Sicherheit von Applikationen

"App"solut sicher? Millionen Nutzerdaten in Gefahr

18.06.2015 von Jürgen  Jakob
Ein Test des Fraunhofer-Instituts mit der TU Darmstadt hat eine Sicherheitslücke in der App-Entwicklung entdeckt. Die Entwickler sind gefordert.

Schöne neue Welt: Über Apps können wir auf all unsere Daten zugreifen, über die verschiedensten Endgeräte und Betriebssysteme hinaus. Im Hintergrund wird alles sicher synchronisiert. Sicher? Die Technische Universität Darmstadt und das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) haben zutage gebracht, dass viele Nutzerkonten durch Identitätsdiebstahl und andere Internetverbrechen bedroht sind.

Apps sind schön und bunt – aber möglicherweise auch gefährlich.
Foto: Maksym Yemelyanov - Fotolia.com

Der Grund: App-Entwickler, die Backend-as-a-Service-Dienste (BaaS) für Synchronisationsfunktionen nutzen – jedoch ohne die empfohlenen Sicherheitsmechanismen zur Authentisierung. Einige besonders bequeme Entwickler nutzen sogar den gleichen Schlüssel für alle Benutzer – und der ist direkt im Code der App eingebaut und für jeden Angreifer relativ leicht auslesbar. Angreifer können so verhältnismäßig einfach auf sämtliche im BaaS von der App gespeicherten Daten zugreifen, sie stehlen oder manipulieren. Ein Zugriff auf das Mobilgerät ist hierfür nicht nötig, der Nutzer merkt nichts.

Das beschränkt sich nicht nur auf Informationen zum Namen des Nutzers, sondern auch Fotos, Passwörter, Zahlungstransaktionen und weitere sensible Daten lassen sich abgreifen. Ein Test des Fraunhofer-Instituts hat auf diese Weise bereits 54 Millionen Datensätze zutage gefördert.

Moderne Business-Apps aus der deutschen Cloud
Moderne Business-Apps
Es muss nicht immer Software aus dem Sillicon Valley sein. Inzwischen bietet die deutsche Cloud anspruchsvolle Business-Apps, die den Vergleich mit den Schwergewichten aus den USA nicht scheuen müssen. Ganz im Gegenteil. Im Folgenden stellen wir professionelle Cloud-Dienste von deutschen Anbietern vor.
Weclapp: ERP und CRM für Mittelständler
Weclapp bietet eine umfassende, modular aufgebaute ERP-Lösung, die speziell auf die Bedürfnisse von Händlern und Dienstleistern zugeschnitten ist. Der aus Marburg stammende Online-Dienst präsentiert sich als eine ganzheitliche SaaS-Lösung, die verspricht, sämtliche wichtige Unternehmensprozesse in einer einzigen Softwaresuite effektiv abzubilden. So bringt das Tool Kontakt- und Kundenverwaltung, Projektmanagement, Zeit- und Leistungserfassung, sowie Warenwirtschaft unter einen Hut. Dabei spielen Collaboration-Funktionen eine zentrale Rolle und sind in allen Modulen der Software integriert. Mit Weclapp CRM steht darüber hinaus ein branchenübergreifendes Kundenmanagement-System zur Verfügung. Dieses besteht aus den zentralen Funktionen in den Bereichen Kontakt- und Kundenverwaltung, Kampagnenmanagement und Reporting, auf die KMUs angewiesen sind.
Scopevisio: Ganzheitliche Unternehmenslösung
Mit Scopevisio stellt das gleichnamige Softwarehaus aus Bonn eine ebenfalls umfangreiche Unternehmenssoftware bereit, die Geschäftsprozesse in den Bereichen ERP, CRM und ECM (Enterprise Content Management) abdeckt. Diese stellt zahlreiche Funktionsbausteine wie Kundenmanagement, E-Commerce, Marketing, Invoicing, Finanzen, Buchhaltung, Collaboration, sowie Projekt- und Dokumentenmanagement zur Verfügung. Kunden können sich ihr System nach eigenen Bedürfnissen individuell zusammenbauen und zahlen nur für die Funktionalität, die sie tatsächlich benötigen. Damit positioniert sich der Dienst als eine moderne und flexible ERP-Alternative, von der Unternehmen aus den verschiedensten Branchen profitieren können.
Debitoor: Invoicing leicht gemacht
Debitoor wird in Berlin entwickelt und bietet einen einfachen Weg, professionell gestaltete Rechnungen im eigenen Firmendesign zu erstellen, sowie Kunden, Produkte, Angebote, Mahnungen und Ausgaben auf intuitive Art und Weise im Browser zu verwalten. Individuell anpassbare Reports, etwa Umsatzsteuerermittlung oder Gewinn und Verlust-Rechnung, zählen zu den weiteren Hauptfunktionen, mit denen Debitoor aufwarten kann. Eine moderne und optisch ansprechende Benutzeroberfläche im trendigen Flat-Design, in der die angebotenen Features übersichtlich präsentiert werden, sorgt für eine benutzerfreundliche Bedienung, die bei Buchhaltungsprogrammen eher untypisch ist. Neben der Web-Anwendung stehen mobile Apps für iOS und Android zur Verfügung, mit denen Anwender unterwegs Belege bequem erfassen können.
Lexoffice: Finanzen und Buchhaltung für Einsteiger und Profis
Bei Lexoffice handelt es sich um eine weitere anspruchsvolle Lösung aus dem Bereich Rechnungsstellung und Buchhaltung, die auf die Anforderungen von Kleinunternehmen, Gründern und Selbständigen ausgerichtet ist. Sie bietet zahlreiche Features rund um die Auftragsverwaltung an. So lassen sich neben Aufträgen und Rechnungen auch Angebote, Eingangsbelege, Kunden und Lieferanten zentral auf dem Online-Dashboard verwalten. Zudem wartet Lexoffice mit einigen nützlichen Extras auf. Hierzu zählt beispielsweise das integrierte Online-Banking-Modul. Dieses gleicht offene Rechnungen automatisch ab und ordnet die Bankvorgänge den jeweiligen Belegen zu. Ebenfalls praktisch: Es gibt eine kostenlose iPad-App, die die wichtigsten Features der Software in einer für das Apple Tablet optimierten Version bereitstellt.
Wunderlist: Business-taugliche To-Do-App
Der Online-Dienst Wunderlist gehört mit über zehn Millionen Anwendern inzwischen zu den populärsten To-Do-Apps weltweit. Mittlerweile gibt es eine Version, die speziell für Business-Kunden konzipiert ist. Hinter der Lösung steht die Softwareschmiede 6Wunderkinder aus Berlin, die als Vorzeige-Startup der lokalen Internet-Branche gilt. Die App reduziert Collaboration auf ein Minimum: Aufgabenverwaltung, Notizen, Dateianhänge und Kommentare. Reporting-Werkzeuge sucht man bei Wunderlist ebenso vergeblich wie traditionelle Planungstools wie Gannt-Diagramme. Eine Besonderheit von Wunderlist ist sein hochwertiges UI-Design. Die App macht auf Desktop-PCs, Smartphones und Tablets eine gute Figur.
Planio: Umfangreiches Projektmanagement auf Open-Source-Basis
Planio ist ein Cloud-Tool aus dem Bereich Collaboration, das ebenfalls in der Hauptstadt entwickelt wird. Es präsentiert sich als eine umfangreiche Plattform für die Online-Zusammenarbeit, die auf dem quelloffenen System Redmine basiert und Collaboration, Kommunikation und Produktivität auf einen gemeinsamen Nenner bringt. Die Software kann als zentrale Informationsdrehscheibe für das ganze Unternehmen oder für spezifische Projekte dienen und ist in erster Linie für jene Anwender konzipiert, die lieber mit einer einzigen, ganzheitlichen Software-Suite anstatt mit vielen Insellösungen arbeiten möchten.
Communote: Soziales Netzwerk für Unternehmen
Bei Communote handelt es sich um eine flexible Social-Enterprise-Lösung, die die Unternehmenskommunikation optimieren kann und in Sachen Design und Funktionalität den Vergleich mit Yammer, Chatter und Co. nicht scheuen muss. Mit der Software können Mitarbeiter Nachrichten, Status-Updates und Notizen bequem erstellen, die den Ideen- und Informationsaustausch fördern und sich kommentieren lassen. Mithilfe des zentralen Aktivitätsstreams kann jeder Mitarbeiter stets über Neuigkeiten und Aktivitäten der Kollegen auf dem Laufenden bleiben. Die auf Java basierende Lösung ist mit Windows, Mac OS X und Linux kompatibel. Zudem stehen mobile Apps für iOS und Android zur Verfügung.
Coyo: Social Collaboration
Eine weitere, interessante Alternative zu den Schwergewichten aus den USA im Bereich Social Collaboration ist Coyo. Die Firma Mindsmash GmbH aus Hamburg bietet damit ein umfassendes soziales Netzwerk für Unternehmen, die die Zusammenarbeit optimieren und die Produktivität im geschäftlichen Alltag erhöhen möchten. Der Service vereint effiziente Produktivitätswerkzeugen mit den Vorteilen sozialer Netzwerke in einer umfangreichen Web-Plattform, die den Wissensaustausch der Mitarbeiter fördern soll. Egal ob interne Mitarbeiter, Partner oder Kunde: Teams aus den verschiedensten Abteilungen sollen gemeinsam auf einer zentralen Plattform zusammenarbeiten können.
CAS PIA: Einfaches Kundenmanagement
Mit CAS PIA bietet die CAS Software AG aus Karlsruhe, einer der hiesigen Marktführer für CRM im Mittelstand, eine umfassende Lösung an, die speziell an den Bedürfnissen und Anforderungen kleiner und mittlerer Firmen ausgerichtet ist. Damit lassen sich Kundenkontakte, Adressen, Termine, Dokumente, Aufgaben, Projekte, Kundenakte, Kundentelefonate, Kampagnen, Leads und mehr zentral in einer Web-Konsole verwalten. Diese bringt die zahlreichen Features, mit denen der Service aufwarten kann, in eine übersichtliche Benutzeroberfläche zusammen.
Crealytics: Suchmaschinenwerbung für Online-Händler
Ein weiterer deutscher SaaS-Anbieter, der sich auf dem lokalen Business-Software-Markt erfolgreich positionieren konnte, ist Crealytics. Der SEA-Spezialist (Search Engine Advertising) unterstützt internationale Online-Versandhändler dabei, Suchmaschinenwerbung zu optimieren und möglichst gewinnbringend umzusetzen. Die Firma mit Stammsitz in Passau und weiteren Niederlassungen in Berlin und London wurde letztes Jahr mit dem “Deloitte Technology Fast 50 Award” ausgezeichnet. Damit gehört Crealytics zu den 50 am schnellsten wachsenden Technologieunternehmen Deutschlands.

Die App-Hersteller sind nun gefordert, korrekte Sicherheitsvorkehrungen in ihre Anwendungen einzubauen, um diese Sicherheitslücke zu schließen. Doch was können die Nutzer tun? Der Vorfall zeigt, wie wichtig ein bewusster Umgang mit Informationen ist – seien sie geschäftlich oder privat. Die folgenden Hinweise sollten Sie beachten:

Angesichts der zunehmenden Digitalisierung ist die Passwort-Verwaltung eine immer schwerere, aber auch immer wichtigere Maßnahme. Für jede Anwendung und für jedes Login ist ein separates Password zu wählen, das hohen Sicherheitsstandards genügt. Die Faustregel lautet, dass es aus mindestens sechs oder besser acht Zeichen besteht, wobei eine Mischung aus Groß- und Kleinschreibung, Zahlen und Sonderzeichen zum Einsatz kommen soll.

Und ja: Auch dafür gibt es eine App. Anbieter wie Sticky Password haben jüngst bekannt gegeben, dass sie für ihre Freeware nicht auf BaaS setzen, sondern einen eigenen Backend-Service für die Synchronisation der Passwörter nutzen. Die Authentisierung für Nutzer erfolgt über Einmal-Passwörter pro Gerät, die 24 Stunden gültig sind und dann neu herausgegeben werden. In dieser Zeit sind die Tokens sicher im Schlüsselspeicher der App. (bw)