Mobile Application Security Assessment

Mobile Endgeräte, wie Smartphones oder Tablets, haben sich sowohl im privaten wie auch im beruflichen Umfeld zu einem selbstverständlichen „Werkzeug“ entwickelt. Dementsprechend vielseitig sind die verfügbaren mobilen Applikationen (kurz Apps genannt). Die Funktionalitäten reichen vom einfachen Informationsabruf, über die Abwicklung von Finanztransaktionen bis hin zum mobilen Zugriff auf firmeninterne ERP-Systeme. Häufig sind die Apps in komplexe IT-Umgebungen eingebunden, welche z.B. aus Applikationsservern und Middlewaresystemen bestehen können. Diese verfügen wiederum regelmäßig über im Internet exponierte Schnittstellen.

Bedingt durch deren mobilen Einsatz, neue Zugriffsverfahren über öffentliche Netze sowie dynamische und bisher wenig untersuchte Betriebsumgebungen ergeben sich beim Einsatz mobiler Applikationen zahlreiche und teilweise neuartige Bedrohungsszenarien hinsichtlich der Informations- und IT-Sicherheit. Durch eine App kann die Sicherheit des verwendeten Endgeräts gefährdet werden, aber auch die Manipulation von Datenströmen sowie der Diebstahl von Daten ist denkbar. Die im Internet exponierten Systeme und Schnittstellen sind außerdem durch die in diesem Umfeld typischen Angriffsszenarien bedroht.

Bei einem Mobile Application Security Assessment werden die genannten Bedrohungsszenarien auf allen relevanten Ebenen analysiert:
  • Applikationsebene (Auswirkungen der App auf die Sicherheitsfunktionen des Smartphones, Manipulationsmöglichkeiten der App sowie von Prozess- und Transaktionsabläufen etc.)
  • Kommunikationsebene (Mitlesen oder Manipulation von Datenströmen etc.)
  • Serverebene (Angreifbarkeit der serverseitigen Applikationen und Schnittstellen etc.)

Innerhalb des Assessments nimmt der Auditor nicht nur die Perspektive externer Angreifer ein, sondern berücksichtigt auch das Fehlverhalten privilegierter Benutzer.

Grundsätzlich erfolgen Mobile Application Security Assessments mit dem Ansatz einer vollständigen Prüfung. Jedoch ist, abhängig von der Art der Anwendung sowie den relevanten Bedrohungen, auch ein risikobasierter Ansatz möglich (vergleichbar mit einem Penetrationstest). Dabei wird der Fokus auf besonders sicherheitskritische bzw. angriffsgefährdete Bereiche der Anwendung gerichtet, wobei sich der Prüfungsumfang aus dem mit Ihnen vereinbarten Zeitbudget ergibt.

Im Bereich der Mobile Application Security richten wir uns nach den Vorgaben des international anerkannten Open Web Application Security Project – OWASP.

Als Ergebnis des Assessments erhalten Sie eine fundierte Bewertung Ihrer Applikationssicherheit sowie der Qualität der Programmierung. Wesentlicher Bestandteil des Abschlussberichts ist außerdem ein priorisierter Maßnahmenkatalog, in welchem alle identifizierten Sicherheitsschwachstellen konkreten Lösungen zugeordnet werden.