Drei Viertel aller Apps für Mobilgeräte weisen Sicherheitsmängel auf

IT-ManagementIT-ProjekteMobileMobile AppsPolitikSicherheitÜberwachung
Apps auf Smartphone (Bild: Shutterstock / Oleksiy Mark)

Viele Anwendungen für mobile Geräte erfüllen selbst einfachste Sicherheitsstandards nicht. Gartner sieht vor allem Probleme im Zusammenhang mit BYOD-Strategien. Zudem müssen nach Ansicht der Analysten Sicherheitsanbieter ihre Tests an mobile Applikationen anpassen.

Auch im kommenden Jahr werden voraussichtlich noch mindestens 75 Prozent aller Anwendungen für Android, iOS und Windows Phone selbst grundlegende Sicherheitstests nicht bestehen. Das hat Gartner in einer aktuellen Studie zur Sicherheit mobiler Apps prognostiziert. Damit seien sie vor allem für den Einsatz in Unternehmen ungeeignet.

Gartner-Analyst Dionisio Zumerle warnt vor dem Einsatz von Mobil-Apps in Firmen

Außerdem erachtet Gartner die im günstisgten Fall laxe Einstellung der App-Entwickler zu Datenschutz, Privatsphäre und Sicherheit, angesichts des Trends, private Geräte auch im Geschäftsumfeld einzusetzen (Bring your own Device, BYOD), als problematisch. Mitarbeiter könnten dadurch unter Umständen private Apps herunterladen, die Zugriff auf Daten des Unternehmens hätten oder Funktion geschäftlich genutzter Apps ausführen könnten. Denn selbst einfache Sicherheitsstandards würden in der Regel nicht erfüllt. Damit verstoße die Mehrzahl der Apps gegen Sicherheitsrichtlinien. Unsichere Apps erlaubten möglicherweise aber auch Angriffe auf vertrauliche Unternehmensdaten oder das Firmenetz.

“Unternehmen, die mobiles Computing einsetzen und Bring-your-own-Device-Strategien nutzen, sind anfällig, solange sich keine Methoden und Technologien etablieen, um die Sicherheit mobiler Apps zu testen”, so Dionisio Zumerle, Principal Research Analyst bei Gartner, in einer Pressemitteilung. Den meisten Firmen fehlen seiner Ansicht nach Erfahrungen im Bereich Applikationssicherheit. Selbst wenn es schon Sicherheitstests gebe, würden sie von Entwicklern durchgeführt, denen es mehr um die Funktion ihrer Apps gehe als um deren Sicherheit.

Die Marktforscher sehen aber auch Handlungsbedarf bei Anbietern statischer oder dynamischer Sicherheitstests. Sie müssten ihre Angebote an mobile Technologien anpassen. Viele Testverfahren seijne bereits seit rund zehn Jahren im Einsatz. Mobile Anwendungen stellten, aufgrund ihrer Vielfalt und der sich ständig verändernden Mobilbetriebssysteme, ganz neue Probleme dar.

In diesem Zusammenhang verweist Gartner auf eine neue Art von Sicherheitstests für mobile Geräte, die auf einer Verhaltensanalyse aufbauen. Diese Tests überwachen die grafische Oberfläche und die Hintergrundprozesse einer Anwendung, um gefährliches oder bedenkliches Verhalten zu erkennen. Beispielsweise sei ein Musik-Player, der auch auf Kontakte oder den Standort zugreife, verdächtig und durch diese Art von Tests identifizierbar.

Alle diese Maßnahmen sind der Studie zufolge aber noch nicht ausreichend. Unternehmne müssten auch sicherstellen, dass die Server, die mit mobilen Geräten kommunizieren, kontinuierlich getestet und überwacht würden. “Heute nutzen mehr als 90 Prozent der Unternehmen Anwendungen von Drittanbietern für ihre BYOD-Strategien, und genau dort sollten wichtige Sicherheitstests für Applikationen ansetzen”, ergänzt Zumerle. Er empfiehlt Unternehmen und Anwender nicht nur auf die in App Stores beworbenen Funktionen einer App zu achten, sondern auch auf deren Sicherheit. Es sollten nur Apps installiert werden, die Tests von spezialisierten Sicherheitsanbietern bestanden hätten.

Gartner erwartet, dass 2017 rund 75 Prozent der Sicherheitsverletzungen durch Mobilgeräte auf Fehlkonfigurationen dort installierter Anwendungen zurückzuführen sind. Dazu gehöre unter anderem die Nutzung privater Cloud-Speicher für Firemendaten. Unternehmen rät Gartner, mobilen Apps in Containern auszuführen, um sie besser zu schützen. Entsprechende Lösungen bieten unter anderem Blackberry und Samsung an.

Zu nahezu identischen Ergebnissen wie Gartner kam gerade erst eine Erhebung des Global Privacy Enforcement Network (GPEN). Dazu wurden 1211 Mobil-Apps für Android und Apple in 19 Ländern untersucht. Davon forderten 32 Prozent Zugriff auf den Gerätestandort, 16 Prozent auf die Geräte ID und 15 Prozent auf andere Profile des Nutzers. Bei 59 Prozent der Apps wurde im Vorfeld der Installation nicht oder nur unzureichend darüber aufgeklärt, auf welche Daten sich die Anwendung Zugriff verschafft (Grafik: Statista).
Zu nahezu identischen Ergebnissen wie Gartner in seiner prognose für 2015 kam gerade erst eine Erhebung des Global Privacy Enforcement Network (GPEN) zum Status Quo. Dazu wurden 1211 Mobil-Apps für Android und Apple in 19 Ländern untersucht. Davon forderten 32 Prozent Zugriff auf den Gerätestandort, 16 Prozent auf die Geräte ID und 15 Prozent auf andere Profile des Nutzers. Bei 59 Prozent der Apps wurde im Vorfeld der Installation nicht oder nur unzureichend darüber aufgeklärt, auf welche Daten sich die Anwendung Zugriff verschafft (Grafik: Statista).

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen