DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Industrie 4.0 und ihre neuen Spiel­zeuge

In modernen Pro­­­du­k­­tions- und Fer­ti­gungs­stätten haben spe­ziell dafür ent­wi­ckelte Apps die Industrie 4.0 in den letzten Jahren revo­lu­tio­niert. Durch immer neuere Apps für unter­schied­liche Pro­duk­ti­ons­ein­sätze werden die Ein­satz­ge­biete dem­entspre­chend viel­fäl­tiger. Betrachtet man die Apps einmal genauer, so wird man fest­stellen, dass es sich um teil­weise sehr kom­pli­zierte Pro­gramme handelt. Diese stellen neben Echt­zeit­be­rech­nungen zudem noch kom­plexe Gra­phiken dar, die unmit­telbar zu Ent­schei­dungen in der Pro­duktion führen können. Dieser Zusam­menhang ist auch Cyber­kri­mi­nellen nicht ver­borgen geblieben und so droht den Unter­nehmen auf­grund von feh­ler­hafter, fahr­läs­siger und schlam­piger Pro­gram­mierung oder durch gezielte Ein­schleusung von Schadcode ein völlig neues Gefähr­dungs­po­tential.

Was sind die häu­figsten Sicher­heits­lücken bei Apps?

  • Unsi­cherer Daten­speicher: Wichtige Daten werden unge­schützt gespei­chert. Dies gilt sowohl für Daten die lokal als auch in der Cloud gespei­chert werden. Berech­ti­gungen werden nicht oder falsch gesetzt.
  • Unzu­rei­chender Schutz des Über­tra­gungs­weges: Daten werden nicht oder nur unzu­rei­chend ver­schlüsselt über­tragen.  Das heißt, Daten können mit­ge­lesen oder ent­schlüsselt werden.
  • Unzu­rei­chende Auto­ri­sierung und Authen­ti­fi­zierung: Der Zugriff auf bestimmte Bereiche ist jederzeit möglich.
  • Benut­zername und Passwort werden unver­schlüsselt über­tragen: Diese Infor­ma­tionen können in einem öffent­lichen WLAN-Netz leicht aus­ge­lesen werden.
  • Erzwungene Erteilung von Frei­gaben bei der Nutzung bestimmter Dienste: Es erfolgt ein Aus­spio­nieren von pri­vaten Daten inklusive Aus­wertung von Benut­zer­sta­tis­tiken sowie Wei­tergabe von Geräteposition/Standortdaten.

Wer sich näher mit diesem Thema beschäf­tigen möchte, findet einen sehr guten und tech­nisch tiefen Über­blick über die wich­tigsten Schwach­stellen von Mobile Apps im OWASP Mobile Security Project .

Kommen wir nun zum Ergebnis eines exem­pla­ri­schen Tests des ifAsec Insti­tutes für Appli­ka­ti­ons­si­cherheit. Die Unter­su­chung der App aus dem Umfeld der Industrie 4.0 hat deutlich gemacht, dass auch bei größter Sorgfalt seitens der Ent­wickler der Code immer noch mit Schwach­stellen ver­sehen war. Das ifAsec hat mittels eines Quick Checks die fol­genden Schwach­stellen ana­ly­siert:

Neben einer kor­rekten SSL-Imple­­men­­tierung des selbst­si­gnierten Zer­ti­fi­kates des Ent­wicklers und einer ord­nungs­ge­mäßen Inter­­prozess-Kom­­mu­­ni­­kation hat der Angreifer die Mög­lichkeit, mit Zugriff auf das System-Log die aktuelle Session ID zu stehlen und die Session zu über­nehmen.

Pass­wörter werden dabei lokal gespei­chert und auch ver­schlüsselt. Die Schlüssel werden aber aus der Kom­bi­nation einer zugreif­baren Device-ID und einem wei­teren Schlüssel ermittelt. Letz­terer ist im APK-File in den Raw-Daten gespei­chert und so für alle zugreifbar, die das APK-File her­un­ter­ge­laden haben. Im Klartext heißt das: Der Schlüssel ist relativ leicht zu bestimmen und somit bringt die Ver­schlüs­selung wenig zusätz­liche Sicherheit.

Nun gilt es, diese Schwach­stellen seitens des Ent­wicklers aus dem Quell-Code zu besei­tigen und mittels eines abschlie­ßenden Tests nochmals zu prüfen.

Die häu­figsten Fragen zum Thema mobile App Sicherheit

Zum Schluss noch eine kleine Zusam­men­stellung der häu­figsten Fragen, die mir zum Thema mobile Sicherheit in den letzten Wochen gestellt wurden.

  • Sind die Apps der Shop-Betreiber über­haupt sicher?
    In den App-Shops befinden sich über 2 Mil­lionen Apps. Es ist illu­so­risch davon aus­zu­gehen, dass die Shop-Betreiber alle Apps auf Sicher­heits­lücken oder Schad­software hin unter­sucht haben. Das ist nicht möglich. Es werden rudi­mentäre Test durch­ge­führt  — aber auch nicht nach jedem Update. Hier ergeben sich viele Mög­lich­keiten für die Pro­gram­mierer zum Ein­schleusen von Schad­software.
     
  • Lassen sich Sicher­heits­lücken ver­meiden?
    Pro­gramme werden von Men­schen mit unter­schied­lichem Wissen, Fähig­keiten und Fer­tig­keiten geschrieben, deshalb werden Fehler immer ent­stehen. Apps kosten in der Regel nicht sehr vie­loder sind meistens kos­tenlos. Hier gibt es die einzige Mög­lichkeit, dass die App vor dem Einsatz von einer unab­hän­gigen Insti­tution getestet und im Ide­alfall mit einem ent­spre­chenden Zer­ti­fikat ver­sehen wird. Das gilt aber nur für die aktuelle Version!
     
  • Kann ein Nutzer seine App auch selber testen?
    Nein – defi­nitiv nicht. Dafür ist ein Exper­ten­wissen in der jewei­ligen Pro­gram­mier­um­gebung not­wendig. Diese hat der normale Anwender in der Regel nicht. Im Nor­malfall kann er sich nur auf die Angaben ver­lassen, die ihm die App zur Ver­fügung stellt oder jene, die im Shop des Anbieters hin­terlegt sind. Besonders gra­vierend ist dabei, dass oftmals nach Updates die Rechte der App erweitert werden, ohne dass der Nutzer explizit darauf hin­ge­wiesen wird. So werden diese dann einfach ohne wei­teres akzep­tiert – even­tuell zum Nachteil des Nutzers.
     
  • Wie  sollten Apps heute getestet werden?
    Es gibt zurzeit diverse Tools auf dem Markt, mit denen sich mobile Apps auf Sicher­heits­lücken testen lassen. Wir haben in einer Unter­su­chung her­aus­ge­funden, dass nur eine geringe Anzahl von Tools, zumeist sind das die teu­reren, den hohen tech­ni­schen Ansprüche genügen. Ohne eine weitere Bewertung der Schwach­stellen durch Exper­ten­wissen ist aber an dieser Stelle davon abzu­raten. Des Wei­teren gehört hierzu auch ein ent­spre­chender Funk­ti­onstest, um den Nachweis über das Kom­mu­ni­ka­ti­ons­ver­halten erbringen zu können. Sind alle Kri­terien erfüllt, sollte die App in der aktu­ellen Version zer­ti­fi­ziert werden.

Lesen Sie mehr:

Sicher­heits­über­prü­fungen von mobilen Apps, Teil 1: Wer ist eigentlich für die Sicher­heits­kon­trollen von Apps ver­ant­wortlich?

Bild: © aey / Fotolia.com

Ein Kommentar zu Industrie 4.0 und ihre neuen Spielzeuge

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prof. Udo H. Kalinna, Hoch­schule Emden/Leer

Prof. (Verw.) Dipl.-Ing. Dipl.-Ing Udo H. Kalinna hält zurzeit an der Hoch­schule Emden/Leer die Ver­wal­tungs­pro­fessur für Infor­matik und IT-Sicherheit und arbeitet gleich­zeitig als Unter­neh­mens­be­rater mit dem Schwer­punkt Appli­ka­tions- und Cloud-Sicherheit. Bevor er 2010 zur Hoch­schule wech­selte, war er über 14 Jahre als Manager bei Hewlett-Packard und Compaq Com­puter tätig, bevor er als Unter­nehmer und CEO 2001 erfolg­reich sein eigenes Software-Security Unter­nehmen gründete, welches nach kurzer Zeit zur Akti­en­ge­sell­schaft fir­mierte. Mit seiner Software traf das Unter­nehmen eine Markt­lücke und wurde vom Magazin „IT-Security“ 2008 mit dem Preis „Inno­vation des Jahres“ aus­ge­zeichnet.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.