Sicherheitsempfehlungen zur Mobilen App

Aus Sicherheitsgründen muss der Systemadministrator folgende Massnahmen ergreifen, wenn er die Managementplattform und das Mobilgerät für die Arbeit mit der Mobilen App konfiguriert.

Internet- oder Intranet-Bereitstellung

Der IIS-Webserver der Desigo CC-Bereitstellung kann für die Kommunikation mit Clients der Mobilen App innerhalb eines Intranets (WLAN) oder über das Internet (3G/4G) konfiguriert werden.

• Intranet-Bereitstellungen sind in sich sicherer, da die App nur funktioniert, wenn sich das Mobilgerät am Standort befindet, und der IIS-Webserver keine Verbindung zum Internet hat.
• Bei Internet-Bereitstellungen wird empfohlen, das System mit einem Remote-IIS-Webserver zu konfigurieren (der auf einem anderen Computer als der Desigo CC-Server ausgeführt wird) und den IIS-Webserver vom Rest der Managementplattform mit einem Perimeter-Netzwerk (DMZ) zu isolieren.

Weitere Informationen zu Bereitstellungsszenarien finden Sie unter Übersicht über die Bereitstellung der Mobilen App.

Wenn die Mobile App über das Internet mit der Managementplattform verbunden ist, empfehlen wir eine oder mehrere der folgenden Vorsichtsmassnahmen:

- Konfigurieren Sie die Webservices der Managementplattform als schreibgeschützt.

- Richten Sie eine VPN (Virtual Private Network)-Verbindung zwischen dem Router und dem Mobilgerät ein. Oder nutzen Sie einen Remote-IIS-Webserver in einem Perimeter-Netzwerk (DMZ) mit Firewalls als Alternative zu einem VPN.

- Verwenden Sie die Authentifizierungsmethode für die Abbildung des IIS-Client-Zertifikats, um sicherzustellen, dass nur Mobilgeräte mit einem gültigen Zertifikat sich mit der Webservice-Schnittstelle verbinden können.
Der Anbieter übernimmt keine Verantwortung für einen etwaigen Missbrauch der App in einer unsicheren Umgebung.

Verbindung zwischen IIS-Webserver und mobiler App sichern

Die Mobile App verbindet sich über eine Webapplikation, die auf einem IIS-Webserver gehostet wird, mit Desigo CC. Diese Kommunikation ist mit einem der beiden folgenden Sicherheitszertifikate gesichert (https://):

• (Empfohlen). Einem Hostzertifikat einer öffentlichen Zertifizierungsstelle (herausgegeben von einer öffentlich vertrauenswürdigen Zertifizierungsstelle), das Sie auf dem IIS-Webserver installieren. Dieses kann von kommerziellen Zertifizierungsstellen erworben werden. Hostzertifikate einer öffentlichen Zertifizierungsstelle werden automatisch von der App erkannt. Dies ist die geläufige Sicherheitslösung für die Kommunikation mit der App über das Internet.
• Ein Hostzertifikat einer privaten Zertifizierungsstelle, das Sie selbst mit der SMC erstellen und auf dem IIS-Webserver installieren. Dies ist eine geläufige Methode für die Kommunikation mit der App über ein Intranet. In diesem Fall muss das nicht-öffentliche Root-Zertifikat, mit dem dieses Hostzertifikat erstellt wurde, explizit auf dem Mobilgerät installiert werden, damit die App ihm vertraut.

Weitere Informationen über die Konfiguration des Zertifikats für die Kommunikation mit der Mobilen App finden Sie unter Zertifikate für die Mobile App vorbereiten.

Es wird empfohlen, immer ein Hostzertifikat einer öffentlichen Zertifizierungsstelle zu verwenden, um hinsichtlich der IT-Sicherheit beste Leistungen zu erreichen, insbesondere, wenn die App über das Internet eine Verbindung zu Desigo CC herstellt.

Verbindung zwischen Desigo CC-Server und IIS-Webserver sichern

Bei Bereitstellungen mit einem Remote-IIS-Webserver (der auf einem vom Desigo CC-Server getrennten Computer ausgeführt wird) muss die Kommunikation zwischen dem Desigo CC-Server und dem IIS-Webservercomputer mit einem Zertifikat gesichert werden. Anweisungen hierzu finden Sie unter Zertifikate für Webservices vorbereiten.

WLAN-Verbindung des Geräts sichern

Der WLAN-Kanal, den das Mobilgerät verwendet, muss immer mit einer WPA2-Verschlüsselung geschützt werden. Hierzu:

• Konfigurieren Sie die Wireless-Router, mit denen sich das Mobilgerät verbindet (am Standort und andernorts), sodass sie eine WPA2-Verschlüsselung mit einem starken Passwort verwenden.
• Wählen Sie auf dem Mobilgerät gegebenenfalls unerwünschte Netzwerke in den WLAN-Einstellungen und löschen Sie sie, um zu verhindern, dass es sich automatisch mit ungesicherten WLAN-Netzen verbindet. Deaktivieren Sie ausserdem alle Einstellungen, die eine automatische Verbindung des Geräts mit verfügbaren WLAN-Netzwerken zulassen.

Konfiguration des Mobilgeräts sperren

Das Mobilgerät, auf dem die App installiert ist, muss exklusiv diesem Zweck dienen, mit einer Software-Konfiguration, die streng kontrolliert und gesperrt wird. Der Nutzer darf beispielsweise keine anderen Apps installieren und keine Geräteeinstellungen ändern.

Aus Sicherheitsgründen startet die Mobile App nicht auf Mobilgeräten mit Jailbreak oder gerooteten Geräten, und auch nicht, wenn die Entwickleroptionen von Android aktiviert sind. (Siehe Systemanforderungen)

Schützen Sie die Mobilgeräte durch angemessene Sicherheitsmassnahmen.

• Richten Sie ein Gerätepasswort ein, und konfigurieren Sie eine automatische Bildschirmsperre sowie einen Bildschirm-Timeout.
• Verbinden Sie das Gerät nicht mit ad-hoc-WLANs.
• Konfigurieren Sie den Browser für eine sichere Nutzung.
• Verwenden Sie keine Cloud-/Onlinespeicher und -dienste.
• Nutzen Sie Bluetooth und NFC nur unter sicheren Bedingungen.

Weitere Details erfahren Sie beim Kundensupport.

Anmeldedaten des Benutzers schützen

• Stellen Sie sicher, dass Benutzer ein starkes Passwort verwenden (mindestens 8 Zeichen lang, Kombination von Zahlen und Buchstaben), wenn Sie sich bei der App anmelden.
  Hinweis: Die Anmeldedaten (Benutzername und Passwort) für die Anmeldung bei der App sind dieselben wie die für die Anmeldung bei der Managementplattform am Standort.
• Tun Sie sofort Folgendes, wenn das Mobilgerät gestohlen wird oder verloren geht:
• Deaktivieren Sie das Benutzerkonto oder ändern Sie das Passwort.
• Nehmen Sie eine Datenlöschung aus der Ferne vor.