Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden

Montag, 22. Januar 2018

Mobile Sicherheit

Software prüft Sicherheit von Smartphone-Apps

Von Chr. Schulzki-Haddouti | 11. Oktober 2013 | Ausgabe 41

Viele Unternehmen kontrollieren, welche Software ihre Mitarbeiter auf den Rechnern installieren. Bei Apps gibt es bislang jedoch kaum Regeln. Fraunhofer-Forscher haben nun ein Testwerkzeug entwickelt, das Apps auf ihre Unternehmenskonformität prüft.

Software prüft Sicherheit von Smartphone-Apps

Bunte Spielereien: So arglos, wie viele Apps daherkommen, sind sie für Firmen nicht. Foto: istockphoto

Sowohl im App-Store von Apple als auch in dem von Google befinden sich jeweils rund 700 000 Apps. Händisch lässt sich eine solche Menge nicht überprüfen. Unternehmen brauchen jedoch eine solche Sicherheitsüberprüfung. Jens Heider, Abteilungsleiter am Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt, rät: "Unternehmen, die ihren Mitarbeitern nicht erlauben, auf ihren Desktops beliebte Software zu installieren, sollten das konsequenterweise auch bei deren Smartphones machen."

Forscher des SIT haben deshalb ein Testwerkzeug namens "Appicaptor" entwickelt, das automatisch prüft, ob Apps die Sicherheitsanforderungen eines Unternehmens erfüllen. Bislang testet der Appicaptor auf den Betriebssystemen iOS von Apple und Android von Google die 400 Top-Apps, die Unternehmen in der Praxis einsetzen. Durchschnittlich dauert eine Prüfung zehn Minuten.

Probeläufe mit Pilotkunden zeigten, dass 300 der 400 beliebtesten Business-Apps die Sicherheitsanforderungen der jeweiligen Unternehmen nicht erfüllten. Dabei ging es um die Frage, ob die Daten verschlüsselt werden und ob die Anwendung auf das Adressbuch zugreift, ohne den Nutzer darüber zu informieren. Viele Anwender wissen nicht, ob und in welchem Umfang ihre Apps auf Adressbücher, E-Mails oder gar Passwörter zugreifen.

Die Fraunhofer-Forscher suchten in der App auch nach Informationen, die noch aus der Entwicklungsphase stammen und in einer produktiven App nichts zu suchen haben.

Apps können außerdem Schwachstellen enthalten, die für Sabotage oder Wirtschaftsspionage genutzt werden können. Chefentwickler Jens Heider weiß aufgrund der eigenen Untersuchungen: "Die Sicherheitsprüfungen der verschiedenen App-Stores suchen nicht ausreichend nach Schwachstellenindikatoren."

Für die Forschung gingen die Fraunhofer-Entwickler der Frage nach, ob Business-Apps eine höhere Sicherheitsqualität haben als Entertainment-Apps. In Testgrößen wurden jeweils 2000 Apps aus der beruflichen und der privaten Nutzung gegenübergestellt.

Geprüft wurde, ob die Entwickler von Business- und Entertainment-Apps bestimmte Schutzeinstellungen, sogenannte Compiler Flags, aktivieren. Heider: "Das Ergebnis war, dass es keinen Unterschied zwischen beiden App-Kategorien gibt." Bei den 11,7 % der Top-400-Business-Apps, die mit Office-Daten arbeiten, stellten die Forscher fest, dass 62,4 % über keine Verschlüsselung verfügen.

Zurzeit bietet das Fraunhofer SIT die Analysesoftware nur im Rahmen forschungsgestützter Dienstleistungen an. "Die Kosten hängen davon ab, wie viele Apps man testen lassen will", erklärt Chefentwickler Heider. Abgerechnet wird jährlich über einen Dienstleistungsvertrag.

Der Appicaptor wurde in der Betaphase mehrfach eingesetzt. Heiders Erkenntnis: "Die Ergebnisse können direkt in die Abläufe eines Unternehmens integriert werden."

Das Testwerkzeug generiert Blacklists, also Listen mit Apps, die nicht verwendet werden dürfen, sowie Whitelists mit Apps, die installiert werden dürfen. Außerdem erstellt es einen Testbericht, der die Ergebnisse detailliert beschreibt. Damit kann das Unternehmen den Bericht für die Risikobewertung verwenden und prüfen, inwieweit Compliance-Vorschriften eingehalten werden. Der Bericht darf allerdings aus Gründen des Wettbewerbsrechts nur für die eigene Evaluierung verwendet werden.

 Noch wird der Appicaptor ständig weiterentwickelt und um neue Prüfkriterien erweitert. "Unser Ziel ist es, die relevanten 100 000 Apps, die von deutschen Unternehmen auf deutschen Smartphones eingesetzt werden, zu überprüfen", sagt Heider.   CHR. SCHULZKI-HADDOUTI

stellenangebote

mehr