App-Zertifizierung, IT-Sicherheit bei SAP & automatisierte App-Analyse - Abschlusspräsentation des ZertApps-Projekts

Zum Abschluss des vom BMBF geförderten Verbundprojektes ZertApps lud die OTARIS Interactive Services GmbH als Konsortialführer ins BITZ nahe der Universität Bremen ein. Unter dem Motto „sichere und datenschutzgerechte Entwicklung von mobilen Apps“ wurden Vorträge von der SAP Deutschland AG & Co. KG und dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT) gehalten, die sich mit Software- und Anwendungssicherheit auseinandersetzten. Danach bestand Gelegenheit sich untereinander auszutauschen und die Projektergebnisse zu diskutieren. Die DECOIT GmbH war aktiv an der Diskussion beteiligt, da sie die Projektpartner aus eigenen Forschungsprojekten kannte und ähnliche Fragestellungen erforscht.

Als Gastgeber begrüßte Mehmet Kus, Geschäftsführer von OTARIS, die Teilnehmer und stellte anhand eines Videos die Zielsetzung des Projektes ZertApps (www.zertapps.de) vor. Das BMBF-geförderte Projekt will durch eine App-Zertifizierung das Sicherheitsniveau mobiler Applikationen erhöhen. Vor einer solchen unabhängigen Zertifizierung wird eine Überprüfung der App-Sicherheit vorgenommen. Dadurch soll Schadsoftware vermieden werden. Allerdings kam bei der Kurzvorstellung nicht heraus, inwieweit das Projekt die ursprünglichen Zielvorgaben eingehalten hat, bzw. welche Endergebnisse erreicht wurden.

Das Bremer Innovations- und Technologiezentrum
Das Bremer Innovations- und Technologiezentrum

IT-Sicherheit bei der SAP - mit alter Codebasis ABAP und JavaScript nicht vielversprechend

Im Anschluss an die Projektvorstellung präsentierte Dr. Achim Brucker von der SAP, wie der Software-Hersteller sich die Entwicklung sicherer Software vorstellt. Dr. Brucker verantwortet u. a. das Sicherheitstesting bei der SAP und führte aus, dass mittlerweile 63 % der elektronischen Transaktionen weltweit über ein SAP-System laufen. Der Konzern beschäftigt heute über 68.000 Mitarbeiter weltweit. Bzgl. IT-Sicherheit wird eine dezentrale Strategie gefahren. Das heißt, pro Entwicklungsteam steht ein IT-Sicherheitsexperte zur Verfügung. Jedes Team besitzt dabei eine hohe eigene Gestaltungsmöglichkeit. Das Thema Software Security wird deshalb angegangen, um Schwachstellen soweit es geht auszuschließen. Denn je später eine Sicherheitsschwachstelle gefunden wird, desto teurer wird später das Bugfixing. Microsoft hat eigene sehr gut dokumentierte Security-Design-Definitionen herausgebracht, an die sich SAP angelehnt hat.

Die erste Großinitiative für mehr IT-Sicherheit fand 2010 für alle SAP-Produkte statt. Die Codebasis ist allerdings in Großteilen noch ABAP, gefolgt von Java und JavaScript. Gerade letzteres ist vor Sicherheitslücken nicht gefeit und wird bei der SAP zukünftig sogar noch stärker eingesetzt. In erster Instanz wird vornehmlich eine statische Analyse umgesetzt. Danach folgt eine dynamische Analyse, bei der alle Ebenen in Echtzeit getestet werden können. Ebenfalls eingeführt wurde das Risiko-Assessment. Alle Software-Module werden durch entsprechende Entwicklerteams unabhängig auf IT-Sicherheit getestet. In der Sicherheitsüberprüfung agiert dieses Team quasi als erster Kunde. Penetrationstests in der Produktivumgebung werden am Ende ebenfalls durchgeführt. Um die Sicherheitsziele zu erreichen, muss nicht jeder Entwickler ein Sicherheitsexperte sein, aber ein gewisses Verständnis (Awareness) für die Absicherung besitzen. So eine große Software-Plattform wie SAP abzusichern ist nicht leicht. Die Absicherung wird durch mobile Apps noch zusätzlich erschwert, weil diese mit einem oder mehreren Back-end-Systemen gleichzeitig reden. Zudem ist man abhängig von den Herstellern, wie Google oder Apple, die eigene Restriktionen durch ihre AppStores einsetzen. Solange SAP allerdings weiter auf ihre alte Codebasis ABAP aufsetzt, bei der IT-Sicherheit lange Zeit nicht berücksichtigt wurde, und immer mehr JavaScript einführt, können wohl kaum alle Sicherheitslücken geschlossen werden.

Automatisiertes App-Analyse-Tool vom Fraunhofer SIT

Dr. Jens Heider vom Fraunhofer SIT, mit dem die DECOIT GmbH seit Jahren eng zusammenarbeitet, stellte in seinem Vortrag das von ihm geleitete Testlabor für Mobile Security vor. Hier werden Unternehmen bei der Entwicklung sicherer Apps unterstützt. Dabei war das Jahr 2015 kein gutes Jahr für die Smartphone-Sicherheit; zu viele negative Schlagzeilen wurden veröffentlicht. Dr. Heider befand, dass die Plattform-, Netzwerk- und Anwendungssicherheit gleichermaßen berücksichtigt werden muss. Dafür entwickelte Fraunhofer das „SIT Appicaptor Framework“, mit der eine App automatisiert analysiert werden kann. Die Analyse-Ergebnisse werden dann in einer großen Datenbank gesammelt und können den Unternehmen zur Verfügung gestellt werden.

Als große Anwendungsschwächen lassen sich das Benutzerverhalten und diverse Apps ausmachen, die durch Querverweise mit anderen Apps die Privatsphäre aushebeln. Man fand insgesamt heraus, dass 31 % der Apps heute über keinen ausreichenden Schutz verfügen, unabhängig vom verwendeten Betriebssystem. Zudem sind 60 % der Apps für den Unternehmenseinsatz nicht geeignet! Risiken in der App-Entwicklung stellen speziell 3rd-Party-Bibliotheken dar, die gerne verwendet werden, um weniger Entwicklungsressourcen einsetzen zu müssen. Zusätzlich werden viele Systeme von den Herstellern nicht aktualisiert, bzw. gepatcht. Als Fazit stellte Dr. Heider fest, dass Smartphone-Sicherheit nicht unterschätzt werden darf. Es muss daher in Unternehmen klare Regeln für die Mitarbeiter geben und der Einsatz von Verwaltungssoftware sollte überprüft werden. Ebenfalls sollte vorab der Schutzbedarf festgestellt werden. Grundsätzlich ist die Anwendungssicherheit kritisch zu betrachten, weshalb die App-Anzahl gering gehalten und laufend überprüft werden sollte. Die Smartphone-Sicherheit muss in das Gesamtsicherungskonzept des Unternehmens eingebettet sein.

Vernachlässigung der IT-Sicherheit bei iOS & Android - BizzTrust-Projekt & ZertApps-Projekt bieten Lösungsansätze

In der Abschlussdiskussion wurde festgestellt, dass bzgl. des Sicherheitsniveaus letztendlich kein Unterschied zwischen iOS (Apple) und Android (Google) besteht. Beide Monopolisten untersuchen die Apps in ihrem AppStore hauptsächlich auf Handhabung und Kompatibilität. Die IT-Sicherheit wird vernachlässigt, wie viele negative Schlagzeilen in diesem Jahr bewiesen haben. Zusätzlich sind die API-Schnittstellen zu komplex, so dass bei der Entwicklung Fehler auf der Anwenderseite entstehen. Alternativ können unterschiedliche Container auf einem Smartphone genutzt werden, um persönliche und berufliche Daten voneinander zu trennen. Hierfür hat Fraunhofer das BizzTrust-Projekt (www.bizztrust.de) ins Leben gerufen, welches ebenfalls eine Alternative darstellt. Die Zertifizierung von Apps, Zielsetzung des ZertApps-Projekts, geht hier einen anderen Weg. Allerdings muss eine solche Zertifizierung auch übergreifend genutzt und ausgerollt werden können. Dies ist aktuell leider nicht der Fall. Inwieweit ZertApps hierbei zukünftig helfen kann, wurde leider nicht deutlich. Ein verwertbarer Prototyp scheint jedenfalls nicht im Projekt entstanden zu sein. Trotzdem ist die Idee interessant und der richtige Weg, um Smartphone-Sicherheit zu verbessern.

Zurück