Skip To Content

Anleitungen zur Mobile-Implementierung

Die Verwendung von mobilem GIS bietet Flexibilität und nützliche Funktionen als Teil eines Enterprise-GIS. Sicherheit spielt eine wichtige Rolle bei der Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten, die in einer sich entwickelnden mobilen Umgebung verwaltet werden. In diesem Thema werden einige Empfehlungen zur Reduzierung der Risiken beschrieben, die speziell den mobilen Teil eines Enterprise-GIS betreffen.

Nachstehend sind allgemeine Sicherheitsempfehlungen und -funktionen zur Verbesserung des Sicherheitsstatus einer mobilen Implementierung aufgelistet. Eine umfassende Liste mobiler Risiken und geeigneter Strategien finden Sie unter OWASP Mobile Top 10.

Eine MDM-Lösung (Mobile Device Management) für Unternehmen ist ein guter Ausgangspunkt für die Sicherheit mobiler Geräte. MDM betrifft die Verwaltung mobiler Geräte in einer Organisation. Diese erfolgt in der Regel mithilfe von Software, die die Zentralisierung und Optimierung der Funktionalität und Sicherheitsverwaltung für mobile Geräte ermöglicht. Die Software enthält üblicherweise eine Serverkomponente, die Verwaltungsbefehle an mobile Geräte sendet, die über eine Clientkomponente zum Empfangen und Ausführen der Verwaltungsbefehle verfügen.

Eine MDM-Lösung enthält in der Regel die folgenden Funktionen:

  • Geräteüberwachung, Neustart und Verschlüsselung
  • Umsetzung von Kennwortrichtinien, Kennwortrücksetzung
  • Vordefinierte WiFi-Einstellungen/VPN-Konfigurationen (Virtual Private Network)
  • Funktionen zum Entfernen von Sperren und Zurücksetzen
  • Umsetzung von Datensicherungseinstellungen
  • Jailbreak-Erkennung

Mobile Application Management (MAM) bietet eine zusätzliche Sicherheitsebene für mobile Geräte: Hierbei handelt es sich um den Einsatz von Software und Services, die den Zugriff auf einzelne Apps auf den Geräten ermöglichen und steuern. Dadurch verfügen Administratoren über eine differenziertere Kontrolle auf Anwendungsebene, um App-Daten zu verwalten und zu sichern. Eine MDM-Softwarelösung kann im Rahmen ihrer Funktionalität MAM-Funktionen enthalten.

Esri hat festgestellt, dass MDM-basierte MAM-Angebote, die eine Neuerstellung der App mit dem MDM Software Development Kit (SDK) erforderlich machen, in der Regel nicht gut funktionieren. Es gibt Esri Kunden, die MAM-Angebote verwenden, für die kein MDM-SDK eingebunden werden muss. Esri bietet nur Unterstützung für veröffentlichte Store-Versionen, die im Rahmen des Supports für den Produktlebenszyklus aufgeführt sind.

Als Hilfestellung für IT-Manager und GIS-Administratoren bei der Bereitstellung eines Enterprise-GIS mit mobiler Komponente hat das Esri Software Security and Privacy Team eine technische Dokumentation mit dem Titel ArcGIS Secure Mobile Implementation Patterns herausgegeben, die detailliertere Informationen enthält.

Authentifizierung

Authentifizierung beinhaltet die Überprüfung der Anmeldeinformationen bei einem Verbindungsversuch zur Überprüfung der Identität des Clients. Stellen Sie sicher, dass die Authentifizierung für den Zugriff auf GIS-Services aktiviert ist. Insbesondere für Mobilanwendungen gibt es mehrere mögliche Optionen, abhängig von den verfügbaren Funktionen in Ihrem Unternehmen, z. B., ob ein mobiles Sicherheits-Gateway vorhanden ist oder ob ein vorhandenes VPN (Virtual Private Network) von mobilen Geräten genutzt werden kann. Zu diesen Optionen gehören u. a.:

  • Integrierte Windows-Authentifizierung (IWA): mit Kerberos (oder, falls nicht verfügbar, NTLM), das Single Sign-On für eine Windows-basierte Umgebung bereitstellt
  • Token-basierte Authentifizierung: unter Verwendung von ArcGIS-Token, die Authentifizierung auf der gesamten ArcGIS Plattform zur Verfügung stellen
  • Organisationsspezifisch mit SAML 2.0 oder OpenID Connect: ArcGIS Online oder ArcGIS Enterprise ermöglicht Kunden die Verwendung von SAML 2.0 oder OpenID Connect, um Single-Sign-On im Web zu implementieren.

Autorisierung

Autorisierung ist der Vorgang, mit dem Client-Berechtigungen überprüft werden, bevor auf eine Ressource zugegriffen oder eine bestimmte Funktion ausgeführt wird. Benutzern sollten Berechtigungen je nach Rolle und Least-Privilege-Prinzip zugewiesen werden. Für mobile Anwendungen kann dies auf verschiedenen Ebenen erfolgen:

  • Ordnungsgemäße Verwaltung der Autorisierung innerhalb verfügbarer Rollen in ArcGIS, z. B. Administrator, Publisher und Benutzer
  • Verwenden einfacher Autorisierung und Bereitstellung auf EMM-Anwendungsebene

Verschlüsselung

Bei der Verschlüsselung werden Daten so transformiert, dass sie für Benutzer, die keinen Zugriff auf einen Entschlüsselungsschlüssel haben, nicht lesbar sind.

  • Verschlüsseln von Daten während der Übermittlung mithilfe von HTTPS im gesamten Enterprise-GIS.
  • Verschlüsseln ruhender Daten auf dem mobilen Gerät. Dies kann technisch folgendermaßen umgesetzt werden:

Protokollierung und Überwachung

Die Protokollierung umfasst das Aufzeichnen von relevanten Ereignissen in einem System. Unter Überwachung versteht man die Überprüfung der Protokolle. Dadurch kann sichergestellt werden, dass das System ordnungsgemäß funktioniert, oder eine Fragestellung zu einer bestimmten Transaktion geklärt werden. Die Protokollierung und Überwachung kann für Mobile auf den folgenden Ebenen vereinfacht werden:

  • auf der Geräteebene durch die EMM-Lösung (Enterprise Mobility Management)
  • auf der Anwendungsebene durch die Protokollierung bestimmter Benutzertransaktionen

Diese Ergebnisse sollten an eine SIEM- (Security Information and Event Management-)Lösung für Unternehmen übergeben werden, um die automatische Korrelation der Protokolldaten zur Unterstützung der Erkennung potenzieller Angriffe zu vereinfachen.

Härtung

Bei der Härtung werden Systeme sicher konfiguriert, um möglichst viele Sicherheitsrisiken zu reduzieren. Die Angriffsfläche kann folgendermaßen für mobile Bereitstellungen minimiert werden:

  • Härtung von Server-Endpunkten
    • Verwendung einer MAM-Lösung (Mobile Application Management) zur Einschränkung von Anwendungen.
    • Serverseitige Sicherheit wird gemäß der OWASP Mobile Top 10 als primäres mobiles Risiko bezeichnet.
    • Befolgen Sie die Standardempfehlungen für Server-Härtung, die auf branchenweite Empfehlungen ausgerichtet sind.