Achtung bei Software Development Kits SDK
Apps auf Sicherheit programmieren
Das Bundesdatenschutzgesetz und andere sicherheitsrelevante Vorgaben sind nicht nur für die Betreiber und Nutzer mobiler Anwendungen und Services relevant, sondern auch für App-Entwickler. Danach muss eine App die Daten schützen, sofern sie personenbezogene Informationen verarbeitet.
Doch über diesen rein rechtlichen Aspekt hinaus gibt es hier noch weitere wichtige Aspekte, die einen sensiblen Umgang mit der Datensicherheit von Apps begründen. Dazu gehört einerseits die Wahrnehmung der Anwender und der Öffentlichkeit. Denn gerät eine App aufgrund von Sicherheitslücken in Verruf, beschädigt dies die Reputation des betroffenen Unternehmens. Gibt beispielsweise eine Bank eine unsichere App für das Online Banking heraus, wird sie von den Kunden als wenig vertrauenswürdig gesehen und dies schlägt auf das Image des Kreditinstituts insgesamt zurück.
Daneben erzeugt gerade der Business-Umgang mit mobilen Endgeräten einen hohen Sicherheitsanspruch. Darauf befinden sich im Regelfall vielfältige geschäftliche Informationen wie etwa Kontaktdaten, die von unsicheren oder gezielt auf eine Datenweitergabe ausgerichteten Apps Dritten zugänglich gemacht werden. Aber auch unnötige Lokalisierungen oder eine mangelhafte Sicherung lokaler Daten widersprechen den Sicherheitsbedürfnissen von mobilen Endgeräten der Mitarbeiter.
- Geschäftsmodelle von Gratis-Apps: Freikaufen von Werbung
Nur 99 Cent und die Anzeigen erscheinen nicht mehr auf dem Bildschirm: Viele Gratis-Apps wie hier der „Android Assistant“ stopfen eine ohnehin überladenen Oberfläche noch mit Anzeigen voll – von denen sich der Nutzer dann durch Zahlung einer Gebühr befreien kann. - Geschäftsmodelle von Gratis-Apps: Datensammler
Sorgte Ende 2013 für Probleme: Die kostenlose „Taschenlampe“-App von Goldenshore Technologies sammelte nicht nur Daten der Nutzer, sondern gab sie auch an Anzeigenkunden weiter. - Geschäftsmodelle von Gratis-Apps: SMS-Verkauf
Vor dem Download dieser App sollte schon der gesunde Menschenverstand warnen: Nicht nur die schlechte automatische Übersetzung sondern vor allen Dingen das Geschäftsmodelle die „übriggebliebenen“ SMS weiterzuverkaufen sind mehr als dubios. - Geschäftsmodelle von Gratis-Apps: In-App-Käufe
Ein Geschäftsmodell, das besonders für Kinder und Jugendliche schnell gefährlich werden kann: In-App Käufe verführen schnell dazu, auch bei einer Gratis-App viel Geld auszugeben. - Gratis-Apps: Überall beliebt
Gratis-Apps werden besonders gerne von den Anwendern verwendet, die mit einem Android-Smartphone oder -Tablet unterwegs sind: Wie auch dieser Vergleich zu der Verwendung von Kauf-Apps unterstreicht (Quelle: Statista App Monitor) - Vorab prüfen: Zugriffsrechte
Was darf eine App beziehungsweise, welche Zugriffsmöglichkeiten benötigt sie? Bereits auf den verschiedenen Marktplätzen der mobilen Systemen (hier der Windows Store auf einem Windows Phone 8.1-System) kann der Nutzer in der Regel erfahren, auf welche Bereiche seines Geräts zugegriffen wird. - Vorab prüfen: Zugriffsrechte
An dieser Stelle wird leider allzu häufig „abgenickt“: Gerade bei der Installation von Gratis-Apps sollten Nutzer darauf achten, welche Berechtigungen das Programm auf dem Smartphone oder Tablet bekommen wird. - Vorab prüfen: App Info unter Android 4.4.2
Grundsätzliche Kontrolle möglich: Ein genauerer Blick in die App-Info, wie sie hier unter Android 4.4.2 (KitKat) bereitgestellt wird, gibt schon einen Eindruck davon, was eine App auf dem System darf und welche Daten sie verwenden kann. - Vorab prüfen: App Permission von F Secure
Welche meiner Apps greifen auf persönliche Daten zu? Die freie App App Permission von F-Secure zeigt dies recht übersichtlich auf. - Vorab prüfen: Schreibzugriff erforderlich?
Bedeutet nicht grundsätzlich, dass die Entwickler dieser App böse Absichten hatten: Nutzer müssen selbst entscheiden, ob sie es wie hier bei den Schreibzugriffen für sinnvoll und vertretbar halten, dass einen App diese Zugriffe bekommt. - Gefährliches Terrain: AppStores von Drittanbietern
Web-Store eines Drittanbieters für Apps (hier Amazon): Gerade dort finden Nutzer zwar viele Gratis-Anwendungen, müssen aber beispielsweise die „Installation von Apps unbekannter Herkunft“ zulassen. - Bezahl-App: Kostenpflichtig aber nutzlos
Es sind nur die Gratis-Apps, die versuchen die Nutzer mit dubiosen Geschäftspraktiken zu schädigen: Die App „Virus Shield“ befindet sich glücklicherweise nicht mehr im Google Play Store. Sie tat nichts, außer ein Symbol anzuzeigen – für 3,99 Dollar.
Falls Sie sich nach diesem Artikel noch mehr über die Sicherheit von Apps informieren wollen, dann empfehlen wir Ihnen unseren Praxisratgeber Mobile Security. Sie können den Titel für 2,99 Euro im iBookstore für das iPhone, iPad oder Mac OS X 10.9 herunterladen:
Praxisratgeber Mobile Security: Wie sicher sind Ihre Apps?
Sehr unterschiedliche Entwickler-Unterstützung
Wie groß dieses Problem ist, zeigen kürzlich durchgeführte Untersuchungen der TÜV TRUST IT GmbH. Danach weist etwa jede zweite der über 1000 analysierten Apps deutliche Sicherheitsmängel auf. Doch sieht man einmal von den Apps ab, deren Anbieter als Geschäftsmodell ein gezieltes Device Tracking im Sinn haben, um die gesammelten Daten beispielsweise an Werbenetzwerke zu verkaufen, resultieren die Sicherheitsschwächen meist aus Wissenslücken aufseiten der Entwickler.
Zwar stellen alle Anbieter von Betriebssystemen für die App-Entwicklung über kostenlose Software Development Kits (SDK) eine Sammlung von Werkzeugen und Anwendungen zur Verfügung, mit denen sich native Applikationen für die jeweilige Plattform entwickeln lassen. Allerdings sind die Themenbereiche Datensicherheit und Datenschutz in diesen SDKs in der Regel für professionelle Anwender nicht genügend und in der nötigen Detailtiefe berücksichtigt. Deshalb stehen die Entwickler vor der Frage, wie sie zu den notwendigen und richtigen Informationen gelangen können. Hierfür bieten sich derzeit drei Möglichkeiten an:
Der autodidaktische Weg: Über eigene Recherchen im Internet oder durch den Kauf von Handbüchern kann das entsprechende Know-how aufgebaut werden. Das Problem hierbei ist jedoch, valide Quellen im Internet zu finden und das Wissen aktuell zu halten. Außerdem besteht erfahrungsgemäß eine große Schwierigkeit darin, aus der Fülle des recherchierbaren Contents die relevanten Informationen zu selektieren und dabei zusätzlich dedizierte Hinweise für die richtige Implementierung im spezifischen Projekt herauszufiltern.
Einfache Expertensysteme: Von ersten Anbietern werden im Markt Unterstützungsleistungen für die Entwicklung sicherer Apps angeboten. Meist handelt es sich dabei um Checklisten, Whitepapers und ähnliche Dokumente, die zum Download bereitgestellt werden. Sie enthalten generische Maßnahmen und Hinweise für die Absicherung von Apps. Diese Angebote sind zumeist kostenfrei, richten sich aber an ambitionierte, unerfahrene Jungentwickler und eignen sich vor allem zur Aneignung von Basiswissen zu sicherer App-Entwicklung. Dass es sich dabei um eine Unterstützung für die semiprofessionelle Entwicklung handelt, zeigt sich insbesondere in folgendem Nachteil: Für die Begleitung von Projekten mit spezifischen Risikopotentialen, wozu beispielsweise die Verarbeitung besonders sensibler Daten, personenbezogene Daten oder eine sichere Kommunikation mit Backend-Systemen gehören, besitzen die einfachen Expertensysteme nicht die notwendige Detailtiefe.
Kontextspezifische Expertensysteme: Diese ausgefeilteren Systeme sind für Entwicklerprofis gedacht, die ausgerichtet an den Funktionalitäten der zu entwickelnden App und kontextabhängiger Rahmenbedingungen eine spezifische Sicherheitsrichtlinie für dieses Projekt erzeugen. Darin enthalten sind alle bekannten Bedrohungen, übergeordnete generische Sicherungsmaßnahmen und plattformspezifische Implementierungshinweise. Außerdem enthalten diese Expertensysteme Best Practices als konkrete Code-Beispiele, die für die dedizierte Umsetzung im Projekt mit Copy & Paste genutzt werden können.
Der Vorteil der kontextspezifischen Expertensysteme liegt neben der größeren Detailtiefe und dem größeren Umfang der Hinweise auch darin, dass durch ihren methodischen Ansatz handhabbare, schlanke Vorgabedokumente entstehen. Sie beschreiben nur die für das spezifische Projekt notwendigen und relevanten Maßnahmen, statt ein umfangreiches Gesamtkompendium für die App-Entwicklung, welches alle Bedrohungen und Risiken für Apps beschreibt. Durch das gelieferte Know-how mit den kontinuierlich aktualisierten Informationen sind solche Expertensysteme jedoch nicht kostenfrei.