„App“solut sicher? Millionen Nutzerdaten in Gefahr
Expertenkommentar von Jürgen Jakob, Geschäftsführer von IT-Security-Distributor Jakobsoftware und Sicherheitsexperte, zum Thema Sicherheit von Applikationen
Schöne neue Welt: Über Apps können wir auf all unsere Daten zugreifen, über die verschiedensten Endgeräte und Betriebssysteme hinaus. Im Hintergrund wird alles sicher synchronisiert. Sicher? Die Technische Universität Darmstadt und das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) haben zutage gebracht, dass viele Nutzerkonten durch Identitätsdiebstahl und andere Internetverbrechen bedroht sind. Der Grund: App-Entwickler, die Backend-as-a-Service (BaaS)-Dienste für Synchronisationsfunktionen nutzen – jedoch ohne die empfohlenen Sicherheitsmechanismen zur Authentisierung. Einige besonders bequeme Entwickler nutzen sogar den gleichen Schlüssel für alle Benutzer – und der ist direkt im Code der App eingebaut, für jeden Angreifer relativ leicht auslesbar. Angreifer können so verhältnismäßig einfach auf sämtliche im BaaS von der App gespeicherten Daten zugreifen, sie stehlen oder manipulieren. Ein Zugriff auf das Mobilgerät ist hierfür nicht nötig, der Nutzer merkt nichts. Das beschränkt sich nicht nur auf Informationen zum Namen des Nutzers, sondern auch Fotos, Passwörter, Zahlungstransaktionen und weitere sensible Daten lassen sich abgreifen. Ein Test des Fraunhofer-Instituts hat auf diese Weise bereits 54 Millionen Datensätze zutage gefördert.
Die App-Hersteller sind nun gefordert, korrekte Sicherheitsvorkehrungen in ihre Anwendungen einzubauen, um diese Sicherheitslücke zu schließen. Doch was können die Nutzer tun? Der Vorfall zeigt, wie wichtig ein bewusster Umgang mit Informationen ist – seien sie geschäftlich oder privat. Daher lautet mein Rat, sich genau zu überlegen, welche Daten durch Apps verwaltet werden müssen. Im nächsten Schritt gilt es dann, die Apps genauestens unter die Lupe zu nehmen und Vorsicht bei der Auswahl walten zu lassen. Sicherheitssiegel geben hier eine, wenn auch grobe, Orientierungshilfe. Und drittens kommt es auf eine penible Passwort-Hygiene an. Angesichts der zunehmenden Digitalisierung ist das eine immer schwerere, aber auch immer wichtigere Maßnahme. Für jede Anwendung und für jedes Login ist ein separates Password zu wählen, das hohen Sicherheitsstandards genügt.
Die Faustregel lautet, dass es aus mindestens sechs oder besser acht Zeichen besteht, wobei eine Mischung aus Groß- und Kleinschreibung, Zahlen und Sonderzeichen zum Einsatz kommen soll. Und ja: Auch dafür gibt es eine App. Anbieter wie Sticky Password haben jüngst bekannt gegeben, dass sie nicht auf BaaS setzen, sondern einen eigenen Backend-Service für die Synchronisation der Passwörter nutzen. Die Authentisierung für Nutzer erfolgt über Einmal-Passwörter pro Gerät, die 24 Stunden gültig sind und dann neu herausgegeben werden. In dieser Zeit sind die Tokens sicher im Schlüsselspeicher der App.
