App-Entwicklung: Sicherheitslücken erkennen und vorbeugen

Der Bug in meiner App

Sicherheitslücken in Apps

Sicherheitslücken in Apps sind keine Ausnahme, sondern fast schon die Regel. Unsichere Apps aber sind ein ideales Einfallstor für Cyberattacken auf Unternehmens-, Kunden- und private Nutzerdaten. Experten fordern deshalb, mobile Anwendungen standardmäßig einer Sicherheitsprüfung zu unterziehen.

„Datenleck in Apps bedroht Millionen Nutzer“ – so lautete die Schlagzeile zu den Enthüllungen, die unlängst die Technische Universität Darmstadt und das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) machten. Im Rahmen ihrer Analyse haben die Forscher Cloud-Datenbanken wie Facebooks Parse und Amazons AWS untersucht und 56 Millionen ungeschützte Datensätze gefunden. Viele App-Entwickler greifen auf solche Cloud-Datenbanken zurück, um Nutzerdaten zu speichern. Dort sind die jedoch offenbar besonders leicht abzufangen. „Eine große Menge App-bezogener Informationen ist von Identitätsdiebstahl und Manipulation bedroht“, fasst Prof. Eric Bodden die Untersuchungsergebnisse zusammen.

Mangelndes Sicherheitsbewusstsein bei App-Entwicklern

Identitätsdiebstahl und Manipulation – bei diesen Stichworten denkt man unweigerlich an Schadprogramme, die eigens dafür entwickelt wurden, wertvolle Informationen auszuspähen. Doch die bei Weitem größte Bedrohung für Unternehmen geht nicht von Malware aus, sondern – das legt auch die jüngste Analyse nahe – von Apps, die Firmen selbst entwickeln oder im Auftrag entwickeln lassen, weil sie sich davon einen Vorteil versprechen. Im Vertrieb etwa können Business-Apps die Kundennähe und Kommunikation verbessern, im Kunden- und Lieferantenmanagement sorgen sie für effizientere Bestellvorgänge, im Recruiting optimieren sie den Bewerbungsprozess.

In solchen firmeneigenen Apps sind Sicherheitslücken nicht das Ergebnis bewusster Manipulation. Vielmehr entstehen sie häufig ungewollt durch Entwicklungsfehler, sind das Resultat nachlässiger Datenschutzprüfungen oder eben unsicherer Authentifizierungsmethoden beim Speichern in der Cloud. So ermöglichen beispielsweise 25 Prozent der Schwachstellen in Apps Angriffe über Cross Site Scripting, 15 Prozent der Sicherheitslücken entstehen durch Fehler bei der Zugangskontrolle und 13 Prozent der fehlerhaften Programme gewährleisten kein sicheres Session Management.1 Die Folge: Angreifer können scheinbar sichere Datenverbindungen kapern. Die Gründe, warum vor allem mobile Anwendungen ein beträchtliches Risiko für den Datenschutz und die Datensicherheit in Unternehmen darstellen, sind komplex und reichen von mangelnder Sensibilität über fehlendes Know-how bis hin zu unklaren Richtlinien für die Nutzer.

Ganzheitliche Sicherheitskonzepte gefragt

Im Umkehrschluss heißt das nicht, dass Unternehmen auf eigene Apps verzichten müssen. Aber es bedeutet, aus den erwähnten Ursachen die richtigen Schlüsse zu ziehen und der Sicherheit bei der App-Entwicklung prinzipiell einen höheren Stellenwert einzuräumen. Dazu gehört, App-Entwickler mit den notwendigen Ressourcen auszustatten, um Apps möglichst sicher zu programmieren und intensiv zu testen – allen voran ausreichend Zeit, aktuelles Know-how und genügend Budget. Dazu gehört auch, Tools und Dienste zu nutzen, die bei der Entwicklung sicherer mobiler Apps unterstützen: etwa Anwendungen für die App-Analyse, das App-Testing, das Schwachstellenscreening, die Datenschutzprüfung oder das App Risk Management.

Nicht zuletzt sollte ein umfassendes Sicherheitskonzept auch die ‚Schwachstelle Mensch‘ berücksichtigen. Denn wenn über die Hälfte aller Unternehmen ihren Mitarbeitern erlaubt, Business-Apps auf privaten Mobilgeräten zu nutzen2, gleichzeitig aber keinerlei Richtlinien existieren, die den Umgang mit Apps im Unternehmen regeln, dann nützen auch die besten Security-Scanner und der eigene AppStore nichts. Denn: Wer keine klaren Regeln für den verantwortungsvollen Umgang mit Apps festlegt, der setzt sich schließlich der Bedrohung durch externe Schadprogramme aus.

Noch immer sind viele firmeneigene Apps ein potenzielles Sicherheitsrisiko für die Unternehmen, die sie nutzen.
Die Infografik „Die 6 größten Sicherheitsrisiken bei der App-Entwicklung“ zeigt auf, warum.

 

[1] Cenzic Application Security Trends Report 2014

[2] Ponemon Institute: The State of Mobile Application Insecurit

Bildquelle: Fotolia (c) Anna

Kommentare

Noch nicht bewertet

Es gibt noch keine Kommentare

Kommentar hinterlassen

Haben Sie Fragen oder Anregungen?

Schreiben Sie uns an
info@businessheute.de