Sicherheit der Apps und Antiviren-Programme

Ein aktuelles, sicheres Betriebssystem ist ein wichtiger Baustein einer Mobile-Security-Strategie. Mindestens ebenso wichtig ist es, seine Aufmerksamkeit den mobilen Anwendungen zu widmen, die da­rauf laufen.

So weisen nach Angaben der amerikanischen Sicherheitsfirma Veracode 80 Prozent der mobilen Anwendungen gravierende Sicherheitsmängel auf. Veracode bietet einen Cloud-Service an, mit dem Entwickler und Administratoren Apps auf Schwachstellen analysieren können. Nach Angaben des Unternehmens hatten vor allem Apps, die mit Hilfe von PHP codiert wurden, Sicherheitslücken: 86 Prozent dieser Anwendungen erfüllten nicht die Security-Vorgaben des Open Web Application Security Projects (OWASP).

Ein Grund für diese hohe Quote ist die mangelnde Qualitätssicherung bei Apps: „Mobility wird derzeit vor allem aus strategischer Sicht diskutiert“, sagt Holger Unrau, Director und Project Manager Testing bei CGI, einem Anbieter von IT-Dienstleistungen. „Auf der operativen Ebene ist das Thema noch nicht richtig verankert. Unter anderem fehlt es an einer geeigneten Test-Infrastruktur.“

Unrau rät Entwicklern dazu, selbst entwickelte oder angepasste mobile Anwendungen mit der Hilfe externer Spezialisten für Software-Tests überprüfen zu lassen.

Derzeit verfügen laut IDC nur zwei Drittel der Unternehmen, die mobile Anwendungen einsetzen und entwickeln, über ein Framework, das zur Qualitätssicherung solcher Applikationen dient.

Die Anfälligkeit der Apps ist auch den Cyberkriminellen aufgefallen. Der Symantec-Sicherheitsstratege Thomas Hemker warnt deshalb: „Es gibt immer mehr infizierte oder intrusive Anwendungen und neue Formen von Ransomware, die für digitale Erpressung eingesetzt werden.“

Ebenso wie bei Desktop-Betriebssystemen häufen sich bei Mobilbetriebssystemen zudem Angriffe, die Sicherheitslücken von Systemkomponenten und Anwendungen wie Browsern ausnutzen.

Hier setzen die Anbieter von Schutzsoftware für PCs mit speziellen Programmpaketen an, die Smartphones und Tablet-Rechner unter iOS, Android und Windows vor Viren, Trojanern und anderen Formen von Schadsoftware schützen sollen. Das deutsche Software-Test­institut AV-Test in Magdeburg testet solche Programme regelmäßig auf ihre Wirksamkeit und Benutzerfreundlichkeit. Die Ergebnisse veröffentlicht AV-Test jeweils auf seiner Website www.av-test.org.

Allerdings gibt es auch kritische Stimmen, die den Nutzen von gesonderter Sicherheitssoftware bei Mobilsystemen grundsätzlich infrage stellen. Dazu zählt etwa das Bundesamt für Sicherheit in der Informationstechnik. In seinen Leitfäden für den Einsatz von Android und iOS in Unternehmen heißt es: „Aus Sicht des BSI ist ein gesondertes Virenschutzprogramm auf mobilen Endgeräten derzeit nicht erforderlich.“ Als Grund für diese Einschätzung führt das BSI an, dass bei den aktuellen Versionen von iOS und Android die Rechtestruktur für Apps gut abgesichert sei und zudem Techniken wie Container zum Einsatz kämen.