Expertenmeinung von Caroline BORRIELLO, COO von Pradeo
Hinter dieser Positionierung steht die Beobachtung, dass die Nutzung von Mobiltelefonen sowohl privat als auch beruflich rasant zugenommen hat, und der Wunsch des Marktes, auf diese Nachfrage zu reagieren. Da der Markt für mobile Anwendungen heranreift und sich seiner bekannten Risiken bewusst wird, muss er seinen Ansatz für die Sicherheit durch Design verstärken.
Der unglaubliche Appetit der Nutzer auf mobile Anwendungen
Es ist erst 15 Jahre her, dass Steve Jobs das allererste Smartphone vorstellte. Weit entfernt von den damaligen Standards waren diese neuen Geräte einfach "kleine mobile Computer". Etwas mehr als ein Jahrzehnt später, im Jahr 2019, hat die mobile Internetnutzung die Nutzung traditioneller Computer sogar überholt. Der Markt für mobile Anwendungen ist blitzschnell gewachsen, und es gibt inzwischen Anwendungen für fast alles!
Der Ansatz für die Entwicklung dieser Anwendungen ist daher verständlicherweise vor allem auf Schnelligkeit und eine drastische Verkürzung der Markteinführungszeit ausgerichtet: Es ist notwendig, eine Anwendung schnell zu erstellen (bevor ein anderer Herausgeber die gleiche Idee hat) und so oft wie möglich funktionale Aktualisierungen anzubieten, um den Appetit der Benutzer aufrechtzuerhalten. Um den Entwicklern die Arbeit zu erleichtern, sind daher bestimmte technische oder funktionale Bausteine, wie z. B. Bibliotheken, bereits auf dem Markt erhältlich. Aber sind sie immer zuverlässig?
Angesichts der Dringlichkeit hat die Sicherheit nicht immer oberste Priorität. Bis zu 75 % der von Pradeo getesteten mobilen Anwendungen weisen Schwachstellen auf, manchmal sogar einige der bekanntesten, oder sie enthalten Datenmissbrauch, der zum Beispiel zu Diebstahl oder Datenverlust führen kann. Das Risiko ist bei der beruflichen Nutzung viel höher als bei der privaten Nutzung. Sehr oft gehen diese Bedrohungen von Bibliotheken von Drittanbietern oder von in Anwendungen integriertem Open-Source-Code aus.
Mobile Anwendungen: bekannte, aber erhöhte Risiken
Als echte Taschencomputer sind Smartphones mehr oder weniger den gleichen Risiken ausgesetzt wie jedes andere digitale Endgerät: Kompromittierung von mehr oder weniger sensiblen Daten (persönliche Daten, Bankkartennummern, verschiedene Passwörter usw.), Missbrauch der Identität des Smartphone-Besitzers usw. Aufgrund der besonderen Ergonomie von Mobiltelefonen (kleinerer Bildschirm, mobile Nutzung, Anwendungen im Hintergrund usw.) ist es nicht möglich, ein Smartphone im Hintergrund zu nutzen.
Wenn Smartphones dann auch noch direkten Zugang zu den Systemen eines Unternehmens haben, kann das katastrophale Folgen haben. Von Datenlecks, die dem Image des betroffenen Unternehmens schaden, bis hin zu Ransomware, die ein Informationssystem oder eine industrielle Produktionslinie vollständig lahmlegen und sogar Menschenleben gefährden kann (Krankenhausinformationssystem), sind die potenziellen Folgen eines Eindringens ebenso schwerwiegend wie die zunehmende Zahl von Mobiltelefonen, die auf die Informationssysteme von Unternehmen zugreifen.
Eine Gefahr, die auch auf den Herausgebern von Anwendungen lastet: Im Falle einer nachgewiesenen Kompromittierung durch eine Anwendung, die sie in den Anwendungsshops veröffentlicht haben, stehen sie selbst im Rampenlicht. Dies führt zu einem schlechten Ruf (für alle ihre Anwendungen, wenn sie mehr als eine veröffentlichen), zu einem Vertrauensverlust bei den Benutzern und möglicherweise zu zivil- oder strafrechtlicher Haftung, je nach den Folgen.
Sicherheit: ein eigenständiges Element
So wie die Sensibilisierung der Nutzer für die Sicherheit ihrer persönlichen Daten oder die Sicherheit ihres Unternehmens es ermöglicht hat, einige Risiken auf Computern zu verringern, sollte die Sensibilisierung für die Bedrohungen auf mobilen Endgeräten die gleichen positiven Auswirkungen haben. Dies ist jedoch bei weitem nicht ausreichend, da es schwierig oder sogar unmöglich ist, bestimmte Bedrohungen zu erkennen.
Die Verantwortung für die Sicherheit der Anwendungen liegt also nicht so sehr bei den Nutzern, sondern vor allem bei den Entwicklern und Herausgebern. Diese Anstrengungen müssen von den ersten Entwürfen der Anwendung an und während ihres gesamten Lebenszyklus unternommen werden, einschließlich der korrigierenden und funktionalen Wartung. Mit anderen Worten, es geht darum, die Sicherheit bereits in der Entwurfsphase der Anwendungsentwicklung zu integrieren.
Das erste Element einer sicheren Anwendung ist vertrauenswürdiger Code: Die Verwendung von Drittanbietercode ist natürlich möglich, sofern er überprüft wird. Als nächstes muss die Anwendung verschleiert werden, um ein Reverse Engineering zu verhindern und so das Risiko des Diebstahls geistigen Eigentums oder des Missbrauchs der Anwendung für böswillige Zwecke zu verringern. Darüber hinaus kann die Anwendung inhärente Sicherheitsvorkehrungen aufweisen, z. B. auf der Client-Seite durch die Deaktivierung von Funktionen auf einem kompromittierten Terminal oder auf der Server-Seite durch die Identifizierung potenzieller Klone.
Kurzum, es ist höchste Zeit, die gleichen Grundsätze des "Security by Design", die schon seit langem bei traditionellen IT-Anwendungen angewandt werden, auch auf die mobile Welt anzuwenden.
Pradeo's Suite für Anwendungssicherheit
Um die Anwendungssicherheit zu erleichtern, bietet Pradeo Anwendungsentwicklern, Verlagen und Agenturen ein Sicherheitspaket an, das den Schutz mobiler Anwendungen und zugehöriger Webservices von der Entwicklungsphase bis zum Betrieb gewährleistet:
