2. Juni 2015 - Wie Nutzer mobile Anwendungen in den Griff bekommen

Zugriffskontrolle bei mobilen Apps

Viele Apps verlangen mehr Zugriffsrechte, als es dem Anwender recht und bewusst ist. Das Projekt „YOP-Datenschutzcockpit“ könnte in Zukunft eine Möglichkeit bieten, die Zugriffe mobiler Apps besser zu kontrollieren und zu beschränken.

Mobile Apps: zukünftig bessere Zugriffskontrolle? Verschiedene Ansätze versuchen, die Datenzugriffe von mobilen Apps stärker zu kontrollieren (Bild: -goldy- / iStock / Thinkstock)

Mobile Apps machen Smartphones und Tablets erst zu Multifunktionsgeräten. Sie sorgen aber auch für zahlreiche Datenrisiken:

  • Einerseits können Apps genau wie klassische Desktop-Anwendungen Schadfunktionen besitzen, also mit Malware verseucht sein.
  • Andererseits können Apps heimliche Datensammler sein, mobile Spyware also.

Da Smartphone- und Tablet-Nutzer oftmals volle Administratorrechte besitzen, können sie bei der Installation mobiler Apps auch umfassende Berechtigungen zugestehen. Den von Desktop-Computern und Notebooks bekannten Nutzer mit minimalen Berechtigungen findet man bei mobilen Endgeräten selten. Erst mit einer gezielten Konfiguration über Mobile Device Manager (MDM) wird die Situation besser.

App-Rechte reichen oft zu weit

Die mobilen Nutzer mit ihren tiefgreifenden Berechtigungen müssen die Administratorrolle für das Smartphone oder Tablet übernehmen, was leider regelmäßig zu Problemen führt. Es sind nicht nur die mangelnden Kenntnisse, die die App-Kontrolle durch die Nutzer erschweren: Mobile Betriebssysteme wie Android OS bieten bislang den Nutzern kaum Möglichkeiten, einzelne Berechtigungen an Apps zu vergeben:

  • Entweder eine App erhält alle gewünschten Rechte, oder
  • die Installation muss abgebrochen werden.

Leider entscheiden sich viele Nutzer für die Installation und gegen den Schutz ihrer Daten.

App-Zugriffe überwachen, aber auch kontrollieren

Gegenwärtig besteht die Zugriffskontrolle für Apps meist nur daraus, dass die Nutzer im jeweiligen App-Store (wie dem Google Playstore) nachsehen können, welche Berechtigungen eine App erhalten möchte. Auf dieser Basis können sie sich dann für oder gegen eine App entscheiden. Zusätzlich werden bei der Installation und in der Regel auch bei der Aktualisierung die gewünschten App-Berechtigungen auf dem Display des mobilen Endgeräts angezeigt.

Schließlich bietet eine Reihe mobiler Sicherheitslösungen sogenannte Privacy-Scanner-Funktionen: Die Security-App untersucht die Zugriffsrechte der anderen Apps und macht auf kritische Rechte aufmerksam. Eine Zugriffskontrolle bei mobilen Apps sollte aber auch die Möglichkeit einschließen, bestimmte Rechte freizugeben oder zu verwehren, nicht nur die App insgesamt.

Neue Kontrollmöglichkeiten sollen kommen

Das Problem der mangelnden App-Kontrolle war auch eines der Themen auf dem 14. Deutschen IT-Sicherheitskongress in Bonn. Dort wurde unter anderem das Projekt „YOP-Datenschutzcockpit“ vorgestellt. Die Idee hinter YOP (Your Own Privacy) ist es, dem Nutzer ein Regelwerk zu geben, mit dem er die eigenen Vorgaben für App-Zugriffe definieren und durchsetzen kann.

  • Dazu sollen Nutzer in einem Web-Portal ihr Regelwerk festlegen können: eine entsprechende Unterstützung durch Erläuterung der Berechtigungen und durch Muster-Regelwerke gehört dazu.
  • Das definierte Regelwerk soll dann auf das jeweilige Smartphone übertragen werden.

Letztlich bildet das YOP-Datenschutzcockpit damit Funktionen ab, die Unternehmen in einem MDM-System (Mobile-Device-Management-System) nutzen können.

Noch ist das YOP-Projekt in der Entwicklung. Eine weitere Einschränkung besteht darin, dass bei dem Projekt Nutzer nur die Möglichkeiten zur App-Kontrolle nutzen können, die das mobile Betriebssystem Android OS bietet. Bislang bietet Android zum Beispiel an, dass Nutzer bestimmte App-Kategorien von der Installation generell ausschließen. Auf die Ebene konkreter Berechtigungen gehen die Möglichkeiten aber nur in Ausnahmefällen, wie bei den Profilen in Android for Work.

Das könnte nach der Google-Entwickler-Konferenz Google I/O 2015 aber bald anders werden. Bis auf weiteres allerdings sollten Sie als Datenschutzbeauftragter sicherstellen, dass die App-Nutzer in Ihrem Unternehmen um ihre Möglichkeiten und Einschränkungen bei der App-Kontrolle wissen. Dabei hilft Ihnen die aktuelle Checkliste.


Download:


Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.


Noch mehr Datenschutz-Checklisten finden Sie unter den

Praxishilfen.


Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln