Mobiles Geschäftsprozessmanagement. Konzeption eines IT-Sicherheitskonzepts für Business-Apps

Inhaltsverzeichnis

Zusammenfassung

Abstract

Abbildungsverzeichnis

Tabellenverzeichnis

Abkurzungsverzeichnis

1 Einleitung

2 IT-Sicherheit
2.1 Vertraulichkeit
2.2 Integritat
2.3 Verfugbarkeit

3 Mobile Geschaftsprozesse
3.1 Eigenschaften mobiler Geschaftsprozesse
3.2 Technische Grundlagen mobiler Geschaftsprozesse
3.2.1 Mobile Endgerate
3.2.2 Mobile Betriebssysteme
3.2.3 Mobile Apps
3.2.4 Datennetze fur mobile Endgerate
3.3 Organisationskonzepte fur die Verwaltung mobiler Endgerate
3.3.1 BYOD
3.3.2 CYOD
3.3.3 COPE
3.3.4 Gegenuberstellung der Verwaltungskonzepte

4 Einsatzkontext von Business-Apps
4.1 Anwendungsbereich mobiler Business-Apps
4.1.1 Mobile SCM
4.1.2 Mobile WorkforceManagement
4.1.3 Mobile CRM
4.2 Entwicklung eines Prozess-Szenarios
4.2.1 Ist-Zustand des Vertriebsprozesses
4.2.2 Potentialanalyse fur den Einsatz von Business-Apps
4.2.3 Modellierung des neuen Vertriebsprozesses

5 Sicherheitsanalyse des restrukturierten Geschaftsprozesses
5.1 Schutzbedarfsermittlung der Business-App
5.1.1 Schadensmodell
5.1.2 Schutzbedarf
5.2 Bedrohungsanalyse
5.2.1 Bedrohungen
5.2.2 Schwachstellen
5.3 Risikoanalyse

6 Auswahl der SicherheitsmaBnahmen
6.1 Technische MaBnahmen
6.1.1 Mobile Device Management Software
6.1.2 VPN-Verbindung
6.2 Organisatorische MaBnahmen
6.3 Personelle MaBnahmen

7 Einfuhrung und Betrieb des IT-Sicherheitskonzepts

8 Management Summary

Literaturverzeichnis

Zusammenfassung

Mobile Apps wurden bisher vorrangig privat genutzt, allerdings wachst auch das Interesse von Unternehmen sie zur Unterstutzung von Geschaftsprozessen einzusetzen. Haufig werden mobile Apps ohne Legitimation durch die IT-Abteilung von den Mitarbeitern verwendet. Al- lerdings entstehen durch den Einsatz von Business-Apps neue Sicherheitsrisiken, wobei auch bisherige Risiken von stationaren Systemen ubernommen werden. Um mobile Geschaftspro- zesse moglichst optimal abzusichern, mussen verschiedenste sicherheitsrelevante Aspekte beachtet werden. Dabei reicht es nicht aus, lediglich technische Gegebenheiten zu analysie- ren, sondern es mussen auch der Ablauf des Geschaftsprozesses sowie die daran beteiligten Personen bei der Erstellung eines Sicherheitskonzeptes berucksichtigt werden. Bereits vor Einsatz von Business-Apps sollte die Notwendigkeit der betrieblich eingesetzten mobilen Applikationen anhand einzelner Kriterien fur einen Geschaftsprozess gepruft werden, um ei- nen rein technikgetriebenen Einsatz zu verhindern und eine effizienzbasierte Nutzung zu er- moglichen.

Aus dem privaten Gebrauch mobiler Endgerate entstehen Praferenzen fur den betrieblichen Einsatz bestimmter mobiler Betriebssysteme. Mitarbeiter wunschen oftmals eigene private Smartphones fur betriebliche Zwecke einzusetzen, die sich jedoch auf die Sicherheit von Ge- schaftsprozessen auswirken. Fur die Erstellung eines Sicherheitskonzeptes fur mobile Apps sind daher die Faktoren Geschaftsprozess, Technik und Nutzer zu beachten. Geschaftsprozes- se mussen angepasst und organisatorische, technische und personelle MaBnahmen ergriffen werden. Erst mit der Einfuhrung stetiger Kontrollprozesse konnen Sicherheitsrisiken langfris- tig reduziert werden.

Abstract

Until now, mobile apps have been primarily in private use. Newly, business companies are becoming increasingly interested in their technology to support work flow and business pro­cesses. The use of business apps, however, implies arising security risks and existing security lacks of stationary systems will also be added to latter. In order to effectively secure mobile business processes several aspects need to be respected. It is not sufficient to only analyze technical characteristics as flow of business processes needs to be included when designing a new security concept. Single criteria of the business process should be examined before im­plementation of business apps in order to evaluate their necessity. This enables the use of mo­bile apps for efficiency oriented work flows beyond mere technology driven utilization.

Preferences for business use of mobile apps can be formed through private use of mobile apps of employees. Latter often express the wish to apply private smartphones for operational se­quences which can in turn endanger security of business processes. Therefore, business pro­cesses, technology and utilization behavior have to be analyzed when developing a security concept for mobile apps. Operational sequences as well as measures of human resources, or­ganizational and technical aspects need to be considered and adjusted in order to create con­tinuous controlling mechanisms to reduce security risks.

Abbildungsverzeichnis

Abbildung 1: Anzahl der Smartphone-Nutzer in Deutschland

Abbildung 2: Nutzungsverteilung mobiler Betriebssysteme in der deutschen Wirtschaft

Abbildung 3: Android Systemverteilung Juli 2014 nach Google-Play-Store-App

Abbildung 4: Sicherheitskonzepte von Android und iOS im Vergleich

Abbildung 5: Vergleich verschiedener App-Arten

Abbildung 6: Annahmen uber die Anwendung mobiler Losungen nach Branchen

Abbildung 7: Vertriebsprozess ohne Einsatz von Business-Apps (1)

Abbildung 8: Vertriebsprozess ohne Einsatz von Business-Apps (2)

Abbildung 9: Vertriebsprozess mit Einsatz von Business-Apps (1)

Abbildung 10: Vertriebsprozess mit Einsatz von Business-Apps (2)

Abbildung 11: Sicherheitskonzept - Abschnitt 1

Abbildung 12: Sicherheitskonzept - Abschnitt 2

Abbildung 13: SicherheitsmaBnahmen

Abbildung 14: Kontrollprozess

Abbildung 15: Entwicklung der Gefahren fur mobile Apps im Jahr 2013

Tabellenverzeichnis

Tabelle 1: Schutzbedarfskategorie „normal“

Tabelle 2: Schutzbedarfskategorie „hoch“

Tabelle 3: Schutzbedarfskategorie „sehr hoch“

Abkurzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

“When we're talking about the post-PC world, we're talking about a world where the PC is no longer the center of your digital world, but rather just a device. We're talking about a world where your new devices, the devices you use the most, need to be more portable, more personal and dramatically easier to use than any PC has ever been.”

Tim Cook, 2012 (Guglielmo 2012).

Mit dieser Aussage beschrieb Tim Cook, Chief Executive Officer von Apple, 2012 die wach- sende Bedeutung mobiler Endgerate. Wahrend im Januar 2010 8,43 Millionen Menschen in Deutschland ein Smartphone nutzten, verwendeten im Februar 2014 bereits 40,4 Millionen Menschen ein derartiges Endgerat (siehe Abbildung 1).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Anzahl der Smartphone-Nutzer in Deutschland Daten: ComScore 2014; eigene Darstellung.

Mit der zunehmenden Verbreitung mobiler Endgerate startete auch der Siegeszug mobiler Applikationen (Apps). Apps sind Softwareprogramme fur mobile Endgerate, mit deren Nut- zung ortsunabhangig und zu jeder Zeit auf unterschiedlichste Internet-Services zugegriffen werden kann (Caspritz et al. 2013, 2). Wahrend im Jahr 2011 deutschlandweit 0,962 Milliar­den und weltweit 24,89 Milliarden Apps heruntergeladen wurden, werden fur das Jahr 2014 3,4 Milliarden Downloads von mobilen Applikationen in Deutschland und 138,8 Milliarden Downloads weltweit erwartet (Bitkom 2014; Van der Meulen et al. 2013). Durch den Ausbau der Mobilfunknetze und den Einsatz neuer Standards mit hohen Datenubertragungsraten konnte diese Entwicklung unterstutzt werden (Maske 2012, 222ff.).

Aufgrund der flexiblen und mobilen Verwendung der Apps in Verbindung mit einem mobilen Endgerat, werden sie zunehmend fur den Einsatz in Unternehmen attraktiv. Diese versprechen sich vom Einsatz der Apps vor allem eine bessere Verfugbarkeit von Informationen und eine effizientere Kommunikation unter den Mitarbeitern und mit den Kunden. Daruber hinaus sol- len vorhandene Geschaftsprozesse mit der Anwendung spezifischer Business-Apps unterstutzt werden (Arnold et al. 2011). Als Business-Apps werden demnach Apps bezeichnet, die zur Unterstutzung der Geschaftsprozesse in Unternehmen eingesetzt werden (Hulskotter 2013).

Der Einsatz mobiler Endgerate erfolgt hingegen nicht ohne ein gewisses Sicherheitsrisiko: Unternehmen samtlicher Branchen sind vermehrt von Industriespionage betroffen, infolge derer Unternehmensdaten immer professionelleren Bedrohungen ausgesetzt sind; die Qualitat der Angriffe steigert sich kontinuierlich (BSI 2013a, 2f.). Mobile Endgerate rucken dabei in den Fokus, denn Unternehmen verzeichnen vermehrt Datenverluste aufgrund nicht ausrei- chend gesicherter mobiler Endgerate (Jeschke 2012). Laut einer BITKOM Studie aus dem Jahr 2012 verzichten 42 Prozent der befragten Unternehmen auf ein mobiles Sicherheitskon- zept. Ungenugend geschutzte Smartphones oder Tablets konnen ein wirtschaftliches Risiko darstellen. Insbesondere kleine und mittelstandische Unternehmen mit weniger als 250 Mitar- beitern sind allzu nachlassig hinsichtlich der Sicherheit mobiler Endgerate, wahrend grobe Unternehmen die Problematik beim Einsatz von Smartphones oder Tablets zumeist erkannt haben (Bitkom 2014a). Aufgrund dieser Entwicklung gilt die Sicherheit der Informationssys- teme als das wichtigste Thema im Jahr 2014 fur IT-Abteilungen deutscher Unternehmen (Bit­kom 2014b). Um Unternehmensdaten zuverlassig zu schutzen wird daher ein umfangreiches mobiles Sicherheitskonzept benotigt.

Die folgende Ausarbeitung erlautert den Entwurf eines IT-Sicherheitskonzeptes fur mobile Apps im betrieblichen Einsatz. Ziel dabei ist es, die Auswirkungen des Einsatzes mobiler Apps auf die IT-Sicherheit aufzuzeigen und dabei die Aspekte mobiler Geschaftsprozesse zu beachten. Zusatzlich wird ein Handlungsrahmen fur den moglichen Einsatz von Business- Apps erstellt, der neben sicherheitstechnischen Aspekten auch die Effizienz des jeweiligen Geschaftsprozesses berucksichtigt.

Zunachst werden in Kapitel 1 die Grundlagen der IT-Sicherheit vermittelt. Dabei werden de­ren drei Hauptziele: Vertraulichkeit, Integritat und Verfugbarkeit aufgezeigt, an denen sich das mobile Sicherheitskonzept orientiert und die Auswirkung des mobilen Charakters auf die Ziele.

Um anschlieBend die Besonderheiten mobiler Geschaftsprozesse darzustellen, werden in Ka- pitel 2 Eigenschaften mobiler Prozesse charakterisiert. Notige Grundlagen mobiler Geschafts- prozesse und dazugehorige technische Komponenten, die einen moglichen Einfluss auf die Sicherheit mobiler Apps haben, werden dargelegt und ihre Auswirkungen auf die Sicherheit mobiler Geschaftsprozesse untersucht. Daneben werden verschiedene Organisationskonzepte zur Integration mobiler Endgerate in Unternehmen aufgezeigt und deren Unterschiede erar- beitet. Der Einfluss der unterschiedlichen Konzepte auf das Sicherheitsniveau wird analysiert und bewertet.

Folgend werden in Kapitel 4 geeignete Einsatzszenarien fur Business-Apps dargestellt und anhand eines Beispielprozesses die Auswirkungen des Einsatzes von Apps auf die Struktur des Geschaftsprozesses aufgezeigt. Als Beispiel dient ein Geschaftsprozess aus der Versiche- rungsbranche, der umstrukturiert und durch ein mobiles Endgerat kombiniert mit einer Busi- ness-App ausgestattet wird.

Darauf aufbauend wird innerhalb der Sicherheitsanalyse in Kapitel 5 der Schutzbedarf des neu konstruierten mobilen Geschaftsprozesses ermittelt, wodurch das weitere Vorgehen be- stimmt wird. Die potentiell darauf folgende Bedrohungs- und Risikoanalyse wird infolgedes- sen erlautert. Anhand der spezifischen Gegebenheiten wird auf die verschiedenen Risiken fur mobile Prozesse eingegangen.

In Kapitel 6 werden die verschiedenen Arten moglicher SicherheitsmaBnahmen erlautert und entsprechend der Schwachstellen und des Schutzbedarfs des mobilen Geschaftsprozesses konkrete MaBnahmen vorgestellt. Dabei werden technische, organisatorische und personelle MaBnahmen erlautert.

Zuletzt wird die Notwendigkeit eines kontinuierlichen Sicherheitsprozesses und einer entspre- chenden Losung aufgezeigt. Im Zuge dessen wird die stetig steigende Anzahl mobiler Gefah- ren dargestellt und deren Entwicklung analysiert.

2 IT-Sicherheit

Um Geschaftsprozesse zufriedenstellend fur Kunden oder Lieferanten durchzufuhren, ist die Sicherheit der IT-Systeme von groBer Bedeutung. IT-Sicherheit ist „die Abwesenheit von Gefahren bei systematisch verbundenen IT-Komponenten“ (Witt 2006, 1). Daruber hinaus beschreibt der Begriff IT-Sicherheit „Probleme und GegenmaBnahmen, die sich bei der Ver- wendung moderner Informations- und Kommunikationssysteme durch die Einflussnahme Unbefugter ergeben.“ (Poguntke 2007, 4).

Die Sicherheit der Informationstechnik dient dem Zweck, Werte eines Unternehmens zu schutzen und folglich wirtschaftliche Nachteile abzuwenden. Dementsprechend ist etwa be- triebliches Wissen vor Gefahren abzusichern (Eckert 2012, 1). Die zu erfullenden Anforde- rungen an die IT-Sicherheit ergeben sich aus unterschiedlichen Anforderungen; dabei sind gesetzliche Vorgaben, spezifischen Besonderheiten des Unternehmens und betrieblichen Standards zu unterscheiden (Witt 2006, 54).

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verpflichtet die Unternehmensleitung von Kapitalgesellschaften ein Risikomanagement-System einzufuh- ren. Im Zuge dessen ist ein Uberwachungssystem einzurichten, um Fehlentwicklungen in der IT-Sicherheit fruhzeitig zu identifizieren (Oettinger 2010). Ferner mussen Richtlinien fur den Umgang mit Storungen und Verwundbarkeiten der Informationstechnik erarbeitet werden (Mackenbrock 2009;Witt 2006, 4).

Unternehmensspezifische Anforderungen an die IT-Sicherheit sind zumeist auf einen hohen Stellenwert der Informationssicherheit in dem jeweiligen Unternehmen zuruckzufuhren. Ein Wissensvorsprung, der einen Wettbewerbsvorteil darstellt, wird als besonders schutzenswert erachtet und begrundet die bedeutende Rolle der IT-Sicherheit.

Daneben beeinflussen auch IT-Sicherheitsstandards, wie die Common Criteria for Informati­on Technology Security Evaluation, die IT-Sicherheit eines Unternehmens. Dieser Standard definiert Kriterien fur die Bewertung der Sicherheit eines Informationssystems, wobei funkti- onale Sicherheitsanforderungen wie auch Anforderungen an die Vertrauenswurdigkeit eines IT-Systems beachtet werden (Common Criteria Editorial Board 2012).

Die Schutzziele der IT-Sicherheit stellen Sicherheitsanforderungen an IT-Systeme dar, die zum Schutz von Informationen oder Daten dienen. Vertraulichkeit, Integritat und Verfugbar- keit reprasentieren die drei wesentlichen IT-Schutzziele (BSI 2014a), die in verschiedenen wissenschaftlichen Veroffentlichungen uneinheitlich erganzt wurden, etwa um die Themen Kontingenz (Rost, Pfitzmann), Transparenz (Bender et al. 2010) oder Zweckbindung (Bub et al. 2011, 74). Im Folgenden werden dagegen nur die Schutzziele Vertraulichkeit, Integritat und Verfugbarkeit naher erlautert, weil sie in vielen Publikationen stets den Kern der wesent- lichen IT-Schutzziele bilden.

2.1 Vertraulichkeit

„Die Vertraulichkeit eines IT-System ist gegeben, wenn die dort verarbeiteten Informationen nur fur Berechtigte zuganglich sind.“ (Wandtke 2011, 266). Nachrichteninhalte sollen daher vertraulich behandelt werden und nur ausgewahlten Personen zuganglich sein (Prokein 2007, 12). Neben transportierten oder gespeicherten Nachrichten sind ebenso Daten uber Empfangs- und Sendevorgang und Informationen uber den Kommunikationsvorgang zu schutzen (Holz­nagel 2003, 13;Bedner et al. 2010).

Der geographische Einsatzort einer Anwendung sollte auberdem weder fur Unbeteiligte noch fur Kommunikationspartner lokalisierbar sein (Prokein 2007, 12f.). Durch den Einsatz von GPS-Modulen in Smartphones oder Tablets und einer mobilen Datenubertragung kann aller- dings die geographische Position eines Endgerates bestimmt werden (BSI 2013b).

Ausgehend von stationaren IT-Systemen umfasst der Aspekt der Vertraulichkeit eines IT- Systems auch den Schutz der beteiligten IT-Anwender vor Beobachtungen durch Dritte (Bed- ner 2012, 189). Durch den mobilen und ortsunabhangigen Einsatz von Business-Apps ist die­ses Ziel allerdings nur durch starke Einschrankungen in der Nutzung der Apps zu realisieren und widerspricht der Vorstellung Apps jederzeit und an jedem Ort einzusetzen. Das Verhalten der Anwender von Smartphones und Tablets vor Beobachtungen durch Dritte zu schutzen ist daher mit dem Einsatz mobiler Losungen kaum vereinbar.

2.2 Integritat

Die Integritat eines IT-Systems umfasst „die Sicherstellung der Korrektheit (Unversehrtheit) von Daten (Datenintegritat) beziehungsweise die korrekte Funktionsweise von Systemen (Systemintegritat).“ (Hungenberg 2014). Daten werden als korrekt bezeichnet, wenn sie mit den realen Fakten ubereinstimmen (Dippold et al. 2001, 132). Die Datenintegritat wird si- chergestellt, wenn unautorisierte Nutzer zu schutzende Daten nicht manipulieren konnen (E­ckert 2012, 9). Systemintegritat bezeichnet das logische und korrekte Verhalten eines IT- Systems im Zuge dessen Daten wahrend der Verarbeitung oder Ubertragung nicht durch das IT-System beschadigt werden durfen (Hungenberg 2014; Holznagel 2003, 13). Manipulati­ons- oder Beschadigungsmoglichkeiten sind das Einfugen, Loschen und Ersetzen von Daten oder Teilbestanden von Daten (Bedner 2010).

Ubertragen auf die mobile Anwendungsinfrastruktur bedeutet das, dass Apps und Daten auf mobilen Endgeraten vor Manipulation geschutzt werden mussen. Der Programmcode einer App sowie die von ihr bearbeiteten Daten durfen nicht durch einen unautorisierten Zugriff geandert, geloscht oder erganzt werden. Des Weiteren sollen diese Daten, die mit einer App verarbeitet oder versendet werden, nicht durch das Betriebssystem oder eine andere mobile Software beschadigt werden.

2.3 Verfugbarkeit

Die Verfugbarkeit bezieht sich auf informationstechnische Systeme zuzuglich der darin ge- speicherten Daten. Informationssysteme sollen stetig einsatzbereit und der Zugriff auf deren Daten moglich sein. Nach Bender und Ackermann wird im betrieblichen Umfeld die Verfug- barkeit anhand der Ausfallzeit eines Systems, beispielsweise eines Servers, im Verhaltnis zur Gesamtlaufzeit gemessen (Bedner 2010). Ein Serverausfall bewirkt daher eine niedrige Ver- fugbarkeit und sollte daher moglichst vermieden werden. Harich erweitert diesen Ansatz durch Messung eines weiteren Kriteriums (Harich 2012, 279, 284ff). Dabei wird die Verfug- barkeit anhand der Anzahl moglicher Zugriffe gemessen (Harich 2012, 286). Wird etwa der Zugriff auf Kundendaten uber eine Business-App fur AuBendienstler eines Unternehmens ermoglicht, anstatt bisher nur uber das Intranet, wirkt sich dies positiv auf die Verfugbarkeit des Systems bzw. der Daten aus. Die Anzahl der Kanale, uber die auf Daten zugegriffen wer- den konnen, beeinflusst dadurch insbesondere bei mobilen Geschaftsprozessen den Grad der Verfugbarkeit.

Die Mobilisierung von Geschaftsprozessen sowie der Einsatz entsprechender Apps beeinflusst das zu erreichende Sicherheitsniveau. Durch den Einsatz von mobilen Endgeraten ist vor al- lem die Vertraulichkeit von Daten, die durch Business-Apps abgerufen werden konnen, auf- grund der Unsicherheit des Einsatzortes sowie technischen Gegebenheiten gefahrdet. Die Ver- fugbarkeit wird dagegen durch den Einsatz von mobilen Applikationen gesteigert. Die Mobi- lisierung von Geschaftsprozessen hat daher sowohl positive als auch negative Auswirkung auf die Sicherheit von Daten.

3 Mobile Geschaftsprozesse

Uber das Verhaltnis zwischen dem Begriff „Geschaftsprozess“ und „Prozess“ existieren in der Literatur verschiedene Annahmen. Becker unterscheidet zwischen „Geschaftsprozess“ und „Prozess“: Ein Prozess wird als „inhaltlich abgeschlossene, zeitliche und sachlogische Folge von Aktivitaten, die zur Bearbeitung eines betriebswirtschaftlich relevanten Objekts notwen- dig sind“ aufgefasst wohingegen ein Geschaftsprozess als „ein spezieller Prozess, der der Er- fullung der obersten Ziele der Unternehmung dient und das zentrale Geschaftsfeld be- schreibt“, definiert wird (Becker et al. 2004, 107; Becker et al. 2008, 6f.). Im Gegensatz dazu werden von anderen Autoren im Bereich der Betriebswirtschaftslehre, etwa Heilmann oder Davenport, die Begriffe nicht voneinander abgegrenzt und synonym verwendet (Heilmann 1996, 89ff.; Davenport 1993, 5).

Neben Beckers Erklarung fur den Begriff „Geschaftsprozess“ existieren weitere unterschied- liche Definitionen verschiedener Autoren. GemaB Rump ist ein Geschaftsprozess „eine zeitli- che und sachlogisch abhangige Menge von Unternehmensaktivitaten, die ein bestimmtes, un- ternehmensrelevantes Ziel verfolgen und zur Bearbeitung auf Unternehmensressourcen zu- ruckgreifen.“ (Rump 1999, 19). Davenport charakterisiert dagegen einen Geschaftsprozess als „a specific ordering of work activities across time and place, with a beginning, an end, and clearly identified inputs and outputs: a structure for action.” (Davenport 1993, 5). Die Erlaute- rung nach Davenport deckt sich in den wesentlichen Teilen mit der Mehrheit der Definitionen anderer Autoren. Geschaftsprozesse zeichnen sich auBerdem dadurch aus, dass sie in Teilpro- zesse untergliedert werden konnen (Kohler et al. 2004a). Daruber hinaus konnen Geschafts- prozesse Schnittstellen zu Prozessen externer Marktpartner, wie etwa Kunden oder Lieferan- ten, aufweisen (Sattler 2001).

Ein Geschaftsprozess reprasentiert folglich eine logische Verkettung von Aktivitaten. Dabei werden materielle oder immaterielle Input-Objekte zu einem Output-Objekt transformiert. Die Input-Objekte werden dem Geschaftsprozess von auBen hinzugefuhrt. Output-Objekte repra- sentieren das Ergebnis des Geschaftsprozesses und konnen fur einen nachgelagerten Ge- schaftsprozess wiederum ein Input-Objekt darstellen. Informationen oder Rohstoffe werden dementsprechend in einem wertschopfenden Prozess zu Waren oder Dienstleistungen verar- beitet (Schmelzer et al. 2008, 84; Schwickert et al. 1996, 3); dieser Transformationsprozess kann durch Unternehmensressourcen, etwa Maschinen oder mobile Applikationen, unterstutzt werden. Mobile Geschaftsprozesse weisen neben den bereits genannten Gegebenheiten eine spezifische Verteilungsstruktur sowie weitere besondere Eigenschaften auf (Schmelzer et al. 2008, 84).

3.1 Eigenschaften mobiler Geschaftsprozesse

Ein Geschaftsprozess benotigt mindestens einen mobilen Teilprozess, um als mobiler Ge- schaftsprozess bezeichnet zu werden. Entsprechend Kohler und Gruhn liegt ein mobiler Ge- schaftsprozess vor, wenn

„fur mindestens einen Teilprozess des Geschaftsprozesses

a) eine ,Unsicherheit des Ortes‘ vorliegt,
b) die ,Unsicherheit der Ortes‘ extern determiniert ist und
c) am Ort der Ausfuhrung des Teilprozesses eine Kooperation mit aus Prozess- sicht externen Ressourcen notwendig ist.“ (Kohler et al. 2004a, 244f.).

Gemab Annahme a) ist der Ort, an dem der Teilprozess durchgefuhrt wird, nicht fest termi- niert. Der Teilprozess kann an unterschiedlichen Orten durchgefuhrt werden und auch wah- rend der Durchfuhrung ist ein Wechsel des Standorts moglich.

Annahme b) basiert auf der Idee, dass die jeweiligen Aufgabentrager des einzelnen Teilpro- zesses den Ausfuhrungsort nicht eigenstandig festlegen konnen. Der Ausfuhrungsort wird durch externe Faktoren bestimmt.

Entsprechend Annahme c) muss die Person, die den Teilprozess ausfuhrt, mit externen Res- sourcen kooperieren. Dies umfasst einen Koordinations- oder Kommunikationsbedarf mit anderen Personen, einen Informationsaustausch oder eine Interaktion mit anderen Objekten (Kohler et al. 2004a, 244f.).

Ein Aubendienstmitarbeiter eines Reparaturservices besucht beispielsweise einen Kunden, um dessen Heizung zu reparieren. Die „Unsicherheit des Ortes“ ist erfullt, da der Aubendienst- mitarbeiter stets zu verschiedenen Kunden fahren muss (Annahme a). Die unterschiedlichen Wohnorte der Kunden, an denen die Dienstleistung des Mitarbeiters erbracht wird begrunden die extern determinierte Unsicherheit (Annahme b). Um die Heizung zu reparieren, muss der Handwerker mit dem Kunden kommunizieren, um etwa den Schadenshergang oder eine fal- sche Handhabung durch den Kunden in Erfahrung zu bringen (Annahme c). Die Reparatur der Heizung des Kunden stellt also einen mobilen Teilprozess dar. Der gesamte Geschaftsprozess mit der Bezeichnung „Reparaturservice“, der auch die Rechnungserstellung in der Zentrale sowie die Entgegennahme des Anrufs des Kunden beinhaltet, wird aufgrund des mobilen Pro- zessanteils als mobiler Geschaftsprozess bezeichnet.

Ein Mitarbeiter im Innendienst fuhrt dagegen bei Abruf von Unternehmenskennzahlen uber eine mobile App keinen mobilen Teilprozess aus. Es liegt keine Unsicherheit des Ortes vor, da der Arbeitsplatz im Innendienst zumeist fest terminiert ist. Annahme a) ist somit nicht er- fullt und die Prufung der restlichen Anforderungen wird uberfallig. Es besteht daher in diesem Fall kein mobiler Geschaftsprozess (Kohler et al. 2004a, 245).

3.2 Technische Grundlagen mobiler Geschaftsprozesse

Die Abwicklung von Geschaftsprozessen kann effektiv durch den Einsatz moderner IT- Systeme unterstutzt werden (Scheuring et al. 2006, 135). Fur die Unterstutzung mobiler Ge- schaftsprozesse werden verschiedene Komponenten benotigt, die Bestandteile des sogenann- ten mobilen Okosystems sind. Das mobile Okosystem ermoglicht die Nutzung verschiedener mobiler Services, indem die Elemente des Okosystems miteinander agieren. Zu den Bestand- teilen des mobilen Okosystems gehoren unter anderem mobile Endgerate, das mobile Be- triebssystem, (Business-) Apps sowie vorhandene Mobilfunknetze (Fling 2009, 13f.).

Zur Unterstutzung mobiler Geschaftsprozesse werden Business-Apps auf einem mobilen Be- triebssystem installiert, welches wiederum auf einem mobilen Endgerat eingerichtet wird. Um prozessrelevante Daten zu transferieren, kommuniziert das Endgerat uber das vorhandene Mobilfunknetz (Bitkom 2012b). Diese technischen Elemente sind insbesondere aus Grunden der Sicherheit und zum Verstandnis der Unterstutzung mobiler Geschaftsprozesse bedeutend.

3.2.1 Mobile Endgerate

Fur den Begriff „mobiles Endgerat“ existiert keine einheitliche Definition oder Klassifikation. Im folgenden Abschnitt werden unterschiedliche Ansatze vorgestellt.

Tschersich klassifiziert verschiedene Geratetypen nach drei Dimensionen:

a) „Erreichbarkeit“,
b) „Ortsunabhangigkeit“ und
c) „Lokalisierbarkeit“ (Tschersich 2010).

Erreichbarkeit bedeutet bei mobilen Endgeraten, dass das Gerat sich stets in der Nahe des Nutzers befindet und uber Netzwerke mit anderen Geraten kommunizieren kann. Ortsunab- hangige Gerate weisen eine „mobile tragbare Form“ auf (Tschersich 2010). Die Lokalisier- barkeit wird durch technische Eigenschaften, etwa ein GPS-Modul mit dem das Gerat geortet werden kann, erreicht.

Mobile Endgerate weisen dabei in allen drei Dimensionen hohe Auspragungen auf. Laptops verfugen durch ihren mobilen Formfaktor im Vergleich zu Desktop-PCs uber eine hohere Ortunabhangigkeit. Die Lokalisierbarkeit von Laptops kann zwar durch ein GPS-Modul ge- steigert werden, allerdings wird nicht die Erreichbarkeit eines Smartphones erlangt, da es zu- meist von seinem Nutzer mitgefuhrt wird. Als „mobile Endgerate“ klassifiziert Tschersich demnach Smartphones und Mobiltelefone. Tablets werden dagegen nicht der Sparte „mobile Endgerate“ zugeordnet, da der Benutzer sie nicht stetig mit sich fuhrt (Tschersich 2010).

Das National Institute of Standards and Technology, eine Bundesbehorde der USA, definiert anhand spezifischer Eigenschaften der Software und Hardware mobile Endgerate. Mobile Endgerate sind demnach gekennzeichnet durch:

a) Eine kompakte Form,
b) mindestens ein drahtloses Netzwerkmodul zur mobilen Datenkommunikation,
c) einen lokalen Datenspeicher,
d) ein Betriebssystem (allerdings kein umfassendes Betriebssystem fur Desktop-PCs oder Laptops) und
e) mobile Applikationen, die uber verschiedene Kanale (etwa App-Store oder Browser), zur Verfugung stehen (Souppaya et al. 2013).

Entsprechend dieser Eigenschaften werden Smartphones, und im Gegensatz zur Klassifikation nach Tschersich, auch Tablets als mobile Endgerate bezeichnet.

Das deutsche Bundesamt fur Sicherheit in der Informationstechnik stellt im Gegensatz zu den bisherigen Ansatzen nur eine Anforderung an mobile Endgerate: Spezielle Betriebssysteme operieren auf mobilen Endgeraten. Dennoch ordnet das Bundesamt fur Sicherheit in der In- formationstechnik, neben Tablets und Smartphones, auch Laptops als mobile Endgerate ein, obwohl diese zumeist ohne spezielle Betriebssysteme ausgestattet sind (BSI 2014b).

Eine Gemeinsamkeit der unterschiedlichen Annahmen besteht in der Klassifizierung von Smartphones und Tablets als mobile Endgerate. Zwar werden auch bereits Applikationen fur PCs und Laptops als App bezeichnet und uber App-Stores vertrieben, allerdings beschranken sich die folgenden Ausfuhrungen auf Smartphones beziehungsweise Tablets und passende Apps (Apple 2014).

Als Smartphones werden Mobiltelefone bezeichnet, „die fur eine intensive mobile Internet- nutzung entworfen wurden und dem Benutzer die Moglichkeit bieten, Zusatzsoftware (soge- nannte ,Applications‘ - kurz: ,Apps‘) zu installieren.“ (Amberg et al. 2011, 308).

Tablets „sind auBerst flache, in der Form und GroBe ahnlich einer Schreibtafel aufgebaute Personal Computer (PC), weswegen sie auch als Tafel-PC bezeichnet werden“ (Lipinski 2014). Des Weiteren sind sie batteriebetrieben und uber drahtlose Schnittstellen mit dem In­ternet verbunden. Die Bedienung erfolgt uber einen Touchscreen.

3.2.2 Mobile Betriebssysteme

Die Bezeichnung Betriebssystem ist ein

„Sammelbegriff fur Programme (Systemprogramme), die den Betrieb eines Computers erst moglich machen; auch als Operating System (OS) bezeichnet. Sie steuern und uberwachen das Zusammenspiel der Hardwarekomponenten im Rahmen der Auftrags- , Daten-, Arbeitsspeicher- und Programmverwaltung [...] sowie der Systemsicherung. [...] Das Betriebssystem macht ein Datenverarbeitungssystem erst bedienbar und be- herrschbar.“

Fur mobile Endgerate existieren speziell entwickelte Betriebssysteme, die auf die besonderen Eigenschaften der mobilen Endgerate angepasst wurden. Eingeschrankte Hardwareressourcen, wie etwa einen schwacheren Prozessor, sowie die Benutzerschnittstellen der Touchscreens von Smartphones und Tablets, werden dabei berucksichtigt. Um dem mobilen Charakter die- ser Gerate gerecht zu werden, sind daruber hinaus ein effizientes Energiemanagement sowie die Integration moderner Kommunikationsverfahren, etwa UMTS oder LTE, softwaretech- nisch erforderlich (BSI 2014b).

Fur mobile Endgerate existieren unterschiedliche Betriebssysteme. In deutschen Unternehmen wurden im Jahr 2013 vor allem Android von Google und iOS von Apple genutzt. 39 Prozent der Unternehmen setzten das Betriebssystem von Google ein, wahrend Apple dort einen Marktanteil von 36 Prozent hatte. Die mobilen Betriebssysteme Windows Phone, Blackberry OS und Symbian kamen zusammen nur auf einen Marktanteil von 25 Prozent (siehe Abbil- dung 2). Aufgrund ihrer Marktdominanz werden in dieser Arbeit Android und iOS eingehend betrachtet.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Nutzungsverteilung mobiler Betriebssysteme in der deutschen Wirtschaft Daten: ECO2013;eigene Darstellung.

Das ursprunglich von Google entwickelte mobile Betriebssystem „Android“ wurde 2008 ver- offentlicht (Ihlenfeld 2008). Aktuell wird es von Google und der Open Handset Alliance wei- terentwickelt. Die Open Handset Alliance wurde 2007 von Google gegrundet und stellt ein Konsortium, bestehend aus Mobiltelefonhersteller, Netzbetreiber, Chiphersteller, Softwareun- ternehmen und Marketingunternehmen, dar (Open Handset Alliance 2014a; Bauer et al. 2014).

Die Verwendung von Android ist nicht an Endgerate eines Herstellers gebunden. Das mobile Betriebssystem, ohne Google Apps, ist eine sogenannte „Open Source Software“ (Open Handset Alliance 2014b). Fur die Verwendung von Android sind seitens der Endgerate- Hersteller keine Lizenzgebuhren zu zahlen und die Software kann nach den Wunschen der Hardwareproduzenten angepasst werden. Bei Vertrieb der Smartphones mit Android und pas- senden Google-Apps, die wichtige Bestandteile eines Android Endgerates darstellen, wird allerdings eine Lizenzgebuhr an Google von etwa 0,75 US-Dollar bis 1,33 US-Dollar fallig (Arthur 2014). Durch den Anreiz niedriger Lizenzgebuhren und der Anpassungsfahigkeit des Betriebssystems an die individuellen Wunsche der Produzenten entstand ein breites Angebot an mobilen Endgeraten unterschiedlichster Hersteller. Nach einer Studie des Softwareherstel- lers OpenSignal existierten im Jahr 2013 11.868 unterschiedliche Android Endgerate (Open Signal 2013). Die mogliche Modifizierung von Android durch den Geratehersteller begunstigt die starke Fragmentierung des mobilen Betriebssystems.

Die Hersteller sind fur die Bereitstellung von Updates fur die Software-Plattform zustandig. Aufgrund wirtschaftlicher Aspekte oder mangelnder Hardware-Performance werden viele Endgerate nicht mit Betriebssystem-Updates versorgt (Kuhn 2012). Im Juli 2014 konnte Google anhand der Nutzungsdaten der aktuellen Play-Store-App, die mindestens Android Version 2.2 benotigt, die Verwendung sieben unterschiedlicher Android-Versionen dokumen- tieren. Ein Prozent der Playstore-App Nutzer verwendeten die Version „Android 2.2“, 13 Pro- zent der Anwender setzten ein Android-Gerat mit „Android 2.3“ ein, welches den Codenamen „Gingerbread“ tragt und bereits im Dezember 2010 erschienen ist (Trautmann 2010). Die Mehrheit verwendet ein Endgerat mit einer „Android 4“ Versionsnummer, bestehend aus „Android 4.0“ (11 %), „Android 4.1“ (28 %), „Android 4.2“ (20 %), „Android 4.3“ (9 %) und „Android 4.4“ (18 %; siehe Abbildung 3; Development-Android 2014). Die heterogene Sys- temlandschaft stellt insbesondere fur die Sicherheit der Android-Systeme ein Gefahrenpoten- tial dar, da nicht alle Endgerate mit aktuellen Sicherheitsupdates versorgt werden.

Neben dieser heterogenen Landschaft von Betriebssystemen werden von der groBen Anzahl von Herstellern mobiler Endgerate mit Android unterschiedlichste Hardwarekomponenten eingesetzt. Diese Soft- und Hardware-Fragmentierung erschwert eine erfolgreiche Anpassung der Apps beziehungsweise Business-Apps an die Android-Endgerate (Pazarino 2012).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Android Systemverteilung Juli 2014 nach Google-Play-Store-App Daten: DEVELOPMENT-ANDROID 2014; eigene Darstellung in Anlehnung an Kovach 2012.

„Native“ und „hybride“ Apps (siehe Kapitel 3.2.3) konnen uber den Google App-Store oder manuell auf das mobile Endgerat ubertragen werden. Neu eingestellte Apps mussen den Ge- nehmigungsprozess von Google zunachst nicht durchlaufen; innerhalb einer bis zwei Stunden stehen sie im App-Store zum Herunterladen bereit. Zwar werden verfugbare Apps im App­Store nach Schadsoftware durchsucht, allerdings erst nachdem sie bereits veroffentlicht wur- den (Spielberger 2012; Pakalski 2012). Des Weiteren werden Berechtigungen, die der Nutzer einer App gewahren soll, nicht von Google uberpruft. Apps konnen dadurch Berechtigungen erlangen, die sie fur ihre eigentliche wesentliche Tatigkeit keineswegs benotigen (Steinmels 2014). Der Anwender sollte sich daher bewusst sein, ob eine App die verlangten Berechtigun- gen benotigt oder sie missbraucht. Es besteht die Gefahr, dass Daten des Nutzers, etwa SMS- Nachrichten, durch die Entwickler mithilfe der App ausgespaht werden. Hier wird deutlich, dass der Nutzer in besonderem MaBe mitverantwortlich ist fur die Sicherheit seines Android­Systems, wenn der Genehmigungsprozess neuer Apps fehlt, Apps manuell auf das Endgerat ubertragen werden konnen und verlangte Berechtigungen der zu installierenden Apps nicht auf Sinnhaftigkeit uberpruft werden.

Apple setzt mit iOS auf eine entgegengesetzte Strategie. Das mobile Betriebssystem erschien im Jahr 2007 zusammen mit dem iPhone (Apple 2007). Apple liefert das einheitliche Be- triebssystem dabei nur auf der eigens entwickelten iPhone- und iPad-Reihe aus (Trautmann et al. 2014). Die Software kann dadurch exakt an die Hardwareeigenschaften dieser mobilen Endgerate angepasst werden. Version 7 von iOS erschien im Jahr 2013, ist aber weiterhin mit dem 2010 erschienenen iPhone 4 kompatibel. Dadurch sind mehr als 85 Prozent der genutzten iPhones mit der aktuellen iOS Version 7 betriebsfahig (Stand August 2014; Becker 2014). Da Betriebssystem-Updates direkt uber iOS geladen werden konnen, werden Updates oder die neueste iOS-Version schnell von dem GroBteil der Nutzer installiert. Durch diese Update- Politik profitiert auch die Sicherheit der mobilen Systeme, indem Sicherheitsupdates schnell und fur viele Apple-Gerate bereitgestellt werden (Fock 2014, 99). In Verbindung mit der ho- mogenen Hardware- als auch Software-Struktur konnen Business-Apps passend an die mobi- len Apple Endgerate angepasst werden.

Fur die Ubertragung von nativen oder hybriden Apps auf Endgerate mit iOS ist nur der zent- rale App-Store von Apple vorgesehen, wodurch ein regulierendes Eingreifen durch das Un- ternehmen ermoglicht wird. Damit eine App im App-Store verfugbar ist, muss diese zunachst einen Genehmigungsprozess durchlaufen. Im Rahmen dieses Prozesses wird der Code der App durch Mitarbeiter von Apple analysiert, um ihn anschlieBend auf Instabilitat und Pro- grammfehler zu testen (Beier 2009). Ferner wird gepruft, ob die App private Daten auslesen kann, die nicht fur ihre eigentliche Tatigkeit benotigt werden und den Entwicklern verborgen bleiben sollten. Eine Taschenrechner-App sollte etwa keine auf dem Endgerat befindlichen Kontaktdaten auslesen konnen (Tabini et al. 2013). In einem derartigen Fall wurde die App nicht in den App-Store aufgenommen. Auch Berechtigungen, die den Funktionsumfang einer App um sinnvolle Moglichkeiten erweitert, konnen durch den Nutzer individuell innerhalb der Einstellungen des Endgerates eingeschrankt werden (Eckert et al. 2012).

Im Gegensatz zu Google und Android ubernimmt Apple vermehrt Verantwortung fur Stabili- tat und Sicherheit der Apps, die auf iOS laufen. Die einzelnen Apps werden zwar aufgrund der hohen Anzahl neu erscheinender Apps in unterschiedlichem AusmaB gepruft, allerdings mithilfe geeigneter IT-Spezialisten von Apple und passender Software (Fock 2014, 99). Google uberlasst dagegen diese Verantwortung dem Endnutzer, der allerdings nicht in jedem Fall uber das notige Wissen zur Erkennung von Schadsoftware verfugt. Viele Anwender kon- nen daruber hinaus oft nicht erkennen, wenn eine App Berechtigungen einfordert, die fur ihre eigentliche Tatigkeit nicht benotigt werden. Dadurch kann letztlich die Sicherheit des mobilen Systems beeintrachtigt werden (siehe Abbildung 4).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Sicherheitskonzepte von Android und iOS im Vergleich Eigene Darstellung.

3.2.3 Mobile Apps

Als Apps werden Software-Programme fur mobile Endgerate charakterisiert (Mayer 2012, 12). Die Bezeichnung „App“ ist eine Abkurzung fur das englische Wort „Application“ (Rouse 2011a). Als Applikationen werden zwar mobile und Desktop-Applikationen definiert, aller- dings wird die Abkurzung „App“ seit der Einfuhrung des iPhones und des dazugehorigen App-Stores mit mobilen Anwendungen gleichgesetzt (Linnhoff-Popien et al. 2012, 3).

Drei Arten von Apps werden anhand ihres technischen Aufbaus differenziert: native Apps, Web-Apps und hybride Apps. Die verschiedenen Arten von Apps verfugen uber unterschied- liche technische Eigenschaften, die die Sicherheit der mobilen Applikationen beeinflussen (Franke et al. 2013, 23).

Eine native App wird speziell fur ein mobiles Betriebssystem entwickelt. Native Apps errei- chen dadurch, etwa im Vergleich zu Web-Apps, eine hohe Performance (Rouse 2011b). Bei- nahe jedes mobile Betriebssystem hat eine eigene Programmiersprache. Fur die Programmie- rung von iOS-Apps ist Objective-C-Erfahrung erforderlich; fur die Erstellung von Android- Apps werden dagegen Java-Kenntnisse vorausgesetzt. Native mobile Applikationen werden auf dem mobilen Betriebssystem des Endgerats durch den Anwender gespeichert und instal- liert (Steyer 2013, 27). Dadurch wird ein Zugriff der App auf bereitgestellte Sicherheitsme- chanismen, etwa verschiedene Verschlusselungsbibliotheken, durch das mobile Betriebssys- tem ermoglicht. Lokal gespeicherte Daten der App werden auf diese Weise gesichert (Merz 2014, 49). Bei dem mobilen Betriebssystem iOS und Android lauft auberdem jede installierte App und ihre dazugehorigen Daten in einer eigenen Laufzeitumgebung. Der Zugriff auf samt- liche Hardwarekomponenten wird dadurch ermoglicht, dass Apps uber die bereitgestellten Programmschnittstellen mit dem Betriebssystem kommunizieren. Der unbefugte Lesezugriff auf Daten einer nativen Anwendung wird durch die Kontrolle der Schnittstellen durch das jeweilige System verhindert (Tabini et al. 2013).

Das technische Gegenteil einer nativen App ist die Web-App. Bei der Web-App handelt es sich eigentlich um eine Internetseite; sie muss deshalb nicht auf dem mobilen Betriebssystem installiert werden. Die Web-App wird auf einem Server, wie eine normale Internetseite, ge- speichert und ermoglicht dadurch einen plattformunabhangigen Einsatz (Rouse 2011c). Web- Apps werden mit HTML5, einer Auszeichnungssprache fur Internetseiten, und CSS3 erstellt. Durch den Einsatz der deklarativen Sprache CSS3 werden HTML-Dokumente stilistisch strukturiert (Franke et al. 2013, 37ff.) und die Seite auf die Besonderheiten der mobilen End- gerate, beispielswiese die Grobe des Bildschirms, angepasst. Uber den mobilen Browser wird die App uber die passende URL aufgerufen (Heise 2011). Fur eine optimale Nutzung wird eine schnelle Internetverbindung benotigt. Durch die zentrale Speicherung der App auf einem Server wird gewahrleistet, dass samtliche Nutzer die neueste Version verwenden. Die lokale Speicherung temporarer Daten einer Web-App auf einem mobilen Endgerat wird trotz der eingesetzten Architektur ermoglicht. Die Daten werden im Cache des mobilen Internet­Browsers hinterlegt. Allerdings betragt die Speicherkapazitat des Caches etwa 10 Megabyte und ist somit stark begrenzt (Wurstl 2013). Wird mehr Speicher im Cache beansprucht als vorhanden, werden altere Daten im Cache uberschrieben. Daten, die von einer Web-App im Cache hinterlegt wurden, werden bereits durch haufiges „surfen“ im Internet verdrangt (Schaffry 2013). Der Cache des Browsers wird zwar durch verschiedene Techniken vor frem- dem Zugriff geschutzt, allerdings erreicht die Verschlusselung nicht den Sicherheitsstandard einer nativen App, die mithilfe verschiedener kombinierter Verschlusselungsbibliotheken ge- sichert wird (Korf et al. 2014). Web-Apps sind von der Sicherheit des benutzten Internet­Browsers abhangig, da dieser die Laufzeitumgebung fur eine Web-App darstellt. Der Zugriff auf Hardwarekomponenten wird uber den Webbrowser abgewickelt und ist eingeschrankt: Zwar kann beispielsweise die Nutzung des GPS-Moduls in die Web-App integriert werden, eine integrierte Kamera oder ein Gyroskop konnen allerdings nicht angesteuert werden (Wurstl 2013).

Hybride Apps stellen eine Kombination von nativen Apps und Web-Apps dar. Die Konstruk- tion einer hybriden App ahnelt derjenigen einer Web-App, denn bei beiden wird mit Web- Technologien (HTML5 und CSS3) die eigentliche Funktionalitat abgebildet. AnschlieBend wird diese Konstruktion in einen nativen Container, indem der Web-Code ausgefuhrt wird, eingebettet (Nielsen et al. 2013, 58). Durch diesen nativen Programmcode wird eine Einbin­dung samtlicher integrierter Hardwarekomponenten ermoglicht. Eine hybride App kann all- gemein auf Basis von Web-Technologien entwickelt und nachfolgend mit dem passenden nativen Container fur das jeweilige Betriebssystem angepasst werden. Die Speicherung der App wird auf dem Endgerat realisiert und die hybride App kann uber einen App-Store ver- trieben werden (Jacob 2014).

Die verschiedenen Arten von Apps unterscheiden sich vor allem in der Performance, der Adaptionsfahigkeit auf verschiedene Systeme, dem Funktionsumfang sowie der Sicherheit. Durch die Moglichkeit samtliche Funktionen und Inhalte der App auf das mobile Betriebssys- tem beziehungsweise Endgerat anzupassen, erreichen native Apps die hochste Performance. Wahrend Web-Apps zumeist samtliche Daten aus dem Internet herunterladen mussen, kann dies bei hybriden Apps durch den Einsatz eines nativen Containers umgangen werden. Hybri- de Apps weisen somit eine hohere Performance als Web-Apps auf (Wurstl 2013). Durch die zusatzliche Interpretation des Web-Codes erreichen hybride Apps allerdings eine geringere Geschwindigkeit als native Apps (Skidmore 2013).

Die Funktionalitat von Web-Apps ist im Vergleich zu nativen und hybriden Apps einge- schrankt: Web-Apps konnen im Gegensatz zu nativen und hybriden Apps nicht auf die Kame- ra oder das Gyroskop des Endgerats zugreifen. Eine Business-App, die etwa Barcodes zur Identifikation von Produkten per Kamera scannen soll, kann nicht als Web-App realisiert werden. Durch den nativen Container wird eine Ansteuerung samtlicher Hardwarekomponen- ten seitens hybrider Apps ermoglicht. Die Funktionalitat hybrider und nativer Apps ist iden- tisch (Wurstl 2013).

Die groBte Starke von Web-Apps gegenuber hybriden und nativen Apps ergibt sich aus der Tatsache, dass Web-Apps als Internetseiten agieren. Sie sind deshalb unabhangig vom Be- triebssystem auf mobilen Endgeraten funktionsfahig und verfugen daher uber die hochste Adaptionsfahigkeit. Native Apps mussen im Gegensatz dazu in der Programmiersprache des jeweiligen Betriebssystems entwickelt werden. Die Adaption einer in Java geschriebenen Android-App fur das mobile Betriebssystem iOS erfordert eine zusatzliche Programmierung der App in Object-C. Der Aufwand fur die Erstellung einer nativen App fur verschiedene Plattformen ist daher betrachtlich hoher als die Entwicklung einer plattformunabhangigen Web-App. Native Apps haben daher die geringste Adaptionsfahigkeit; hybride Apps sind ent- sprechend ihrer Anpassungsfahigkeit nativen Apps uberlegen (siehe Abbildung 5). Der Kern hybrider Apps basiert auf Webtechnologien und ist somit unabhangig von einem bestimmten Betriebssystem. Lediglich der native Container muss entsprechend dem mobilen Betriebssys- tem ausgetauscht werden (Schaffry 2013).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Vergleich verschiedener App-Arten Eigene Darstellung.

Hinsichtlich der Sicherheit weisen native und hybride Apps ahnliche Eigenschaften auf. Beide Arten von Apps werden im Gegensatz zu Web-Apps nicht im Browser ausgefuhrt und sind daher nicht von dessen Sicherheit abhangig. Updates sind bei der Nutzung von Web-Apps, durch die zentrale Speicherung auf einem Server, sofort verfugbar. Updates nativer und hyb- rider Apps werden dagegen durch den App-Store verteilt und auf Schadsoftware gepruft. Die Zeitspanne bis zur Einbindung eines Updates in die App ist insbesondere bei iOS aufgrund des Genehmigungsprozesses langer als bei Web-Apps und kann ein Sicherheitsrisiko darstel- len. Aufgrund des Genehmigungs- bzw. Prufungsprozesses werden die Apps jedoch auf Schadsoftware gepruft. Die Gefahr der Ubertragung schadlicher Software durch Web-Apps ist also hoher als bei nativen oder hybriden Apps. Alle Arten von Apps haben angesichts ihrer Verteilungsstruktur und gemaB ihrer technischen Eigenschaften sicherheitsrelevante Vor- und Nachteile. Da sie sich bei den unterschiedlichen App-Klassen gegenseitig ausgleichen, wird ein homogenes Sicherheitsniveau erreicht (Seer 2011; Balkan 2012, 257).

Fur den Fall der Integration einer Business-App fur spezifische Tatigkeiten in einem Ge- schaftsprozess ist die Auswahl entsprechend der mobilen Infrastruktur sowie der Art der Nut- zung vorzunehmen. Der Sicherheitsaspekt hat aufgrund des einheitlichen Sicherheitsniveaus nativer, hybrider und Web-Apps keinen Einfluss auf die Auswahl einer App. Stattdessen sind die unterschiedlichen Auspragungen bei Performance, Funktionalitat und Adaptionsfahigkeit relevant (siehe Abbildung 4).

3.2.4 Datennetze fur mobile Endgerate

Fur die Unterstutzung eines mobilen Geschaftsprozesses durch eine Business-App wird ein Mobilfunknetz mit Datenverkehr benotigt. Moderne Mobilfunknetze, etwa Universal Mobile Telecommunications System (UMTS) oder Long Term Evolution (LTE), unterstutzen die mobile Datenubertragung. Mit einer theoretisch verfugbaren Downloadgeschwindigkeit von 150 Megabit pro Sekunde (MBit/s) und einer durchschnittlichen Downloadrate von circa 16 MBit/s in deutschen Innenstadten erreicht der LTE-Standard die Geschwindigkeit herkommli- cher DSL-Festnetzanschlusse (Pauler et al. 2013). Die mobilfunkfahigen Smartphones und Tablets haben dadurch einen schnellen Zugriff auf das Internet. Business-Apps konnen folg- lich groBe Mengen an Daten empfangen und versenden.

[...]