Blog

msg systems gibt Tipps zur sicheren Entwicklung von mobilen Apps

Posted by:

Das IT-Beratungsunternehmen hat eine Checkliste mit den wichtigsten Sicherheitsanforderungen zusammengestellt.

München, 16. April 2013. Mobile Softwareanwendungen für Smartphones und Tablets stehen auch im Business-Alltag hoch im Kurs. Damit die smarten Anwendungen nicht zum Einfallstor für Hacker und Schadsoftware geraten, müssen sich Softwareentwickler frühzeitig mit Bedrohungsszenarien auseinandersetzen und das Thema Applikationssicherheit bereits bei der Anforderungsanalyse berücksichtigen. Zu diesem Schluss kommt das Center of Competence (CoC) Information Security des IT-Beratungs- und Systemintegrationsunternehmens msg systems, das sich intensiv mit der Sicherheit mobiler Anwendungen befasst und aus zahlreichen Kundenprojekten umfassende Erfahrungen aufweist. Für die Entwicklung mobiler Apps haben die IT-Experten, basierend auf OWASP und eigener Erfahrung, eine Checkliste mit zehn zentralen Sicherheitsanforderungen zusammengestellt.

1. Sensible Daten schützen
Sensible Daten dürfen auf mobilen Endgeräten keinesfalls in öffentli¬chen Bereichen wie Adressbuch oder Medien-Bibliothek abgelegt werden. Sie sind so zu verschlüsseln, dass der Datenzugriff nur nach erfolgreicher Authentisierung mittels PIN oder Passwort möglich ist.

2. Passwörter sicher ablegen
Passwörter dürfen, um die verschiedenen Anforderungen zu erfüllen, nur als Hash-Wert abgelegt werden.

3. Daten sicher übertragen
Sensible Daten müssen bei der Übertragung mit sicheren Algorithmen von Endpunkt zu Endpunkt verschlüsselt werden, zum Beispiel mit einer SSL-/TLS-Verschlüsselung. Eine Übertragung vertraulicher und personenbezogener Daten per SMS oder MMS sollte nicht möglich sein.

4. Korrekte Benutzer-Authentisierung und Autorisierung
Passwortrichtlinien des Unternehmens sollten insbesondere Vorgaben zur Passwortlänge und -komplexität sowie zum Änderungsintervall enthalten und müssen strikt eingehalten werden. Die Identifizierung sollte nicht auf Gerätemerkmalen wie der IMEI basieren, sondern auf der jeweiligen Benutzeridentität.

5. Backend absichern
Im Backend und während der Übertragung von Client zu Backend müssen die Daten vor unberechtigten Zugriffen geschützt werden.

6. Dritthersteller sicher einbinden
Damit die Einbindung von Drittherstellern nicht zum Sicherheitsrisiko wird, sollten nur Source Codes oder Bibliotheken (Libraries) aus vertrauenswürdigen Quellen verwendet werden. Auf jeden Fall sind Daten aus Apps von Drittherstellern vor dem Weiterverarbeiten sorgfältig zu überprüfen.

7. Umgang mit Benutzerdaten
Bei der Erhebung, Verarbeitung und Speicherung von benutzer- und personenbezogenen Daten müssen Vorschriften zum Datenschutz, insbesondere das Bundesdatenschutzgesetz, penibel befolgt werden.

8. Sichere Verteilung der App
Im Interesse einer nachhaltigen Applikationssicherheit sollte die App nur über offizielle App-Stores vertrieben werden. Regelmäßige Security Patches sind unverzichtbar.

9. Secure Coding umsetzen
Die Programmierung muss nach den Guidelines des Secure Coding und den Prinzipien der sicheren Anwendungsentwicklung erfolgen. Dabei sind auch plattformspezifische Besonderheiten wie etwa Jailbreak oder Rootkit Detection zu berücksichtigen.

10. Sicherheitsprüfung durchführen
Vor dem Release müssen Apps, die sensible oder personenbezogene Daten verarbeiten, Penetrationstests durch unabhängige Experten unterzogen werden.

„Dies sind nur einige zentrale Aspekte, die bei der Entwicklung mobiler Apps berücksichtigt werden müssen“, erklärt Florian Stahl, Lead Consultant beim Center of Competence Information Security von msg systems. „Eine umfassende Sammlung aller zu beachtenden Sicherheitsanforderungen haben wir in unserem ausführlichen Leitfaden zusammengestellt.“

Über die msg systems ag
msg systems ist eine unabhängige, international agierende Unternehmensgruppe mit weltweit mehr als 4.000 Mitarbeitern. Sie bietet ein ganzheitliches Leistungsspektrum aus einfallsreicher strategischer Beratung und intelligenten, nachhaltig wertschöpfenden IT-Lösungen für die Branchen Automotive, Financial Services, Insurance, Life Science & Healthcare, Public Sector, Telecommunications & Media, Travel & Logistics sowie Utilities und hat in über 30 Jahren einen ausgezeichneten Ruf als Branchenspezialist erworben.

Die Bandbreite unterschiedlicher Branchen- und Themenschwerpunkte decken im Unternehmensverbund eigenständige Gesellschaften ab: Dabei bildet die msg systems ag den zentralen Kern der Unternehmensgruppe und arbeitet mit Tochtergesellschaften fachlich und organisatorisch eng zusammen. So werden die Kompetenzen, Erfahrungen und das Know-how aller Mitglieder zu einem ganzheitlichen Lösungsportfolio mit messbarem Mehrwert für die Kunden gebündelt.

msg systems nimmt im Ranking der IT-Beratungs- und Systemintegrationsunternehmen in Deutschland Platz 6 ein.

 

Für weitere Informationen stehen wir
Ihnen jederzeit gerne zur Verfügung

Birgit Steinbock
rheinfaktor
Agentur für Kommunikation GmbH
Zollstockgürtel 57
50969 Köln
Tel. +49 221 88046-150
Fax +49 221 88046-200
steinbock(at)rheinfaktor.de

Susanne Koerber-Wilhelm
msg systems ag
Robert-Bürkle-Straße 1
85737 Ismaning/München
Tel. +49 89 96101-1538
Fax +49 89 96101-1113
susanne.koerber-wilhelm(at)msg-systems.com

Abdruck honorarfrei. Belegexemplare erbeten.

0
rheinfaktor

About the Author:

rheinfaktor – Agentur für Kommunikation is an independent, owner-led agency with core expertise in strategic consultancy, advertising, digital communication and PR. Over the last 10 years we have successfully used our holistic brand communications knowledge for large and medium-sized companies such as Akzo Nobel, Essilor, ADAC, Sony, Vorwerk and Sandvik Coromant.

Add a Comment