Sicherheit von Applikationen

"App"solut sicher? Millionen Nutzerdaten in Gefahr

Jürgen Jakob ist Gründer und Geschäftsführer des Value Added Distributors Jakobsoftware. Das Unternehmen ist spezialisiert auf den Vertrieb hochwertiger IT-Security-Lösungen für kleine und mittlere Unternehmen.

 

 

 

 

Ein Test des Fraunhofer-Instituts mit der TU Darmstadt hat eine Sicherheitslücke in der App-Entwicklung entdeckt. Die Entwickler sind gefordert.

Schöne neue Welt: Über Apps können wir auf all unsere Daten zugreifen, über die verschiedensten Endgeräte und Betriebssysteme hinaus. Im Hintergrund wird alles sicher synchronisiert. Sicher? Die Technische Universität Darmstadt und das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) haben zutage gebracht, dass viele Nutzerkonten durch Identitätsdiebstahl und andere Internetverbrechen bedroht sind.

Apps sind schön und bunt – aber möglicherweise auch gefährlich.
Apps sind schön und bunt – aber möglicherweise auch gefährlich.
Foto: Maksym Yemelyanov - Fotolia.com

Der Grund: App-Entwickler, die Backend-as-a-Service-Dienste (BaaS) für Synchronisationsfunktionen nutzen – jedoch ohne die empfohlenen Sicherheitsmechanismen zur Authentisierung. Einige besonders bequeme Entwickler nutzen sogar den gleichen Schlüssel für alle Benutzer – und der ist direkt im Code der App eingebaut und für jeden Angreifer relativ leicht auslesbar. Angreifer können so verhältnismäßig einfach auf sämtliche im BaaS von der App gespeicherten Daten zugreifen, sie stehlen oder manipulieren. Ein Zugriff auf das Mobilgerät ist hierfür nicht nötig, der Nutzer merkt nichts.

Das beschränkt sich nicht nur auf Informationen zum Namen des Nutzers, sondern auch Fotos, Passwörter, Zahlungstransaktionen und weitere sensible Daten lassen sich abgreifen. Ein Test des Fraunhofer-Instituts hat auf diese Weise bereits 54 Millionen Datensätze zutage gefördert.

Die App-Hersteller sind nun gefordert, korrekte Sicherheitsvorkehrungen in ihre Anwendungen einzubauen, um diese Sicherheitslücke zu schließen. Doch was können die Nutzer tun? Der Vorfall zeigt, wie wichtig ein bewusster Umgang mit Informationen ist – seien sie geschäftlich oder privat. Die folgenden Hinweise sollten Sie beachten:

  • Hinterfragen, welche Daten durch Apps verwaltet werden müssen

  • Vor dem Laden die App genauestens unter die Lupe nehmen und Vorsicht walten lassen. (Sicherheitssiegel geben hier eine, wenn auch grobe Orientierungshilfe.)

  • Penible Passwort-Hygiene

Angesichts der zunehmenden Digitalisierung ist die Passwort-Verwaltung eine immer schwerere, aber auch immer wichtigere Maßnahme. Für jede Anwendung und für jedes Login ist ein separates Password zu wählen, das hohen Sicherheitsstandards genügt. Die Faustregel lautet, dass es aus mindestens sechs oder besser acht Zeichen besteht, wobei eine Mischung aus Groß- und Kleinschreibung, Zahlen und Sonderzeichen zum Einsatz kommen soll.

Und ja: Auch dafür gibt es eine App. Anbieter wie Sticky Password haben jüngst bekannt gegeben, dass sie für ihre Freeware nicht auf BaaS setzen, sondern einen eigenen Backend-Service für die Synchronisation der Passwörter nutzen. Die Authentisierung für Nutzer erfolgt über Einmal-Passwörter pro Gerät, die 24 Stunden gültig sind und dann neu herausgegeben werden. In dieser Zeit sind die Tokens sicher im Schlüsselspeicher der App. (bw)

Zur Startseite