CRM & Data

KEIN ZUGANG FÜR DRITTE

Harald Winkelhofer 11.08.2017 12:12

Willkommen zu unserem Teil 2 der Interview-Serie zu Mobile und App-Security. Wir starten gleich voll rein...

Herr Winkelhofer, welche Sicherheitsanforderungen müssen von Seiten der App-Entwickler im Vorfeld und auch für bereits veröffentlichte App-Lösungen berücksichtigt werden?

H. Winkelhofer: Innerhalb jeder App ist die Software-Architektur essentiell. Bereits die Source Code Entwicklung ist ein zentrales Kriterium. Jede Kommunikation über Schnittstellen, lokale Funktionen o.ä. sollte verschlüsselt bzw. unbrauchbar für Datendiebe implementiert werden. Bei einem Einsatz von Software-Developerkits oder Content Management Systemen, muss jede „Richtung“ gesichert werden. Der beste Planungsparameter: Die Programmierung so aufbauen, dass alle Daten der einzelnen Schritte unbrauchbar oder unzugänglich für Dritte sind.

Mit welchen Folgen ist zu rechnen, wenn Apps ohne entsprechende Security-Checks veröffentlicht werden? Lassen sich die potenziellen Schäden in Zahlen gießen?

U. Fleck: Auf Basis der Datenschutzgrundverordnung lassen sich zwei Werte angeben: zwei respektive 4 Prozent vom Jahresumsatz für Verfehlungen. Das Thema der Schadensbemessung treibt aktuell viele zu Beratungsgesprächen, denn hier ist die Unsicherheit groß. Die Strafen sind sicher ein einfach zu kalkulierender Schaden, die Reputationsschädigung, wenn das Kundenvertrauen sinkt, ist zumeist im Vorfeld gar nicht zu bemessen. Am Höchsten ist der Schaden beim Verlust der sogenannten „Intellectual Property“ und genau dies ist zumeist das, was die Kriminellen versuchen zu stehlen. Dies sind sicherlich die Haupttreiber für Application Security

H. Winkelhofer: Apps ohne oder mit mangelhaften Sicherheitsüberprüfungen stellen ein erhöhtes Risiko dar – sowohl für Betreiber als auch für Nutzer. Die Schäden lassen sich in dreierlei Hinsicht benennen: Da ist einerseits das Pausieren des Betriebs, der bei wesentlichen Anwendungen im täglichen Leben für die User sehr unzufriedenstellend ist. Dann ist im Weiteren das Verfahren mit der Schädigung an sich zu benennen: Die Forensik, die Meldung, aber auch Schäden in der öffentlichen Wahrnehmung. Und zuletzt sind die Kosten durch die Erneuerung und Wiederherstellung des Betriebs zu berechnen. Die Schäden sind hier nur schwer zu beziffern. Ein App-Check, wie wir ihn seitens IQ mobile mit SEC Consult umsetzen, kann durch Sicherheitsüberprüfung einerseits das Bewusstsein für den Status der App sowie eine haltbare Risikoabschätzung bei möglichen Cyberschäden bringen. Danach können solide alle potentiellen Präventivmaßnahmen geplant werden.

Auch Hacker greifen auf immer ausgefeiltere Tools zurück. Welche präventiven Maßnahmen hält SEC Consult für Unternehmen bereit?

Die „Ausgefeilten“ bekommt man als Unternehmen meist nicht (so rasch) mit. Studien zeigen, dass sich Angreifer bis zu 180 Tage im Durchschnitt in den Systemen, Backends und Apps unentdeckt bewegen können. Das ist lange und richtet viel Schaden an.
Als SEC Consult sind uns viele Angriffsstrategien bekannt, wir wenden diese in Tests selbst an, damit wir die potentiellen Folgen sehen und damit Sicherheitslücken erkennen können. Zudem sammeln wir die Informationen erfolgreicher Angriffe und erweitern laufend unser eigenes Repertoire zugunsten unserer Kunden. Unsere Knowledge Base ist sicherlich eine der Größten in Europa, mit mehr als 130 Leuten haben wir auch eines der Größten Teams: Sie wollen ständig dazulernen und entwickeln andauernd neue Angriffs- und Hacker- Strategien – diese sind es, die wir bei unseren Kunden einsetzen um die zugehörigen Sicherheitslücken zu identifizieren, bevor es die „Bösen“ tun. Werden wir nach erfolgreichen Hackerangriffen gerufen, so müssen wir zugeben: Unsere Wahrnehmung ist verzerrt. Wenn wir geholt werden, dann handelt es sich nicht um einen simplen Virus, sondern dann geht es meist um komplexe Herausforderungen.

Es heißt, iOS-Geräte sind weniger anfällig als Android-Geräte. Wie sehen Sie das?

U. Fleck: Die Anfälligkeit hat nur bedingt mit dem Betriebssystem zu tun. Aus Erfahrung wissen wir, dass iOS Nutzer schneller Updates machen. Und sie bekommen auch schneller Updates, da Apple ein proprietäres System aufgebaut hat und bei Problemen schneller reagieren kann. Bei Android gibt es neben der Tatsache, dass es eine Open Source Lösung ist, außerdem das Problem der „fork“ Versionen. Das meint, dass sich bei Android die Betriebssystemversionen „gabeln“ (vor allem durch herstellerspezifische Änderungen am System) und somit viele User die Sicherheitsupdates nicht erhalten, herunterladen, usw. Bei Android-Devices muss es bei Updates immer Abstimmungen zwischen Google und Herstellern, (z.B. Samsung, Huawei, u.a.) geben.
Beziehungsweise müssen die Hersteller erst den „gepatchten Code“ von Google in Ihre eigenen Versionen integrieren. Diese Abstimmungen und die Integration kosten Zeit und somit dauert es bis der User Updates bekommt. Ein weiterer Vorteil ist, dass es bei iPhones nur eine Möglichkeit gibt, Software zu installieren. Android ist anders, denn hier geht die Installation auch via USB, bzw. Speicherkarten. Per se machen aber beide, Google und Apple, einen guten Job. Wer hier mehr ins Detail gehen will, wir haben hier einige Zahlen und Tipps: http://sicherheitskultur.at/mobile_security.htm

H. Winkelhofer: Nach unserem Wissensstand und täglichen Erfahrungen ist Android anfälliger und das hat zwei Gründe:

  • Das Android Betriebssystem ist eine Open Source. Die Community hat also per se schon ein hohes Interesse an eigenen „Basteleien“. Android ist aber auch das am meisten verbreitete Betriebssystem und genießt daher auch ein breites (auch kommerzielles) Interesse.
  • iOS bringt regelmäßig Updates, die Korrekturen für Sicherheitslücken darstellen, aber das grundsätzliche proprietäre System von Apple hat (wahrscheinlich) ebenso viele Angriffe zu verdauen, wie Android, kann aber im eigenen System schneller durch Updates die Sicherheitslücken schließen. Sie sind Releaser des Betriebssystems und Hersteller der Hardware. Das ist ein klarer Vorteil. 

Zur EU-Datenschutzgrundverordnung: Welche Hausaufgaben haben Eigentümer von Apps und Unternehmen vordringlich bis zum Mai? 2018 zu lösen und wo orten Sie akuten Handlungsbedarf? Wo sehen Sie zusätzlichen Beratungsbedarf?

U. Fleck: Die Datenschutzgrundverordnung sieht für acht Themenbereiche Regelungsbedarf vor: Von personenbezogenen und sensiblen Daten über Privacy by design, „Recht auf Vergessen werden“, Zweckbindung, die/ den Datenschutzbeauftragten, Regelungen für Arbeitnehmer/Mitarbeiter bis hin zu Data breach Notifications.
Wenn man sich nun damit beschäftigt, tauchen tatsächlich laufend neue Punkte und Fragestellungen auf. Um mit dieser Unsicherheit umzugehen, empfehlen wir dringend sich mit dem Thema auseinanderzusetzen und mit den Hausaufgaben zu beginnen.
Im Hinblick auf Apps, gilt es zu klären, „was tut die App“? Nutzt sie beispielsweise gesundheitsbezogene Daten oder kann sie an diese über ihre Funktionalitäten gelangen? Für Software Entwickler haben wir einen allgemeinen Checkup gebaut – der interessierte Leser kann sich gerne diesbezüglich an uns wenden.

Welchen Rat haben Sie für Auftraggeber bzw. App Eigentümer und Kunden mobiler Apps, um personenbezogene, sensible Daten und persönlichen Datenaustausch besser schützen zu können?

U. Fleck: Für Unternehmen ist es wichtig einen Prozess aufzusetzen, der sicherstellt, wie Apps gemacht und gemanaged werden. Das startet bei einer soliden Software-Entwicklung, an die am besten ingenieursmäßig heranzugehen ist, bis hin zur Ausdefinition des Einsatzzwecks inkl. aller Rahmenbedingungen (Stichwort „Threatmodel“). Wir sehen, dass es hierbei noch eine deutliche Weiterentwicklung und ein erhöhtes Bewusstsein in vielen Unternehmen braucht. Times are changing!

Können Sie uns anhand eines konkreten Fallbeispiels durch die beschriebenen Sicherheitsprozesse führen und die einzelnen Maßnahmen erläutern?

U. Fleck/ H. Winkelhofer: Im App-Thema gilt es immer zuerst eine Schutzbedarfsanalyse und daraus eine Handlungsempfehlung zu machen. Gerade im Hinblick auf die im Mai umzusetzende EU-Datenschutzgrundverordnung Wir starten hier in unserem kooperativen App-Security Herangehen mit der Bewertung einer App anhand von High Security Business Practices, gehen in eine individuelle Basis-Begutachtung bis hin zu einer Source Code Analyse. Dann betrachten wir die Aspekte der Schaffung eines Business Values und widmen uns eingehend dem langfristigen Schutz der User Daten. Hier der detaillierte Ablauf unseres App-Checks:

Für mehr Fragen zu diesem Themenfeld, wendet euch direkt an winkelhofer@iq-mobile.at

IQ MOBILE NEWSLETTER

Bleiben Sie auf dem Laufenden!