Anzeige
SMARTPHONE-APP-SECURITY16. September 2015

Mobile‑App‑Management: Banking-Apps vor Malware, Manipulation und Fälschungen schützen

Autor Ben Harknett, VP EMEA bei RiskIQRiskIQ
Autor Ben Harknett, VP EMEA bei RiskIQRiskIQ

Bundesbankchef Andreas Dombret hat erst im Juli die deutschen Banken ermahnt, die Digitalisierung nicht zu verschlafen (mehr hier: 1 , 2 ) – und warnte gleichzeitig vor den zunehmenden Cyber-Risiken, die sich daraus ergeben. Allerdings zielte er damit hauptsächlich auf die „innere“ IT-Sicherheit hinter der Firewall ab. Was ihm vermutlich (noch) nicht klar ist: 60 Prozent der digitalen Assets von Banken, wie zum Beispiel Apps und Websites von Dienstleistern, liegen außerhalb der Firewall und damit in der Regel auch außerhalb des Sichtfelds der IT-Abteilung. 

von Ben Harknett, VP EMEA, RiskIQ

Damit Finanzinstitute Erfolg haben, müssen sie eine verantwortungsvolle Beziehung mit ihren Kunden pflegen und eine Kultur der Stabilität nachweisen. Durch den Sprung ins digitale Zeitalter wird noch mehr Druck auf die Finanzinstitute ausgeübt; sie müssen sicherstellen, dass Vertrauen, Sicherheit und Stabilität an erster Stelle stehen, wenn die Kunden mit dem digitalen Fußabdruck eines Instituts interagieren.

Den digitalen Fußabdruck eines Unternehmens definieren wir als die Summe der Websites und anderer Infrastrukturen im Netz, sowie mobiler Anwendungen und öffentlich zugänglicher Konten in den Sozialen Medien. Aus der Sicht eines böswilligen Angreifers repräsentiert all das zusammen die externe Angriffsfläche eines Unternehmens.

Mobile Banking auf dem Vormarsch

Die Banken- und Finanzbranche erlaubt Kunden und Angestellten inzwischen mittels einer Reihe von neuen, mobilen Anwendungen einen flexiblen, standortunabhängigen Zugriff auf ihre Dienstleistungen. So ist es heutzutage üblich, dass Verbraucher mit den Banken häufiger digital interagieren als persönlich oder telefonisch. Mobilgeräte sind für viele Kunden mittlerweile die Plattform ihrer Wahl. Dadurch ist der digitale Fußabdruck im Banken- und Finanzsektor auf exponentielle Weise gewachsen – und das bringt neue Herausforderungen für die Sicherheit mit sich.

Die meisten Menschen sind sich dieses exponentiellen Wachstums des mobilen Ökosystems nicht bewusst – das gilt sowohl für die Anzahl der Apps als auch für die Anzahl der App Stores. Google Play, iTunes und Windows Phone beanspruchen einen Großteil des Marktes für sich. Doch es existieren noch hunderte anderer App Stores, die um den Datenverkehr buhlen und ihren Marktanteil ausweiten wollen.

Offizielle Anwendungen sowie Anwendungen zur Bekanntmachung der Marken von Finanzdienstleistungs-Instituten werden häufig kopiert und in der mobilen Welt verbreitet.

Sicherheitsrisiko Banking App

Im Rahmen einer aktuellen Studie, bei der RiskIQ 35 führende Banken untersucht hat, fanden wir 1.777 Beispiele von mobilen Anwendungen; durchschnittlich 51 Apps pro Bank, die entweder Eigentum der Bank sind oder deren Marke unterstützen sollen. Nur 6 Prozent dieser mobilen Apps fanden sich jedoch in den oben genannten offiziellen App Stores. Der Rest verteilte sich auf nachrangige App Stores, sodass eine Aussage darüber, ob Updates und Sicherheitspatches die Kunden erreichen oder ob die Apps manipuliert wurden, schwierig bis unmöglich ist. Bei 80 Prozent der Apps wurden den Nutzern 10 oder mehr Zugriffsrechte abverlangt – mehr, als normalerweise für die Funktionalität der App notwendig ist. Diese Einwilligungen betreffen häufig unnötige Zugriffsrechte für Funktionen wie Kontaktadressen, E-Mail- und Nachrichtenverlauf sowie in einigen Fällen Aufzeichnungsinstrumente.

Wir haben auch die deutschen Mobile Banking Apps aus dem aktuellen Test der Stiftung Warentest untersucht. Während sich die Tester auf Qualität und Sicherheit der Apps konzentrierten, sahen wir uns die Verteilung der Apps im App-Universum genauer an.

Im Durchschnitt fand sich jede App in 53 Stores wieder. In 18 Fällen entdeckten wir dabei Malware.

Wie gelingt es nun also den Organisationen, ihren digitalen Fußabdruck im Bezug auf mobile Apps zu kontrollieren? Ein Kundenbeispiel hilft zu verstehen, wie ein Management-Programm für mobile Apps eingesetzt wird und was es leisten kann.

Einführung eines Management-Programms für Mobile Apps

Um ihre Führungsposition zu halten und den Kundenanforderungen gerecht zu werden, entwickelte einer unserer Kunden aus dem Bankensektor ständig neue Apps und musste gleichzeitig bereits vorhandenen Apps instand halten. Die meisten Apps wurden von den Privatkunden-Abteilungen selbst entwickelt, weitere Abteilungen für Geschäfts- und institutionelle Kunden arbeiteten ebenfalls an eigenen Apps. Hinzu kommen Apps, die von externen Drittanbietern für die bankeigenen Marken zu Marketing- und Sponsoring-Zwecken entwickelt wurden.

Bei dieser starken Zunahme an Apps wurde die Herausforderung immer größer, all diese Apps zu identifizieren und zu verwalten. Die Bank konnte kaum überblicken, ob die in den App Stores angebotenen Apps legal waren, oder ob sie vor der Veröffentlichung die erforderlichen Sicherheitsprüfungen durchlaufen haben. Eine einzige im Namen der Bank veröffentlichte gefälschte oder betrügerische App würde bereits ausreichen, um in die Privatsphäre der Kunden einzudringen, an sensible Finanzdaten zu gelangen und so den Ruf der Bank zu beschädigen.

Der RiskIQ-Ansatz: ''In the Wild''-Scan
Die globale Crawling-Infrastruktur von RiskIQ scannt kontinuierlich mehr als 150 App Stores und 9 Millionen mobile Apps auf Malware, manipulierte Apps und Marken-Identitätsbetrug. Aufbauend auf dieser Infrastruktur und der dazugehörigen, SaaS-basierten Analyseinstrumente von RiskIQ führte die Bank ein Management-Programm ein, um eine dynamische Bestandsaufnahme von bekannten und unbekannten mobilen Apps zu erstellen, die auf Bedrohungen und Schwächen geprüft werden sollten. So konnte die Bank Apps anhand von Schlüsselwörtern in Titel/Bezeichnung, Beschreibung und Code der App sowie im Namen des Entwicklers erkennen.

Logo und Markennamen schützen

Zudem wurde die Logo-Erken­nung von RiskIQ ein­gesetzt, um Apps zu identifizie­ren, die marken­ei­gene Logos verwen­den. Anhand der komplet­ten Auf­stellung von App-Wer­ten lokalisier­te die Bank nun die Un­ternehmens­inhaber der jeweiligen Apps und stellte si­cher, dass vor der Veröff­entli­chung an­ge­mes­sene Si­cherheits­prüfun­gen und die vom Si­cherheits­team geforder­te Dokumentati­on durch­geführt wur­den.

Engmaschige Überwachung entlarvt schwarze Schafe

Mit Hilfe des App-Management-Programms konnte die Bank eine dynamische Zuordnung ihrer App-Präsenz durchführen und den Einsatz ihrer Apps strukturieren. Dieser Überwachungsplan wurde ursprünglich nur zur Kontrolle der Verteilung und Freigabe von Apps entwickelt, doch die Bank entdeckte einen zusätzlichen Nutzen, der zunächst gar nicht abzusehen war. Indem die RiskIQ-Datenbank nach Markennamen in den Beschreibungen der App durchsucht wurde, konnten zusätzlich potenzielle Bedrohungen durch Apps von Aggregatoren ausgemacht werden. Aggregatoren-Apps, die einen umfassenden Überblick über die Kundenfinanzen anbieten, können eine erhebliche Gefahr darstellen, da sie Login- und Passwortdaten für viele verschiedene Konten sammeln und häufig ungesichert auf ihren Servern ablegen. Werden die Server gehackt, besteht die reale Möglichkeit, dass Login-Daten und Passwörter weiterverkauft werden und die Bank dafür verantwortlich gemacht wird.

Gute Beziehungen und schnelle Reaktionszeit

Mit fortschreitender Entwicklung des Überwachungsprogramms erkannte die Bank diverse weitere Vorteile. Auftauchende Bedrohungen wie Malware konnten frühzeitig abgewehrt werden, und die Apps wurden kontinuierlich überwacht, um sicherzustellen, dass sie nicht mit schädlichen Inhalten aktualisiert werden. Die Bank unterhielt weiterhin gute Beziehungen zu den offiziellen App Stores und begann gleichzeitig, sich den Risiken durch nachrangige und angeschlossene App Stores anzunehmen. Um das Programm weiter zu verbessern und Erfolge zu messen, verwendete die Bank Metriken zur Erfassung der Zeitspanne zwischen Identifizierung und Ausschaltung der Malware und konnte so die Reaktionszeit des Programms messen. Im Ergebnis kann die Bank nun selbstbewusst hinter den Apps stehen, die unter ihrem Namen laufen – in dem Wissen, dass die Apps kontrolliert werdenund für ihre Kunden sicher sind.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert