Achtung Ärzte und KMU's

Die Bedrohungslage hat sich exponentiell verschärft: Wichtige Geschäftsprozesse, vertrauliche Daten, finanzielle Ressourcen und die unterbrechungsfreie Verfügbarkeit von Anlagen und Systemen sind einem ständig wachsenden Risiko durch Zero-Second-Attacken ausgesetzt. Um das Risiko für Ihr Unternehmen zu verringern, müssen Sie smarter und besser gewappnet und informiert sein als Cyberkriminelle. Dabei brauchen Sie nicht mal mehr ein Ziel sein, um ein Opfer zu werden.

App-Stores

App-Stores

Wie sicher sind die App-Stores

Als Smartphone Benutzer sollten wir uns beim Herunterladen und installieren einer App darauf verlassen können, dass die App sicher ist. Was bedeutet aber sicher? Jedenfalls sollte die App keinen Schaden auf dem Handy herbeiführen, zusätzlich nur die erforderlichen Daten nutzen und das halten, was sie verspricht.
Neben den grossen Apps Anbieter wie Google Play Store, Apple oder Blackberry gibt es auch weitere Anbieter für mobile Apps, beispielsweise Mobiload, Amazon oder Opera. Dabei verfügen die etablierten App-Stores über robuste Sicherheitsmechanismen. Aber wie sieht es bei anderen Anbietern aus? Was für Kriterien sind beim Thema Sicherheit wichtig?

Enisa-Kriterien

Die hohe und zuverlässige Bereitschaft des Datennetzwerks ist für die Wirtschaft und Gesellschaft erforderlich. Dennoch können sowohl ungewöhnlicher, wenn auch legitimer Nutzen, böswillige Attacken, menschliche Irrtümer und technische Fehler auf tiefer Ebene den Netzzugang behindern. Das hat kann schwerwiegende Folgen nach sich ziehen, da Netzwerke überall eingesetzt werden.
E-Commerce, Buchungen wie auch Informationsaustausch wären ohne sie nicht möglich. ENISA (European Network and Information Security Agency), die Europäische Agentur für Netz- und Informationssicherheit, stellt in ihrem neuen Bericht die Systemdesign-Prinzipien für „End-to-End-Belastbarkeit“ auf erweiterter Ebene, die sogenannte „e2e Resilience“, vor und zeigt insbesondere, wie Netzwerke Konnektivität ermöglichen, wobei besonderer Wert auf Qualität gelegt wird. Der e2e-Ansatz geht über die reine Technologie hinaus und berücksichtigt auch Standardisierungsbehörden und involvierte Politiker.

  1. Die App-Stores müssen die Apps überprüfen, bevor sie sie zum Download anbieten.
  2. Der der Anwender soll erkennen können, ob die App und ihr Entwickler über einen guten Ruf verfügen.
  3. Die App-Stores sollen über Mechanismen verfügen, über die Apps zentral zurückgerufen werden können, falls sie nicht in Ordnung sind. Optimal wäre, wenn der Store-Betreiber Malware automatisch deinstallieren könnte.
  4. Die Smartphones sollten die Apps nur in einer Sandbox laufen lassen. Das bedeutet, dass eine Anwendung nur die notwendigsten Rechte hat und ihre Aktivitäten protokolliert werden.
  5. Die Smartphone-Herstellern sollten den Handys nur Zugriff auf ausgewählte, vertrauenswürdige App-Stores zu erlauben, ohne dabei den legitimen Wettbewerb einzuschränken.

Überblick App-Sicherheit
Wie die folgende Übersicht zeigt, können die etablierten Anbieter beim ersten und dritten Kriterium punkten, während die kleinen Plattformen von Opera und Mobiload klare Defizite aufzeigen.

Amazon-App-Store für Android

  • Sicherheitsüberprüfung: ja.
  • Registrierung von Entwicklern: Entwickler-Konto mit Amazon-Konto verknüpft.
  • Nutzerbewertungen: Nutzer müssen Benutzerkonto haben.
  • Rückruf problematischer Apps: ja.

Apple-App-Store

  • Sicherheitsüberprüfung: teilweise.
  • Registrierung von Entwicklern: Entwickler erhält eine Apple-ID.
  • Nutzerbewertungen: Nutzer müssen sich mit ihrer Apple-ID anmelden.
  • Rückruf problematischer Apps: ja.

Blackberry-App-World

  • Sicherheitsüberprüfung: ja.
  • Registrierung von Entwicklern: Entwickler erhält eine Blackberry-ID.
  • Nutzerbewertungen: Nutzer müssen ein Benutzerkonto haben.
  • Rückruf problematischer Apps: ja.

Google-Play-Store

  • Sicherheitsüberprüfung: Eigenes Anti-Malware-Programm. Der Anwender kann kostenpflichtigen Review der App anfordern.
  • Registrierung von Entwicklern: Identitätsprüfung über Google-Konto.
  • Nutzerbewertungen: Nutzer müssen ein Google-Konto haben.
  • Rückruf problematischer Apps: ja.

Windows

  • Sicherheitsüberprüfung: Zertifizierungsprogramm für Apps.
  • Registrierung von Entwicklern: Verschlüsselte Anmeldung des Entwicklers.
  • Nutzerbewertungen: Nutzer müssen Benutzerkonto haben.
  • Rückruf problematischer Apps: ja.

Mobiload

  • Sicherheitsüberprüfung: ja.
  • Registrierung von Entwicklern: Kein Benutzerkonto und keine Authentifizierung der Entwickler.
  • Nutzerbewertungen: Keine Anmeldung der Nutzer.
  • Rückruf problematischer Apps: nein.

Opera-App-Store

  • Sicherheitsüberprüfung: ja.
  • Registrierung von Entwicklern: ja.
  • Nutzerbewertungen: Keine Anmeldung der Nutzer.
  • Rückruf problematischer Apps: unbekannt.

Das zeigt, dass Mobiload und Opera klare Defizite beim Thema Sicherheit haben.

Apple vs. Android, wer ist sicherer?

Ob iOS sicherer als Android ist, lässt sich nicht beantworten, da Apple Informationen über Schadsoftware nicht veröffentlicht.
Während Apple dafür berüchtigt ist, seine Anwender nur innerhalb seines eigenen Ökosystems agieren zu lassen, hat Google das Android-Betriebssystem samt Anwendungen für alle geöffnet und bietet damit den Gegenpol. Samsung bietet für seine Galaxy-Serie inzwischen eigene Apps, schliesst jedoch Apps von anderen Stores nicht aus.

Android-Anwendungen werden zunehmend von Hackern manipuliert, weil diese über verschiedene App-Stores verbreitet werden können. Eine 100-prozentige Sicherheit gibt es auch nicht in Googles Play Store: So wurde kürzlich eine Malware gefunden, die sich in den Store eingeschlichen hatte, indem sie Googles Prüfung für gefährliche Softwaremechanismen in Apps ausgetrickst und eine Sicherheitslücke im Android-Betriebssystem genutzt hatte. Das gleiche kann auch bei Apple iOS geschehen nur wird das nicht bekannt gegeben. Android wie auch Apple iOS Benutzer sollten ihr Betriebssystem laufend auf dem aktuellen Stand halten.

DER PLAN: Cyber Kriminelle ermitteln Schwachstellen und planen dann Exploits. Wenn Cyber Kriminelle keine oder zuwenig Fachkenntnisse haben, organisieren Sie sich die Zugangsdaten auf dem Schwarzmarkt.

DIE AUSRÜSTUNG: Heutzutage sind Phishing-Mails und infizierte Webseiten die Modernen Waffen der Cyber Kriminellen, um heimlich Malware auf den Handys oder PC´s der Opfer zu installieren.

DIE VORBEREITUNG: Wenn die Ablenkung nicht funktioniert, warten die Banditen darauf, dass die potentiellen Opfer auf Ihre Online-Bankkonten zugreifen, um dann die Passwörter und Benutzernamen zu stehlen. Mit einem eingeschleusten Code fügen Sie heimlich Felder zum Banking-Portal hinzu und bitten um Handynummern.

DER ZUGANG: Cyber Kriminelle brauchen keine Zahlenkombinationen für den Tresor. Sie senden Ihnen eine SMS und geben sich als Ihre Bank aus. Sie bitten ihre Opfer eine Sicherheit-App zu installieren. Die infizierte App fängt SMS-Nachrichten einschliesslich Autorisierungscodes der Bank ab.

DER ÜBERFALL: Die Cyber Kriminellen haben den Benutzernamen, das Kennwort und den Authentifizierungscode. Jetzt können sie das Konto problemlos anzapfen und leeren.

DIE FLUCHT: Die Cyber Kriminellen arbeiten mit ausgeklügelter Software. Die mobile Malware löscht sich selbst und das, ohne eine Spur zu hinterlassen.