Sie befin­den sich hier:

Mobi­le Anwen­dun­gen

Ana­ly­se von mobi­len Anwen­dun­gen
(Android- und iOS-Apps)

Die Ana­ly­se von mobi­len Anwen­dun­gen umfasst die Unter­su­chung von Android- oder iOS-Apps auf Schwach­stel­len, wel­che die klas­si­schen Schutz­zie­le der IT-Sicher­heit (Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit) gefähr­den.

Die Unter­su­chung umfasst sowohl die Cli­ent-Anwen­dung (Android- und iOS-App) als auch die ser­ver-sei­ti­gen Anwen­dungs­tei­le, wie bspw. die Web-API. Zusätz­lich fin­det eine sta­ti­sche Ana­ly­se der Binär­da­tei- oder auf Quell­text-Ebe­ne statt, sowie eine dyna­mi­sche Ana­ly­se zur Lauf­zeit der Anwen­dung in einer Test- oder Pro­duk­tiv-Umge­bung.

Bei der Durch­füh­rung von Pene­tra­ti­ons­test von mobi­len Anwen­dun­gen ori­en­tie­ren wir uns an aner­kann­ten IT-Sicher­heits­stan­dards wie des OWASP Mobi­le Appli­ca­ti­on Secu­ri­ty Test­ing Gui­de (MASTG) und OWASP Mobi­le Appli­ca­ti­on Secu­ri­ty Veri­fi­ca­ti­on Stan­dard (MASVS).

War­um eine Ana­ly­se der mobi­len Anwen­dun­gen?

Durch die Ana­ly­se von mobi­len Anwen­dun­gen kön­nen Schwach­stel­len inner­halb eines Anwen­dungs­sys­tems iden­ti­fi­ziert wer­den, um vor­han­de­ne Sicher­heits­ri­si­ken für eine Anwen­dung und den von ihr ver­ar­bei­te­ten Daten zu bestim­men. Durch geziel­te Maß­nah­men­emp­feh­lun­gen zur Behe­bung von iden­ti­fi­zier­ten Schwach­stel­len kann die Soft­ware­qua­li­tät im Bereich IT-Sicher­heit (Secu­ri­ty) erhöht und ein aus­rei­chen­der Schutz vor Angrei­fern gewähr­leis­tet wer­den.

Im All­ge­mei­nen kön­nen durch Sicher­heits­tests die fol­gen­den Schutz­zie­le nach BSI über­prüft wer­den [1]:

Ver­trau­lich­keit
“Ver­trau­lich­keit ist der Schutz vor unbe­fug­ter Preis­ga­be von Infor­ma­tio­nen. Ver­trau­li­che Daten und Infor­ma­tio­nen dür­fen aus­schließ­lich Befug­ten in der zuläs­si­gen Wei­se zugäng­lich sein.”
Inte­gri­tät
“Inte­gri­tät bezeich­net die Sicher­stel­lung der Kor­rekt­heit (Unver­sehrt­heit) von Daten und der kor­rek­ten Funk­ti­ons­wei­se von Sys­te­men.”
Ver­füg­bar­keit
Die Ver­füg­bar­keit von Dienst­leis­tun­gen, Funk­tio­nen eines IT-Sys­tems, IT-Anwen­dun­gen oder IT-Net­zen oder auch von Infor­ma­tio­nen ist vor­han­den, wenn die­se von den Anwen­dern stets wie vor­ge­se­hen genutzt wer­den kön­nen.

Ziel

Das Ziel der Unter­su­chung einer mobi­len Anwen­dung ist …

die Iden­ti­fi­ka­ti­on von vor­han­de­nen Schwach­stel­len
und Fehl­kon­fi­gu­ra­tio­nen in der App oder des­sen Backend-Sys­te­men
die Emp­feh­lung ent­spre­chen­der Maß­nah­men
zur Behe­bung, um die Soft­ware­qua­li­tät im Bereich IT-Sicher­heit zu erhö­hen
eine Bestim­mung des Sicher­heits­ni­veaus
auf Anwen­dungs­ebe­ne zum Zeit­punkt der Test­durch­füh­rung auf Basis der Test­ergeb­nis­se.

Neben dem Test­um­fang wer­den in Abspra­che mit dem Auf­trag­ge­ber die kon­kre­ten Test­zie­le sowie deren Prio­ri­sie­rung indi­vi­du­ell im Vor­feld ermit­telt und die Unter­su­chung ent­spre­chend ange­passt.

All­ge­mei­ne Test­me­tho­dik

Die Test­schwer­punk­te der cli­ent- sowie ser­ver­sei­ti­gen Bestand­tei­le von mobi­len Anwen­dun­gen basie­ren auf dem Vor­ge­hen des OWASP Mobi­le Appli­ca­ti­on Secu­ri­ty Test­ing Gui­des (MASTG) [2] und OWASP Mobi­le Appli­ca­ti­on Secu­ri­ty Veri­fi­ca­ti­on Stan­dard (MASVS) [3].

Die Prüf­tie­fe ist gene­rell abhän­gig von der zur Ver­fü­gung ste­hen­den Test­zeit und wird mit dem Auf­trag­ge­ber im Bera­tungs­gesrpäch abge­stimmt. Die­se soll­te an den Schutz­be­darf der Anwen­dung ange­passt wer­den. In die­sem Sin­ne wer­den Test­punk­te in fol­gen­de Level unter­teilt:

Nächs­te Schrit­te

Wei­te­re Ana­ly­sen

Aus­wei­tung der bis­he­ri­gen Akti­vi­tä­ten
auf wei­te­re Anwen­dun­gen oder Anwen­dungs­tei­le
Eine wie­der­hol­te Ana­ly­se
kann nach Behe­bung der iden­ti­fi­zier­ten Schwach­stel­len deren Wirk­sam­keit über­prü­fen.
Sich wei­ter­ent­wi­ckeln­de Anwen­dun­gen
kön­nen regel­mä­ßig auf vor­han­de­ne Schwach­stel­len unter­sucht wer­den. Die Ana­ly­se kann hier­bei das gesam­te Soft­ware­sys­tem oder aus­schließ­lich neu hin­zu­ge­füg­te Funk­tio­na­li­tä­ten umfas­sen.

Sicher­heits­be­ra­tung

Auf Basis gewon­ne­ner Erkennt­nis­se und iden­ti­fi­zier­ter Schwach­stel­len kön­nen all­ge­mei­ne oder anwen­dungs­spe­zi­fi­sche The­men im Bereich IT-Sicher­heit, Best-Prac­ti­ces oder Know-How zur Sen­si­bi­li­sie­rung oder für Lösungs­an­sät­ze ver­mit­telt wer­den.

Ent­wick­ler­schu­lung

Sind ver­schie­de­ne Angriffs­sze­na­ri­en oder Maß­nahm­emp­feh­lun­gen aus Ent­wick­ler­sicht unbe­kannt, so kann durch geziel­te Schu­lungs­in­hal­te ein grund­le­gen­des Wis­sen für eine siche­re Pro­gram­mie­rung von Anwen­dun­gen ver­mit­telt wer­den.

Quel­len

[1] Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik, IT-Grund­schutz-Kom­pen­di­um (Edi­ti­on 2022)

[2] The OWASP® Foun­da­ti­on, MASTG

[3] The OWASP® Foun­da­ti­on, MASVS