Anzeige

Junger Mann mit Smartphone und Kaffeetasse

Der Trend zu mobilen Anwendungen ist ungebrochen. Wenn man den Produktpräsentationen der Gerätehersteller folgt, stehen Internet of Things, Augmented Reality und Mobile Gaming klar im Vordergrund. Aber auch aus dem geschäftlichen Umfeld ist mobiles Arbeiten mit dem Smartphone oder Tablet nicht mehr wegzudenken.

Goldene Zeiten für App Entwickler

Aus der Perspektive der App Entwickler stehen wir also vor goldenen Zeiten. Allerdings ergeben sich mit verstärkter Nutzung mobiler Applikationen und Daten auch neue Herausforderungen. Wurden vor ein paar Jahren noch fast alle Apps nativ für die jeweilige Plattform (Android, iOS oder Windows Mobile) entwickelt, versucht man heute mit sogenannten Progressive Web Apps (PWA) den Entwicklungsaufwand zu reduzieren, ohne aber den Komfort für die Benutzer zu verschlechtern. Die PWA bestehen häufig aus einem webbasierten Backend und einer auf das jeweilige Endgerät angepassten Anzeigemimik. Diese wird mittels entsprechender Cross-Platform Framework so erstellt, dass sie dem Anwender die Anzeige und die Steuerelemente in gewohnter Weise darstellt, im Hintergrund aber eine einheitliche und damit leichter zu wartende Code Basis verwendet.

Standardisierte Frameworks

Richtig angewendet ergibt sich daraus ein Sicherheitsvorteil, da sich die Entwickler nicht mehr um die Funktionsweise und Programmierung jedes Endgerätes kümmern müssen und so weniger Fehler entstehen. Risiken entstehen dann, wenn spezielle Funktionen nicht über das Framework nutzbar sind und unter Umgehung von Schutzfunktionen verfügbar gemacht werden. Schlimmer noch, wenn sich Fehler oder Sicherheitslücken in ein Framework einschleichen, da diese dann gleich eine Vielzahl von Applikationen betreffen.

Ein weiteres Sicherheitsrisiko entsteht durch den Einsatz ungeprüfter Frameworks und Bibliotheken aus nicht vertrauenswürdigen Quellen. So wurde kürzlich bekannt, dass ein vor allem in China verbreitetes Advertising SDK (Source Development Kit zur Einbindung von Werbung) Funktionen einer Spionagesoftware enthält.

Cloud Nutzung verschiebt die Risiken

Auch bei der Datenhaltung haben sich in den letzten Jahren Änderungen ergeben. So führt die OWASP in den 2016 zuletzt aktualisierten "Top 10 Mobile Risks" den Punkt "Insecure Data Storage" noch an Position zwei. Aus heutiger Sicht gewinnt aber die an Position drei aufgeführte "Insecure Communication" an Bedeutung, da Daten immer häufiger nicht oder nur zu einem kleinen Teil auf den Geräten gespeichert werden. Viel häufiger laufen die eigentlichen Anwendungen und damit auch die Datenspeicherung in der Cloud - und werden nur für die Dauer der tatsächlichen Nutzung temporär auf dem mobilen Gerät gespeichert. Das gilt übrigens auch für die klassische Killer-Applikation E-Mail. Immer mehr Unternehmen wechseln zu cloudbasierten Lösungen wie GoogleMail oder Microsoft Office 365, die E-Mails von überall und auf allen Geräten verfügbar machen. Damit verringert sich die Notwendigkeit einer komplexen Mobile Device Management-Lösung (MDM), die dafür sorgen soll, Unternehmensdaten und Nachrichten im Falle eines Geräteverlustes schnell und nachhaltig zu löschen.

 

Bildquelle: https://owasp.org/www-project-mobile-top-10/
 

Auswirkungen auf Sicherheitsprüfungen

Diesen Wandel beobachten wir auch bei den an uns Penetrationstester herangetragenen Fragen und Aufträgen. Prüfungen von MDM-Installationen sind in den letzten Jahren seltener geworden, während die Nachfrage zur Prüfung mobiler Applikationen wächst. Neben den "OWASP Top 10 Mobile Risks" und dem entsprechenden "Testing Guide" orientieren wir uns bei der Durchführung solcher Security Assessments natürlich auch an den angesprochenen Veränderungen des Marktes und den Entwicklungsplattformen und -methoden. Dies widerspiegelt sich auch im Inhalt unseres für Entwickler und IT-Sicherheitsverantwortliche konzipierten Kurses "Secure Mobile Apps" (Die Kursdaten 2021 sind in Planung.)

Empfehlungen für Anwender und Administratoren

Während sich App Entwickler vor allem mit der Vermeidung von Sicherheitslücken in Codes und den geeigneten (automatisierten) Testmethoden befassen, bleibt die Frage, was Anwender und IT-Administratoren tun können, um die Sicherheit zu verbessern. Ganz vorne steht hier, sowie überall in der IT, der Einsatz von sicherer und aktueller Software und Betriebssystemen, gefolgt vom Schutz des Gerätes. Die meisten Hersteller liefern inzwischen regelmäßig Sicherheitsupdates. Diese sollen zeitnah installiert und die ebenfalls ständig verbesserten Schutzfunktionen (z.B. Verschlüsselung) genutzt werden. Mindestens soll die Gerätesperre bei Nichtnutzung aktiviert sein.

Auswahl von Applikationen

Bei der Auswahl von Applikationen muss, je nach Sensibilität der zu verarbeitenden Daten, auf die Vertrauenswürdigkeit des Lieferanten geachtet werden. Werden besonders kritische personenbezogene oder sogar Gesundheitsdaten auf mobilen Geräten verarbeitet, soll auf eine Vermischung mit privater Nutzung verzichtet werden. Idealerweise soll jede eingesetzte App einer Sicherheitsprüfung unterzogen werden. Mindestens sollen aber nur Applikationen aus den App Stores der Hersteller verwendet werden, die einer einfachen Prüfung unterzogen werden und bei denen bei Problemen oder Sicherheitsrisiken eine proaktive Information der Nutzer bis hin zur Löschung der schädlichen App erfolgen.

 
Jan-Tilo Kirchhoff, Geschäftsführer
Jan-Tilo Kirchhoff
Geschäftsführer, Compass Security Deutschland GmbH
Jan-Tilo Kirchhoff hat an der Technischen Universität Berlin Elektrotechnik mit dem Schwerpunkt Nachrichtentechnik studiert. Mit dem 2013 erfolgten Wechsel zur Compass Security kann er sein Interesse für die Sicherheit von IT und Kommunikationssystemen voll in sein Berufsleben integrieren. Seit 2011 ist er als CISSP® qualifiziert und organisiert seit 2012 die regionalen Treffen des (ISC)² Chapter Germany in Berlin und ist in dessen Vorstand für die Öffentlichkeitsarbeit verantwortlich.

Artikel zu diesem Thema

Mobile Security
Okt 12, 2020

Das können Unternehmen zur Sicherheit von mobilen Endgeräten tun!

Unternehmen werden durch die steigende Anzahl an digitalen und mobilen Arbeitsplätzen vor…
Mobile Security
Aug 19, 2020

Mobile Security im eigenen Unternehmen

Immer häufiger stellen Unternehmen einen Großteil ihrer IT-Landschaft auf mobile…

Weitere Artikel

MEWA Arena

1. FSV Mainz 05 - Zuverlässig in der Abwehr

Wenn in der Bundesliga der Ball rollt, konzentriert sich jeder Fan auf das Spiel seiner Mannschaft. Im Hintergrund läuft die IT-Abteilung auf Hochtouren, um „Eigentore“ zu vermeiden.
Smishing

Starker Anstieg bei Smishing-Angriffen

Security-Experten von Proofpoint haben weltweit einen massiven Anstieg von SMS-Phishing (Smishing) im Zusammenhang mit dem Black Friday und vorweihnachtlichem Onlineshopping festgestellt. Im Vergleich zum Vorjahr haben die Cyberkriminellen ihre Aktivitäten…
App Entwicklung

Vernachlässigung der IT-Sicherheit bei der App-Entwicklung

Zu Beginn des Cybersecurity Months erschien auf SPIEGEL Online eine Kolume von Sascha Lobo, die man als Abrechnung mit der digitalen Projektkultur in Deutschland verstehen kann. Der Autor greift drei der prominentesten App-Projekte (Nora, E-Rezept &…
Digitales Wallet

Digitales Wallet: Was tun, wenn das Smartphone verloren geht?

Wenn wir unseren Geldbeutel verlieren, wissen wir normalerweise, was zu tun ist: Ruhe bewahren und sämtliche EC- und Kreditkarten sperren lassen. Heutzutage dient allerdings auch das Smartphone als Geldbeutel - digitales Wallet - und enthält wichtige…
Login

Sichere Logins: Das wünschen sich die Nutzer

Immer mehr Waren und Dienstleistungen werden online gekauft. Nutzer legen dabei Wert auf bequeme Bedienung und hohen Datenschutz. Wie lässt sich beides am besten vereinbaren?

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.