21.11.2017

App-Stores: Wie steht es um die Sicherheit?

Immer wieder entfernt Google Android-Apps aus dem Play Store, weil sie als Spyware enttarnt wurden. Leider haben Nutzer diese Tools zuvor bereits teils millionenfach heruntergeladen. Können Sie den App-Stores trauen?

App-Stores Sicherheit

Laden Sie Anwendungen vom App-Store Google Play herunter, müssen weder die versprochenen Sicherheits-Funktionen zuverlässig funktionieren, noch können Sie sicher sein, dass sich hinter den Apps keine Spyware versteckt:

  • Im Februar 2017 hatte das Fraunhofer-Institut für Informationstechnologie SIT gravierende Lücken in Passwort-Tools für Android entdeckt. Bei vielen der beliebtesten Passwort-Manager konnten Cyberkriminelle leicht auf die geschützten Informationen zugreifen, etwa wenn sich der Angreifer im selben Netzwerk befand. Hier gab es also massive Schwachstellen in Security-Apps.
  • Im August 2017 meldete der IT-Sicherheits-Anbieter Trend Micro, dass er 340 Android-Apps im App-Store von Google entdeckte hatte, die er als Malware einstufte. Dieser Vorgang ist leider kein Ausnahmefall.

Neue Prüfungen in den App-Stores

Anwender und Entwickler von Apps haben eine Reihe von Möglichkeiten, die App-Sicherheit zu überprüfen. Hierauf haben auch bereits die Aufsichtsbehörden für den Datenschutz hingewiesen (Orientierungshilfe zu den Datenschutz-Anforderungen an App-Entwickler und App-Anbieter).

  • Zum einen bieten Security-Apps Funktionen an, andere Apps auf Datenschutz- und Sicherheits-Probleme hin zu untersuchen. Das funktioniert aber erst, wenn ein Nutzer eine App herunterlädt oder heruntergeladen hat.
  • Anders ist dies bei Online-Scannern: Ihnen gibt man den Link zur App im App-Store. Die Scanner überprüfen dann die App vor der Installation. Ein Beispiel ist Trend Micro MARS.
  • Zusätzlich bieten Testlabore und IT-Dienstleister an, die App-Kontrollen im Auftrag von Anwender-Unternehmen durchzuführen.

Google Play Protect

Auch Google als App-Store-Betreiber hat neue Überprüfungen eingeführt: Google Play Protect soll unter anderem Security-Scans bei Android-Apps durchführen, die ein Nutzer herunterladen möchte.

Die neue Funktion soll vor Risiken warnen, die durch die App-Installation auftreten könnten.

Wie hoch die Erfolgsquote von Google Play Protect sein wird, muss sich zeigen. In jedem Fall sollten die Nutzer und die Unternehmen nicht darauf verzichten, zusätzlich eigene App-Kontrollen durchzuführen.

Google Play Protect allein nicht ausreichend

Hier helfen Mobile-Device-Management-(MDM-)Lösungen:  Sie bieten einen unternehmenseigenen Enterprise App-Store. Er nimmt nur solche Apps auf, die das Unternehmen überprüft und freigegeben hat. Allein die Maßnahmen der App-Store-Betreiber wie Google reichen (noch) nicht.

Hintergrund: Apps als Angriffsziel und Angriffsmittel

Warum ist es so wichtig, dass Apps wasserdichte Sicherheit bieten? Ein wichtiger Grund: Mobile Banking wird zum Standard. Jeder Zweite nutzt das Tablet zum Online-Banking, vier von zehn das Smartphone. Mehr als die Hälfte hat dafür eine App installiert, so eine aktuelle Umfrage des Digitalverbands Bitkom.

Die steigende Bedeutung von Apps auch in sensiblen Bereichen wie dem Online-Banking macht die mobilen Applikationen auf Smartphones und Tablets zu wichtigen Angriffszielen der Internet-Kriminellen.

Doch solche Anwendungen sind noch mehr für die Datendiebe: Cyberkriminelle setzen Apps als Angriffs-Werkzeug ein. Wie der IT-Sicherheits-Anbieter G Data berichtete, gab es über 333 neue Android Schad-Apps pro Stunde im ersten Halbjahr 2017, also rund 8.000 verseuchte Android-Apps pro Tag.

Im ersten Halbjahr 2017 zählten die G DATA Sicherheits-Experten ganze 1,5 Millionen Android-Schaddateien.

Trotzdem halten nur 37 Prozent der Unternehmen die Sicherheit mobiler Endgeräte für ein besonders wichtiges Handlungsfeld der IT-Security, wie die IDC-Studie „Next Gen Endpoint Security in Deutschland 2017“ ergab.

App-Store-Sicherheit ist nicht selbstverständlich

Bereits 2011 machte die EU-IT-Sicherheits-Behörde ENISA auf die Bedeutung der Sicherheit in App-Stores aufmerksam:

„Mit schädlichen Apps können Angreifer ohne Weiteres auf den immensen Vorrat an privaten Daten zugreifen, der auf Smartphones zu finden ist, wie zum Beispiel vertrauliche geschäftliche E-Mails, Aufenthaltsorte, Telefonanrufe, Textnachrichten und so weiter. Die Kunden sind sich dessen kaum bewusst.“

Zu den Verteidigungslinien für App-Stores, die ENISA damals nannte, gehörten vor allem die App-Prüfungen, bevor der Store-Anbieter die Apps den Nutzern zum Herunterladen anbietet.

Nach über sechs Jahren muss man feststellen: Es hat sich zwar einiges getan im Bereich der App-Prüfungen. Aber leider reicht das nicht.

Autor: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)