Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden

Donnerstag, 23. März 2017, Ausgabe Nr. 12

Donnerstag, 23. März 2017, Ausgabe Nr. 12

Mobile World 2016

Durchwachsenes Sicherheitsniveau in App-Stores

Von Regine Bönsch | 26. Februar 2016 | Ausgabe 08

Apps sind mittlerweile ein Riesenmarkt, wie der Mobile World Congress diese Woche in Barcelona zeigte. Die etablierten App-Stores verfügen über robuste Sicherheitsmechanismen. Entsprechende Kriterien der europäischen Sicherheitsbehörde Enisa von 2011 werden aber bis heute nicht vollständig umgesetzt.

20_Aufmacher (2)
Foto: PantherMedia/Oleg Dudko

Apps sind mittlerweile ein Milliardenmarkt. Doch wie sicher sind die Miniprogramme und die App-Stores? Eine Übersicht zeigt: Es gibt Licht und Schatten.

Smartphone-Nutzer müssen bei der Installation einer App darauf vertrauen können, dass diese sicher ist. Sicher bedeutet, dass sie keinen Schaden auf dem Handy verursacht, nur die erforderlichen Daten nutzt und in den Funktionen das hält, was sie verspricht. Dabei spielt es eine entscheidende Rolle, in welchen App-Stores sie ihre Anwendungen beziehen. Längst gibt es nicht nur mehr App-Stores von den großen Smartphone-Herstellern Apple, Blackberry, Google und Microsoft. Amazon hat erst vor zwei Jahren einen Store für Mobile Apps eingerichtet. Der Softwarehersteller Opera hat den Nokia-App-Store übernommen und die Plattform Mobiload stellt Angebote für jeden Geschmack bereit.

Die europäische Behörde für Netzwerk- und Informationssicherheit Enisa hat fünf Kriterien entwickelt, mit denen sich die Sicherheit von App-Stores einschätzen lässt:

Erstens müssen die App-Stores die Apps überprüfen, bevor sie sich zum Download anbieten.

Zweitens sollte der Anwender erkennen können, ob die App und ihr Entwickler über einen guten Ruf verfügen. Enisa schlägt daher vor, Sicherheits- und Datenschutzfragen bei App-Bewertungen separat zu berücksichtigen. Auch sollte die Qualität des Entwicklers der App angezeigt werden.

Foto: Tabelle: VDI nachrichten

App-Sicherheit im Überblick: Die Tabelle zeigt, wie die App-Stores die Enisa-Kriterien 1, 2 (2. und 3. Spalte) und 3 erfüllen. Zu den Kriterien 4 und 5 geben nur wenige Auskunft.

Drittens sollten App-Stores über Mechanismen verfügen, über die Apps zentral zurückgerufen werden können, falls sie nicht in Ordnung sind. Für optimal hält es die Enisa, wenn der Store-Betreiber Malware automatisch deinstallieren kann.

Die vierte Enisa-Empfehlung betrifft die Absicherung auf dem Gerät: So sollten die Smartphones die Apps nur in einer sogenannten Sandbox laufen lassen. Das bedeutet, dass eine Anwendung nur die notwendigsten Rechte erhält und dass ihre Aktivitäten protokolliert werden. Wie erst im Januar bekannt wurde, verfügt die Schutzfunktion der Apple-Betriebssysteme über eine Schwachstelle, die das Unternehmen bislang schon zweimal nachbessern musste. Ob iOS sicherer als Android ist, lässt sich also nur schwer einschätzen, da Apple Informationen über Schadsoftware nicht freiwillig veröffentlicht. Weil jedoch Apple gegenüber Entwicklern bei seinen Programmierschnittstellen sehr restriktiv vorgeht, hält der IT-Sicherheitsdienstleister Sophos iOS trotzdem für sicherer als das Google-System Android.

Fünftens schließlich empfiehlt Enisa den Smartphone-Herstellern, den Smartphones nur den Zugriff auf ausgewählte, vertrauenswürdige App-Stores zu erlauben. Diese Einschränkungen sollten aber nicht den legitimen Wettbewerb einschränken. Apple jedenfalls ist dafür berüchtigt, seine Anwender nur innerhalb seines eigenen Ökosystems agieren zu lassen. Samsung bietet für seine Galaxy-Serie inzwischen eigene Apps, schließt jedoch Apps von anderen Stores nicht aus. Den Gegenpool bildet Google, das auf Basis des Open-Source-Gedankens das Android-Betriebssystem samt Anwendungen für alle geöffnet hat. Eine Beschränkung auf „vertrauenswürdige“ Stores gibt es in der Android-Welt bislang kaum, zumal es bislang auch keine Zertifizierung für die Plattformen gibt.

Wie eine Übersicht der VDI nachrichten zeigt (s. Tabelle), können die etablierten Anbieter beim ersten und dritten Kriterium punkten, während die kleinen Plattformen von Opera und Mobiload klare Defizite zeigen. Es gibt überdies alternative Marktplätze wie Blackmart, die inzwischen für gehackte und raubkopierte Anwendungen bekannt wurden: Dort laden kriminelle Entwickler etwa beliebte Anwendungen wie Angry Birds hoch, die sie zuvor zerlegt und mit Schadcode versehen haben. Der Schadcode kann etwa bewirken, dass das Handy SMS-Nachrichten an kostenpflichtige Anbieter in Osteuropa verschickt und damit teure Abos auslöst.

Besonders Android-Anwendungen werden in den letzten Jahren zunehmend von Hackern manipuliert, da sie über verschiedene App-Stores verbreitet werden können. Gleichwohl sind Nutzer auch auf Googles Play Store nicht hundertprozentig vor bösen Überraschungen gefeit: So wurde erst vor wenigen Monaten eine Malware entdeckt, die sich bereits zum zweiten Mal in den Play Store eingeschlichen hatte. Sie hatte Googles Anwendungssicherheitsprüfung, die gefährliche Softwaremechanismen in Apps automatisch erkennen soll, ausgetrickst und außerdem eine Sicherheitslücke im Android-Betriebssystem genutzt. Wichtig ist daher, dass Android-Nutzer ihr Betriebssystem laufend auf dem aktuellsten Stand halten.

Die Recherche zeigt überdies, dass bisher kein App-Store das zweite Kriterium der Enisa vollständig umgesetzt hat: Zwar gibt es weithin Anmeldemechanismen für App-Entwickler, um ihre App hochladen zu können, und Registrierungsprozesse für Nutzer, um Bewertungen abzugeben, doch die Bewertungen selbst berücksichtigen bisher nicht gesondert die Sicherheits- und Datenschutzfragen. Auch erfährt der Nutzer nichts darüber, ob ein App-Entwickler durchweg gute Qualität abliefert. Hier ist also auch fünf Jahre nach Veröffentlichung der Enisa-Kriterien noch deutlicher Nachbesserungsbedarf festzustellen.

stellenangebote

mehr