Mobile Apps tragen in unsicheren Zeiten wie diesen dazu bei, ein Gefühl der Normalität zu vermitteln. Von Lieferservices wie Lieferando und myTime bis hin zu Vermittlungsdiensten wie Uber und Lyft oder Online-Bezahldiensten wie Venmo und PayPal – jede dieser Apps ermöglicht es unserer Gemeinschaft, wenn auch mit Einschränkungen, weiter zu funktionieren. Wichtig dabei: Jede dieser Apps verfügt über eine digitale Zahlungskomponente und ist mit Sicherheitskontrollen ausgestattet.
Auch die meisten großen Healthcare-Marken, Versicherer und Finanzdienstleister bieten mobile Apps mit digitaler Zahlungskomponente und entsprechenden Sicherheitskontrollen. Im Moment suchen aber auch kleinere Unternehmen und weniger bekannte Marken nach neuen Wegen, um mit Nutzern, Verbrauchern und Kunden in Kontakt zu treten. Mobile Apps sind eine Möglichkeit, effizient und produktiv zu sein. Gerade dann, wenn es sicherer ist, zuhause zu bleiben.
Unternehmen haben es verständlicherweise eilig, neue mobile Apps einzurichten oder digitale Zahlungsmöglichkeiten in bestehende Apps zu integrieren. Trotzdem ist es wichtig, sich des Risikos bewusst zu werden, dass solche Apps für das Unternehmen selbst und die potenziellen Nutzer Gefahren bergen. Zumindest, wenn wirksame Sicherheitskontrollen fehlen. Angreifer suchen aktiv nach Schwachstellen, die sie ausnutzen können, um wertvolle Informationen wie Benutzernamen und Passwörter, Details zur Kontoverifizierung, persönliche Informationen und Finanzdaten zu stehlen. Das hat unter Umständen schwerwiegende Folgen wie Finanzbetrug oder Identitätsdiebstahl. Gelingt es Angreifern ein Konto zu übernehmen, wird dieses leicht zum Ausgangspunkt für weitere Angriffe. Jeder einzelne dieser Angriffe untergräbt das Vertrauen der Benutzer, und das in einer Zeit, in der Vertrauen eines der wertvollsten Güter ist.
Cyberkriminelle, die sich auf mobile Apps spezialisiert haben, verändern das Verhalten der Anwendung durch ausgeklügelte Malware, Display-Overlay-Angriffe, Device Rooting und Reverse-Engineering-Techniken. App-Entwickler implementieren gegebenenfalls wichtige Sicherheitstechniken, z. B. App-Hardening, um ihren Code vor Reverse Engineering zu schützen, oder Verschlüsselung, um Daten im gespeicherten Zustand oder während der Übertragung zu abzusichern. Diese Techniken bezeichnet man als „Inside-Out“-Schutz. Sie reichen aber nicht aus, um Benutzer vor dem gesamten mobilen Bedrohungsspektrum zu schützen. Will man sensible Kundendaten vor der Kompromittierung bewahren, kommt man um einen umfassenden End-to-End-Schutz für mobile Apps nicht herum.
Solche Lösungen sollten kontinuierlichen Schutz vor Bedrohungen bieten. Dazu zählen bösartige Apps, Banking-Trojaner, Advanced Persistent Threats, Bildschirm-Overlay-Angriffe, Fake-Tastaturen und Netzwerkangriffe.
Natürlich sollte man neben der Bedrohungserkennung aktiv Gegenmaßnahmen einleiten, um den Schaden so gering wie möglich zu halten. Wird beispielsweise ein Trojaner oder Bot erkannt, der versucht auf eine App zuzugreifen, sollte die gewählte Lösung die Verbindung beenden und den Benutzer alarmieren.
Die Sicherheitsarchitektur eines umfassenden In-App-Application-Schutz kombiniert Cloud- und gerätebasierte Erkennung und ist speziell für die mobile Umgebung optimiert. Dieser Ansatz erlaubt es, Bedrohungen sicher und schnell zu erkennen. Zudem beeinträchtigt diese Methode die Geräteleistung weitaus weniger als andere, bei denen die Analyse nur auf dem Gerät stattfindet. App-Entwickler können dazu SDK-Bibliotheken nutzen und die Bedrohungsdaten der App zur Verfügung stellen.
(Eskenzi PR)
