ra2 studio - stock.adobe.com
App-Sicherheit: Warum Betriebssystem-Updates nicht genügen
Der Schutz von mobilen Geräten im Unternehmen ist von zentraler Bedeutung. Und das heißt bei Updates ist nicht nur das Betriebssystem wichtig, sondern auch die Apps.
Betriebssysteme, Software und Apps brauchen Aktualisierungen, um Fehler zu beheben und neue Funktionen einzubauen. Doch auch Viren und Schadprogramme sind auf dem Vormarsch und finden immer wieder neue Wege, Apps zu befallen und die Nutzer von Smartphones oder Tablets in irgendeiner Weise zu schädigen – sei es durch Datenklau und -manipulation oder Erpressung. Die Vorteile von Apps im Unternehmensumfeld sind deren unzählige Möglichkeiten. Allerdings sollten IT-Verantwortliche einen kritischen Blick auf die Risiken der App-Nutzung für ihr Unternehmen werfen und sich darüber bewusst sein, dass die Sicherheit der Apps oberste Priorität genießen sollte.
Mit der steigenden mobilen Vernetzung und der zunehmenden Komplexität des Arbeitsumfelds kommen die Probleme für Unternehmen, ihre Umgebung effektiv abzusichern. Dem Global Mobile Threat Report 2022 von Zimperium zufolge, konnten im vergangenen Jahr Handy-Malware auf jedem vierten Mobilgerät nachgewiesen werden. Den Experten zufolge dominiert mobile Malware die Bedrohungslandschaft und stellt die effizienteste Methode dar, um mobile Endgeräte anzugreifen, zu kompromittieren und sensible Daten zu stehlen.
Eine weitere perfide Methode der Hacker ist das App-Cloning, bei welcher der Code einer bereits veröffentliche App manipuliert wird, um die Fake-App danach in einem App-Store anderen Nutzern zur Verfügung zu stellen. Dieser Masche fielen schon diverse Serviceanbieter zum Opfer, darunter auch Messaging-Portale. Die Auswirkungen für die Nutzer und Betreiber könnten drastischer nicht sein: Identitätsverlust, Datenmissbrauch, Umsatzeinbußen und Reputationsverlust.
Der Schutz von mobilen Geräten im Unternehmensumfeld ist daher von zentraler Bedeutung für die Sicherheit der gesamten Organisation. Hierbei spielen Updates eine wichtige Rolle. Diese Aktualisierungen stehen sowohl für das Betriebssystem als auch für die Apps zur Verfügung. Allerdings finden diese Updates nicht den Weg auf die mobilen Endgeräte aller Nutzer.
Das Betriebssystem ist nur ein Teil des Ganzen
Betriebssystem und App greifen ineinander, um den höchsten Sicherheitsstandard zu erfüllen. So funktionieren aktuellste Sicherheitstechniken nur mit aktuellen Betriebssystemen. Betreiber einer App können daher deren Sicherheit auf einem veralteten Betriebssystem nicht garantieren. Bisweilen ist dies auch der Grund, warum ältere Smartphone-Modelle so preisgünstig angeboten werden: Möglicherweise ist die Hardware an sich noch tadellos, jedoch kann das Betriebssystem nicht mehr so viele Updates erhalten – und darunter leidet die Sicherheit. Im Unternehmensumfeld kann dies also keine Option sein.
Während Versions-Updates neue Funktionen oder auch grundlegende Änderungen zu Design, Nutzerkomfort, Sicherheit und anderem mitbringen, beheben Sicherheits-Updates bestehende Probleme im Betriebssystem und beseitigen Sicherheitslücken, sodass sich die Angriffsfläche verkleinert.
Allerdings ist das Betriebssystem nur die halbe Miete: So bieten die Hersteller begrenzten Support für das Betriebssystem – insbesondere, wenn es sich günstigere Modelle handelt, welche daher in kurzer Zeit mehr Schwachstellen und technische Probleme mit sich bringen als Highend-Geräte. Außerdem sind Betriebssystem-Updates sehr umfangreich und viele Nutzer sind nachlässig, so dass diese Updates nicht sofort oder erst gar nicht heruntergeladen werden.
Darüber hinaus gibt es auch ein Akzeptanzproblem, denn im Gegensatz zu den App-Updates sind Aktualisierungen des Betriebssystems für den Nutzer kaum spürbar. App-Updates hingegen gehen meist mit der Hoffnung einher, von weiteren Funktionen, einem höheren Benutzerkomfort oder weiteren Verbesserungen profitieren zu können. In der Tat sind App-Updates, die in der Regel schneller zur Verfügung gestellt werden als Betriebssystem-Updates, für die Mehrheit der Verbraucher oftmals auch die einzige Möglichkeit, besser und schneller auf neue Bedrohungen reagieren können.
Sicherheitsmängel aufspüren
Geht es um die App-Nutzung im beruflichen Umfeld, wo sensible, schützenswerte Daten verarbeitet werden, bedarf es eines Höchstmaßes an Sicherheit und Datenschutz. Allerdings kommt der Security-Aspekt, aufgrund fehlender Expertise, Zeit oder kleiner Budgets oftmals bereits bei der App-Entwicklung zu kurz.
Werden Apps jedoch überhastet gelauncht, bieten sie nur selten zuverlässigen Schutz vor Datenklau, dem Klonen der App oder raffinierten Cyberangriffen. Allerdings ist es kein Hexenwerk, Security von vornherein in die App-Entwicklung einzubinden. Gerade Aspekte wie eine geschützte Kommunikation zwischen Applikation und Anwendungsserver sowie eine sichere Datenspeicherung spielen hierbei eine tragende Rolle.
„Geht es um die App-Nutzung im beruflichen Umfeld, wo sensible, schützenswerte Daten verarbeitet werden, bedarf es eines Höchstmaßes an Sicherheit und Datenschutz.“
Dr. Christian Schläger, Build38
Mehrschichtige Security-Frameworks schützen mobile Apps vor den Gefahren aus dem Netz und verhindern Hackerangriffe sowie unbefugte Zugriffe, so dass sensible Unternehmensdaten geschützt bleiben und nicht in fremde Hände gelangen. Denn je schneller sich Geschäfts- und digitale Anwendungsfälle weiterentwickeln, umso wichtiger ist es, die Mobile-App-Security an die aktuelle Bedrohungslage anzupassen.
Mit einem mehrschichtigen App-Security-Framework profitieren Unternehmen, im Vergleich zu traditionellen Android- oder iOS-Security-Mechanismen, von einem deutlich höheren Schutzniveau. Es basiert auf drei Säulen:
- dem Schutz der App vor Manipulation und Diebstahl geistigen Eigentums
- dem Schutz der App bei der Ausführung
- dem Schutz der Kommunikation zwischen App und Backend
Neben der In-App-Security sorgt das In-App-Monitoring dafür, dass mögliche Risiken proaktiv beseitigt werden. So schützt ein Client die App und identifiziert außerdem Veränderungen innerhalb jeder App sowie Anomalien auf dem mobilen Endgerät als solches. Auf diese Weise ist es möglich, situativ und adaptiv auf Bedrohungen zu reagieren und Risiken proaktiv zu eliminieren. Sicherheitskritische Ereignisse werden umgehend an die IT-Sicherheitsteams weitergeleitet, so dass diese jederzeit den Überblick über die aktuelle Lage behalten. Da diese Frameworks im Hintergrund laufen, bleibt die User Experience jederzeit unangetastet.
Fazit
Schlussendlich sind die Endanwender diejenigen, bei denen die App im Einsatz ist und die die Kontrolle über ihr mobiles Endgerät haben. Sie allein sind es auch, die über die Regelmäßigkeit von Betriebssystem- und App-Updates entscheiden. Ist eine App jedoch erst einmal kompromittiert, ist es für Cyberkriminelle ein leichtes, tiefer in das Unternehmensnetzwerk vorzudringen und weitere Systeme zu infiltrieren.
Datenverlust oder -manipulation, finanzielle Einbußen, Betriebsunterbrechungen und Reputationsverlust sind die Folgen für die App-Betreiber. Sie gehen auf Nummer sicher, wenn sie bereits in der Entwicklung auf maximale App-Sicherheit setzen und sich für ein mehrschichtiges Security-Framework entscheiden, das ihre Anwendungen vor unbefugten Modifikationen, Datenschutzverletzungen und Malware absichert.
Über den Autor:
Dr. Christian Schläger ist CEO von Build38. Build38 bietet Lösungen und Dienstleistungen für den Schutz mobiler Anwendungen an.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.