Manfred Kloiber: Rund 250 Entwickler haben sich am Montag und Dienstag auf der Mobile Developer Conference in Stuttgart getroffen. Ein Thema, das als eigenständiger Programmpunkt gar nicht auf der offiziellen Konferenzagenda stand, beschäftigte die App-Entwickler besonders intensiv: Sicherheitslücken bei der App-Entwicklung. Was haben die App-Entwickler da diskutiert, Peter Welchering?
Peter Welchering: Die Wirkung frontiert mit einer Nachricht, die am Montag reingeplatzt ist. Nämlich die Studie platzte da auf die Konferenz, die Bernd Freisleben aus Marburg und weitere fünf Computerwissenschaftler, unter anderen auch aus Hannover, kurz zuvor auf einer Sicherheitskonferenz in den USA vorgestellt hatten. Die Computerwissenschaftler hatten nämlich insgesamt 13.500 Android-Apps untersucht und zwar die kostenlosen beliebtesten Apps, und über 1000 davon hatten Sicherheitslücken mit Sicherheitszertifikaten und das führte dann eben auch auf der Mobile Developers Konferenz zu der Diskussion: Wie bekommen wir in die App-Entwicklung endlich mal eine Zertifikatestruktur eingebaut, die endlich für ausreichend Sicherheit sorgt. Es ist ja ganz klar, diese Studie zeigt wieder einmal, Sicherheit fehlt hier, weil das mit den Zertifikaten nicht klappt. Das Thema ist in einigen Sitzungen am Rande auch mit angerissen worden, aber die inoffizielle Konferenzagenda hat diese Sicherheitsthema dann doch ganz ganz erheblich beherrscht.
Kloiber: Wo genau liegt denn das Problem bei der Arbeit mit den Sicherheitszertifikaten in der App-Entwicklung?
Welchering: Zum einen daran, dass viele Apps, vor allen Dingen im Bereich Banking-Apps und Mail-Apps, von Man-in-the-Middle-Attacken angegriffen werden. Tatsächlich dann beispielsweise Kreditkartendaten, Kontendaten dann tatsächlich gephisht werden, oder Mailaccount-Zugangsdaten und dann eben auch zweckentfremdet werden. Und die Zahlen steigen rasant, so dass die Entwickler nicht mehr umhin kommen, die müssen sich damit beschäftigen. Auch mobile TANs beispielsweise werden so erbeutet. Und dieses Problem kann eigentlich in technischer Hinsicht ziemlich einfach gelöst werden, nämlich, indem Verbindungen nur nach Abfrage eines Sicherheitszertifikates aufgebaut werden. Aber genau hier fangen die Probleme dann an. Die sind sozusagen auf der organisatorischen Ebene, denn viele Apps verzichten ganz auf die Prüfung der Sicherheitszertifikate und viele fragen einfach nur: Liegt eine Zertifikatedatei vor? Sie prüfen gar nicht ob etwas das Sicherheitszertifikat auch noch gültig ist, woher es kommt, wer es ausgestellt hat. Und nur ein kleinerer Teil überprüft wirklich dann diese Zertifikatsangaben. Hier müsste endlich, so wird immer wieder, auch in Stuttgart, gefordert, ein verbindlicher Standard in der App-Entwicklung eingeführt werden. Das haben die App-Entwickler ursprünglich noch am ehesten von ihren Auftraggebern aus der Bankenwelt erwartet, aber erstaunlicherweise, gerade relativ viele Banking-Apps weisen gerade da immer noch ziemliche Sicherheitslücken auf.
Kloiber: Wie könnte denn ein solcher Standard aussehen?
Welchering: Es müsste auf alle Fälle die detaillierte Überprüfung des Sicherheitszertifikates, wie die implementiert werden soll, regeln. Er müsste regeln, dass abgelaufene Zertifikate auf gar keinen Fall zugelassen werden und er müsste auch eine Online-Überprüfung vorsehen. Das ist programmiertechnisch kein Problem. Die entsprechenden Module gibt es alle, für alle Betriebssysteme, auch für alle mobilen Betriebssysteme. Aber ein App-Entwickler berichtete dann auch sehr offenherzig: Wenn ich so etwas einbaue - und das hat er offensichtlich schon mehrfach getan - dann haben mir in der Vergangenheit die Kunden das wieder rausgenommen, weil sie gesagt haben, die App wird dann zu dick, die App ist zu kompliziert, das verwirrt den Anwender nur, das können wir uns so nicht leisten, das ist alles viel viel zu undurchschaubar.
Kloiber: Das Problem mit der Verständlichkeit liegt auf der Hand. Es gibt ja schon sogenannte Identitätsstandards. Helfen die hier denn weiter?
Welchering: Wenn die durchgängig oder standardmäßig beachtet würden, ja, die würden dann sicherlich sehr sehr viel weiterhelfen und vermutlich das Problem auch lösen. Aber viele App-Entwickler sagen eben ganz klar: Meine Auftraggeber wollen nicht, dass beispielsweise Serverzertifikate von meiner App angefordert werden. Damit ist dann natürlich ein bestehender und eigentlich sehr funktionierender Standard wie das X.509 vollkommen ausgehebelt.
Kloiber: Hier stehen also die Interessen der Auftraggeber ein bisschen der Sicherheit im Weg. Sie verhindern das vielleicht sogar, die erforderliche Sicherheit. Wie kann denn diese Situation verändert beziehungsweise verbessert werden?
Welchering: Die Entwickler sagen, wir selbst haben sozusagen nicht die Marktmacht, um dem Auftraggeber einfach zu sagen, ihr müsst uns das so abnehmen, wie wir das mit unserem Sicherheitsstandart auch programmieren wollen. Aber sie sagen: Eigentlich sind doch die Betreiber von App-Stores hier in der Pflicht. Denn die Qualitätskontrolle in Sachen Sicherheit ist da eigentlich bei allen App-Store-Betreibern doch ziemlich lasch häufig. Und Zertifikate müssten eigentlich von diesen Betreibern der App-Stores geprüft werden, die müssten hier als verbindlich gelten und nur solche Apps dürften zugelassen werden, die diesen Ansprüchen auch genügen. Davon sind wir eben in allen Betriebssystemwelten sehr sehr weit entfernt und das gilt leider nicht nur für Android.
Kloiber: Peter Welchering informierte über Sicherheitsschwachstellen in der App-Entwicklung, vielen Dank.
Peter Welchering: Die Wirkung frontiert mit einer Nachricht, die am Montag reingeplatzt ist. Nämlich die Studie platzte da auf die Konferenz, die Bernd Freisleben aus Marburg und weitere fünf Computerwissenschaftler, unter anderen auch aus Hannover, kurz zuvor auf einer Sicherheitskonferenz in den USA vorgestellt hatten. Die Computerwissenschaftler hatten nämlich insgesamt 13.500 Android-Apps untersucht und zwar die kostenlosen beliebtesten Apps, und über 1000 davon hatten Sicherheitslücken mit Sicherheitszertifikaten und das führte dann eben auch auf der Mobile Developers Konferenz zu der Diskussion: Wie bekommen wir in die App-Entwicklung endlich mal eine Zertifikatestruktur eingebaut, die endlich für ausreichend Sicherheit sorgt. Es ist ja ganz klar, diese Studie zeigt wieder einmal, Sicherheit fehlt hier, weil das mit den Zertifikaten nicht klappt. Das Thema ist in einigen Sitzungen am Rande auch mit angerissen worden, aber die inoffizielle Konferenzagenda hat diese Sicherheitsthema dann doch ganz ganz erheblich beherrscht.
Kloiber: Wo genau liegt denn das Problem bei der Arbeit mit den Sicherheitszertifikaten in der App-Entwicklung?
Welchering: Zum einen daran, dass viele Apps, vor allen Dingen im Bereich Banking-Apps und Mail-Apps, von Man-in-the-Middle-Attacken angegriffen werden. Tatsächlich dann beispielsweise Kreditkartendaten, Kontendaten dann tatsächlich gephisht werden, oder Mailaccount-Zugangsdaten und dann eben auch zweckentfremdet werden. Und die Zahlen steigen rasant, so dass die Entwickler nicht mehr umhin kommen, die müssen sich damit beschäftigen. Auch mobile TANs beispielsweise werden so erbeutet. Und dieses Problem kann eigentlich in technischer Hinsicht ziemlich einfach gelöst werden, nämlich, indem Verbindungen nur nach Abfrage eines Sicherheitszertifikates aufgebaut werden. Aber genau hier fangen die Probleme dann an. Die sind sozusagen auf der organisatorischen Ebene, denn viele Apps verzichten ganz auf die Prüfung der Sicherheitszertifikate und viele fragen einfach nur: Liegt eine Zertifikatedatei vor? Sie prüfen gar nicht ob etwas das Sicherheitszertifikat auch noch gültig ist, woher es kommt, wer es ausgestellt hat. Und nur ein kleinerer Teil überprüft wirklich dann diese Zertifikatsangaben. Hier müsste endlich, so wird immer wieder, auch in Stuttgart, gefordert, ein verbindlicher Standard in der App-Entwicklung eingeführt werden. Das haben die App-Entwickler ursprünglich noch am ehesten von ihren Auftraggebern aus der Bankenwelt erwartet, aber erstaunlicherweise, gerade relativ viele Banking-Apps weisen gerade da immer noch ziemliche Sicherheitslücken auf.
Kloiber: Wie könnte denn ein solcher Standard aussehen?
Welchering: Es müsste auf alle Fälle die detaillierte Überprüfung des Sicherheitszertifikates, wie die implementiert werden soll, regeln. Er müsste regeln, dass abgelaufene Zertifikate auf gar keinen Fall zugelassen werden und er müsste auch eine Online-Überprüfung vorsehen. Das ist programmiertechnisch kein Problem. Die entsprechenden Module gibt es alle, für alle Betriebssysteme, auch für alle mobilen Betriebssysteme. Aber ein App-Entwickler berichtete dann auch sehr offenherzig: Wenn ich so etwas einbaue - und das hat er offensichtlich schon mehrfach getan - dann haben mir in der Vergangenheit die Kunden das wieder rausgenommen, weil sie gesagt haben, die App wird dann zu dick, die App ist zu kompliziert, das verwirrt den Anwender nur, das können wir uns so nicht leisten, das ist alles viel viel zu undurchschaubar.
Kloiber: Das Problem mit der Verständlichkeit liegt auf der Hand. Es gibt ja schon sogenannte Identitätsstandards. Helfen die hier denn weiter?
Welchering: Wenn die durchgängig oder standardmäßig beachtet würden, ja, die würden dann sicherlich sehr sehr viel weiterhelfen und vermutlich das Problem auch lösen. Aber viele App-Entwickler sagen eben ganz klar: Meine Auftraggeber wollen nicht, dass beispielsweise Serverzertifikate von meiner App angefordert werden. Damit ist dann natürlich ein bestehender und eigentlich sehr funktionierender Standard wie das X.509 vollkommen ausgehebelt.
Kloiber: Hier stehen also die Interessen der Auftraggeber ein bisschen der Sicherheit im Weg. Sie verhindern das vielleicht sogar, die erforderliche Sicherheit. Wie kann denn diese Situation verändert beziehungsweise verbessert werden?
Welchering: Die Entwickler sagen, wir selbst haben sozusagen nicht die Marktmacht, um dem Auftraggeber einfach zu sagen, ihr müsst uns das so abnehmen, wie wir das mit unserem Sicherheitsstandart auch programmieren wollen. Aber sie sagen: Eigentlich sind doch die Betreiber von App-Stores hier in der Pflicht. Denn die Qualitätskontrolle in Sachen Sicherheit ist da eigentlich bei allen App-Store-Betreibern doch ziemlich lasch häufig. Und Zertifikate müssten eigentlich von diesen Betreibern der App-Stores geprüft werden, die müssten hier als verbindlich gelten und nur solche Apps dürften zugelassen werden, die diesen Ansprüchen auch genügen. Davon sind wir eben in allen Betriebssystemwelten sehr sehr weit entfernt und das gilt leider nicht nur für Android.
Kloiber: Peter Welchering informierte über Sicherheitsschwachstellen in der App-Entwicklung, vielen Dank.