App-Entwicklung oft außer Kontrolle App-Entwicklung oft außer Kontrolle - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


23.01.2014 Michaela Holy/pi

App-Entwicklung oft außer Kontrolle

Weil bei den mobilen Anwendungen von Unternehmen häufig der Fokus ausschließlich auf Funktionalitäten und Design gerichtet wird, weist nach einer Untersuchung der TÜV TRUST IT heute jede zweite App erhebliche Sicherheitsmängel auf.

App-Entwicklung oft außer Kontrolle

App-Entwicklung läuft oft außer Kontrolle.

© Fotolia

Seitdem die Unternehmen den Nutzen mobiler Dienste erkannt haben, sprießen die Apps als Instrumente des Kundenservice und Marketings wie Pilze aus dem Boden. Sie werden von den Firmen für immer speziellere Anforderungen oder für mehr Komfort im Alltag entwickelt. Diese rasante Entwicklung zeigt sich darin, dass allein der App-Store mit seinen mobilen Anwendungen für die iPhone-Nutzer auf rund 900.000 Apps angewachsen ist.

Doch was häufig von den Marketingabteilungen der Unternehmen als imagesteigernde Maßnahme zur Kundengewinnung und -bindung initiiert wird, kann sich später als Sicherheitsproblem für die Benutzer erweisen und schlechtestenfalls zum Bumerang für den Geschäftskontakt werden. Häufig öffnen sicherheitstechnische Mängel in Apps auf den Smartphones der Kunden Tür und Tor für Datendiebe. Die Konsequenz: selbst sensibelste Daten können völlig unkontrolliert abfließen.

Für Detlev Henze, Geschäftsführer des Sicherheitsspezialisten TÜV TRUST IT, sind dies keineswegs Einzelfälle. Rund 45 Prozent der über 1.000 von seinem Unternehmen getesteten Apps übertragen Handy-Daten an spezielle Werbenetzwerke und Datensammler. Nach Angaben des Webservice flurry.com ist deren Analysefunktion heute bereits in rund 350.000 Apps auf über einer Milliarde Endgeräten implementiert. Seine Schlussfolgerung aus diesen Analysen ist eine generelle Kategorisierung der mobilen Anwendungen: "Apps sind entweder gut, hinterhältig oder ungewollt-gefährlich." Unter guten mobilen Anwendungen versteht er solche, die nach klar definierten Sicherheitsanforderungen entwickelt wurden und nicht heimlich auf Daten zugreifen. Als hinterhältig bezeichnet er solche Apps, deren Geschäftsmodell dem Nutzer nicht klar ist und die primär der Datensammlung oder dem Ausspähen durch Dritte dienen. So ermitteln rund 44 Prozent der Apps über eine eingeschaltete Lokalisierungsfunktion den Standort des Nutzers. Immerhin noch 8 Prozent greifen regelmäßig auf das Adressbuch zu und übertragen die Daten ungefragt auf einen Server im Internet.

Zu der dritten Kategorie, der ungewollt-gefährlichen Mobilanwendungen, zählt Henze vor allem solche, die unter hohem Zeitdruck und ohne klar spezifizierte Sicherheitsanforderungen auf den Markt gebracht werden. "Sie verfolgen einen gut gemeinten Ansatz, weisen aber in der Realisierung wesentliche Schwächen auf." Die Ursache dafür sieht der Security-Fachmann vor allem in der Beauftragung durch das Marketing oder die Business-Abteilungen. "Die Funktionalitäten und das Design stehen dabei im Vordergrund, während die Sicherheit oft vernachlässigt wird."

Hinzu kommt nach seinen Beobachtungen, dass die Entwicklung der Apps häufig aus Kostengründen Programmierern in Ländern mit geringerer Sensibilität für Sicherheit und Datenschutz übertragen wird. Eine weitere Ursache bestehe darin, dass in Unkenntnis möglicher Sicherheitsrisiken Programmteile aus bereits vorhandenen Apps zusammengeführt werden, um den Entwicklungsaufwand zu minimieren.

TÜV TRUST IT hat diese Situation zum Anlass genommen, praxisgerechte Entwicklungsprinzipien für mobile Anwendungen zu konzipieren. Sie sind eine Komponente des AppCheckers, einer Lösung zur systematischen Identifikation sicherheitskritischer Anwendungen auf den mobilen Geräten. Zentrales Element ist ein Prüf-Framework, das alle relevanten Bedrohungen für und durch Apps auf einem mobilen Endgerät ermittelt.

Anhand von Prüfkriterien in Verbindung mit einem definierten unternehmensindividuellen Risikoprofil wird so beispielsweise der Netzverkehr der betreffenden Apps ermittelt und geprüft, ob sie versteckte Funktionen zum unauthorisierten Zugriff auf Handydaten enthalten. Weiterhin wird auch auf eine für die App unnötige Geo-Lokalisierung oder auf fehlende Datenverschlüsselung geprüft. Die teilautomatisierten Analysen erfolgen sowohl mittels einer Wissensdatenbank der Prüf-Engine als auch durch ergänzende manuelle Prüfungen. Als Ergebnis werden die untersuchten Apps entsprechend ihres Risikogrades auf White- und Blacklists gesetzt.

"Mit dem zusätzlichen Entwicklungs-Framework zielen wir darauf ab, dass bereits zu Beginn des Entwicklungsprojektes die richtigen Weichenstellungen erfolgen", erklärt Henze. Es basiert auf einem Threat Model. Dahinter verbirgt sich eine methodische Bedrohungsanalyse, mit der alle Risiken für den Datenschutz und die Datensicherheit in und durch Apps identifiziert werden können. Zu jeder Bedrohung sind generische Maßnahmen und plattformspezifische Entwicklungshinweise hinterlegt, die bis auf Code-Ebene ausformuliert sind. Die Entwickler erhalten dadurch ein Werkzeug für die Erstellung sicherer und vertrauenswürdiger Apps.

Bei positiver Prüfung durch TÜV TRUST IT kann zudem eine "TÜV Trusted"-Zertifizierung erlangt werden, damit Unternehmen gegenüber den Benutzern einen objektiven Sicherheitsnachweis geben können. Bisher sind mit Apple iOS, Android, Blackberry und Windows Phone die vier gängigsten Mobile-Plattformen im Richtlinien-Tool berücksichtigt, gegenwärtig wird es für die Plattform Windows Mobile 8 erweitert.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • DBConcepts GmbH. Die Oracle Experten.

    DBConcepts GmbH. Die Oracle Experten. Enterprise Application Integration, Datenbanken, Business Intelligence und Knowledge Management, Tools, Server-Betriebssysteme, Middleware, Betriebssysteme für PCs,... mehr

Hosted by:    Security Monitoring by: