App-Sicherheit

Jede zweite App gefährdet Unternehmen

Sogar unter dem als sicher geltenden iOS sind viele Apps gefährlich, weil die Entwickler schlecht arbeiten. "Whitelisting", also das Führen einer Positivliste mit unkritischen Apps, ist die richtige Gegenwehr.

Damit die Sicherheit von Apps im Unternehmenseinsatz gewährleistet ist, sollten alle Einträge in einer Whitelist intensiv überprüft werden.

Apple-Systeme gelten als besonders sicher. Doch wer sich auf das gute Image verlässt, erlebt eine Überraschung: Tausende iOS-Apps sind zu unsicher für den Einsatz in Unternehmen. Dies ergab eine Testreihe von Wissenschaftlern des Fraunhofer-Instituts für Sichere Informationstechnologie (Fraunhofer SIT). Sie prüften die beliebtesten kostenlosen iOS-Apps aller Kategorien.

Das Ergebnis: Gut 60 Prozent der Apps haben teils gravierende Sicherheitslücken. So haben bei etwa einem Viertel der Apps die Entwickler absichtlich auf Schutzfunktionen verzichtet. Doch das ist nicht alles: 12,5 Prozent der Apps verschicken Daten an mehr als fünf Unternehmen, die mit der eigentlichen App-Funktion nichts zu tun haben.

Fehlerhaft umgesetzte Verschlüsselung

Bei zahlreichen Anwendungen stellten die Experten auch Verschlüsselungsmängel fest. „Dadurch können versierte Angreifer zum Beispiel PINs ausspionieren und im Falle von Banking-Apps auch finanziellen Schaden anrichten", sagt Jens Heider, Leiter des Testlabors Mobile Sicherheit am Fraunhofer SIT in Darmstadt.

An der Untersuchung des Fraunhofer-Instituts zeigt sich auch, dass die Funktionsangabe "Verschlüsselung" manchmal irreführend ist. In über 10 Prozent der Apps fanden die Fraunhofer-Tester eine besonders gravierende Sicherheitslücke: Hier ist die gesicherte Verbindung über SSL nicht korrekt implementiert. Über diese Lücke können Angreifer Zugangsdaten stehlen und den gesamten Datenverkehr zwischen der App und dem Handynutzer manipulieren.

Solche Sicherheitslücken sind nicht ohne weiteres zu entdecken, ihre Aufdeckung erfordert einen ähnlich intensiven Test wie der vom Fraunhofer-Institut. Mobile Sicherheit ist ein zunehmend komplexer werdendes Thema und es ist fast nicht möglich, alle Probleme im Vorfeld zu erfassen.

Eine praktikable Lösung für Unternehmen aller Größen ist das Whitelisting. Hierbei wird eine Positivliste aus erlaubten Apps in einem internen Enterprise-Appstore angeboten. Er ersetzt den Standard-Store des jeweiligen Betriebssystems, der nun nicht mehr länger verfügbar ist.

Ein idealtypischer Enterprise-Appstore sollte nicht nur interne Business-Apps anbieten, sondern auch eine sinnvolle Auswahl an sonstigen Apps, wie zum Beispiel News-Apps oder Produktivität-Tools. Damit die Sicherheit der Apps gewährleistet ist, müssen allerdings alle Einträge in der Whitelist intensiv überprüft werden. Vor allem für kleine und mittlere Unternehmen ist dies in vielen Fällen nicht zu leisten.

Durchdachte App-Strategie notwendig

Eine Hilfe ist dabei die Expertise eines EMM-Anbieters, der in aller Regel auf intensive Erfahrungen mit der Sicherheit von mobilen Apps zurückgreifen kann. Eine zweite Möglichkeit ist die Expertise des Fraunhofer-Instituts, das den App-Test auch als Dienstleistung anbietet.

Eine wichtige Voraussetzung hat das Zusammenstellen einer Positivliste jedoch: Es muss im Unternehmen eine Art „Vorschlagswesen“ geben, mit der Mitarbeiter von ihm gewünschte Apps für eine Sicherheitsüberprüfung vorschlagen können. Und die finanziellen, personellen und technischen Ressourcen für einen Test müssen natürlich vorhanden sein.

Aus diesem Grund greifen viele Unternehmen zum Blacklisting, dem Zusammenstellen einer Negativliste, zum Beispiel anhand von Ergebnissen wie etwa aus der Fraunhofer-Studie. Das ist einfacher, schützt aber nur vor den getesteten Apps mit bekannten Fehlern.

Letztlich kommt es auf eine durchdachte App-Strategie an: Welche App soll aus welchen Gründen angeboten werden und welche ist überflüssig? Dabei können Unternehmen im Einzelfall sogar zu dem Schluss kommen, auch einmal eine Ausnahme zu machen. So erklärt sich ein interessantes Detail: Spitzenreiter sowohl auf Positiv- als auch auf Negativlisten ist die bekannte Online-Festplatte Dropbox. Es kommt halt darauf an, ob der Einsatz der App in die IT-Strategie passt oder nicht.

 

Link: Der Fraunhofer Appicaptor Security Index

Bildquelle: Thinkstock/ iStock

©2021Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok