Wir leben in einer Welt, die immer digitaler wird. Täglich greifen wir zu unseren Smartphones und benutzen Apps; beispielsweise um Notizen zu machen, die Wettervorhersage anzuschauen oder sich mit einem Spiel die Zeit zu vertreiben. Aber nicht nur das: Inzwischen werden mit Apps immer häufiger richtig sensitive Daten verarbeitet. Man denke nur einmal an das bei vielen beliebte Mobile Payment, den in naher Zukunft kommenden digitalen Führerschein oder die elektronische Patientenakte (ePA), die Mitte nächsten Jahres eingeführt wird. Wer möchte schon, dass derartige sensible Daten in die Hände von Dritten gelangen? Wohl niemand. Doch genau dies kann passieren, wenn das Thema App-Sicherheit nicht ernst genug genommen wird.
Die Sicherheit mobiler Apps ist aus verschiedenen Gründen wichtig. Einerseits gilt es, die persönlichen Daten der App-User zu schützen. Andererseits sollten auch die App-Betreiber darauf bedacht sein, den Zugriff auf ihre Daten beziehungsweise zu ihren Servern zu sichern. Denn ein erfolgreicher Angriff auf eine App kann verheerende Folgen für Firmen haben. Neben dem Diebstahl sensibler Unternehmensinformationen ist es im Worst Case möglich, dass das gesamte Geschäftsmodell abrupt zum Ende kommt – etwa aufgrund drohender Strafzahlungen für die Verletzung des Datenschutzes oder mangelnder Sorgfaltspflicht. Wie das Allianz Risk Barometer 2020 bestätigt[1], zählen Cybervorfälle nicht umsonst als das größte Geschäftsrisiko.
App-Sicherheit selbst in die Hand nehmen
Zunächst ist es sinnvoll, die offiziellen App-Stores zu nutzen, da diese eine essenzielle Funktion besitzen. Sie sorgen dafür, dass die Anbieter die Spielregeln einhalten und bestimmte Funktionen, darunter die Advertising ID auf Android oder iOS, nicht missbräuchlich verwenden. Außerdem wird seitens der Stores untersucht, ob sich bekannte Malware in den Apps verbirgt. Natürlich haben die App-Stores selbst Interesse daran, keine minderwertige Qualität anzubieten, weil sie letztendlich Apps verkaufen und Umsatz machen wollen.
Die Stores verhindern jedoch nicht, dass irgendjemand – sei es ein Angreifer, ein Sicherheitsforscher oder ein ehemaliger Angestellter einer Firma – beabsichtigt, die App zu manipulieren. Vor der Veröffentlichung sollte daher immer auch ein Security-Spezialist beauftragt werden, die App unter die Lupe zu nehmen und den Hersteller zu informieren, sofern eine Sicherheitslücke gefunden wurde. Darüber hinaus können die App-Stores nicht verhindern, dass sich ein Angreifer die App genauer ansieht – zum Beispiel, weil sich manipulierbare hartkodierte Passwörter oder Backdoors darin befinden. In diesem Fall muss sich die App selbst schützen und auch reagieren können. Hierzu sind die App-Stores nicht in der Lage. Als Unternehmen ist es daher notwendig, sich abseits von den App-Stores Gedanken über die App-Sicherheit zu machen und nicht davon auszugehen, das bloße Einstellen der App in einen Store sei ausreichend.
Doch was ist erforderlich, um Apps maximal abzusichern? Das erfahren Sie in unserem nächsten Blogbeitrag!
[1] https://www.agcs.allianz.com/news-and-insights/news/allianz-risk-barometer-2020-de.html