• Fokus Virtual Reality

    Fokus Virtual Reality

    Virtual Reality boomt und die größten Hard- und Softwarekonzerne bringen Tools und Geräte auf den Markt. Diese atemberaubende Technologie ist kein kurzlebiger Trend, sondern "the next major computing platform", wie Facebook-Gründer Mark Zuckerberg sagt. Weiterlesen...
  • eBook: Zukunftssichere ERP-Systeme

    eBook: Zukunftssichere ERP-Systeme

    Unternehmen vertrauen auf ihr ERP-System viele Jahre, oft Jahrzehnte. Aber Märkte, Produkte und Unternehmen ändern sich. Das eBook ERP 2017 hilft zu prüfen, ob das eigene ERP-System den gewachsenen Anforderungen der digitalen Transformation Stand hält. Weiterlesen...
  • SAP-Spezial

    SAP-Spezial

    Das SAP-Spezial beschäftigt sich mit Datenschutz und den Veränderungen, die die EU-DSGVO insbesondere für SAP-Anwender mit sich bringt. Durchgängige Prozesse bei der Bestellbearbeitung und dem eInvoicing werden ebenfalls vorstellt. Weiterlesen...
  • Newsflash it-sa 2017

    Newsflash it-sa 2017

    Trends & Innovationen der IT-Securitybranche vom 10. - 12. Oktober 2017, Messezentrum Nürnberg. Weiterlesen...
  • 1
  • 2
  • 3
  • 4
Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

AUTOMATE IT 2017
28.09.17 - 28.09.17
In Darmstadt

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

3. Esslinger Forum: Das Internet der Dinge
17.10.17 - 17.10.17
In Esslingen

Transformation World
19.10.17 - 20.10.17
In Heidelberg

Entwicklungsrichtlinien der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA sorgen für Sicherheit.

Weil bei den mobilen Anwendungen von Unternehmen häufig der Fokus ausschließlich auf Funktionalitäten und Design gerichtet wird, weist nach einer Untersuchung der TÜV TRUST IT heute jede zweite App erhebliche Sicherheitsmängel auf. Entwicklungsrichtlinien des Security-Spezialisten helfen, die Weichen für sichere und vertrauenswürdige Apps zu stellen.

Seitdem die Unternehmen den Nutzen mobiler Dienste erkannt haben, sprießen die Apps als Instrumente des Kundenservice und Marketings wie Pilze aus dem Boden. Sie werden von den Firmen für immer speziellere Anforderungen oder für mehr Komfort im Alltag entwickelt. Diese rasante Entwicklung zeigt sich darin, dass allein der App-Store mit seinen mobilen Anwendungen für die iPhone-Nutzer auf rund 900.000 Apps angewachsen ist.

Doch was häufig von den Marketingabteilungen der Unternehmen als imagesteigernde Maßnahme zur Kundengewinnung und -bindung initiiert wird, kann sich später als Sicherheitsproblem für die Benutzer erweisen und schlechtestenfalls zum Bumerang für den Geschäftskontakt werden. Häufig öffnen sicherheitstechnische Mängel in Apps auf den Smartphones der Kunden Tür und Tor für Datendiebe. Die Konsequenz: selbst sensibelste Daten können völlig unkontrolliert abfließen.

Gute, hinterhältige und ungewollt-gefährliche Apps

Für Detlev Henze, Geschäftsführer des Sicherheitsspezialisten TÜV TRUST IT GmbH, sind dies keineswegs Einzelfälle. Rund 45 Prozent der über 1.000 von seinem Unternehmen getesteten Apps übertragen Handy-Daten an spezielle Werbenetzwerke und Datensammler. Nach Angaben des Webservice flurry.com ist deren Analysefunktion heute bereits in rund 350.000 Apps auf über einer Milliarde Endgeräten implementiert. Seine Schlussfolgerung aus diesen Analysen ist eine generelle Kategorisierung der mobilen Anwendungen: „Apps sind entweder gut, hinterhältig oder ungewollt-gefährlich.“ Unter guten mobilen Anwendungen versteht er solche, die nach klar definierten Sicherheitsanforderungen entwickelt wurden und nicht heimlich auf Daten zugreifen. Als hinterhältig bezeichnet er solche Apps, deren Geschäftsmodell dem Nutzer nicht klar ist und die primär der Datensammlung oder dem Ausspähen durch Dritte dienen. So ermitteln rund 44 Prozent der Apps über eine eingeschaltete Lokalisierungsfunktion den Standort des Nutzers. Immerhin noch 8 Prozent greifen regelmäßig auf das Adressbuch zu und übertragen die Daten ungefragt auf einen Server im Internet.

Zu der dritten Kategorie, der ungewollt-gefährlichen Mobilanwendungen, zählt Henze vor allem solche, die unter hohem Zeitdruck und ohne klar spezifizierte Sicherheitsanforderungen auf den Markt gebracht werden. „Sie verfolgen einen gut gemeinten Ansatz, weisen aber in der Realisierung wesentliche Schwächen auf.“ Die Ursache dafür sieht der Security-Fachmann vor allem in der Beauftragung durch das Marketing oder die Business-Abteilungen. „Die Funktionalitäten und das Design stehen dabei im Vordergrund, während die Sicherheit oft vernachlässigt wird.“

Hinzu kommt nach seinen Beobachtungen, dass die Entwicklung der Apps häufig aus Kostengründen Programmierern in Ländern mit geringerer Sensibilität für Sicherheit und Datenschutz übertragen wird. Eine weitere Ursache bestehe darin, dass in Unkenntnis möglicher Sicherheitsrisiken Programmteile aus bereits vorhandenen Apps zusammengeführt werden, um den Entwicklungsaufwand zu minimieren.

Entwicklungshilfe für die sichere Programmierung

TÜV TRUST IT hat diese Situation zum Anlass genommen, praxisgerechte Entwicklungsprinzipien für mobile Anwendungen zu konzipieren. Sie sind eine Komponente des AppCheckers, einer Lösung zur systematischen Identifikation sicherheitskritischer Anwendungen auf den mobilen Geräten. Zentrales Element ist ein Prüf-Framework, das alle relevanten Bedrohungen für und durch Apps auf einem mobilen Endgerät ermittelt.

Anhand von Prüfkriterien in Verbindung mit einem definierten unternehmensindividuellen Risikoprofil wird so beispielsweise der Netzverkehr der betreffenden Apps ermittelt und geprüft, ob sie versteckte Funktionen zum unauthorisierten Zugriff auf Handydaten enthalten. Weiterhin wird auch auf eine für die App unnötige Geo-Lokalisierung oder auf fehlende Datenverschlüsselung geprüft. Die teilautomatisierten Analysen erfolgen sowohl mittels einer Wissensdatenbank der Prüf-Engine als auch durch ergänzende manuelle Prüfungen. Als Ergebnis werden die untersuchten Apps entsprechend ihres Risikogrades auf White- und Blacklists gesetzt.

„Mit dem zusätzlichen Entwicklungs-Framework zielen wir darauf ab, dass bereits zu Beginn des Entwicklungsprojektes die richtigen Weichenstellungen erfolgen“, erklärt Henze. Es basiert auf einem Threat Model. Dahinter verbirgt sich eine methodische Bedrohungsanalyse, mit der alle Risiken für den Datenschutz und die Datensicherheit in und durch Apps identifiziert werden können. Zu jeder Bedrohung sind generische Maßnahmen und plattformspezifische Entwicklungshinweise hinterlegt, die bis auf Code-Ebene ausformuliert sind. Die Entwickler erhalten dadurch ein Werkzeug für die Erstellung sicherer und vertrauenswürdiger Apps.

Bei positiver Prüfung durch TÜV TRUST IT kann zudem eine „TÜV Trusted“-Zertifizierung erlangt werden, damit Unternehmen gegenüber den Benutzern einen objektiven Sicherheitsnachweis geben können. Bisher sind mit Apple iOS, Android, Black Berry und Windows Phone die vier gängigsten Mobile-Plattformen im Richtlinien-Tool berücksichtigt, gegenwärtig wird es für die Plattform Windows Mobile 8 erweitert.

www.it-tuv.com

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet