In-App Protection als Must-have für Unternehmen mit eigener AppDiese App ist barrierefrei? Nicht für Cyberkriminelle!
28. Oktober 2020
Der Mobile-Markt hat den Desktop-Markt überholt. Selten wird der Browser genutzt, wenn es stattdessen eine App gibt. Es werden Verträge geschlossen und Vertragsdaten angesehen, Tickets und Eintrittskarten gekauft und Banktransaktionen durchgeführt. Daher erkennen auch Unternehmen zunehmend den Mehrwert einer eigenen App, und es wird immer wichtiger herauszufinden, wie diese rundum geschützt werden kann. Ein Virenscanner auf dem Smartphone oder dem Tablet reicht heutzutage nicht mehr aus.
Start-ups wollen möglichst schnell auf den Markt kommen. Da die Kundennachfrage besteht und es inzwischen in verschiedenen Branchen erwartet wird, muss außerdem sehr schnell eine App entwickelt werden. An diesem Punkt wird entschieden, worauf der Fokus liegt: auf der Geschwindigkeit, wie schnell die App zur Verfügung gestellt werden kann, dem Design und der Funktionalität oder der Security.
Während viele App-Entwickler auf Design und Funktionalität spezialisiert sind, ist Security eine Wissenschaft für sich. Sie ist aufwändig, erfordert Spezialwissen und wird daher oft vernachlässigt oder auf einen späteren Zeitpunkt verschoben. Doch gerade hier entsteht ein großes Risiko, denn viele Unternehmen wissen nicht, welche Gefahren ihnen durch die Bereitstellung einer App drohen können.
Darauf haben es App-Hacker abgesehen
Weit verbreitete Phishing- oder auch Malware-Attacken zeigen, dass Cyberkriminelle generell großangelegte Angriffe fokussieren. Auch wenn es für sie „ganz nett“ ist, persönliche und vielleicht auch berufliche Daten der App-User zu sammeln und zum Beispiel im Dark Web zu teilen, sind die Endnutzer nicht immer das direkte Ziel. Stattdessen sind die Unternehmen, die die App herausgegeben haben, umso stärker gefährdet.
Ein Beispiel macht die Gefahr deutlich: Eine Bank betreibt eine App, um darüber Zahlungsdienstleistungen zu ermöglichen und andere Services bereitzustellen. So sollen Kunden unter anderem ihre Verträge einsehen und verändern können. Doch hier ist die Gefahr hoch, dass sich über diese App auch ungewollte Transaktionen ausführen oder Vertragsunterlagen einsehen und gegebenenfalls abändern lassen.
Die größte Bedrohung besteht jedoch darin, dass durch die Backend-Server der App ein Zugang zu geschäftsinternen Informationen geschaffen werden kann. In diesem Moment dient die App als Einfallstor, um das Netzwerk der Bank zu hacken.
Aufgrund der steigenden Verbreitung mobiler Applikationen wird dieser Zugriffspunkt für Cyberkriminelle immer beliebter und somit eine wachsende Bedrohung für Unternehmen. Denn durch einen solchen Angriff entsteht zumeist nicht nur ein enormer finanzieller Schaden, sondern zudem können Reputationsschäden den Unternehmenserfolg langfristig beeinflussen. Bei der App-Entwicklung müssen deshalb diverse Faktoren berücksichtigt werden, damit die Anwendung jederzeit sicher für alle Endgeräte bereitgestellt werden kann.
Sicherheitsprüfung durch den App-Store reicht nicht aus
Installiert man eine Anwendung aus den offiziellen App-Stores, geht man erst einmal davon aus, dass sie vorab geprüft wurde und sicher ist. Natürlich kann nicht jede App in den Apple- und Google-Store gelangen, und die Unternehmen versuchen, die auf ihren Plattformen zur Verfügung gestellten Apps sicher zu halten. Bevor die Anwendung in den Store aufgenommen wird, wird sie zum Beispiel auf ihren Nutzen hin überprüft. Verfolgt sie bereits eine böswillige Absicht, gelangt sie nicht in den Store. Doch was passiert, wenn ein Cyberkrimineller nun eine Schwachstelle in der Anwendung ausnutzt und sie hackt?
Dass dies gar nicht so unwahrscheinlich ist, zeigen folgende Zahlen: Über 12.700 der 100.000 beliebtesten Apps enthalten Backdoor Secrets. Dies ergab ein Test von Forschern der The Ohio State University und dem CISPA – Helmholtz-Zentrum für Informationssicherheit in Saarbrücken. In den mobilen Apps sind demnach spezielle Funktionen versteckt, die Hackern den Zugriff auf das Mobilgerät ermöglichen können.
Noch immer ist der Glaube verbreitet, dass eine Mobile Security-Lösung wie ein Antivirenscanner das Gerät an dieser Stelle angemessen schützt. Was für den Desktop oft noch zutrifft, reicht bei Endgeräten aufgrund diverser Herausforderungen und immer komplexerer Hackerangriffe jedoch nicht mehr aus. Mobile Security schützt das Betriebssystem und somit das Gerät an sich. Ein Virus kann demnach erkannt werden, wenn er sich auf dem System befindet. Aber was, wenn es sich um eine neue Schadsoftware handelt, die die Mobile Security-Lösung noch gar nicht kennt?
Mobile Security versus In-App Protection und In-App Monitoring
An diesem Punkt reicht eine einfache Sicherheitslösung auf dem Endgerät nicht mehr aus. Stattdessen ist eine In-App Protection gefordert, um grundsätzlich sichere Apps – wie zum Beispiel Anwendungen von Banken, Versicherungen oder Ticketanbietern – zu schützen, sodass sie nicht gehackt werden können.
Dazu kann man nochmals das Beispiel der Banken-App bemühen: Auch wenn jedem Endnutzer natürlich empfohlen wird, sein Smartphone oder Tablet zu schützen, kann die Bank nicht überprüfen, ob wirklich eine Mobile Security-Lösung eingesetzt wird. Durch eine In-App Protection hat das Unternehmen als App-Hersteller stattdessen die Möglichkeit, seine Anwendung mit bereits integrierten Sicherheitsfeatures zu schützen. So können zum Beispiel regelmäßig Verschlüsselungskeys ausgetauscht werden, sodass immer neu verschlüsselt wird und der Hacker jedes Mal von vorn beginnen muss.
Kommt darüber hinaus ein In-App Monitoring zum Einsatz, erhält das Unternehmen die Möglichkeit, jederzeit sicherheitsrelevante Informationen seiner App einzusehen. Durch Features in der In-App Protection kann beispielsweise festgelegt werden, ob eine App auf einem gerooteten Gerät laufen darf. Falls ja, lässt sich im In-App Monitoring überwachen, auf wie vielen dieser Geräte die Software schließlich ausgeführt wird.
Ist das Verhalten einer App auf einem bestimmten Gerät besonders auffällig, kann remote entschieden werden, ob die betroffene App-Instanz weiterhin genutzt werden darf. Daraufhin wird zum Beispiel der Start der App verhindert oder der User zur Neuinstallation aufgefordert.
Da Hacker in der Regel als planender und aktiver Part des Angriffs einen Wissensvorsprung gegenüber dem Opfer haben, soll ihnen das Leben bzw. die Arbeit so schwer wie möglich gemacht werden. Durch In-App Protection werden dem Kriminellen Barrieren in den Weg gestellt, die er auf seinem Weg in die Anwendung erst einmal beseitigen muss. Dies erhöht natürlich den Aufwand, den ein Cyberkrimineller für das Hacken der Applikation benötigt. Auf diese Weise ist sie für ihn schnell nicht mehr rentabel, und er sucht sich ein neues Opfer.
Torsten Leibner ist Head of Product Management and Technology & Co-Founder von build38.
