Warum Apps und Software so unsicher sind
Dieser Artikel ist älter als ein Jahr!
Eigentlich sollte man von Software erwarten können, dass sie einfach funktioniert und sicher ist, ähnlich wie das bei Hardware der Fall ist. Doch mit Programmen ist das nicht so einfach, sei es mit jenen für Computer aber auch mit Apps für Smartphones. „Es gibt viele Gründe, warum das so ist“, erzählt Tanya Janca, eine kanadische Sicherheitsforscherin, im Gespräch mit der futurezone. „Einerseits liegt es daran, dass man an Schulen nichts über die Sicherheit bei der Programmierung lernt, andererseits daran, dass jede Software einzigartig ist und von Beginn weg neu gebaut wird“, sagt Janca.
Sie selbst habe 17 Jahre lang als Programmiererin gearbeitet und laut eigenen Angaben „jeden Fehler gemacht, den man machen kann“. Dann hat Janca auf die andere Seite gewechselt und wurde Sicherheitstrainerin. Sie hat mit „We Hack Purple“ ein eigenes Unternehmen gegründet, um in der Branche mehr Bewusstsein für die Sicherheit von Software zu schaffen und auch das Handwerkszeug zu vermitteln, das man dafür braucht.
„Die meisten Entwickler*innen wollen sichere Apps machen. Jeder will, dass seine App großartig wird - und unsichere Apps sind nicht großartig."
Was unsichere Software bedeutet
„Unsichere Software ist der Grund Nummer 1 für Datenlecks“, sagt Janca. Dabei werden E-Mail-Adressen, Passwörter, Kreditkarten oder andere personenbezogene Details gestohlen. Diese Daten werden am Schwarzmarkt an andere Kriminelle verkauft. Für Konsument*innen kann das schlimme Folgen haben: Neben einem finanziellen Schaden droht auch der Identitätsdiebstahl. Das bedeutet, dass sich online jemand als eine bestimmte Person ausgibt, die er nicht ist.
„Wir müssen daher beginnen, uns zu schützen“, so Janca. Das beginne bereits beim Programmieren der Software und Apps, und nicht erst bei den Konsument*innen, die Programme bedienen. „Die meisten Entwickler*innen wollen sichere Apps machen. Jeder will, dass seine App großartig wird - und unsichere Apps sind nicht großartig. Aber viele wissen nicht, wie das geht“, sagt Janca. Neben dem fehlenden Unterricht dieser Fähigkeiten werde oftmals seitens des Managements von Firmen kein großer Wert auf die Sicherheit der Anwendungen gelegt, so die Trainerin.
Datenhunger bei Apps
App-Programmierer*innen würden zudem manchmal dazu gezwungen, möglichst viele Daten von den Konsumenten abzufragen, ohne dass die App diese überhaupt benötigt. „Diese Entscheidung liegt in seltensten Fällen direkt bei den Programmierer*innen“, so Janca. Das endet damit, dass manchmal eine Taschenlampen-App auch die Berechtigung haben will, auf das Mikrofon des Smartphones zuzugreifen. Auf Sicherheitsfeatures hingegen werde verzichtet, so Janca.
„Diese lassen sich in der Regel nicht verkaufen“, so die Begründung, die Janca häufig zu hören bekommt. Seitens des Managements werde oft großer Druck auf die Entwickler*innen ausgeübt. Bestimmte Features müssen fristgerecht fertig werden und für Security bleibt schlichtweg keine Zeit übrig. „Bei meinen Beratungen versuche ich daher immer, das Management-Team an Bord zu holen“, so die Trainerin. „Denn ohne deren Unterstützung geht es nicht.“
"Security-Features lassen sich in der Regel nicht verkaufen."
Security Champions
Janca hat einmal in einer einzigen Anwendung 43.000 Schwachstellen gefunden. „Hier muss man strukturiert vorgehen und die Top 3 Probleme identifizieren, mit denen man sich an das Unternehmen wendet“, so Janca. Zudem müsse man Entwicklern Hilfestellung bieten, damit diese die Sicherheit von Anfang an mitberücksichtigen.
Ein guter Weg sei die Einführung von „Security Champions“ in Firmen. „Diese Personen sind Softwareentwickler*innen, die als Securityexpert*innen in einem Team agieren. Sie erhalten ein spezielles Training und verbreiten ihr Wissen dann innerhalb des Teams weiter. Jeder im Unternehmen weiß außerdem, dass diese Person die richtige Ansprechpartner*in für diese Anliegen ist“, erklärt Janca. Sie warb für dieses Konzept beim We Are Developers World Congress, der diese Woche stattgefunden hat.
Das Konzept selbst ist noch relativ neu, doch könnte gut funktionieren. Die Software-Entwickler*innen mit Security-Verantwortung könnten zu Schlüsselpersonen in Unternehmen werden, um auch Vorgesetzte im Bezug auf Sicherheitsaspekte zu beraten. „Für die Entwickler*innen zahlt sich das auch aus, denn diese Fähigkeiten werden auch in Zukunft stark gefragt sein“, so Janca.
Debatte um App Store bei Apple
Während sich Android-Nutzer*innen jede App ihrer Wahl auf das Smartphone laden können, ist dies bei iOS nicht möglich. Apple will aber keine weiteren App Stores zulassen, weil der Anbieter dadurch die Sicherheit der Nutzer*innen gefährdet sieht. Der US-Konzern verweist darauf, dass alle Apps und Updates auf seiner Plattform von menschlichen Prüfer*innen untersucht werden, um betrügerische Anwendungen herauszufiltern. Außerdem müssten sich Entwickler*innen an Vorgaben zum Datenschutz halten.
Janca lobt zwar das Sicherheitskonzept von Apple, sieht allerdings nicht ein, wieso die Entwickler von Apps dazu gezwungen werden, diese ausschließlich über den App Store zu vertreiben. „Sie müssen für alles, was sie entwickeln, 30 Prozent an den Konzern abgeben“, so Janca. „Apple hat damit eine Monopolstellung und das hat nichts mit fairer Praxis zu tun“, sagt die Sicherheitstrainerin. Das Konzept bei Android sei hingegen „Wilder Westen“. Janca würde als Lösung vorschlagen, für beide Plattformen einen alternativen App Store zu entwickeln, der auf die Sicherheit der darin enthaltenen Apps Wert legt. „Das wäre ein Gewinn für Entwickler*innen und für die Nutzer*innen“, so Janca.
Kommentare