Tools für App-Sicherheit und Datenschutz

Mobile Apps prüfen und absichern

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Sicherheitslücken in Apps sind oft keine heimliche "Hintertür", sondern entstehen ungewollt durch Entwicklungsfehler. Lesen Sie hier, wie sich die App-Sicherheit steigern lässt.

Sicherheitslücken in Apps sind fast die Regel. 96 Prozent der vom Security-Experten Cenzic getesteten Anwendungen hatten Schwachstellen, so das zentrale Ergebnis des "Cenzic Application Security Trends Report 2014". 25 Prozent der entdeckten Schwachstellen ermöglichen Angriffe über Cross Site Scripting (XSS), 15 Prozent der Sicherheitslücken entstehen durch Fehler bei der Zugangskontrolle der Apps. 13 Prozent der fehlerhaften Programme gewährleisten kein sicheres Session-Management, so dass bestehende, scheinbar sichere Datenverbindungen durch Angreifer übernommen werden könnten.

Foto: Oleksiy Mark, Fotolia.com

Datenschutzverletzungen fanden die Tester bei mehr als 80 Prozent der untersuchten Apps. Auch die Verbraucherschützer in Deutschland und die deutschen Aufsichtsbehörden für den Datenschutz haben bereits mehrfach auf Datenschutzverstöße bei mobilen Apps hingewiesen.

Analystenhäuser wie Gartner gehen zudem davon aus, dass die meisten mobilen Anwendungen selbst bei Basis-Sicherheitstests durchfallen, viele Unternehmen keine Erfahrung mit mobiler Datensicherheit haben und die App-Entwickler Sicherheitstests nur hin und wieder vornehmen.

App-Sicherheitstipps werden nicht beachtet

Empfehlungen und Vorgaben, welche Sicherheitsanforderungen bei der App-Entwicklung zu beachten sind, gibt es reichlich. Darunter insbesondere das OWASP Mobile Security Project und die gemeinsam von OWASP Mobile Security Project und ENISA (European Union Agency for Network and Information Security) erstellten Smartphone Secure Development Guidelines. Auch Apple, Blackberry, Google und Microsoft bieten umfangreiche Hinweise zur sicheren Entwicklung mobiler Anwendungen.

Doch App-Entwickler sind sich der Auswirkungen ihrer Arbeit auf die Sicherheit und Privatsphäre häufig nicht bewusst und zum Beispiel nicht mit Begriffen wie "Privacy by Design" und "Datenschutzfreundliche Voreinstellungen" beziehungsweise "Privacy by Default" vertraut. Umso wichtiger sind Tools und Dienste, die bei der Entwicklung sicherer, mobiler Apps unterstützen. Eine Auswahl wird im Folgenden näher vorgestellt.

Appthority: App Risk Management and App Analysis

Von Appthority stammt der Service "App Risk Management and App Analysis". Der Cloud-Dienst kombiniert die Resultate aus einer umfangreichen App-Test-Datenbank mit einem Web-basierenden Testverfahren, das die zu untersuchende App nach definierten Sicherheitsrichtlinien prüft. Neben einem Bericht zu den erkannten Schwachstellen und Richtlinienverstößen erhält man den Appthority Trust Score als Maß der App-Vertrauenswürdigkeit beziehungsweise App-Sicherheit.

Der Winter 2014 App Reputation Report von Appthority unterstreicht die Notwendigkeit, mehr für die App-Sicherheit zu tun. Von den Top 400 Apps für iPhones oder Android-Smartphones haben 91 Prozent (iOS) bzw. 83 Prozent (Android) mindestens eine kritische Schwachstelle.
Der Winter 2014 App Reputation Report von Appthority unterstreicht die Notwendigkeit, mehr für die App-Sicherheit zu tun. Von den Top 400 Apps für iPhones oder Android-Smartphones haben 91 Prozent (iOS) bzw. 83 Prozent (Android) mindestens eine kritische Schwachstelle.
Foto: Appthority

Anwenderunternehmen haben die Option, die Testplattform in verschiedene Mobile-Device-Manager (MDM) zu integrieren und so die Liste der verfügbaren Apps auf jene zu beschränken, die den Sicherheitstest erfolgreich durchlaufen haben. App-Entwickler können den Appthority-Service innerhalb ihres Entwicklungsprozesses einsetzen und so frühzeitig Abweichungen von Sicherheitsvorgaben erkennen, bevor die interne Freigabe erteilt wird.

Kostenpflichtige Apps sind nach Untersuchungen von Appthority sicherer als kostenlose: 78 Prozent der kostenpflichtigen mobilen Anwendungen haben mindestens eine kritische Schwachstelle, bei den kostenlosen sind es 95 Prozent. Trotzdem besteht auch bei gekauften Apps ein hohes Datenrisiko.
Kostenpflichtige Apps sind nach Untersuchungen von Appthority sicherer als kostenlose: 78 Prozent der kostenpflichtigen mobilen Anwendungen haben mindestens eine kritische Schwachstelle, bei den kostenlosen sind es 95 Prozent. Trotzdem besteht auch bei gekauften Apps ein hohes Datenrisiko.
Foto: Appthority

App-Nutzern stehen die Funktionen von Appthority ebenfalls zur Verfügung, wenn sie eine App wie Swisscom CheckAp nutzen. Die von Swisscom entwickelte App wird lokal auf dem Endgerät installiert und erkennt Datenschutzprobleme. Dazu werden die auf dem Smartphone vorhandenen Apps nach verschiedenen Kriterien bewertet, unter Verwendung von Testresultaten der Firma Appthority.

TÜV Rheinland: Check your App

Der Online-Dienst "Check your App" des TÜV Rheinland wendet sich an Smartphone-Nutzer und App-Anbieter gleichermaßen. Die dem TÜV-Dienst genannten Apps werden in Hinblick auf den angemessenen Umgang mit personenbezogenen Daten der Anwender getestet. App-Providern wird ferner eine Sicherheits- und Datenschutzprüfung von Apps angeboten und bei bestandenem Testlauf eine Zertifizierung ausgestellt. Das Angebot des TÜV Rheinland kann als Ergänzung zur internen Freigabe von Apps gesehen werden und gewinnt durch das Zertifikat zusätzlich Werbewirksamkeit. Es können aber auch interne Apps zur Prüfung angemeldet werden, die nicht für die Vermarktung vorgesehen sind.

App-Prüfungen auf Datenschutz- und Sicherheitsrisiken sind auch lokal auf Smartphones möglich, zum Beispiel mit CheckAp von Swisscom.
App-Prüfungen auf Datenschutz- und Sicherheitsrisiken sind auch lokal auf Smartphones möglich, zum Beispiel mit CheckAp von Swisscom.
Foto: Swisscom

Fraunhofer AISEC: App-Ray

"App-Ray" von Fraunhofer AISEC kann als App-Testwerkzeug lokal betrieben oder als Hosting-Service bezogen werden. App-Ray lässt sich in das interne Mobile-Device-Management integrieren, um so nur die Apps im Unternehmen freizugeben, die definierte Sicherheitskriterien erfüllen. Die Anwendungstests mit App-Ray können bereits während der Entwicklung eigener Android-Apps ausgeführt werden. Geprüft wird, ob Sicherheitsschwachstellen oder Datenlecks vorliegen, aber auch, ob definierte Security Best Practices eingehalten werden.

App-Ray testet Android-Apps automatisch auf Schwachstellen, Datenlecks und Einhaltung definierter Sicherheitsvorgaben.
App-Ray testet Android-Apps automatisch auf Schwachstellen, Datenlecks und Einhaltung definierter Sicherheitsvorgaben.
Foto: Demo App-Ray

Testwerkzeuge wie "HP Fortify on Demand", "Veracode Mobile Application Security Testing" und "IBM Security AppScan Source" bieten ebenfalls Möglichkeiten, die Auswertungen der App-Tests in Mobile-Device-Management-Lösungen zu integrieren.

Angewandte und Integrierte Sicherheit (AISEC) haben mit App-Ray 10.000 der beliebtesten Android-Apps getestet und zum Teil gravierende Sicherheitslücken und Datenschutzverletzungen aufgedeckt.
Angewandte und Integrierte Sicherheit (AISEC) haben mit App-Ray 10.000 der beliebtesten Android-Apps getestet und zum Teil gravierende Sicherheitslücken und Datenschutzverletzungen aufgedeckt.
Foto: Demo App-Ray

Damit wird sichergestellt, dass im Mobile-Device-Management-System nur geprüfte und positiv bewertete Apps für die Anwender verfügbar sind. Im Fall von Veracode Mobile Application Security Testing bestehen insbesondere Schnittstellen zu IBM/Fiberlink, VMware/AirWatch, Good Technology und MobileIron.

Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) haben mit App-Ray 10.000 der beliebtesten Android-Apps getestet und zum Teil gravierende Sicherheitslücken und Datenschutzverletzungen aufgedeckt.
Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) haben mit App-Ray 10.000 der beliebtesten Android-Apps getestet und zum Teil gravierende Sicherheitslücken und Datenschutzverletzungen aufgedeckt.
Foto: Fraunhofer AISEC

McAfee: Foundstone Mobile Application Assessment

Das "Foundstone Mobile Application Assessment" von McAfee ist eine Beratungs- und Testdienstleistung für App-Entwickler. Entwicklern werden aber auch kostenlose Tools angeboten wie "iOSKeychain Analyzer" für mobile Penetrationstests und "Hacme-Bank-Android" als App-Simulation, die bewusst mehrere Schwachstellen als Anschauungsbeispiele enthält. Zu den weiteren Testdienstleistungen für Apps zählen die "Denim Group Mobile Application Security Assessment Services".

Der Veracode Mobile Application Reputation Service (MARS) überprüft unter anderem das Datenschutzverhalten von Apps, prüft den Code, listet die App-Berechtigungen und zeigt anschaulich, wohin die Apps Daten senden.
Der Veracode Mobile Application Reputation Service (MARS) überprüft unter anderem das Datenschutzverhalten von Apps, prüft den Code, listet die App-Berechtigungen und zeigt anschaulich, wohin die Apps Daten senden.
Foto: Veracode Demo

Rechtliche App-Prüfung ist ein Muss

Neben der technischen Prüfung von Sicherheit und Datenschutz sollten Entwickler auch die rechtliche Prüfung ihrer App sicherstellen, bevor diese intern freigegeben und gegebenenfalls in einen App-Store zur Vermarktung übertragen wird.

Im Datenschutz ist das Fehlen einer Datenschutzerklärung für die App eine ernst zu nehmende Lücke. Die Aufklärung der Nutzer soll schon vor der Installation einer App erfolgen und darlegen, auf welche Ressourcen und Daten die App zugreifen wird. Im Idealfall geschieht dies in einem kurzen und klaren Hinweis und nicht in seitenlangen juristischen Erläuterungen.

Für die App-Tests können bei Veracode Mobile Application Reputation Service (MARS) individuelle Vorgaben gemacht werden, zum Beispiel zu erlaubten und verbotenen App-Berechtigungen. Entsprechend diesen Vorgaben werden die Apps dann bewertet.
Für die App-Tests können bei Veracode Mobile Application Reputation Service (MARS) individuelle Vorgaben gemacht werden, zum Beispiel zu erlaubten und verbotenen App-Berechtigungen. Entsprechend diesen Vorgaben werden die Apps dann bewertet.
Foto: Veracode Demo

Natürlich können Testwerkzeuge und -dienste dem Entwickler oder App-Anbieter die Formulierung einer Datenschutzerklärung nicht abnehmen. Sie helfen jedoch dabei, dass die dem Nutzer versprochene Datensicherheit auch eingehalten werden kann, indem Sicherheitslücken aufgespürt und Gegenmaßnahmen genannt werden. Die folgende Tabelle fasst noch einmal die vorgestellten Test-Tools und Dienste für App-Entwickler zusammen.