Suchen

it-sa 2013: Fraunhofer SIT zeigt Security-Testing-Tool Appicaptor prüft Apps auf Sicherheitsverstöße

| Redakteur: Stephan Augsten

Das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) hat mit dem Appicaptor ein Testwerkzeug für mobile Anwendungen entwickelt. Das Tool prüft automatisiert, ob eine App den Sicherheitsanforderungen von Unternehmen gerecht wird. Ein Probelauf mit Business-Apps für iOS förderte brisante Ergebnisse zu Tage.

Mit dem Appicaptor lassen sich Apps auf potenzielle Sicherheitsrisiken hin prüfen.
Mit dem Appicaptor lassen sich Apps auf potenzielle Sicherheitsrisiken hin prüfen.
(Bild: Pixsooz - Fotolia.com)

Ob unter Android oder iOS – mobile Apps sind nützliche Helfer, lassen bei der Installation aber nur ansatzweise durchblicken, auf welche Daten sie zugreifen. Außerdem können die Minianwendungen potenzielle Schwachstellen enthalten, die insbesondere für Unternehmen große Risiken bergen. Im Rahmen eines Probelaufs hat das Fraunhofer SIT mit dem Appicaptor deshalb 400 beliebte iOS-Apps für Firmenkunden auf eventuelle Sicherheitsverstöße geprüft.

Drei Viertel der Anwendungen erfüllten dabei nicht die internen Sicherheitsanforderungen der Pilotkunden. Dr. Jens Heider, Abteilungsleiter am Fraunhofer SIT und Chefentwickler des „Appicaptor“ gibt zu bedenken, dass dabei sogar nur ein kleiner „Ausschnitt der Sicherheitsanforderungen aus dem Gesamtkatalog geprüft“ wurde.

Das Testwerkzeug wird gegenwärtig zur Analyse von iOS- und Android-Apps verwendet, ist jedoch auf andere Plattformen erweiterbar. Der Appicaptor generiert neben Black- oder Whitelists auch einen Testbericht, in dem die Ergebnisse beschrieben werden. Firmen erhalten somit Unterstützung bei der Risikobewertung und der Einhaltung von Compliance-Vorschriften.

„Wir haben bei der Entwicklung besonderen Wert darauf gelegt, dass auch Nutzer und Entscheider ohne tiefgreifendes Know-how in Sachen IT-Sicherheit das Risiko einschätzen können“, unterstreicht Heider. „Bei Bedarf führen wir für unsere Kunden auch Tiefenanalysen durch, zum Beispiel bei sicherheitssensitiven Anwendungen wie Banking-Apps.“

Derzeit bietet Fraunhofer SIT den Appicaptor nur im Rahmen von forschungsgestützten Dienstleistungen an. Heider und sein Team entwickeln das Testwerkzeug ständig weiter und fügen neue Prüfkriterien hinzu.

Das Institut zeigt das Testwerkzeug erstmals auf der Security-Messe it-sa in Nürnberg (Halle 12, Stand 436). Anwender-Unternehmen oder App-Entwickler können einen kostenlosen Beispielbericht des Appicaptor anfordern.

(ID:42335443)