Sicherheitslücken in Apps sind fast die Regel. 96 Prozent der vom Security-Experten Cenzic getesteten Anwendungen hatten Schwachstellen, so das zentrale Ergebnis des "Cenzic Application Security Trends Report 2014". 25 Prozent der entdeckten Schwachstellen ermöglichen Angriffe über Cross Site Scripting (XSS), 15 Prozent der Sicherheitslücken entstehen durch Fehler bei der Zugangskontrolle der Apps. 13 Prozent der fehlerhaften Programme gewährleisten kein sicheres Session-Management, so dass bestehende, scheinbar sichere Datenverbindungen durch Angreifer übernommen werden könnten.
Datenschutzverletzungen fanden die Tester bei mehr als 80 Prozent der untersuchten Apps. Auch die Verbraucherschützer in Deutschland und die deutschen Aufsichtsbehörden für den Datenschutz haben bereits mehrfach auf Datenschutzverstöße bei mobilen Apps hingewiesen.
Analystenhäuser wie Gartner gehen zudem davon aus, dass die meisten mobilen Anwendungen selbst bei Basis-Sicherheitstests durchfallen, viele Unternehmen keine Erfahrung mit mobiler Datensicherheit haben und die App-Entwickler Sicherheitstests nur hin und wieder vornehmen.
App-Sicherheitstipps werden nicht beachtet
Empfehlungen und Vorgaben, welche Sicherheitsanforderungen bei der App-Entwicklung zu beachten sind, gibt es reichlich. Darunter insbesondere das OWASP Mobile Security Project und die gemeinsam von OWASP Mobile Security Project und ENISA (European Union Agency for Network and Information Security) erstellten Smartphone Secure Development Guidelines. Auch Apple, Blackberry, Google und Microsoft bieten umfangreiche Hinweise zur sicheren Entwicklung mobiler Anwendungen.
Doch App-Entwickler sind sich der Auswirkungen ihrer Arbeit auf die Sicherheit und Privatsphäre häufig nicht bewusst und zum Beispiel nicht mit Begriffen wie "Privacy by Design" und "Datenschutzfreundliche Voreinstellungen" beziehungsweise "Privacy by Default" vertraut. Umso wichtiger sind Tools und Dienste, die bei der Entwicklung sicherer, mobiler Apps unterstützen. Eine Auswahl wird im Folgenden näher vorgestellt.
Appthority: App Risk Management and App Analysis
Von Appthority stammt der Service "App Risk Management and App Analysis". Der Cloud-Dienst kombiniert die Resultate aus einer umfangreichen App-Test-Datenbank mit einem Web-basierenden Testverfahren, das die zu untersuchende App nach definierten Sicherheitsrichtlinien prüft. Neben einem Bericht zu den erkannten Schwachstellen und Richtlinienverstößen erhält man den Appthority Trust Score als Maß der App-Vertrauenswürdigkeit beziehungsweise App-Sicherheit.
Anwenderunternehmen haben die Option, die Testplattform in verschiedene Mobile-Device-Manager (MDM) zu integrieren und so die Liste der verfügbaren Apps auf jene zu beschränken, die den Sicherheitstest erfolgreich durchlaufen haben. App-Entwickler können den Appthority-Service innerhalb ihres Entwicklungsprozesses einsetzen und so frühzeitig Abweichungen von Sicherheitsvorgaben erkennen, bevor die interne Freigabe erteilt wird.
App-Nutzern stehen die Funktionen von Appthority ebenfalls zur Verfügung, wenn sie eine App wie Swisscom CheckAp nutzen. Die von Swisscom entwickelte App wird lokal auf dem Endgerät installiert und erkennt Datenschutzprobleme. Dazu werden die auf dem Smartphone vorhandenen Apps nach verschiedenen Kriterien bewertet, unter Verwendung von Testresultaten der Firma Appthority.
TÜV Rheinland: Check your App
Der Online-Dienst "Check your App" des TÜV Rheinland wendet sich an Smartphone-Nutzer und App-Anbieter gleichermaßen. Die dem TÜV-Dienst genannten Apps werden in Hinblick auf den angemessenen Umgang mit personenbezogenen Daten der Anwender getestet. App-Providern wird ferner eine Sicherheits- und Datenschutzprüfung von Apps angeboten und bei bestandenem Testlauf eine Zertifizierung ausgestellt. Das Angebot des TÜV Rheinland kann als Ergänzung zur internen Freigabe von Apps gesehen werden und gewinnt durch das Zertifikat zusätzlich Werbewirksamkeit. Es können aber auch interne Apps zur Prüfung angemeldet werden, die nicht für die Vermarktung vorgesehen sind.
Fraunhofer AISEC: App-Ray
"App-Ray" von Fraunhofer AISEC kann als App-Testwerkzeug lokal betrieben oder als Hosting-Service bezogen werden. App-Ray lässt sich in das interne Mobile-Device-Management integrieren, um so nur die Apps im Unternehmen freizugeben, die definierte Sicherheitskriterien erfüllen. Die Anwendungstests mit App-Ray können bereits während der Entwicklung eigener Android-Apps ausgeführt werden. Geprüft wird, ob Sicherheitsschwachstellen oder Datenlecks vorliegen, aber auch, ob definierte Security Best Practices eingehalten werden.
Testwerkzeuge wie "HP Fortify on Demand", "Veracode Mobile Application Security Testing" und "IBM Security AppScan Source" bieten ebenfalls Möglichkeiten, die Auswertungen der App-Tests in Mobile-Device-Management-Lösungen zu integrieren.
Damit wird sichergestellt, dass im Mobile-Device-Management-System nur geprüfte und positiv bewertete Apps für die Anwender verfügbar sind. Im Fall von Veracode Mobile Application Security Testing bestehen insbesondere Schnittstellen zu IBM/Fiberlink, VMware/AirWatch, Good Technology und MobileIron.
McAfee: Foundstone Mobile Application Assessment
Das "Foundstone Mobile Application Assessment" von McAfee ist eine Beratungs- und Testdienstleistung für App-Entwickler. Entwicklern werden aber auch kostenlose Tools angeboten wie "iOSKeychain Analyzer" für mobile Penetrationstests und "Hacme-Bank-Android" als App-Simulation, die bewusst mehrere Schwachstellen als Anschauungsbeispiele enthält. Zu den weiteren Testdienstleistungen für Apps zählen die "Denim Group Mobile Application Security Assessment Services".
Rechtliche App-Prüfung ist ein Muss
Neben der technischen Prüfung von Sicherheit und Datenschutz sollten Entwickler auch die rechtliche Prüfung ihrer App sicherstellen, bevor diese intern freigegeben und gegebenenfalls in einen App-Store zur Vermarktung übertragen wird.
Im Datenschutz ist das Fehlen einer Datenschutzerklärung für die App eine ernst zu nehmende Lücke. Die Aufklärung der Nutzer soll schon vor der Installation einer App erfolgen und darlegen, auf welche Ressourcen und Daten die App zugreifen wird. Im Idealfall geschieht dies in einem kurzen und klaren Hinweis und nicht in seitenlangen juristischen Erläuterungen.
Natürlich können Testwerkzeuge und -dienste dem Entwickler oder App-Anbieter die Formulierung einer Datenschutzerklärung nicht abnehmen. Sie helfen jedoch dabei, dass die dem Nutzer versprochene Datensicherheit auch eingehalten werden kann, indem Sicherheitslücken aufgespürt und Gegenmaßnahmen genannt werden. Die folgende Tabelle fasst noch einmal die vorgestellten Test-Tools und Dienste für App-Entwickler zusammen.