Unsichere Apps: 75 Prozent sind ungeeignet für Unternehmen

„Viele Apps erfüllen grundlegende Sicherheitsanforderungen beim Business-Einsatz nicht“, meint Dr. Jens Heider vom Fraunhofer SIT in Darmstadt. „Von den bei uns getesteten Apps fallen etwa drei Viertel durch.“ Häufige Probleme sind laut dem Fraunhofer-Institut für Sichere Informationstechnik fehlende oder fehlerhafte Verschlüsselung und ungewollte Zugriffe auf Kontakte oder Termine.

Der Sicherheitsexperte und Leiter des „Testlab Mobile Security“ empfiehlt dringend, unter keinen Umständen Apps ungeprüft in Unternehmen einzusetzen. Doch das penible Ausprobieren der Apps ist aufwendig, denn der Markt ist extrem dynamisch: Oft trudeln im Wochentakt Updates ein und bringen viele neue Funktionen und damit potentielle Schwachstellen mit sich.

„Ein manueller Test ist aufwendig und mehr, als die meisten Unternehmen sinnvoll leisten können“, sagt Heider. Für diesen Zweck haben er und sein Team vom Fraunhofer SIT das Testframework Appicaptor geschaffen. „Die Apps werden in einer speziellen Server-Umgebung automatisch geprüft“, beschreibt er die Arbeitsweise von Appicaptor. „Wir bieten diese Tests interessierten Unternehmen als Dienstleistung an.“

Das System erzeugt zu jeder App und zu jedem Betriebssystem einen individuellen Testbericht. Die Ergebnisse der automatischen Analyse fließen dabei in eine Datenbank ein, die jeweils bei neuen Versionen der App erweitert wird. Auf diese Weise ist im Laufe der Zeit eine hochinteressante Wissensbasis zusammen gekommen. So zeigt sich, dass ein Großteil der Sicherheitsprobleme in Apps auf mangelnde Programmiererfahrung zurückgeht.

„Unserer Erfahrung nach besitzen viele App-Entwickler zu wenig Security-Knowhow“, meint Heider. „Ein typischer Fall ist der Experte für ein bestimmtes Fachthema, der eine nützliche App in irgendeinem Spezialgebiet entwickelt. Die wird dann vom Fachpublikum hervorragend bewertet, fliegt aber bei unseren Sicherheitstests raus.“ Die junge Technologie zieht viele unerfahrene Entwickler an.

Risiken von Apps im Vergleich: geringe Sicherheitsqualität (A) und nicht vertrauenswürdige Apps (B) [Quelle: Fraunhofer SIT]Vor allem die Verschlüsselung ist ein großes Problem – sofern sie überhaupt genutzt wird. Zum Beispiel das SSL-Protokoll für sichere Übertragungen im Web: „Wir sehen hier oft Implementierungsfehler, die im Unternehmensumfeld auf dem Desktop schon seit Jahren kaum noch vorkommen.“ Den Apps sehe man das oft nicht an, sie wirken auf den ersten Blick professionell und gut designt.

Unternehmen können deshalb mit Appicaptor die Sicherheitseigenschaften der bei ihnen eingesetzten Apps regelmäßig überprüfen lassen. Am Ende des Tests steht entweder eine Whitelist oder eine Blacklist. Eine Whitelist enthält unbedenkliche Apps, die Mitarbeiter auf den Smartphones nutzen können. Eine Blacklist enthält die Apps, die nicht die IT-Sicherheitsrichtlinien des Unternehmens erfüllen.

Außerdem können Unternehmen das System auch nutzen, um selbst oder durch Dienstleister entwickelte Business-Apps auf Schwachstellen zu überprüfen. „Das reine App-Management mit einer Lösung für Mobile Device Management (MDM) reicht nicht aus“, erklärt Heider. „Hier ist in den Unternehmen noch Umdenken notwendig. Die IT-Verantwortlichen dürfen nicht nur auf die Mobilgeräte achten, sie müssen auch die Apps in den Blick nehmen.“

Bildquelle: Fraunhofer SIT

„Many mobile apps are not appropriate for use in enterprises due to security flaws“, says Dr. Jens Heider of Fraunhofer Institute for Secure Information Technology (SIT). His team has built a testing framework that automates the uncovering of security issues. It is server based and tests apps in an controlled environment. Heider has made his framework a service for enterprises in the need of secure apps without vulnerabilities. But his tests show major problems: 75 percent of all tested apps are insecure and show security leaks.

Kommentar posten

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.