16.04.2013
Das IT-Beratungsunternehmen hat eine Checkliste mit den wichtigsten Sicherheitsanforderungen zusammengestellt.
Mobile Softwareanwendungen für Smartphones und Tablets stehen auch im Business-Alltag hoch im Kurs. Damit die smarten Anwendungen nicht zum Einfallstor für Hacker und Schadsoftware geraten, müssen sich Softwareentwickler frühzeitig mit Bedrohungsszenarien auseinandersetzen und das Thema Applikationssicherheit bereits bei der Anforderungsanalyse berücksichtigen. Zu diesem Schluss kommt das Center of Competence (CoC) Information Security des IT-Beratungs- und Systemintegrationsunternehmens msg systems, das sich intensiv mit der Sicherheit mobiler Anwendungen befasst und aus zahlreichen Kundenprojekten umfassende Erfahrungen aufweist. Für die Entwicklung mobiler Apps haben die IT-Experten, basierend auf OWASP und eigener Erfahrung, eine Checkliste mit zehn zentralen Sicherheitsanforderungen zusammengestellt.
-
Sensible Daten schützen
Sensible Daten dürfen auf mobilen Endgeräten keinesfalls in öffentlichen Bereichen wie Adressbuch oder Medien-Bibliothek abgelegt werden. Sie sind so zu verschlüsseln, dass der Datenzugriff nur nach erfolgreicher Authentisierung mittels PIN oder Passwort möglich ist.
-
Passwörter sicher ablegen
Passwörter dürfen, um die verschiedenen Anforderungen zu erfüllen, nur als Hash-Wert abgelegt werden.
-
Daten sicher übertragen
Sensible Daten müssen bei der Übertragung mit sicheren Algorithmen von Endpunkt zu Endpunkt verschlüsselt werden, zum Beispiel mit einer SSL-/TLS-Verschlüsselung. Eine Übertragung vertraulicher und personenbezogener Daten per SMS oder MMS sollte nicht möglich sein.
-
Korrekte Benutzer-Authentisierung und Autorisierung
Passwortrichtlinien des Unternehmens sollten insbesondere Vorgaben zur Passwortlänge und -komplexität sowie zum Änderungsintervall enthalten und müssen strikt eingehalten werden. Die Identifizierung sollte nicht auf Gerätemerkmalen wie der IMEI basieren, sondern auf der jeweiligen Benutzeridentität.
-
Backend absichern
Im Backend und während der Übertragung von Client zu Backend müssen die Daten vor unberechtigten Zugriffen geschützt werden.
-
Dritthersteller sicher einbinden
Damit die Einbindung von Drittherstellern nicht zum Sicherheitsrisiko wird, sollten nur Source Codes oder Bibliotheken (Libraries) aus vertrauenswürdigen Quellen verwendet werden. Auf jeden Fall sind Daten aus Apps von Drittherstellern vor dem Weiterverarbeiten sorgfältig zu überprüfen.
-
Umgang mit Benutzerdaten
Bei der Erhebung, Verarbeitung und Speicherung von benutzer- und personenbezogenen Daten müssen Vorschriften zum Datenschutz, insbesondere das Bundesdatenschutzgesetz, penibel befolgt werden.
-
Sichere Verteilung der App
Im Interesse einer nachhaltigen Applikationssicherheit sollte die App nur über offizielle App-Stores vertrieben werden. Regelmäßige Security Patches sind unverzichtbar.
-
Secure Coding umsetzen
Die Programmierung muss nach den Guidelines des Secure Coding und den Prinzipien der sicheren Anwendungsentwicklung erfolgen. Dabei sind auch plattformspezifische Besonderheiten wie etwa Jailbreak oder Rootkit Detection zu berücksichtigen.
-
Sicherheitsprüfung durchführen
Vor dem Release müssen Apps, die sensible oder personenbezogene Daten verarbeiten, Penetrationstests durch unabhängige Experten unterzogen werden.
„Dies sind nur einige zentrale Aspekte, die bei der Entwicklung mobiler Apps berücksichtigt werden müssen“, erklärt Florian Stahl, Lead Consultant beim Center of Competence Information Security von msg systems. „Eine umfassende Sammlung aller zu beachtenden Sicherheitsanforderungen haben wir in unserem ausführlichen Leitfaden zusammengestellt.“