»Wir wiegen uns in trügerischer Sicherheit«

Mobile App Security muss integraler Teil des Entwicklungsprozesses werden.

Illustration: Absmeier, Biljast

Mobile App Security ist wichtig, darüber sind sich die Entwickler einig – vor allem angesichts der immer häufiger werdenden Hackerattacken, die über mobile Kanäle erfolgen. Doch welche konkreten Maßnahmen werden für den Schutz mobiler Anwendungen und Applikationen getroffen? Samuel Bakken, Senior Product Marketing Manager für Mobile Apps Security bei VASCO Data Security, sieht in diesem Bereich großen Nachholbedarf:

Sicherheit wird von Apps erwartet

Wer aus den offiziellen App Stores für Android oder iOS eine App herunterlädt, darf davon ausgehen, dass diese die nötigen Sicherheitsfeatures besitzt, um vor Malware oder Identitätsdiebstahl geschützt zu sein. Das trifft vor allem zu, wenn die App von einem Unternehmen wie einer Bank oder einem Finanzdienstleister stammt.

Mobile App Security – eine Frage der Prioritäten

Doch halten die Apps dieses Versprechen? Selbst Entwickler können diese Frage häufig nicht genau beantworten. »Auf der DeveloperWeek 2018 in San Francisco hatte ich die Gelegenheit, mit einigen Entwicklern über Mobile App Security zu sprechen«, so Bakken. »Die meisten haben mir zugestimmt, dass Sicherheit ein wichtiger Aspekt ist, doch als ich nachgehakt habe, was sie konkret tun, um ihre Apps vor Malware und anderen Bedrohungen zu schützen, konnten mir nur die wenigsten spezifische Maßnahmen beschreiben. Mehr noch: Viele Entwickler sind sogar der Meinung, dass App Security nicht ihr Problem sei.«

Diese Einschätzung wird auch von der DevSevOps Survey gestützt, in der 76 Prozent der befragten Unternehmen angeben, dass Sicherheit nicht von ihren Entwicklern priorisiert wird. In den meisten Fällen (50 %) fehlt die Zeit, 17 Prozent sagen, dass App Security nicht in das Aufgabengebiet der Produktentwicklung fällt und neun Prozent setzen sich gar nicht erst mit Mobile App Security auseinander.

Mobiler Kanal im Visier der Hacker

Diese Zahlen werfen die Frage auf, ob mobile Apps wirklich so sicher sind oder ob dies nur eine gefühlte Wahrheit ist und wir uns in trügerischer Sicherheit wiegen. Tatsache ist: Die Angriffe auf persönliche und geschäftskritische Daten führen immer häufiger über den mobilen Kanal.

  • 27 Prozent aller im letzten Jahr von Kaspersky Lab entdeckten Angriffe nutzen Schwachstellen in Android.
  • Jedes fünfte Unternehmen, das einen externen Security Breach erlitten hat, führt diese laut Forrester Research auf mobile Malware zurück.
  • Insgesamt wurden 2017 140 Prozent mehr iOS– und 61 Prozent mehr Android-Schwachstellen aufgedeckt.
  • Allein im letzten Jahr stieg laut McAfee die Zahl der Banking-Trojaner um 60 Prozent.

Zeit zu handeln

Diese Statistiken zeigen deutlich, dass mobile App Security nicht vernachlässigt werden darf – sondern vielmehr, dass großer Handlungsbedarf besteht, denn Hacker nutzen potenzielle Schwachstellen gezielt aus – und finden diese allzu leicht in mobilen Anwendungen.

Was ist also zu tun, um mobile Anwendungen sicherer zu machen? »Wir brauchen einen Wandel in der Herangehensweise«, meint Bakken. »Entwickler sehen Sicherheitsaspekte oft als Hindernis, das überwunden werden muss, nicht als Methode, um ihre eigene Arbeit und ihre Kunden zu schützen. Ich meine damit nicht, dass sie sich um Sicherheit keine Gedanken machen. Vielmehr fehlt ihnen oft die Zeit. Sie sehen sich vor einer langen Liste an immer mehr Features, die Vorgesetzte, Line-of-Business-Verantwortliche, Produktmanager und nicht zuletzt die User von ihnen in immer kürzeren Entwicklungszyklen verlangen. Eine ideale Lösung ist die Nutzung von App-Security-Technologien, die der Entwickler schnell und effizient implementieren kann und die sich nahtlos in bestehende Prozesse und Workflows integrieren lassen.«

Wie Entwickler effizient zu mehr App-Sicherheit gelangen

Eine umfassende Security Solution unterstützt die Entwickler nicht nur bei sicherer Codierung, es bezieht den Sicherheitsaspekt bereits in die Produktanforderungen mit ein. Zudem integriert es regelmäßige, automatisierte Sicherheitstests bereits in einem frühen Entwicklungsstadium, nämlich dann, wenn Schwachstellen noch einfach und kostengünstig zu beheben sind. Dazu gehört auch, dass in regelmäßigen Abständen Penetrationstests durchgeführt werden und die App durch zusätzlichen Schutz in nicht vertrauenswürdigen Umgebungen mithilfe von App-Shielding-Technologie, einschließlich Runtime Application Self-Protection (RASP), immunisiert wird.

Während App-Shielding mit RASP nur ein Teil einer kompletten App-Sicherheitslösung ist, ist es eine bewährte Methode, den Schutz von Apps für Entwickler einfacher und effizienter zu machen. RASP automatisiert die proaktive Erkennung und Abwehr von Angriffen auf eine App während sie ausgeführt wird, und schützt so vor Zero-Day-Bedrohungen, gezielten Angriffen, ausgefeilter Malware, Code Injection, Reverse Engineering und mehr. Weiterer Vorteil: Sie lässt sich problemlos in Android- und iOS-Anwendungen integrieren, sodass Entwickler sich auf Optimierung der User Experience konzentrieren und gleichzeitig die Time-to-Market beschleunigen können.

Es gibt nicht die eine richtige Lösung für die Behebung von Sicherheitsproblemen bei mobilen Anwendung. Doch eine Sicherheitstechnologie, die sich in bestehende Workflows integriert und so die Entwicklungszeit optimal nutzt, ist ein wichtiger erster Schritt zu einer ganzheitlicheren Lösung.

VASCO Data Security

 


 

7 klassische Denkfehler beim Thema Web Application Security

Studie: Warum die Application Economy eine neue Herangehensweise an Security erfordert

8 Cybersecurity Trends 2018

Cybersecurity ist Chefsache

EU macht Ernst beim Datenschutz: Für Unternehmens-Apps tickt die Uhr

Security-Trends 2018: Der Preis der vernetzten Welt

Die zehn größten Risiken für Web-Applikationen: neue Sicherheitslage für Web-Anwendungen

Unternehmen ist Produktivität wichtiger als Cyber-Security

Weitere Artikel zu