2 Tests im Vergleich

Mobile Apps: Unsichere Sicherheitstests

20. April 2012
Von Michael Kallus
Zwar erfassen die Methoden OWASP und CWE die bekanntesten Schwachstellen in App-Codes. Doch ihre Bug-Listen sind nie vollständig. On-Demand-Tests helfen dagegen, rät Sicherheitsanbieter Veracode.

Software aus der Cloud, mobile Apps und Web-fähige Programme bieten Angreifern zahlreiche Einfallstore aufgrund ihrer Internet-Anbindung. So steigt die Zahl der Anwendungen, die permanent überwacht werden oder als sicherheitsrelevant klassifiziert sind. Rund 800 geschäftskritische Lösungen sind mittlerweile bei Finanzdienstleistern im Einsatz, in Unternehmen aus anderen Branchen sind es im Durchschnitt zwischen 400 und 500 kritische Anwendungen.

In mehr als ein Viertel der befragten Unternehmen kommen bereits mobile Apps zum Einsatz.
In mehr als ein Viertel der befragten Unternehmen kommen bereits mobile Apps zum Einsatz.
Foto: quocirca

Um diese Lösungen auf längere Sicht sicher und zu überschaubaren Kosten betreiben zu können, empfiehlt Veracode, Anbieter von On-demand-Sicherheitstests, den Code bereits während Entwicklung, Testphase und Deployment zu prüfen. Das soll die Zahl der Schwachstellen von vornherein herunterschrauben und damit auf lange Sicht den Verwaltungsaufwand reduzieren, den Korrekturen von fehlerhaften Programmen üblicherweise nach sich ziehen.

US-Sicherheitsanbieter Veracode hat nun 100 Unternehmen aus den USA und Großbritannien befragt, wie sie den Code von selbst entwickelten sowie gekauften Anwendungen und mobilen Apps prüfen. Anschließend hat der Sicherheitsdienstleister verglichen, ob die eingesetzten Methoden die wichtigsten Schwachstellen erfassen.

Die Methode Open Webapplication Security Project (OWASP)

Rund 50 Prozent der befragten Unternehmen stützen sich bei ihren Softwaretests auf das Open Webapplication SecuritySecurity Project (OWASP), einer Organisation von Experten für Web-Application-Sicherheit. Diese Experten stellen regelmäßig eine Liste der gefährlichsten Softwarefehler zusammen, um Entwickler auf kritische Probleme hinzuweisen. Dazu gehören vor allem ungefilterte Eingaben, die Angreifer ausnutzen können, und immer wieder fehlen Authentifizierungsmaßnahmen für kritische Funktionen. Auch finden sich öfters Upload-Funktionen, die die übermittelten Dateien nicht hinreichend durchleuchten. Alles zu Security auf CIO.de