, dass die Daten in ihren mobilen Applikationen sicher sind und jegliche Verletzung sofort melden, warnt App-Management-Unternehmen IQ Mobile.
Bei Verstoß sehen die Regeln zur Speicherung, Verarbeitung und Weitergabe der Daten von EU-Bürgern harte Strafen vor. Noch immer seien viele Unternehmen aber nicht ausreichend darauf vorbereitet, obwohl neben Strafgebühren auch Imageschäden und hohe wirtschaftliche Einbußen drohen, heißt es.
Optimieren und Schulen
„Die DSGVO bedeutet nicht nur höhere Anforderungen an eine umfassendere Sicherheitsstrategie für die Gesamt-IT, sondern erfordert auch eine Optimierung des App-Managements und eine Schulung aller betroffenen Mitarbeiter“, sagt Harald Winkelhofer, Geschäftsführer von IQ mobile.
- Der boomende Markt für Mobile Apps nehme aufgrund der Nähe zum Nutzer mit seinen höchstpersönlichen und sensiblen Daten eine besonders exponierte Stellung ein.
- Hinzu komme die Gefahr unerkannter Schatten-IT durch BYOD (Bring your own device), also den Trend, bei dem Mitarbeiter ihre eigenen mobilen Endgeräte für geschäftliche Tätigkeiten nutzen.
- Last but not least sei auch eine entsprechende Absicherung gegen gezielte Angriffe – also Hacker – ein Thema.
Winkelhofer empfiehlt, den Sicherheitsgedanken in den Mittelpunkt der App-Strategie des Unternehmens zu stellen und sie schon bei Planung und Entwicklung entsprechend frühzeitig zu berücksichtigen – nicht nur aus Angst vor drohenden Strafen, sondern auch für eine effizientere Implementierung: Die „Härtung“ von Software im Nachhinein ist meist schwieriger und teurer.
Es komme daher auf ein frühzeitiges App-Management an, das das Thema Sicherheit von Anfang an priorisiert.
Vertrauen in Apple und Google reicht nicht
Viele Unternehmen seien auch der Annahme, dass Apple und Google in ihren App Stores gründliche Sicherheitsprüfungen an den Apps durchführen. Das ist den Experten von IQ mobile zufolge ein Irrglaube. Die Überprüfungen der Stores zielten laut ihnen zumeist auf zwei eher eigennützige Aspekte ab:
- Einerseits solle der App-Store selbst sicher bleiben und
- andererseits wolle man dort keinen unerlaubten, >anzüglichen Content< platzieren.
Die wirkliche Sicherheit von Apps werde folglich nicht oder nur sehr oberflächlich betrachtet. Daten, oft als das >Öl des 21. Jahrhunderts< bezeichnet, versprechen aber ein enormes Potenzial für Angreifer und müssten daher vom Herausgeber der App selbst noch stärker geschützt werden.
Ulrich Fleck, CSO bei SEC Consult Group, empfiehlt „klare Coding Guidelines für die Erstellung von Apps und eine Messung derer Einhaltung“.
Wichtig sei unter anderem wenig bis keine Datenhaltung am Gerät selbst, sondern deren Vermeidung bzw. Verlagerung in die – hoffentlich besser abgesicherte – Cloud, so die IT-Sicherheitsspezialisten.
Möglichst wenig Daten, möglichst gut verschlüsselt
Natürlich lässt sich der Datenbestand nicht auf null reduzieren. Daher sollten personenbezogene oder sensible Daten am besten verschlüsselt und in entsprechend gesicherte isolierte Zonen gespeichert werden.
Zusätzlich seien häufige Snapshots und tägliche Backups der Server erforderlich. Im Falle eines Diebstahls von personenbezogenen Daten gebe es strenge Auflagen seitens der österreichischen Datenschutzbehörde DSB in Bezug auf ihre Meldung und Wiederherstellung. Ein erheblicher aber doch wichtiger Aufwand, den jedes Unternehmen in seine Budgetplanung einkalkulieren sollte, wie es heißt.
Link: WKO-Hilfeseiten zur DSGVO
