Tool zur Sicherheitsprüfung von Apps gestartet
Welche Apps dürfen Mitarbeiter auf firmeneigenen Tablets oder Smartphones installieren, ohne die Sicherheit des Unternehmens zu gefährden? Diese Frage soll künftig das Test-Framework Appicaptor beantworten, das ab sofort verfügbar ist. Es stellt ein Werkzeug zur automatisierten Sicherheitsüberprüfung von Apps bereit, indem es für jede Android- oder iOS-Anwendung individuelle Testberichte generiert.Auf der CeBIT 2014 wurde der Dienst durch das Fraunhofer Institut für Sichere Informationstechnologien (Fraunhofer SIT) sowie das House of IT vorgestellt.
Auf Grundlage des Appicaptor können IT-Verantwortliche entscheiden, welche Apps sie zur Installation freigeben und welche nicht. Hierzu können sie mittels Appicaptor im nächsten Schritt Black- oder Whitelists erstellen, die für die Firmensicherheit bedenkliche beziehungsweise unbedenkliche Apps beinhalten.
Den Entwicklern zufolge können sich auch Angestellte ohne tiefergehende IT-Sicherheitskenntnisse mit Hilfe des Test-Frameworks ein Urteil darüber bilden, welche Applikationen aufgrund von Schwachstellen für ihr Unternehmen potenziell gefährlich sind. Die zu überprüfenden Apps sowie die Testkriterien legen die IT-Leiter hierbei selbständig fest.
Appicaptor ist darüber hinaus in der Lage, dieselben Tests für eine bestimmte App regelmäßig zu wiederholen. Damit passt sich das Tool dem Umstand an, dass mobile Applikationen häufig Updates erhalten.
“Unser Testdienst funktioniert wie ein Abo. Unternehmen können die Ergebnisse sofort nutzen, ohne vorher etwas installieren zu müssen”, erklärt Jens Heider vom Testlab Mobile Security am Fraunhofer SIT das Prinzip des Frameworks. Der Testdienst kann zudem auch für die Überprüfung von Anwendungen genutzt werden, die von den Unternehmen selbst entwickelt wurden oder aus dem firmeninternen App-Store stammen.
Appicaptor ist nicht der erste Fraunhofer-Dienst, der Firmen-Apps hinsichtlich ihrer Sicherheit durchleuchtet: Die Testlösung App-Ray, die das Fraunhofer AISEC (Institut für Angewandte und Integrierte Sicherheit) entwickelt hat, analysiert Android-Apps auf potenziell gefährliche Anfälligkeiten. Anwendungen für iOS müssen bei der Überprüfung allerdings außen vor bleiben.
Dafür können IT-Verantwortliche mit Hilfe von App-Ray einstellen, dass Android-Applikationen nur verschlüsselt kommunizieren dürfen. Zudem kann mit dem Dienst ein firmeneigener “Trusted-App”-Shop eröffnet werden, der ausschließlich für Unternehmen unbedenkliche Anwendungen vorhält.