Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Industrie 4.0 und ihre neuen Spielzeuge
In modernen Produktions- und Fertigungsstätten haben speziell dafür entwickelte Apps die Industrie 4.0 in den letzten Jahren revolutioniert. Durch immer neuere Apps für unterschiedliche Produktionseinsätze werden die Einsatzgebiete dementsprechend vielfältiger. Betrachtet man die Apps einmal genauer, so wird man feststellen, dass es sich um teilweise sehr komplizierte Programme handelt. Diese stellen neben Echtzeitberechnungen zudem noch komplexe Graphiken dar, die unmittelbar zu Entscheidungen in der Produktion führen können. Dieser Zusammenhang ist auch Cyberkriminellen nicht verborgen geblieben und so droht den Unternehmen aufgrund von fehlerhafter, fahrlässiger und schlampiger Programmierung oder durch gezielte Einschleusung von Schadcode ein völlig neues Gefährdungspotential.
Was sind die häufigsten Sicherheitslücken bei Apps?
- Unsicherer Datenspeicher: Wichtige Daten werden ungeschützt gespeichert. Dies gilt sowohl für Daten die lokal als auch in der Cloud gespeichert werden. Berechtigungen werden nicht oder falsch gesetzt.
- Unzureichender Schutz des Übertragungsweges: Daten werden nicht oder nur unzureichend verschlüsselt übertragen. Das heißt, Daten können mitgelesen oder entschlüsselt werden.
- Unzureichende Autorisierung und Authentifizierung: Der Zugriff auf bestimmte Bereiche ist jederzeit möglich.
- Benutzername und Passwort werden unverschlüsselt übertragen: Diese Informationen können in einem öffentlichen WLAN-Netz leicht ausgelesen werden.
- Erzwungene Erteilung von Freigaben bei der Nutzung bestimmter Dienste: Es erfolgt ein Ausspionieren von privaten Daten inklusive Auswertung von Benutzerstatistiken sowie Weitergabe von Geräteposition/Standortdaten.
Wer sich näher mit diesem Thema beschäftigen möchte, findet einen sehr guten und technisch tiefen Überblick über die wichtigsten Schwachstellen von Mobile Apps im OWASP Mobile Security Project .
Kommen wir nun zum Ergebnis eines exemplarischen Tests des ifAsec Institutes für Applikationssicherheit. Die Untersuchung der App aus dem Umfeld der Industrie 4.0 hat deutlich gemacht, dass auch bei größter Sorgfalt seitens der Entwickler der Code immer noch mit Schwachstellen versehen war. Das ifAsec hat mittels eines Quick Checks die folgenden Schwachstellen analysiert:
Neben einer korrekten SSL-Implementierung des selbstsignierten Zertifikates des Entwicklers und einer ordnungsgemäßen Interprozess-Kommunikation hat der Angreifer die Möglichkeit, mit Zugriff auf das System-Log die aktuelle Session ID zu stehlen und die Session zu übernehmen.
Passwörter werden dabei lokal gespeichert und auch verschlüsselt. Die Schlüssel werden aber aus der Kombination einer zugreifbaren Device-ID und einem weiteren Schlüssel ermittelt. Letzterer ist im APK-File in den Raw-Daten gespeichert und so für alle zugreifbar, die das APK-File heruntergeladen haben. Im Klartext heißt das: Der Schlüssel ist relativ leicht zu bestimmen und somit bringt die Verschlüsselung wenig zusätzliche Sicherheit.
Nun gilt es, diese Schwachstellen seitens des Entwicklers aus dem Quell-Code zu beseitigen und mittels eines abschließenden Tests nochmals zu prüfen.
Die häufigsten Fragen zum Thema mobile App Sicherheit
Zum Schluss noch eine kleine Zusammenstellung der häufigsten Fragen, die mir zum Thema mobile Sicherheit in den letzten Wochen gestellt wurden.
-
Sind die Apps der Shop-Betreiber überhaupt sicher?
In den App-Shops befinden sich über 2 Millionen Apps. Es ist illusorisch davon auszugehen, dass die Shop-Betreiber alle Apps auf Sicherheitslücken oder Schadsoftware hin untersucht haben. Das ist nicht möglich. Es werden rudimentäre Test durchgeführt — aber auch nicht nach jedem Update. Hier ergeben sich viele Möglichkeiten für die Programmierer zum Einschleusen von Schadsoftware.
-
Lassen sich Sicherheitslücken vermeiden?
Programme werden von Menschen mit unterschiedlichem Wissen, Fähigkeiten und Fertigkeiten geschrieben, deshalb werden Fehler immer entstehen. Apps kosten in der Regel nicht sehr vieloder sind meistens kostenlos. Hier gibt es die einzige Möglichkeit, dass die App vor dem Einsatz von einer unabhängigen Institution getestet und im Idealfall mit einem entsprechenden Zertifikat versehen wird. Das gilt aber nur für die aktuelle Version!
-
Kann ein Nutzer seine App auch selber testen?
Nein – definitiv nicht. Dafür ist ein Expertenwissen in der jeweiligen Programmierumgebung notwendig. Diese hat der normale Anwender in der Regel nicht. Im Normalfall kann er sich nur auf die Angaben verlassen, die ihm die App zur Verfügung stellt oder jene, die im Shop des Anbieters hinterlegt sind. Besonders gravierend ist dabei, dass oftmals nach Updates die Rechte der App erweitert werden, ohne dass der Nutzer explizit darauf hingewiesen wird. So werden diese dann einfach ohne weiteres akzeptiert – eventuell zum Nachteil des Nutzers.
-
Wie sollten Apps heute getestet werden?
Es gibt zurzeit diverse Tools auf dem Markt, mit denen sich mobile Apps auf Sicherheitslücken testen lassen. Wir haben in einer Untersuchung herausgefunden, dass nur eine geringe Anzahl von Tools, zumeist sind das die teureren, den hohen technischen Ansprüche genügen. Ohne eine weitere Bewertung der Schwachstellen durch Expertenwissen ist aber an dieser Stelle davon abzuraten. Des Weiteren gehört hierzu auch ein entsprechender Funktionstest, um den Nachweis über das Kommunikationsverhalten erbringen zu können. Sind alle Kriterien erfüllt, sollte die App in der aktuellen Version zertifiziert werden.
Lesen Sie mehr:
Sicherheitsüberprüfungen von mobilen Apps, Teil 1: Wer ist eigentlich für die Sicherheitskontrollen von Apps verantwortlich?
Bild: © aey / Fotolia.com
Ein Kommentar zu Industrie 4.0 und ihre neuen Spielzeuge
Schreiben Sie einen Kommentar
Prof. Udo H. Kalinna, Hochschule Emden/Leer

Prof. (Verw.) Dipl.-Ing. Dipl.-Ing Udo H. Kalinna hält zurzeit an der Hochschule Emden/Leer die Verwaltungsprofessur für Informatik und IT-Sicherheit und arbeitet gleichzeitig als Unternehmensberater mit dem Schwerpunkt Applikations- und Cloud-Sicherheit. Bevor er 2010 zur Hochschule wechselte, war er über 14 Jahre als Manager bei Hewlett-Packard und Compaq Computer tätig, bevor er als Unternehmer und CEO 2001 erfolgreich sein eigenes Software-Security Unternehmen gründete, welches nach kurzer Zeit zur Aktiengesellschaft firmierte. Mit seiner Software traf das Unternehmen eine Marktlücke und wurde vom Magazin „IT-Security“ 2008 mit dem Preis „Innovation des Jahres“ ausgezeichnet.

home drug test kit
alternative medicine the definitive guide acheter adderall en ligne what is the day after pill