2 Tests im Vergleich

Mobile Apps: Unsichere Sicherheitstests

20.04.2012
Von Michael Kallus

Anhand dieser Bugliste der OWASP lässt sich nun die Qualität des Codes messen. Dazu wird ermittelt, wie viele der zehn häufigsten Fehler im Code vorkommen. Rund 50 Prozent der befragten Unternehmen setzten diese Liste ein, um Anwendungen und mobile Apps zu testen.

Anhand der Bugliste der OWASP lässt sich die Qualität des Codes messen. Dazu wird ermittelt, wie viele der zehn häufigsten Fehler im Code vorkommen.
Anhand der Bugliste der OWASP lässt sich die Qualität des Codes messen. Dazu wird ermittelt, wie viele der zehn häufigsten Fehler im Code vorkommen.
Foto: quocirca

Noch umfangreicher ist die Common Weakness Enumeration (CWE), ein Lexikon von Programmierfehlern, das von einer Entwicklercommunity zusammengetragen wird. Dieses Buglexikon prüft sowohl Webanwendungen als auch On-Premise-Lösungen. Diese Liste wird ebenfalls von über 50 Prozent der befragten Unternehmen genutzt, so der Report.

So gut decken die Verfahren bekannte Schwachstellen auf

Damit erfassen diese Unternehmen die bekanntesten Schwachstellen, so das Fazit des Reports. Denn die Analyse zeigt, dass die Mehrheit der bei Veracode eingereichten Anwendungen durch den ersten Test fallen, da sie Fehler enthalten, die in einer der beiden Listen erfasst sind. Damit erfassen die beiden Listen die wichtigsten Schwachstellen.

Das Lexikon des CWE erfasst die prominentesten Bugs sowohl aus Webanwendungen als auch aus On-Premise-Lösungen.
Das Lexikon des CWE erfasst die prominentesten Bugs sowohl aus Webanwendungen als auch aus On-Premise-Lösungen.
Foto: quocirca

Der Schwachpunkt des Verfahrens liegt aber laut Veracode im Verfahren selbst: Diese Listen seien nie vollständig, da ständig neue Schwachstellen gefunden werden, und die Angreifer immer wieder neue Wege entdecken. Zudem liegt das größte Problem bei mobilen Apps darin, dass man nie überschauen könne, welche Apps die Nutzer herunterladen. Das erfordere einen End-to-End-Ansatz für die Sicherheit. Oft müssen kritische Lösungen durchgängig überwacht werden.

Auch gekaufte Apps gelten als unsicher

Das gelte nicht nur für selbst entwickelte Lösungen, sondern auch für gekaufte Anwendungen und Apps. Denn nur 55 Prozent der Firmen rechnen damit, dass die gelieferte Lösung ausreichend sicher ist. Das liegt wohl daran, so Veracode, dass diese Lösungen wesentlich häufiger ins Web gehen als eigen entwickelte Systeme. Auch sind diese Lösungen bei Hackern bekannter als selbst entwickelte Unikate und daher leichter angreifbar. Daher lässt mittlerweile die Hälfte die befragten Unternehmen laut Veracode die gekaufte Software von On-Demand-Services testen.

35 Prozent der Unternehmen erwarten keinen ausreichenden Schutz vom Hersteller und nehmen den Test selbst in die Hand, um sich einen Hersteller-unabhängigen Schutz zu sichern. Ein Viertel der Unternehmen setzten auf die Tests von beiden Seiten.

Zur Startseite