Auswahl von Apps für das IT-Management

Viele Verwaltungsaufgaben in der IT können mittlerweile mit Apps auch remote erledigt werden. [...]

Egal ob Active Directory oder Cloud-Ressourcen: IT-Management kann heute auch per App erfolgen. Allerdings sollten IT-Verantwortliche bei der App-Auswahl genau hinschauen, um unnötige Risiken für die eigene IT-Infrastruktur zu vermeiden. Schlampig programmierte Apps, die Sicherheitslücken aufweisen, können sich schnell zu einem Risiko für eine IT-Infrastruktur entwickeln. Es empfiehlt sich daher, Apps im Vorfeld genau unter die Lupe zu nehmen, beispielsweise anhand folgender Kriterien:

• Kommentare von anderen Nutzern der App berücksichtigen: Häufig finden sich dort Hinweise auf Unzulänglichkeiten oder Probleme im Zusammenhang mit bestimmten Funktionen.
• Einen Blick auf Versionshistorie der App werfen: Folgen viele neue Versionen innerhalb eines kurzen Zeitraumes, spricht das nicht unbedingt für eine sorgfältige Arbeitsweise der Entwickler.
• Aktualisierungsintervalle berücksichtigen: Umgekehrt ist es problematisch, wenn das letzte Update einer App ein, zwei oder gar drei Jahre zurückliegt, wie das bei einigen Netzwerk- und IT-Management-Apps der Fall ist. Das kann ein Indikator dafür sein, dass der Entwickler das Projekt nicht mehr mit dem nötigen Nachdruck verfolgt. In diesem Fall besteht die Gefahr, dass Sicherheitslücken bestehen bleiben und die Anpassung an neue Versionen von Android, iOS, Windows oder Blackberry OS unterbleibt.
• Webseite des Entwicklers prüfen: Seriöse Entwickler stellen weiterführende Informationen über ihr Unternehmen, ihre Produkte und sich selbst zur Verfügung, beispielsweise auf einer Webseite. Ein Blick darauf lohnt sich. Vorsicht ist geboten, wenn, wie das bei den Recherchen zu diesem Beitrag mehrfach passierte, keine Daten über den Anbieter einer App zu finden waren oder der Link zu dessen Webseite im Nichts endete.
• Auf Produkte von renommierten IT-Firmen zurückgreifen: Wer Risiken minimieren möchte, auch was den langfristigen Support einer App betrifft, sollte sich bei etablierten Anbietern nach entsprechenden Apps umsehen. Unternehmen wie etwa Veeam, ManageEngine, SolarWinds oder SmarterApps bieten Apps an, mit ­denen sich Server, Netzwerksysteme, Storage-Geräte, Verzeichnisdienste und Cloud-Computing-Ressourcen remote verwalten lassen. Allerdings lassen sich viele dieser Apps nur im Zusammenspiel mit den erweiterten IT-Management-Paketen dieser Firmen einsetzen.

APP-SICHERHEITSLÜCKEN
Das Open Web Application Security Project (OWASP) hat eine Liste mit den Sicherheitslücken zusammengestellt, die im Zusammenhang mit dem Einsatz von mobilen Apps am häufigsten auftreten:

• Unsicherer Transport von Daten: Einige Apps übermitteln sensible Daten in unverschlüsselter Form oder ermöglichen es, die Informationen an unsicheren Speicher­orten wie Cloud-Storage abzulegen.
• Unzureichende Server Side Controls: API-Aufrufe im Backend, also bei den Servern, werden unzureichend abgesichert.
• Mangelhafter Schutz auf der Transport­ebene (Transport Layer): Teilweise ist die Absicherung der Datenkommunikation mittels SSL oder TLS nicht ausreichend.
• Lückenhafter Schutz gegen Client-Side Injection: Manche Apps führen eine unzureichende Input Validation durch, wenn sie mit Daten gefüttert werden. Dies können Angreifer nutzen, um Attacken mittels SQL-Injection durchzuführen.
• Schwache Authentifizierung und Autorisierung: Defizite beim Umfang mit ID und Passwörtern durch Apps können Sicherheitsrisiken mit sich bringen. Das gilt speziell für Anwendungen, die IT-Administratoren oder Nutzer mit speziellen Zugriffsrechten verwenden. (idg/oli)