Eine häufig zu lesende Sicherheitsempfehlung lautet: Wer eine App herunterladen und installieren möchte, sollte sich auf die App-Marktplätze der Betriebssystemanbieter oder Smartphone-Hersteller beschränken. Tatsächlich kann man hier von einer höheren Sicherheit ausgehen, da die Betreiber automatische beziehungsweise manuelle App-Tests durchführen. So konnte zum Beispiel das Testverfahren Google Bouncer die Zahl der bösartigen Apps im Android-Store Google Play reduzieren. Ausschließen kann man unsichere Apps durch Bouncer und vergleichbare Maßnahmen anderer Marktplatzbetreiber jedoch nicht.
Selbst Apps, die ein Gütesiegel tragen, sollte man nicht ungeprüft sein Vertrauen schenken. Zum einen ist der Prüfungsumfang, der Grundlage des jeweiligen Gütesiegels ist, nicht ohne Weiteres für den Anwender klar. Zum anderen spiegeln Zertifizierungen immer nur den Sicherheitsstatus wider, der zum Prüfungszeitpunkt vorlag. Mobile Apps jedoch werden laufend weiterentwickelt und erfahren Updates, die die Funktionalität und Sicherheit nachhaltig verändern können.
Eigene App-Kontrollen sind unumgänglich
Unternehmen, die deshalb zusätzliche Sicherheitsüberprüfungen vor dem Einsatz mobiler Apps planen, haben die Wahl zwischen verschiedenen Strategien und Werkzeugen. Die Bandbreite reicht von App-Scannern, die neue oder veränderte Apps auf mobilen Testgeräten durchleuchten, bis hin zu Cloud-Diensten, die Apps prüfen, ohne dass das Unternehmen selbst die jeweiligen Apps installieren muss.
Lokale App-Prüfung auf Testgeräten
Mobile Sicherheitslösungen wie avast Mobile Security, Bitdefender Mobile Security, G Data Mobile Security, Lookout Mobile Security, McAfee Mobile Security oder Trend Micro Mobile Security bieten eine integrierte Datenschutzkontrolle für Apps (siehe auch Marktübersicht Smartphone-Security-Suites, <kes>4/2012). So listet zum Beispiel der Privacy Advisor von Lookout im Privacy Dashboard alle auf dem jeweiligen Endgerät installierten Apps auf, die auf persönliche Daten oder Standortinformationen zugreifen. Zusätzlich kann zu jeder installierten App ein Report abgerufen werden, der mögliche Risiken beschreibt. Weiterhin werden bereits während der Installation einer neuen App die geforderten Zugriffsberechtigungen überprüft, vor kritischen Berechtigungswünschen wird gewarnt.
Solche Scanner als Teil einer mobilen Sicherheitslösung können bereits vor dem Ausrollen einer App im Unternehmen hilfreich sein, wenn sie auf isoliert betriebenen und vom Netzwerk getrennten Testgeräten zum Einsatz kommen. Neue Apps oder App-Aktualisierungen werden auf den Testgeräten abgekapselt (Containering, Sandboxing) und können hinsichtlich ihrer Funktionen und Datenzugriffsversuchen untersucht werden.
Zentrale App-Prüfungen mit Mobile-Device-Manager
Mobile-Device-Manager blockieren auf den mit ihnen verwalteten mobilen Endgeräten alle Apps, die nicht für den betrieblichen Einsatz erlaubt wurden. Zusätzlich spürt zum Beispiel das Mobile-Application-Management von MobileIron oder Sophos Mobile Control bösartige Apps auf den Smartphones und Tablets auf und setzt die Apps auf eine Blacklist. Positiv geprüfte Apps können in einem internen App-Store den mobilen Nutzern im Unternehmen zur Verfügung gestellt werden.
Zentrale Werkzeuge für Applikationssicherheit
Die HP Fortify Mobile Security Solution sucht Schwachstellen in mobilen Apps auf Android- und iOS-Basis. Der Programmcode kann analysiert, aufgedeckte Sicherheitslücken priorisiert werden. Die Lösung bietet Empfehlungen zur Behebung der Schwachstellen und kann von dem Anwenderunternehmen selbst betrieben werden.
App-Prüfung in der Cloud
Mobile Apps lassen sich auch mit Hilfe von Cloud-Diensten prüfen. So bietet zum Beispiel Trend Micro Unternehmen den Online- Dienst Mobile App Reputation (MAR) zur Kontrolle von Android- und Symbian-Apps an. MAR ist Teil des Reputationsdienstes Trend Micro Smart Protection Network. Untersucht werden bei den mobilen Apps neben dem Programmcode auch die möglichen Auswirkungen der App-Nutzung auf den mobilen Datenschutz. Zscaler Application Profiler (ZAP) ist ein kostenloser Online-Dienst, der nach Angabe eines App-Namens oder des offiziellen Links zur App in einem App-Store Sicherheits- und Datenschutzanalysen vornimmt. Dazu müssen die Apps nicht installiert werden. Für die Apps auf Android- oder iOS-Basis kann auch der Datenverkehr der jeweiligen App untersucht werden, ob personenbezogene Daten ungeschützt übertragen werden.
Auch interne Apps nicht vergessen
Testwerkzeuge wie IBM Security AppScan bieten dynamische und stationäre Applikationstests für Web-Applikationen und mobile Applikationen. Dazu gehört auch eine Codeanalyse, um Programmierschwachstellen in den Apps zu finden. Durch die Testvorlagen und Schwachstellenberichte lassen sich die Tests auch ohne Spezialwissen in Applikationssicherheit durchführen. IBM Security AppScan eignet sich insbesondere, wenn eigene mobile Apps entwickelt werden und die App-Tests bereits während der Entwicklungsphase stattfinden.
App-Prüfung als externer Service
Selbst entwickelte Apps können auch durch externe Dienstleister überprüft werden. So bietet zum Beispiel nVisium Security für Android-, iOS-, BlackBerry- und Windows-Phone-Apps spezielle Testdienstleistungen an, darunter Mobile-Application-Penetrating-Tests, Mobile-Security-Code-Reviews und Mobile-Threat-Modelling. Das Unternehmen Veracode führt ebenfalls Sicherheitsprüfungen für mobile Apps durch und sucht dabei nach bösartigen Funktionen sowie nach Programmfehlern wie der unsicheren Speicherung oder Übertragung von Daten oder hart codierten Passwörtern in den Apps. Aspect Security bietet einen Mobile-Application-Security-Review und prüft Apps auf Basis der OWASP Top Ten Mobile Risks and Controls (vgl. Kasten S. 6). Dabei stehen Bereiche wie Datenspeicherung, Datenübertragung, mobile Zugangskontrolle und Schutzmechanismen gegen Cross-Site-Scripting (XSS) im Fokus.
Fazit: App-Prüfungen gehören ins IT-Sicherheitskonzept
Mobile Apps sollten am besten vor der Beschaffung oder dem Herunterladen einer genauen Prüfung unterzogen werden. Dazu eignen sich insbesondere Cloud- Dienste, die eine solche Vorabkontrolle unterstützen. Werden bereits mobile Apps eingesetzt, sollten diese entweder lokal auf Testgeräten oder zentral mit speziellen Testwerkzeugen untersucht werden. Dabei ist die App-Kontrolle nicht als einmalige Aufgabe zu sehen, sondern muss mit jeder App-Aktualisierung durchgeführt werden.
Eigene Apps sollten bereits in der Entwicklungsphase und vor der Produktivsetzung einer genauen Prüfung unterzogen werden. Simulierte Angriffe wie Penetrationstests und Code-Reviews können bei entsprechendem internem Know-how selbst durchgeführt oder aber durch externe Testdienstleister vorgenommen werden. In jedem Fall aber sollten mobile Apps genau wie alle anderen Anwendungen im IT-Sicherheitskonzept als Prüfungsgegenstand vorgesehen werden. Die Applikationssicherheit muss für jede Form von Anwendungen und auf jedem Endgerät gewährleistet sein. Entsprechende Testwerkzeuge sind verfügbar, zum Teil sogar kostenlos.
Oliver Schonschek, Dipl.-Phys., ist freier IT-Fachjournalist in Bad Ems und Herausgeber und Autor zahlreicher Publikationen im Bereich Datensicherheit und Datenschutz.
