State of Application Security Report zeigt gravierende Sicherheitslücken in Finanz- und Gesundheits-Apps auf

Mobile-App-Sicherheit – mangelhaft!
Kommentare

Heutzutage verfügt fast jeder über mindestens ein, oft sogar mehrere Mobile Devices, auf denen die verschiedensten Apps genutzt werden können. Doch wie eine neue Studie von Arxan zeigt, steht es vor allem um die Sicherheit von Mobile Apps schlecht – insbesondere, weil viele Unternehmen kaum oder gar kein Budget für Mobile-App-Sicherheit aufwenden.

Vor allem bei den immer beliebter werdenden Finanz- und Gesundheits-Apps ist das nicht nur gefährlich, sondern nahezu fahrlässig – immerhin geht es hierbei um sensitive Daten, die in den falschen Händen einigen Schaden für den Nutzer anrichten können. Dabei zeigt die Studie, dass sogar knapp die Hälfte (48 Prozent) der befragten Nutzer davon ausgeht, dass die von ihnen genutzten Applikationen in den kommenden sechs Monaten zum Ziel eines cyberkriminellen Angriffs werden könnten. Ebenso gehen 46 Prozent der befragten IT-Executives, die Einblicke in die Sicherheit der von ihnen entwickelten Apps haben, von einem in naher Zukunft folgenden Hackerangriff aus.

90 % der getesteten Apps mit Sicherheitslücken

Es ist also eine durchaus kritische Situation, in der sich die Entwickler von Mobile-Apps befinden. Dabei zeigen die Ergebnisse der Studie deutlich, dass ein Großteil der Mobile-Apps gravierende Sicherheitsrisiken aufweisen und bei den durchgeführten Sicherheitstests reihenweise durchfielen.

Wie wurden die Ergebnisse der Studie ermittelt?

Der 5th Annual State of Application Security Report basiert auf einer von Arxan, einem Anbieter von Sicherheitslösungen für Mobile Devices, Desktops, Servers und Embedded Platforms, in Auftrag gegebenen Studie, in der im November 2015 1.083 Teilnehmer aus den USA, Großbritannien, Deutschland und Japan zur Nutzung von Finanz- und Gesundheitsapp befragt wurden. Dabei zählen sowohl normale Endnutzer als auch IT-Mitarbeiter von Unternehmen, die entsprechende Applikationen entwickeln, zu den Befragten.

Ebenso beinhaltet der Bericht die Untersuchung von 126 beliebten Mobile-Apps im Bereich Finanzen und Gesundheit sowohl für iOS als auch für Android. Dazu zählen auch Apps, die von Organisationen wie der US Food and Drug Administration oder dem britischen National Health Service empfohlen werden.

So weisen über 90 Prozent der in der Studie getesteten 126 beliebtesten Gesundheits- und Finanz-Apps mindestens zwei der von der Open Web Application Security Project (OWASP) zusammengestellten Top-Ten-Sicherheitsrisiken auf. Die Folgen davon sind eindeutig:

Such vulnerabilities could allow the apps to be tampered and reverse-engineered, put sensitive health or financial information in the wrong hands and, even worse, potentially force critical health apps to malfunction or redirect the flow of money.

Auffällig dabei ist auch, dass insbesondere von Behörden und Organisationen wie der US Food and Drug Administration (FDA) oder UK National Health Service (NHS) empfohlene Apps im Bereich App-Sicherheit schlecht abschnitten. Zu den häufigsten Risiken zählen dabei vor allem ein Fehlen eines binären Schutzes, unzureichender Transport-Layer-Schutz und unbeabsichtigte Datenlecks (siehe Screenshot, Quelle: 5th Annual State of Application Security Report.

Top-Ten-Risiken bei Mobile Apps

Top-Ten-Risiken bei Mobile Apps, Quelle: Arxan

Wahrnehmung vs. Realität

Nur weil die getesteten Apps diverse Sicherheitsrisiken aufweisen, heißt das noch lange nicht, dass die Nutzer sich dessen bewusst sind. So gaben 84 Prozent der Befragten an, dass die von ihnen genutzten Apps ausreichend sicher seien; 63 Prozent glauben, dass alles Nötige getan wird, um Mobile Apps vor Angriffen durch Cyberkriminelle zu schützen.

Umso erschreckender ist es da, dass gerade einmal die Hälfte aller Unternehmen, die Mobile Apps entwickeln, in die Sicherheit ihrer Applikationen investieren. Kein Wunder also, dass ebenfalls knapp die Hälfte der Befragten von einem baldigen Hackerangriff auf die genutzten Apps ausgehen.

Doch immer mehr User sorgen sich – zu Recht – um die Sicherheit von Mobile Apps. 82 Prozent der Konsumenten würden, so die Ergebnisse der Studie, zu einer anderen App wechseln, wenn diese sicherer wäre; sogar 90 Prozent der App-Executives glauben, dass User von der Nutzung ihrer Apps absehen würden, wenn deren Unsicherheit publik würde.

Übrigens bestätigt sich auch in dieser Studie, dass die langläufige Meinung, iOS-Apps seien sicherer als Android ein Irrglaube ist: insbesondere die iOS-Versionen der getesteten Applikationen zeigten sich unsicherer als ihre Android-Counterparts. Ähnliche Ergebnisse lieferte auch eine andere Studie zum Thema Mobile-App-Sicherheit, die wir an anderer Stelle vorgestellt haben.

Tipps für mehr Mobile-App-Sicherheit

Angesichts solcher Ergebnisse stellt sich natürlich die Frage, was in puncto App-Sicherheit getan werden kann. Dafür nennt Arxan einige Tipps, die eigentlich selbstverständlich sein sollten, leider oft aber immer noch vernachlässigt werden:

Für Unternehmen
  • in die Sicherheit von Mobile Apps investieren
  • die schwächsten Bereiche von App stärken; OWASP Top-Ten-Risiken ausräumen/verringern
  • Sicherheit der eigenen Apps für Marketingzwecke hervorheben
  • Ausgaben für Sicherheitsverbesserungen an die gefährdetsten Bereiche anpassen

Sicherheitsrisiken-vs-Ausgaben

Für Nutzer
  • Apps nur aus offiziellen App-Stores herunterladen
  • Kein Jailbreak am eigenen Device durchführen
  • Mehr Transparenz zur Sicherheit von Mobile Apps einfordern
Für Entscheidungsträger
  • Einführung eines standardisierten „Stamp of Approval“ zur App-Sicherheit

Alle Ergebnisse der Studie können im zugehörigen State of Application Security Report nachgelesen werden; auf der Website von Arxan fasst überdies auch eine Infografik die wichtigsten Punkte nochmals übersichtlich zusammen.

Aufmacherbild: Modern smartphone with mobile security application interface on a screen. Isolated on white background von Shutterstock / Urheberrecht: Bloomua

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -