Die IT-Sicherheit spielt in Unternehmen wie der VGH eine nicht zu unterschätzende Rolle. Oft steht sie zunächst in direkter Konkurrenz zur Usability einer Anwendung. Der Vortrag ist zugleich ein Erfahrungsbericht aus der Entwicklung einer BlackBerry App mit Ansätzen zum Weiterdenken.
Carsten Wagner (ivv / VGH)
Die mobile Zukunft. Neuheiten und aktuelle Trends rund um mobile Endgeräte un...
Usability trifft IT-Sicherheit: Eine besondere Herausforderung für mobile Business-Applikationen?
1. Usability vs. IT-Sicherheit
Eine besondere Herausforderung
für mobile Business-Applikationen?
World Usability Day 2010 - Hannover
„Mobile Kommunikation und Mobile Usability“
Carsten Wagner
11.11.2010
2. 11.11.2010 Carsten Wagner (DA-AS) - ivv GmbH Seite 2
Agenda
Vorstellung
Bedeutung von IT-Sicherheit in Unternehmen
IT-Sicherheit vs. Usability (In der Praxis diskutierte Ansätze)
IT-Sicherheit auf mobilen Endgeräten
IT-Sicherheit in der Anwendung
Herstellerspezifische Vorgaben
Praxisbeispiel
Fazit
3. 11.11.2010 Carsten Wagner (DA-AS) - ivv GmbH Seite 3
Bedeutung von IT-Sicherheit in Unternehmen
Antriebsfaktoren für IT-Sicherheit in Unternehmen
1. Vermeidung von Datendiebstahl (1,8)
2. Vermeidung von finanziellem Schaden (1,9)
3. Aufrechterhaltung des operationalen Geschäftsablaufs (1,9)
4. Vermeidung von Imageverlust (2,0)
5. Vermeidung von Haftungsrisiken (2,1)
1
1,5
2
2,5
3
3,5
4
4,5
5
1 2 3 4 5
Skala (1: sehr wichtig – 5: unwichtig)
Quelle: Marktforschungs- und Beratungsunternehmen IDC, IT Security
in Deutschland, 2010
4. 11.11.2010 Carsten Wagner (DA-AS) - ivv GmbH Seite 4
Bedeutung von IT-Sicherheit in Unternehmen
IT-Sicherheit:
Warum muss man sich überhaupt schützen und wovor?
Hauptziele der Angreifer:
Zugang zu geschützten Daten (Unternehmens Know-How,
Kundendaten, etc.)
Manipulation von Daten (Finanzdaten, Vertragsdaten, etc.)
Blockieren von Geschäftsprozessen
Etc.
Potentielle Gefahren (Beispiele):
Viren, Würmer, Trojaner
Schwachstellen im Quellcode/Programm
Mangelnde Sensibilisierung der Mitarbeiter
„schwache“ Umsetzung von Sicherheitsvorgaben (IT-Policies)
Nicht immer sind Sicherheitslücken (einer Software) das Problem!
5. 11.11.2010 Carsten Wagner (DA-AS) - ivv GmbH Seite 5
Fazit: Bedeutung von IT-Sicherheit in Unternehmen
IT-Sicherheit spielt - insbesondere in Unternehmen - eine wichtige Rolle!
Welche Schutz-Maßnahmen können im mobilen Kontext ergriffen
werden?
Wie beeinflussen diese die Usability?
6. 11.11.2010 Carsten Wagner (DA-AS) - ivv GmbH Seite 6
IT-Sicherheit vs. Usability
IT-Sicherheit auf mobilen Endgeräten
Deaktivieren von Schnittstellen: USB, SD-Karte, Bluetooth, WLAN
PIN-Bildschirmsperre
Kurze Sperrzeit
Sichere Zeichenkombination (möglichst lang + Sonderzeichen)
Begrenzte Kennwortgültigkeit;
Verlauf für die PIN-Wiederverwendung
Progressiver Geräteschutz
Gerät nach
wiederholter Falscheingabe löschen
Zweck
Schutz vor Zugriff von Unbefugten / Schutz bei Verlust des Gerätes
Schutz vor dem Aufspielen unsicherer Software (Daten gelangen nicht
direkt ins innere Netz)
7. 11.11.2010 Carsten Wagner (DA-AS) - ivv GmbH Seite 7
IT-Sicherheit vs. Usability
Auswirkungen auf die Usability
Keine „externen“ Apps nutzbar (geminderte User Experience)
„Störende“ Neuvergabe von Passwörtern nach Ablauf der Gültigkeit
„unfreundliche“ (lange und komplexe) PINs: umständlich eingebbar
auf (kleinen) mobilen Geräten
8. 11.11.2010 Carsten Wagner (DA-AS) - ivv GmbH Seite 8
IT-Sicherheit vs. Usability
Displaysperre - Positive Beispiele:
PIN-Sperre per BlackBerry Etui
Display entsperren per Entsperrungsmuster
9. 11.11.2010 Carsten Wagner (DA-AS) - ivv GmbH Seite 9
IT-Sicherheit vs. Usability
IT-Sicherheit in der Anwendung
Verschlüsselung der zu übertragenden Daten
Hardwareverschlüsselung für auf dem Gerät gespeicherte Daten
Möglichst Verzicht auf Speicherung von Daten auf dem Gerät
Unternehmenskritische Daten
Kundendaten
Sessions mit raschem Timeout
Zweck
Daten können nicht während der Übertragung mitgelesen werden
Daten können nicht im Klartext gestohlen werden
Datenverlust verhindern
10. 11.11.2010 Carsten Wagner (DA-AS) - ivv GmbH Seite 10
Auswirkungen auf die Usability
Auswirkungen auf die Usability
Ver- und Entschlüsselungen benötigen Rechenzeit/Prozessorleistung
und beanspruchen somit den Akku stärker
Längere Ladezeiten durch den Onlinezugriff auf die Daten
Abbrüche/Fehler/Wartezeiten bei Netzproblemen
Häufiges Anmelden erforderlich (mehrmals täglich mit neuer Session)
11. 11.11.2010 Carsten Wagner (DA-AS) - ivv GmbH Seite 11
IT-Sicherheit vs. Usability
Herstellerspezifische Vorgaben zur Erhöhung der IT-Sicherheit
Apple: App Store Review Guidelines (Code Review)
BlackBerry: Code Signing Key
Auswirkungen auf die Entwicklung:
Rückverfolgbarkeit bis zum Entwickler der Anwendung
Erhöhte Entwicklungszeiten / Beeinflussung der „Usability“ der
App-Entwicklung
Auswirkungen auf die Usability
Nutzer erhalten performante, einheitlich designte Apps (Apple)
Das Risiko sich Schadsoftware aufzuspielen wird minimiert
User Experience bei der Benutzung der Endgeräte wird optimiert
12. 11.11.2010 Carsten Wagner (DA-AS) - ivv GmbH Seite 12
Praxisbericht
„Mobi“ - BlackBerry Anwendung
(App für Versicherungsvertreter: Vertragsauskunft für unterwegs)
„IT-Policy“ für BlackBerrys
USB, WLAN, Bluetooth, SD-Karten Slot deaktiviert
Bluetooth für Freisprecheinrichtungen offen
PIN: nicht zu komplex (da er sonst aufgeschrieben wird)
aber: nur wenige Versuche bis zum Löschen des Gerätes
Zeit bis zum Erscheinen des Bildschirmschoners stark reduziert,
dafür hält die Anwendung ihre Session länger
Registrierung der App am BlackBerry Enterprise Server erforderlich
Eigene IT-Policy für Entwickler Smartphones
Keine Speicherung von Daten auf dem Gerät (Online-Zugriff)
Verschlüsselte Datenübertragung
BlackBerry-Etuis im Einsatz
13. 11.11.2010 Carsten Wagner (DA-AS) - ivv GmbH Seite 13
Praxisbericht - Exkurs
Exkurs: Einschränkungen beim Design mobiler Apps (BlackBerry)
Kurze Akkulaufzeit
Langsame Prozessoren
Wenig Arbeitsspeicher
Längere Antwortzeiten bei kabellosen Datenverbindungen
Gegenmaßnahmen und Entwicklerhinweise, Best Practices zur
einheitlichen Gestaltung und Steigerung der Usability
Fundamentals Guide, UI Guidelines
http://docs.blackberry.com/de-de/developers/
14. 11.11.2010 Carsten Wagner (DA-AS) - ivv GmbH Seite 14
Fazit
Ohne IT-Sicherheit und damit verbundenen Restriktionen der Usability
geht es in Unternehmen nicht
ABER:
Wichtig: gezielte Auswahl an Sicherheitsfeatures
Finden von tragbaren Kompromissen zwischen Wahrung der
notwendigen IT-Sicherheit und guter Usability!
Nicht alle Sicherheitsmaßnahmen beeinflussen unmittelbar die
Usability
Frühzeitiges Auseinandersetzten mit dem IT-Sicherheitsbeauftragten!
Vorab Usability-Test denkbar…
...aber Diskussion der Ergebnisse wird schwierig Verantwortung
Es gibt keine Patentlösung!
IT-Sicherheitsmaßnahmen und Auswirkungen auf die Usability
müssen für jeden Einzelfall neu bewertet werden.
15. 11.11.2010 Carsten Wagner (DA-AS) - ivv GmbH Seite 15
Fragen / Diskussion
Vielen Dank für Ihre Aufmerksamkeit!
Nun ist es Zeit für Ihre Fragen und Diskussionen…
Anhaltspunkte:
Wo liegt die richtige Balance zwischen Usability und IT-Sicherheit?
Wie sicher ist ihr Smartphone? Verzichten Sie bewusst auf
Sicherheitsmechanismen?
Kennen Sie Applikationen deren Usability durch Sicherheitsfeatures
beeinflusst wird?