App-Entwicklung oft außer Kontrolle
(IINews) - Weil bei den mobilen Anwendungen von Unternehmen häufig
der Fokus ausschließlich auf Funktionalitäten und Design
gerichtet wird, weist nach einer Untersuchung der TÃœV TRUST
IT heute jede zweite App erhebliche Sicherheitsmängel auf.
Entwicklungsrichtlinien des Security-Spezialisten helfen, die
Weichen für sichere und vertrauenswürdige Apps zu stellen.
Seitdem die Unternehmen den Nutzen mobiler Dienste
erkannt haben, sprießen die Apps als Instrumente des
Kundenservice und Marketings wie Pilze aus dem Boden. Sie
werden von den Firmen für immer speziellere Anforderungen
oder für mehr Komfort im Alltag entwickelt. Diese rasante
Entwicklung zeigt sich darin, dass allein der App-Store mit
seinen mobilen Anwendungen für die iPhone-Nutzer auf rund
900.000 Apps angewachsen ist.
Doch was häufig von den Marketingabteilungen der
Unternehmen als imagesteigernde Maßnahme zur
Kundengewinnung und -bindung initiiert wird, kann sich später
als Sicherheitsproblem für die Benutzer erweisen und
schlechtestenfalls zum Bumerang für den Geschäftskontakt
werden. Häufig öffnen sicherheitstechnische Mängel in Apps
auf den Smartphones der Kunden Tür und Tor für Datendiebe.
Die Konsequenz: selbst sensibelste Daten können völlig
unkontrolliert abfließen.
Gute, hinterhältige und ungewollt-gefährliche Apps
Für Detlev Henze, Geschäftsführer des Sicherheitsspezialisten
TÜV TRUST IT GmbH, sind dies keineswegs Einzelfälle. Rund
45 Prozent der über 1.000 von seinem Unternehmen
getesteten Apps übertragen Handy-Daten an spezielle
Werbenetzwerke und Datensammler. Nach Angaben des
Webservice flurry.com ist deren Analysefunktion heute bereits
in rund 350.000 Apps auf über einer Milliarde Endgeräten
implementiert. Seine Schlussfolgerung aus diesen Analysen
ist eine generelle Kategorisierung der mobilen Anwendungen:
„Apps sind entweder gut, hinterhältig oder ungewollt-
gefährlich.“ Unter guten mobilen Anwendungen versteht er
solche, die nach klar definierten Sicherheitsanforderungen
entwickelt wurden und nicht heimlich auf Daten zugreifen. Als
hinterhältig bezeichnet er solche Apps, deren Geschäftsmodell
dem Nutzer nicht klar ist und die primär der Datensammlung
oder dem Ausspähen durch Dritte dienen. So ermitteln rund
44 Prozent der Apps über eine eingeschaltete
Lokalisierungsfunktion den Standort des Nutzers. Immerhin
noch 8 Prozent greifen regelmäßig auf das Adressbuch zu und
übertragen die Daten ungefragt auf einen Server im Internet.
Zu der dritten Kategorie, der ungewollt-gefährlichen
Mobilanwendungen, zählt Henze vor allem solche, die unter
hohem Zeitdruck und ohne klar spezifizierte
Sicherheitsanforderungen auf den Markt gebracht werden. „Sie
verfolgen einen gut gemeinten Ansatz, weisen aber in der
Realisierung wesentliche Schwächen auf.“ Die Ursache dafür
sieht der Security-Fachmann vor allem in der Beauftragung
durch das Marketing oder die Business-Abteilungen. „Die
Funktionalitäten und das Design stehen dabei im
Vordergrund, während die Sicherheit oft vernachlässigt wird.“
Hinzu kommt nach seinen Beobachtungen, dass die
Entwicklung der Apps häufig aus Kostengründen
Programmierern in Ländern mit geringerer Sensibilität für
Sicherheit und Datenschutz übertragen wird. Eine weitere
Ursache bestehe darin, dass in Unkenntnis möglicher
Sicherheitsrisiken Programmteile aus bereits vorhandenen
Apps zusammengeführt werden, um den Entwicklungsaufwand
zu minimieren.
Entwicklungshilfe für die sichere Programmierung
TÃœV TRUST IT hat diese Situation zum Anlass genommen,
praxisgerechte Entwicklungsprinzipien für mobile
Anwendungen zu konzipieren. Sie sind eine Komponente des
AppCheckers, einer Lösung zur systematischen Identifikation
sicherheitskritischer Anwendungen auf den mobilen Geräten.
Zentrales Element ist ein Prüf-Framework, das alle relevanten
Bedrohungen für und durch Apps auf einem mobilen Endgerät
ermittelt.
Anhand von Prüfkriterien in Verbindung mit einem definierten
unternehmensindividuellen Risikoprofil wird so beispielsweise
der Netzverkehr der betreffenden Apps ermittelt und geprüft,
ob sie versteckte Funktionen zum unauthorisierten Zugriff auf
Handydaten enthalten. Weiterhin wird auch auf eine für die
App unnötige Geo-Lokalisierung oder auf fehlende
Datenverschlüsselung geprüft. Die teilautomatisierten
Analysen erfolgen sowohl mittels einer Wissensdatenbank der
Prüf-Engine als auch durch ergänzende manuelle Prüfungen.
Als Ergebnis werden die untersuchten Apps entsprechend ihres
Risikogrades auf White- und Blacklists gesetzt.
„Mit dem zusätzlichen Entwicklungs-Framework zielen wir
darauf ab, dass bereits zu Beginn des Entwicklungsprojektes
die richtigen Weichenstellungen erfolgen“, erklärt Henze. Es
basiert auf einem Threat Model. Dahinter verbirgt sich eine
methodische Bedrohungsanalyse, mit der alle Risiken für den
Datenschutz und die Datensicherheit in und durch Apps
identifiziert werden können. Zu jeder Bedrohung sind
generische Maßnahmen und plattformspezifische
Entwicklungshinweise hinterlegt, die bis auf Code-Ebene
ausformuliert sind. Die Entwickler erhalten dadurch ein
Werkzeug für die Erstellung sicherer und vertrauenswürdiger
Apps.
Bei positiver Prüfung durch TÜV TRUST IT kann zudem eine
„TÜV Trusted“-Zertifizierung erlangt werden, damit
Unternehmen gegenüber den Benutzern einen objektiven
Sicherheitsnachweis geben können. Bisher sind mit Apple iOS,
Android, Black Berry und Windows Phone die vier gängigsten
Mobile-Plattformen im Richtlinien-Tool berücksichtigt,
gegenwärtig wird es für die Plattform Windows Mobile 8
erweitert.
Ãœber die TÃœV TRUST IT GmbH Unternehmensgruppe TÃœV
AUSTRIA
Die TÃœV TRUST IT GmbH ist bereits seit vielen Jahren erfolgreich
als IT-TÜV tätig und gehört zur Unternehmensgruppe TÜV
AUSTRIA. Von ihren Standorten Köln und Wien aus fungiert das
Unternehmen als der neutrale, objektive und unabhängige
Partner der Wirtschaft. Im Vordergrund stehen dabei die
Identifizierung und Bewertung von IT-Risiken. Die Leistungen
konzentrieren sich auf die Bereiche Management der
Informationssicherheit, Mobile Security, Cloud Security, Sicherheit
von Systemen, Applikationen und Rechenzentren, IT-
Risikomanagement und IT-Compliance.
Weitere Informationen: www.it-tuv.com
Datum: 23.01.2014 - 11:04 Uhr
Sprache: Deutsch
News-ID 1009121
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Robin Heinrich
Stadt:
50354 Hürth
Telefon: 02233 6117-75
Kategorie:
Internet
Meldungsart: bitte
Versandart: Veröffentlichung
Freigabedatum: 22.01.2014
Dieser Fachartikel wurde bisher 158 mal aufgerufen.
Der Fachartikel mit dem Titel:
"App-Entwicklung oft außer Kontrolle"
steht unter der journalistisch-redaktionellen Verantwortung von
Robin Heinrich (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).