Verteilungsplattform mobile Anwendungen Verteilungsplattform mobile Anwendungen Konzept und Evaluierung einer Verteilungsplattform für mobile Anwendungen mit Gemeinnutzen 10. August 2012 1 | S e it e Verteilungsplattform mobile Anwendungen Herausgeber Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS) Kaiserin-Augusta-Allee 31 10589 Berlin, Germany Kontakt Jens Fromm Email: [email protected] Kompetenzzentrum ELAN: Electronic Government and Applications Telefon +49 (0)30 3463-7115 Email: [email protected] Autoren Jens Fromm, Christian Welzel, Petra Hoepner, Jonas Pattberg, Wolfgang Wunderlich 2 | S e it e Verteilungsplattform mobile Anwendungen Inhaltsverzeichnis EXECUTIVE SUMMARY............................................................................................................ 7 1 EINLEITUNG .................................................................................................................. 9 2 ZIELSETZUNG .............................................................................................................. 11 3 RAHMENBEDINGUNGEN .............................................................................................. 13 3.1 Technische Rahmenbedingungen................................................................................... 13 3.2 Organisatorische Rahmenbedingungen .......................................................................... 15 3.2.1 Kostenrisiken durch mobile Endgeräte ........................................................................ 15 3.2.2 Nutzung der Anwendungs-Stores ................................................................................ 17 3.3 Rechtliche Rahmenbedingungen.................................................................................... 18 3.4 Datenschutz und Privatheit ........................................................................................... 20 4 ANFORDERUNGSANALYSE ........................................................................................... 23 4.1 Versionierung und Ausbaustufen ................................................................................... 23 4.2 Systemkontext/-grenzen ............................................................................................... 23 4.3 Akteure/Rollen .............................................................................................................. 24 4.4 Funktionale Anforderungen ........................................................................................... 25 4.4.1 Eigenschaften einer mobilen Anwendung ................................................................... 25 4.4.2 Visualisierung der Verwendung sensibler Daten durch eine Anwendung ...................... 32 4.4.3 Verwaltung von Anwendungen .................................................................................... 33 4.4.4 Anwendungssuche ...................................................................................................... 35 4.4.5 Suchergebnissortierung ...............................................................................................38 4.4.6 Nutzerverwaltung ....................................................................................................... 40 4.4.7 Soziale Medien ............................................................................................................43 4.4.8 Hard- und Software Anforderungen............................................................................ 45 4.4.9 Authentisierung und Zugriffskontrolle ........................................................................ 48 5 SICHERHEITSBETRACHTUNG ........................................................................................ 50 5.1 Schutzziele ................................................................................................................... 50 5.1.1 Integrität .................................................................................................................... 50 5.1.2 Vertraulichkeit ............................................................................................................ 50 5.1.3 Verfügbarkeit .............................................................................................................. 51 5.2 Nutzerverwaltung ......................................................................................................... 51 5.2.1 Registrierung und Authentisierung von Anbietern ...................................................... 52 5.2.2 Rollenkonzept ............................................................................................................ 52 5.3 Sicherheitszonen .......................................................................................................... 52 6 TECHNOLOGIEANALYSE FÜR DIE IMPLEMENTIERUNGSOPTIONEN ................................ 55 6.1 Technologiebeschreibung .............................................................................................. 55 6.1.1 Mobile Endgeräte ........................................................................................................ 55 6.1.2 Mobile Anwendungen ................................................................................................. 56 6.1.3 Native Apps ................................................................................................................. 57 3 | S e it e Verteilungsplattform mobile Anwendungen 6.1.4 HTML5-basierte Anwendung ...................................................................................... 60 6.1.5 Hybride Apps .............................................................................................................. 62 6.1.6 Architekturvergleich ................................................................................................... 65 6.2 Technologieauswahl ...................................................................................................... 65 6.2.1 Funktionale Anforderungen ........................................................................................ 65 6.2.2 Nichtfunktionale Anforderungen ................................................................................ 66 6.3 Handlungsempfehlungen .............................................................................................. 67 7 PROZESSE & ABLÄUFE ................................................................................................ 69 7.1 Anbieter registrieren ..................................................................................................... 70 7.2 Registrierung neuer Anwendungen in der Plattform ........................................................ 70 7.3 Änderung registrierter Anwendungen ............................................................................ 72 7.4 Entfernen von Anwendungen......................................................................................... 73 8 BETRIEBLICHE ASPEKTE ............................................................................................... 74 8.1 Systemübersicht ........................................................................................................... 74 8.1.1 Liferay Portal-System .................................................................................................. 74 8.2 Betriebsumgebung ........................................................................................................ 75 8.2.1 Zeitplanung ................................................................................................................. 76 8.2.2 Verfügbarkeit .............................................................................................................. 76 8.2.3 Backup ........................................................................................................................ 76 8.2.4 Unterhaltung und Wartung .......................................................................................... 77 8.2.5 Deployment................................................................................................................. 77 8.2.6 Support ....................................................................................................................... 78 8.2.7 Statistiken & Auswertungen ........................................................................................ 78 8.3 Sicherheit ..................................................................................................................... 78 8.3.1 SSL Zertifikat .............................................................................................................. 79 8.3.2 Passwörter .................................................................................................................. 79 9 LITERATURVERZEICHNIS ............................................................................................. 80 10 ABKÜRZUNGSVERZEICHNIS ......................................................................................... 81 11 GLOSSAR ..................................................................................................................... 83 12 ANHANG ...................................................................................................................... 85 12.1 Android Zugriffsberechtigungen .................................................................................... 85 12.2 Beispiel Facebook - Berechtigungen ............................................................................... 92 12.3 Nutzungsbedingungen der Anwendungs-Stores ............................................................. 94 12.3.1 Systematik der Übersichten ........................................................................................ 94 12.3.2 Nutzungsbedingungen - Google Play .......................................................................... 96 12.3.3 Nutzungsbedingungen - Apple App-Store .................................................................. 99 12.3.4 Nutzungsbedingungen – Windows Phone Marketplace ............................................. 101 4 | S e it e Verteilungsplattform mobile Anwendungen Abbildungsverzeichnis 77B Abbildung 1: Sensible Daten auf einem mobilen Endgerät ............................................................... 10 Abbildung 2: Screenmockup einer Anwendunginformationsseiten .................................................. 12 Abbildung 3: Wireless Hotspot.......................................................................................................... 14 Abbildung 4: Smartphone Kostenübersicht ...................................................................................... 15 Abbildung 5: Systemkontext ........................................................................................................... 24 Abbildung 6: Akteure .......................................................................................................................25 Abbildung 7: Anwendungsinformationen ......................................................................................... 27 Abbildung 8: Anwendungsverwaltung .............................................................................................. 33 Abbildung 9: Anwendungssuche ...................................................................................................... 35 Abbildung 10: Sortierfunktionen ...................................................................................................... 38 Abbildung 11: Nutzerverwaltung ..................................................................................................... 40 Abbildung 12: Soziale Medien .......................................................................................................... 43 Abbildung 13: Hard- und Software ................................................................................................... 46 Abbildung 14: Authentisierung und Zugriffkontrolle ....................................................................... 48 Abbildung 15: Architektur "Verteilungsplattform für mobile Anwendungen" ................................... 53 Abbildung 16: Native App ................................................................................................................ 60 Abbildung 17: HTML5 App ............................................................................................................... 62 Abbildung 18: Hybride App .............................................................................................................. 64 Abbildung 19: Architektur von Apps ................................................................................................ 65 Abbildung 20: Status einer Anwendung .......................................................................................... 69 Abbildung 21: Anbieter registrieren .................................................................................................. 70 Abbildung 22: Prozess zur Aufnahme neuer Anwendungsbeschreibungen ...................................... 71 Abbildung 23: Prozess zur Änderung von Inhalten ............................................................................ 72 Abbildung 24: Prozess zur Löschung von Anwendungen .................................................................. 73 Abbildung 25: Architektur Liferay (Quelle [Liferay]) ......................................................................... 75 5 | S e it e Verteilungsplattform mobile Anwendungen Tabellenverzeichnis Tabelle 1: Kriterien für die Nutzung der Anwendungs-Stores ........................................................... 17 Tabelle 2: Metadaten einer mobilen Anwendung ............................................................................ 28 Tabelle 3: Anforderungen - Funktionen der Anwendungsverwaltung ............................................... 34 Tabelle 4: Anforderungen - Such-Funktionen für die Anwendungssuche .......................................... 36 Tabelle 5: Anforderungen - Sortierfunktionen für Suchergebnisse ................................................... 39 Tabelle 6: Anforderungen - Funktionen und Eigenschaften der Nutzerverwaltung ........................... 41 Tabelle 7: Anforderungen - Funktionen für die Einbindung von sozialen Medien ............................. 44 Tabelle 8: Anforderungen – Hard- und Software .............................................................................. 47 Tabelle 9: Anforderungen – Authentisierung und Zugriffskontrolle ................................................. 49 Tabelle 10: Mobile Plattformen ........................................................................................................ 57 Tabelle 11: Übersicht über Android Zugriffsberechtigungen .............................................................85 Tabelle 12: Zugriffsrechte der Facebook Messenger App ................................................................ 92 Tabelle 13: Nutzungsbedingungen für Käufer/Nutzer der Anwendung ............................................ 94 Tabelle 14: Nutzungsbedingungen für Entwickler ........................................................................... 95 Tabelle 15: Google Nutzungsbedingungen für Käufer/Nutzer von Anwendungen ............................ 97 Tabelle 16: Google Nutzungsbedingungen für Entwickler ............................................................... 98 Tabelle 17: Apple Nutzungsbedingungen für Käufer/Nutzer von Anwendungen .............................. 99 Tabelle 18: Apple Nutzungsbedingungen für Entwickler ................................................................ 100 Tabelle 19: Microsoft Nutzungsbedingungen für Käufer/Nutzer von Anwendungen ...................... 102 Tabelle 20: Microsoft Nutzungsbedingungen für Entwickler .......................................................... 102 6 | S e it e Verteilungsplattform mobile Anwendungen Executive Summary Der Markt für mobile Anwendungen wächst rasant. Jeder 3.Deutsche hat bereits ein Smartphone. Zurzeit existieren mehrere 1.000.000 Anwendungen (Apps) für mobile Endgeräte in verschiedenen Anwendungs-Stores, wie z.B. Apple App-Store (> 650.000), Windows Phone Marketplace (ca. 100.000) und Google Play (> 500.000). Allerdings sind Nutzer zunehmend überfordert, aus diesem großen Angebot nützliche Anwendungen herauszufinden. Regionalisierte und themenbezogene Angebote für mobile Anwendungen fehlen und informative Produktinformationen werden kaum an- geboten. Eine Überprüfung von App-Anbietern und Apps findet nur rudimentär bezüg- lich der Geschäftsinteressen der Anwendungs-Stores statt. Betreiber von Anwendungs- Stores für mobile Anwendungen geben mit ihren Nutzungsbedingungen den Rahmen für die Entwicklung und Nutzung von Apps vor. Noch weitgehend unbeachtet ist ebenfalls, dass durch mobile Endgeräte eine breite Vielfalt von sensiblen Daten erhoben, verarbeitet, gespeichert und eventuell weiterge- geben werden, wie z.B. Kontaktdaten, Telefonbuch, Email, Daten in sozialen Medien, Online Banking/Online Shopping Informationen und geschäftliche Daten. Neben dieser Art von Informationen, erlangt ein mobiles Endgerät auch noch über die in ihm verbau- ten Sensoren zusätzliches Wissen über den Nutzer. Die Endgeräte beinhalten typi- scherweise eine Kamera, ein Mikrofon, einen Lokalisierungssensor (GPS) und einen Bewegungssensor. Dadurch, dass das Endgeräte im täglichen Leben in unmittelbarer Nähe zu meist einem einzigen Nutzer verbleibt, lassen sich umfassende Bewegungs- und Verhaltensprofile erstellen. Mobile Anwendungen werden nur selten vollständig lokal auf dem Endgerät ausgeführt, sondern interagieren in der Regel mit externen Kommunikationspartnern. Die Existenz einer solchen Kommunikation wird nur von we- nigen mobilen Anwendungen vollständig offengelegt. Auch selbstverständliche Schutz- funktionen, wie eine Firewall oder Viren Scanner haben sich im mobilen Endgerätebe- reich noch nicht durchgesetzt. In diesem Dokument wird die „Verteilungsplattform mobile Anwendungen mit Ge- meinnutzen“ beschrieben, die vorhergenannte Risiken und Problembereiche aktiv kompensiert und das Bewusstsein der Nutzer in Bezug auf die Gefahren und Auswir- kungen des Umgangs mit mobilen Endgeräten sensibilisiert, indem datenschutzrele- vante Informationen nutzerfreundlich dargestellt werden. Die Verteilungsplattform ist ein Katalog von Anwendungen (Apps), der Informationen über die Anwendungen bereitstellt und eine gezielte Suche von Anwendungen ermöglicht. Im Unterschied zu den herkömmlichen Marktplätzen für mobile Anwen- 7 | S e it e Verteilungsplattform mobile Anwendungen dungen (Anwendungs-Stores, z.B. Apple App-Store, Google Play, Windows Market- place) wird das Angebot an mobilen Anwendungen auf gemeinnützige Zwecke sowie auf die Unterstützung einer regionalisierten Suche fokussiert. Die Verteilungsplattform vermittelt Anwendungen zwischen den Anbietern der An- wendung und potentiellen Nutzern. Anbieter registrieren dazu ihre Anwendungen in der Verteilungsplattform und stellen zusätzliche Informationen wie Anwendungsattri- bute, Suchattribute, Zusatzinformationen und Datenschutzinformationen bereit. Die Verteilungsplattform stellt selbst keine mobilen Anwendungen zur Verfügung, sondern verweist zum Download auf existierende Anwendungs-Shops von mobilen Plattformen (z.B. App-Store, Marketplace). Nutzer suchen mit Hilfe der Plattform nach geeigneten Anwendungen. Die Anwendun- gen selbst werden abhängig vom Endgerät des Nutzers direkt aus dem jeweiligen An- wendungs-Shop bezogen. Im Dokument werden die Rahmenbedingungen, Anforderungen, Sicherheitsaspekte, Prozesse und Technologieentscheidungen für die Umsetzung der Verteilungsplattform detailliert ausgeführt und der Betrieb des Prototypen beschrieben. 8 | S e it e Verteilungsplattform mobile Anwendungen 1 Einleitung Die rasante Verbreitung leistungsfähiger mobiler Endgeräte und der Zugang zu bezahl- baren mobilen Breitband-Internetanschlüssen haben zu einer breiten Akzeptanz mobi- ler Endgeräte bei den Nutzern geführt. Jeder 3.Deutsche hat bereits ein Smartphone. Zurzeit existieren mehrere 1.000.000 Anwendungen (Apps) für mobile Endgeräte in verschiedenen Anwendungs-Stores, wie z.B. Apple App-Store (> 650.000), Windows Phone Marketplace (ca. 100.000) und Google Play (> 500.000). Allerdings sind Nutzer zunehmend überfordert, aus diesem großen Angebot die geeig- neten Anwendungen herauszufinden. Die gängigen Anwendungs-Stores bieten oft nur unzureichende Suchmöglichkeiten und die Bewertung und Kategorisierung der Anwen- dungen obliegt den Interessen der Store-Anbieter. Die global agierenden Anwendungs-Stores legen in der Regel auch keinen Wert darauf, regionalisierte und themenbezogene Angebote zusammenzustellen. Diese Kriterien können jedoch bei der Suche nach geeigneten Anwendungen wesentliche Unterstüt- zung mit sich bringen. Anbieter von mobilen Anwendungen mit einem vorwiegend re- gionalen Bezug haben zurzeit kaum Möglichkeiten diese in spezialisierten Anwen- dungs-Stores anzubieten. Oft bleibt nur die Möglichkeit sich im global agierenden Anwendungs-Store der Geräteplattform zu registrieren, mit teilweise enttäuschenden Ergebnissen hinsichtlich der Verbreitung der Anwendung. Noch weitgehend unbeachtet ist ebenfalls, dass durch mobile Endgeräte eine breite Vielfalt von sensiblen Daten erhoben, verarbeitet, gespeichert und eventuell weiterge- geben werden (siehe Abbildung 1), wie z.B. Kontaktdaten, Telefonbuch, Email, Standortdaten, Videodaten, Audiodaten, Daten in sozialen Medien, Online Ban- king/Online Shopping Informationen und geschäftliche Daten. Die umfangreichen technischen Möglichkeiten der mobilen Endgeräte erlauben es ebenfalls, diese Daten für Verhaltensprofile zu nutzen. Durch die ständige Verfügbarkeit und den normalerweise persönlichen Gebrauch der Geräte, entstehen oft eine gefühlte Sicherheit und ein Vertrauen in das Gerät. Dies steht in großem Gegensatz zu der tatsächlichen Gefährdung von sensiblen Informatio- nen durch die Nutzung dieser Geräte. Ein Ziel der Verteilungsplattform ist es daher ebenfalls, das Bewusstsein des Nutzers in Bezug auf die Gefahren und Auswirkungen des Umgangs mit mobilen Endgeräten zu sensibilisieren. 9 | S e it e Verteilungsplattform mobile Anwendungen Abbildung 1: Sensible Daten auf einem mobilen Endgerät Das vorliegende Dokument beschreibt die Anforderungen und den Leistungsumfang der Verteilungsplattform und die Betriebsumgebung des Prototypen: Kapitel 1 (dieses Kapitel) führt in mobile Endgeräte und Anwendungs-Stores, sowie Herausforderungen und Risiken bei deren Nutzung ein. Kapitel 2 beschreibt die Zielsetzung für die Verteilungsplattform für mobile Anwendungen. Kapitel 3 definiert das Umfeld der Verteilungsplattform in Form von techni- schen, organisatorischen und rechtlichen Rahmenbedingungen und führt in die Datenschutz-Problematik auf mobilen Endgeräten ein. Kapitel 4 enthält die funktionalen und nicht-funktionalen Anforderungen an die Verteilungsplattform, sowie die beteiligten Rollen und Akteure. Kapitel 5 betrachtet Sicherheitsaspekte. Kapitel 6 analysiert Technologiealternativen basierend auf den formulierten An- forderungen und gibt Empfehlungen zur Technologieauswahl. Kapitel 7 beschreibt die Prozesse und Abläufe in der Verteilungsplattform. Kapitel 8 konkretisiert den Betrieb des Prototyps. Im Anhang werden potentielle Zugriffsberechtigungen für Apps vorgestellt und Nutzungsbedingungen verschiedener Apps-Stores verglichen. 10 | S e it e
Description: