App-Security

Keine klaren Richtlinien, keine klaren Prozesse

Gerade Apps geraten immer häufiger ins Visier ausgeklügelter Cyber-Attacken. Und trotzdem wird der Sicherheitsaspekt oft genug ignoriert.
Von Stefan Dziwok
CSO | 18. Januar 2022 05:18 Uhr
Das Thema Sicherheit muss in der App-Entwicklung von Anfang an - und vor allem von allen - mitgedacht werden.
Das Thema Sicherheit muss in der App-Entwicklung von Anfang an - und vor allem von allen - mitgedacht werden.
Foto: Syda Productions - shutterstock.com

Mithilfe von Apps navigieren sich heute viele Menschen durch ihren Alltag - ob Messaging, Gaming, Routenplanung oder Essenslieferung: Mit Apps lässt es sich leichter leben. Das gilt leider auch für Cyberkriminelle, die Apps als Schlupfloch für ihre Aktivitäten verwenden. Demgegenüber steht eine mangelnde Aktivität in Sachen App Security seitens der Entwicklerinnen und Entwickler.

Zu diesem Schluss gelangt eine repräsentative Studie des Forschungsprojektes AppSecure.nrw: Sie stellt fest, dass 59 Prozent der befragten Entwicklerinnen und Entwickler keine klaren Richtlinien und Prozesse zur sicheren Softwareentwicklung haben. 41 Prozent sagen, dass ihre Security-Anforderungen (etwa zur Verarbeitung sensibler Daten) nicht klar definiert beziehungsweise bekannt sind. Darüber hinaus analysieren 20 Prozent der Entwicklerinnen und Entwickler zu keinem Zeitpunkt des Prozesses ihre Software bezüglich Security.

Ähnliches gilt für die Führungskräfte: Laut der Studie weisen die meisten Führungskräfte und Product Owner eher geringe Security-Kompetenzen auf. Oftmals bleibt es zudem bei der Aussage "Security ist wichtig". Konkrete Maßnahmen, die dies sicherstellen, können jedoch nicht genannt werden. In vielen Fällen wird die Firewall erwähnt. Die Gefahr eines Innentäters oder dass eine Firewall keinen ausreichenden Schutz bietet, ist vielen Befragten jedoch nicht bewusst. Fazit: Führungskräfte und Product Owner sind für App-Sicherheit häufig nicht ausreichend sensibilisiert.

Fehlendes Bewusstsein, mangelnde Verantwortung

Die mangelnde Sensibilisierung und die fehlenden Maßnahmen haben direkte Auswirkungen, wie die täglichen News-Meldungen zu neuen Vorfällen zeigen: So leidet beispielsweise die vor dem Hintergrund der Corona-Pandemie entstandene Luca-App unter schwerwiegenden Sicherheitsmängeln. Eine Sicherheitslücke in der App ermöglichte es, Schadcode einzuschleusen und auf diese Weise Gesundheitsämter via Ransomware zum Erliegen zu bringen. Und bei der App des Zahlungsdienstleisters Klarna konnten Nutzerinnen und Nutzer sensible Finanzdaten anderer Personen einsehen.

Ein besonderes Augenmerk in der App-Entwicklung liegt oftmals auf dem Thema Datenschutz - der ohne Frage ein wichtiger Aspekt in der App-Entwicklung ist. Genauso wichtig ist aber die Angriffssicherheit. Während allerdings bei den Themen Datenschutz unter anderem aufgrund der DSGVO ein höheres Bewusstsein herrscht, fehlt dieses meist allen Beteiligten bei der Angriffssicherheit, obwohl die Schäden durch den Angriff selbst, den Vertrauensverlust bei Kunden als auch durch die bereits bestehenden Gesetze beträchtlich ist.

Niemand ist für Security zuständig

Was außerdem viele nicht wissen: Verantwortliche können zudem basierend auf Normen für Sicherheitslecks verklagt werden, selbst wenn sie hierfür nicht zertifiziert sind, da die Normen den Stand der Technik definieren und eine Nichteinhaltung als fahrlässig gilt. Ein Beispiel ist an dieser Stelle die ISO-Norm 27001, die das Information Security Management System für das gesamte Unternehmen definiert.

Neben dem fehlenden Bewusstsein ist die mangelnde Verantwortung eine Herausforderung: In der AppSecure.nrw-Studie geben 62 Prozent der Entwicklerinnen und Entwickler an, dass es in ihrem Team keine Person gibt, die für Security zuständig ist. Dieser Ansatz vernachlässigt wichtige Entwicklungsschritte. Denn Sicherheit muss von Anfang an vom jeweiligen Produktteam mitgedacht werden: Dieses Vorgehen heißt "Security by Design". Und damit sind nicht nur die Entwicklerinnen und Entwickler in der Pflicht, sondern zugleich auch die Product Owner, die die Priorisierung der Aufgaben beeinflussen. Gleiches gilt für die Führungskräfte, die die entsprechenden Regeln und Strukturen schaffen sowie ihre Mitarbeitenden fortbilden müssten, dies in der Regel aber nicht tun.

Höherer Stellenwert für Security by Design

Doch aus welchem Grund ist es so wichtig, Sicherheit von vornherein mit einzuplanen? Nur wenn bei jedem Entwicklungsschritt auch die Sicht der Angreiferinnen und Angreifer betrachtet wird, kann tatsächlich für Sicherheit gesorgt werden. Dabei geht es beispielsweise auch um die Kreativität des ganzen Teams, um gemeinsam mögliche Angriffsszenarien zu entwickeln. Zudem ist es am wirksamsten, wenn alle Akteure Sicherheit sofort mitdenken, denn jede Korrektur kostet Zeit und Geld.

Unterstützung liefern hierbei passende Werkzeuge und Prozesse. So entwickelt etwa das Fraunhofer IEM Codeanalyse-Werkzeuge, mit denen Schwachstellen - im Stil einer Rechtschreibprüfung - beim Programmieren identifiziert und behoben werden können. Diese Analysen lassen sich darüber hinaus ebenso auf dem zentralen Build-Server des Teams automatisieren. Auf diese Weise wird das Team bei jeder Änderung am Produkt über mögliche Schwachstellen informiert. Üblicherweise wird jedoch - wenn überhaupt - ausschließlich ein mehrtägiger Pentest kurz vor einem großen Release durchgeführt. Dieser kann die App nicht ausreichend detailtief analysieren. Zudem erhält das Team nicht rechtzeitig alle Informationen, damit es die erforderlichen Anpassungen umsetzen kann. Dies gefährdet den Release oder macht ihn zum Risiko.

Weiterbildung forcieren

Allein mit Tools und Prozessen lassen sich diese Herausforderungen allerdings nicht bewältigen. Alle Beteiligten benötigen entsprechende Kenntnis und Bewusstsein, damit sie Sicherheit in der App-Entwicklung auch im notwendigen Maße mitdenken. Allerdings sagen in der obenstehenden Befragung im Schnitt knapp zwei Drittel der Entwicklerinnen und Entwickler, dass die heutigen Kompetenzen nicht genügen, um sichere Software zu entwickeln und zu betreiben. Außerdem wollen 89 Prozent ihre Fähigkeiten weiterentwickeln. Der neuen Generation von Informatik-Studierenden eröffnet sich je nach Universität die Chance, sich das Thema im Studium anzueignen. Vor zehn Jahren hingegen gab es noch kein Angebot für dieses Wissen. Alle, die heute Software entwickeln, müssen daher theoretisch nachgeschult werden und dieses Wissen in das Team weiterreichen.

Aus diesem Grund bieten sich Intensivschulungen wie das "Security Champion Training" der Fraunhofer Academy an, in denen Mitarbeiterinnen und Mitarbeiter zu Multiplikatoren für das Thema App Security weitergebildet werden. Ziel ist es, das diese ihr erworbenes Wissen im Anschluss auch in ihren Teams verfügbar machen, daher lernen sie nicht nur Fachwissen, sondern auch die hierfür notwendigen Softskills.

Führungskräfte und Product Owner haben beim Thema Weiterbildung eine Schlüsselfunktion. Jedoch zeigt die AppSecure.nrw Studie auch hier Handlungsbedarf: Beide Akteursgruppen sind nicht genügend sensibilisiert. Sie kennen ihre notwendige Rolle im Zusammenhang mit der sicheren Softwareentwicklung nicht und meist fehlen die dafür notwendigen Fähigkeiten. Das Fraunhofer IEM hat daher zusätzlich ein Software Security Training für Product Owner entwickelt und erarbeitet derzeit eine weitere Schulung für Führungskräfte.

Alle sind gefragt

Grundsätzlich muss sich der Blick auf das Thema ändern: App Security ist eine Aufgabe für das gesamte Team - inklusive deren Product Owner und Führungskräfte. Um den Reifegrad des agilen Teams systematisch und kosteneffizient zu steigern, sollten Unternehmen mit sogenannten Security Belts arbeiten. Analog zu Judo und Karate signalisieren sie die jeweilige Software-Security-Kompetenz des Teams.

Außerdem beinhalten sie konkrete Aktivitäten, die inkrementell umgesetzt und eingeführt werden können - auch während eines Sprints. Ein Produkt, das kritische Daten verarbeitet und bei dem erfolgreiche Angriffe großen Schaden verursachen können, benötigt deshalb ein kompetentes Team und somit einen hohen Gürtel. Daraus folgt allerdings, dass unter anderem Zeit und Geld in Teams mit einem derzeitig niedrigen Gürtel fließen muss, um es auf dieses Niveau zu heben. Die jeweiligen Gürtel machen dabei den Bedarf für mehr Security-Kompetenz transparent für Teams, Product Owner und Führungskräfte. Und Apps künftig hoffentlich sicherer.