(openPR) Weil bei den mobilen Anwendungen von Unternehmen häufig der Fokus ausschließlich auf Funktionalitäten und Design gerichtet wird, weist nach einer Untersuchung der TÜV TRUST IT heute jede zweite App erhebliche Sicherheitsmängel auf. Entwicklungsrichtlinien des Security-Spezialisten helfen, die Weichen für sichere und vertrauenswürdige Apps zu stellen.
Seitdem die Unternehmen den Nutzen mobiler Dienste erkannt haben, sprießen die Apps als Instrumente des Kundenservice und Marketings wie Pilze aus dem Boden. Sie werden von den Firmen für immer speziellere Anforderungen oder für mehr Komfort im Alltag entwickelt. Diese rasante Entwicklung zeigt sich darin, dass allein der App-Store mit seinen mobilen Anwendungen für die iPhone-Nutzer auf rund 900.000 Apps angewachsen ist.
Doch was häufig von den Marketingabteilungen der Unternehmen als imagesteigernde Maßnahme zur Kundengewinnung und -bindung initiiert wird, kann sich später als Sicherheitsproblem für die Benutzer erweisen und schlechtestenfalls zum Bumerang für den Geschäftskontakt werden. Häufig öffnen sicherheitstechnische Mängel in Apps auf den Smartphones der Kunden Tür und Tor für Datendiebe. Die Konsequenz: selbst sensibelste Daten können völlig unkontrolliert abfließen.
Gute, hinterhältige und ungewollt-gefährliche Apps
Für Detlev Henze, Geschäftsführer des Sicherheitsspezialisten TÜV TRUST IT GmbH, sind dies keineswegs Einzelfälle. Rund 45 Prozent der über 1.000 von seinem Unternehmen getesteten Apps übertragen Handy-Daten an spezielle Werbenetzwerke und Datensammler. Nach Angaben des Webservice flurry.com ist deren Analysefunktion heute bereits in rund 350.000 Apps auf über einer Milliarde Endgeräten implementiert. Seine Schlussfolgerung aus diesen Analysen ist eine generelle Kategorisierung der mobilen Anwendungen: „Apps sind entweder gut, hinterhältig oder ungewollt-gefährlich.“ Unter guten mobilen Anwendungen versteht er solche, die nach klar definierten Sicherheitsanforderungen entwickelt wurden und nicht heimlich auf Daten zugreifen. Als hinterhältig bezeichnet er solche Apps, deren Geschäftsmodell dem Nutzer nicht klar ist und die primär der Datensammlung oder dem Ausspähen durch Dritte dienen. So ermitteln rund 44 Prozent der Apps über eine eingeschaltete Lokalisierungsfunktion den Standort des Nutzers. Immerhin noch 8 Prozent greifen regelmäßig auf das Adressbuch zu und übertragen die Daten ungefragt auf einen Server im Internet.
Zu der dritten Kategorie, der ungewollt-gefährlichen Mobilanwendungen, zählt Henze vor allem solche, die unter hohem Zeitdruck und ohne klar spezifizierte Sicherheitsanforderungen auf den Markt gebracht werden. „Sie verfolgen einen gut gemeinten Ansatz, weisen aber in der Realisierung wesentliche Schwächen auf.“ Die Ursache dafür sieht der Security-Fachmann vor allem in der Beauftragung durch das Marketing oder die Business-Abteilungen. „Die Funktionalitäten und das Design stehen dabei im Vordergrund, während die Sicherheit oft vernachlässigt wird.“
Hinzu kommt nach seinen Beobachtungen, dass die Entwicklung der Apps häufig aus Kostengründen Programmierern in Ländern mit geringerer Sensibilität für Sicherheit und Datenschutz übertragen wird. Eine weitere Ursache bestehe darin, dass in Unkenntnis möglicher Sicherheitsrisiken Programmteile aus bereits vorhandenen Apps zusammengeführt werden, um den Entwicklungsaufwand zu minimieren.
Entwicklungshilfe für die sichere Programmierung
TÜV TRUST IT hat diese Situation zum Anlass genommen, praxisgerechte Entwicklungsprinzipien für mobile Anwendungen zu konzipieren. Sie sind eine Komponente des AppCheckers, einer Lösung zur systematischen Identifikation sicherheitskritischer Anwendungen auf den mobilen Geräten. Zentrales Element ist ein Prüf-Framework, das alle relevanten Bedrohungen für und durch Apps auf einem mobilen Endgerät ermittelt.
Anhand von Prüfkriterien in Verbindung mit einem definierten unternehmensindividuellen Risikoprofil wird so beispielsweise der Netzverkehr der betreffenden Apps ermittelt und geprüft, ob sie versteckte Funktionen zum unauthorisierten Zugriff auf Handydaten enthalten. Weiterhin wird auch auf eine für die App unnötige Geo-Lokalisierung oder auf fehlende Datenverschlüsselung geprüft. Die teilautomatisierten Analysen erfolgen sowohl mittels einer Wissensdatenbank der Prüf-Engine als auch durch ergänzende manuelle Prüfungen. Als Ergebnis werden die untersuchten Apps entsprechend ihres Risikogrades auf White- und Blacklists gesetzt.
„Mit dem zusätzlichen Entwicklungs-Framework zielen wir darauf ab, dass bereits zu Beginn des Entwicklungsprojektes die richtigen Weichenstellungen erfolgen“, erklärt Henze. Es basiert auf einem Threat Model. Dahinter verbirgt sich eine methodische Bedrohungsanalyse, mit der alle Risiken für den Datenschutz und die Datensicherheit in und durch Apps identifiziert werden können. Zu jeder Bedrohung sind generische Maßnahmen und plattformspezifische Entwicklungshinweise hinterlegt, die bis auf Code-Ebene ausformuliert sind. Die Entwickler erhalten dadurch ein Werkzeug für die Erstellung sicherer und vertrauenswürdiger Apps.
Bei positiver Prüfung durch TÜV TRUST IT kann zudem eine „TÜV Trusted“-Zertifizierung erlangt werden, damit Unternehmen gegenüber den Benutzern einen objektiven Sicherheitsnachweis geben können. Bisher sind mit Apple iOS, Android, Black Berry und Windows Phone die vier gängigsten Mobile-Plattformen im Richtlinien-Tool berücksichtigt, gegenwärtig wird es für die Plattform Windows Mobile 8 erweitert.
