Fraunhofer SIT zeigt Tool für automatisierte Sicherheitstests von Apps auf der it-sa 2013

Das Institut zeigt das Testwerkzeug erstmals vom 8. bis zum 10. Oktober 2013 auf der IT-Security-Messe in Nürnberg – in Halle 12 am Stand 436

[datensicherheit.de, 05.10.2013] Jede App, die ein Mitarbeiter auf einem mobilen Gerät installiert, stellt für sein Unternehmen ein Sicherheitsrisiko dar. Fraunhofer SIT hat deshalb „Appicaptor“ entwickelt – ein Testwerkzeug, das prüft, ob Apps die Sicherheitsanforderungen von Unternehmen erfüllen.

Drei Viertel aller geprüften Apps durchgefallen

Das Testwerkzeug wird gegenwärtig zur Analyse von „iOS“- und „Android“-Apps verwendet, sei jedoch auf andere Plattformen erweiterbar.
Die Sicherheitsüberprüfung einer App dauere durchschnittlich zehn Minuten. Wie wichtig eine solche Prüfung ist, zeigten Probeläufe mit Pilotkunden für „iPhone“-Apps, denn von den 400 beliebtesten Business-Apps, die mit „Appicaptor“ geprüft wurden, hätten über 300 nicht die Sicherheitsanforderungen des Unternehmens erfüllt.
Dabei hätten sie nur einen kleinen Ausschnitt der Sicherheitsanforderungen aus dem Gesamtkatalog geprüft, sagt Dr. Jens Heider, Abteilungsleiter am Fraunhofer SIT und Chefentwickler von „Appicaptor“.
Das Institut zeigt das Testwerkzeug nun erstmals vom 8. bis zum 10. Oktober 2013 auf der „it-sa“ in Nürnberg.

Apps als Einfallstore

Adressbuch, E-Mails, Passwörter – viele Nutzer wissen nicht, worauf ihre Apps zugreifen und was mit ihren Daten passiert. Darüber hinaus können Apps auch Schwachstellen enthalten, die für Unternehmen ein großes Risiko bedeuten. Denn Angreifer können solche Sicherheitslücken für Sabotage oder Wirtschaftsspionage nutzen, auch wenn sie selbst die Apps nicht programmiert haben. Die Sicherheitsprüfungen der verschiedenen App-Stores suchten nicht ausreichend nach Schwachstellen-Indikatoren, deshalb hätten sie „Appicaptor“ entwickelt“, erläutert Dr. Heider.

Foto: Fraunhofer-Institut für Sichere Informationstechnologie, Darmstadt

Motiv zur Entwicklung von „Appicaptor“: Apps als Einfallstore mit hohem Schadenspotenzial

„Appicaptor“ auch für Nutzer ohne tiefgreifendes Know-how der IT-Sicherheit

„Appicaptor“ generiert neben Black- oder Whitelists auch einen Testbericht, in dem die Ergebnisse detailliert beschrieben sind. Dadurch unterstütze das Werkzeug Unternehmen bei der Risikobewertung und der Einhaltung von Compliance-Vorschriften. Sie hätten bei der Entwicklung besonderen Wert darauf gelegt, dass auch Nutzer und Entscheider ohne tiefgreifendes Know-how in Sachen IT-Sicherheit das Risiko einschätzen können, so Dr. Heider. Bei Bedarf führten sie für unsere Kunden auch Tiefenanalysen durch, zum Beispiel bei sicherheitssensitiven Anwendungen wie Banking-Apps.
Derzeit bietet Fraunhofer SIT „Appicaptor“ nur im Rahmen von forschungsgestützten Dienstleistungen an. Dr. Heider und sein Team entwickeln das Testwerkzeug ständig weiter und fügen neue Prüfkriterien hinzu. Der Transfer der Forschungsergebnisse in die Praxis wird unterstützt durch den europäischen Fonds für regionale Entwicklung (EFRE).

Weitere Informationen zum Thema

Fraunhofer SIT
Appicaptor / Testwerkzeug für App-Sicherheit