TÜV warnt vor Schlamperei
Viele Apps können gefährlich werden
Jede zweite App hat erhebliche Sicherheitsmängel. Darauf weist jetzt der TÜV Trust IT nach einer Untersuchung hin.
Die Sicherheit kommt häufig zu kurz, weil bei den mobilen Anwendungen von Unternehmen häufig der Fokus ausschließlich auf Funktionalitäten und Design gerichtet wird. Seitdem der Nutzen der kleinen Anwendungen erkannt wurde, sprießen die Apps als Instrumente des Kundenservice und Marketings wie Pilze aus dem Boden. Allein der App-Store mit seinen mobilen Anwendungen für iPhone-Nutzer bietet mittlerweile rund 900.000 Apps an. Doch viele von ihnen werden zur Gefahr, denn häufig öffnen sicherheitstechnische Mängel in Apps auf den Smartphones der Kunden Tür und Tor für Datendiebe. Die Konsequenz: selbst sensibelste Daten können völlig unkontrolliert abfließen.
Rund 45 Prozent der über 1.000 der vom TÜV Trust IT getesteten Apps übertragen Handy-Daten an spezielle Werbenetzwerke und Datensammler. Nach Angaben des Webservice flurry.com ist deren Analysefunktion heute bereits in rund 350.000 Apps auf über einer Milliarde Endgeräten implementiert. »Apps sind entweder gut, hinterhältig oder ungewollt-gefährlich«, sagt Detlev Henze, Geschäftsführer der TÜV TRUST IT GmbH. Unter guten mobilen Anwendungen versteht der Experte solche, die nach klar definierten Sicherheitsanforderungen entwickelt wurden und nicht heimlich auf Daten zugreifen. Als hinterhältig bezeichnet er solche Apps, deren Geschäftsmodell dem Nutzer nicht klar ist und die primär der Datensammlung oder dem Ausspähen durch Dritte dienen. So ermitteln rund 44 Prozent der Apps über eine eingeschaltete Lokalisierungsfunktion den Standort des Nutzers. Immerhin noch acht Prozent greifen regelmäßig auf das Adressbuch zu und übertragen die Daten ungefragt auf einen Server im Internet. Zu der dritten Kategorie, der ungewollt-gefährlichen Mobilanwendungen, zählt Henze vor allem solche, die unter hohem Zeitdruck und ohne klar spezifizierte Sicherheitsanforderungen auf den Markt gebracht werden. »Sie verfolgen einen gut gemeinten Ansatz, weisen aber in der Realisierung wesentliche Schwächen auf«. Schuld daran ist nach Einschätzung von Henze vor allem, dass diese Apps durch das Marketing oder die Business-Abteilungen in Auftrag gegeben werden. »Die Funktionalitäten und das Design stehen dabei im Vordergrund, während die Sicherheit oft vernachlässigt wird«, ist sich der Experte sicher. Ein weiterer Fehler: Aus Kostengründen wird die Entwicklung solcher Apps häufig Programmierern in Ländern mit geringerer Sensibilität für Sicherheit und Datenschutz übertragen Darüber hinaus kommt es nicht selten vor, dass in Unkenntnis möglicher Sicherheitsrisiken Programmteile aus bereits vorhandenen Apps zusammengeführt werden, um den Entwicklungsaufwand gering zu halten.
Der TÜV Trust IT bietet Entwicklern von Apps eine Zertifizierung ihrer Apps an und nutzt dazu den so genannten AppChecker. Als zentrales Element ermittelt ein Prüf-Framework alle relevanten Bedrohungen für und durch Apps auf einem mobilen Endgerät. Nach dem Check werden die untersuchten Apps entsprechend ihres Risikogrades auf White- und Blacklists gesetzt. Entwickler können eine solche Prüfung durchführen lassen, um dadurch eine »TÜV Trusted«-Zertifizierung zu erlangen. Bisher sind mit Apple iOS, Android, Black Berry und Windows Phone die vier gängigsten Mobile-Plattformen im Richtlinien-Tool berücksichtigt, die Plattform Windows Mobile 8 soll folgen.
Lesen Sie mehr zum Thema
