Info-Portal zur App-Sicherheit

TÜV TRUST IT hat mit www.app-sicherheit.de ein Info-Portal eingerichtet, das Unternehmen über die Möglichkeiten informiert, mobile Anwendungen auf ihre Sicherheit überprüfen zu lassen. Gleichzeitig werden darüber Richtlinien zur Entwicklung sicherer Apps angeboten, die im Nachgang als „Trusted App" zertifiziert werden können.

Weil die Nutzung von Apps zu erheblichen Sicherheitsrisiken führen kann, sollte vor ihrem Einsatz im Unternehmenskontext eine interne sicherheitstechnische Kontrolle erfolgen, damit nur unbedenkliche Anwendungen auf mobilen Geräten zugelassen werden. Die TÜV TRUST IT bietet hierfür mit dem „TÜV AppChecker" ein spezielles Service Portal an, das eine effektive Prüfung gewährleistet. Unterstützt werden mit iOS, Android, Blackberry OS und Windows Phone alle gängigen Plattformen.

Die Apps werden dabei auf Basis von neutralen Prüfkriterien und anhand einer weltweit einzigartigen Wissensdatenbank geprüft und bewertet. Dabei lassen sich auch unternehmensindividuelle Risikoprofile als Ausgangsbasis der Sicherheitsanalysen definieren. Die Untersuchungsbefunde werden in White- und Blacklists zur Verfügung gestellt. Sie versetzen Unternehmen in die Lage, ihre mobile Infrastruktur vor schädlichen Apps zu schützen, zumal durch permanente Überprüfung von Updates ein kontinuierliches Monitoring der Apps erfolgt.

Durch das Service-Portal des TÜV AppChecker mit granularem Rechte- und Rollenkonzept stehen vielfältige Funktionalitäten zur komfortablen Verwaltung von Prüfaufträgen, Prüfberichten sowie White- und Blacklists zur Verfügung. Zu den weiteren Vorteilen dieses Services gehört, dass er nahtlos in alle gängigen Mobile Device Management-Systeme (MDM) integriert werden kann.

Ergänzend zum AppChecker bietet die TÜV TRUST IT ein Entwicklungs-Framework zur Programmierung von sicheren Apps sowie die Zertifizierung von Apps an. Das Framework „TÜV AppSpecs" zielt darauf ab, bereits zu Beginn des Entwicklungsprojektes die richtigen Weichenstellungen vorzunehmen. Es basiert auf einem Threat Model, einer methodischen Bedrohungsanalyse, mit der alle Risiken für den Datenschutz und die Datensicherheit in und durch Apps identifiziert werden können. Zu jeder Bedrohung sind generische Maßnahmen und plattformspezifische Entwicklungshinweise hinterlegt und bis auf Code-Ebene ausformuliert. Diese Richtlinien können bezogen auf die jeweilige mobile Anwendung über den AppSpecs-Generator vom Entwickler selbst erzeugt werden und dann als sicherheitsspezifischer Anhang zu einem Lastenheft fungieren. Die Anwender erhalten dadurch ein Werkzeug für die Erstellung sicherer und vertrauenswürdiger Apps.

Sobald eine App nach diesen Entwicklerrichtlinien programmiert wurde, lässt sich der Quelltext im Portal zur sicherheitstechnischen Prüfung durch die TÜV TRUST IT hochladen und bei positivem Ergebnis die Zertifizierung „Trusted App" erlangen. Damit können Unternehmen gegenüber den Benutzern einen objektiven Sicherheitsnachweis geben. Grundsätzlich ist die Erlangung dieses Zertifikats aber auch für Apps möglich, bei deren Entwicklung das Framework nicht genutzt wurde.

Das komplette Leistungsspektrum findet sich auf dem Info-Portal www.app-sicherheit.de.