Application-Security wird hierzulande noch Stiefmütterlich behandelt. Dabei sind die Applikationen genauso schützenswert, wie die Daten. die mit diesen er-, be- und verarbeitet werden. Netzpalaver sprach mit Mirko Brandner, Technical Manager von Arxan, über die etwaigen Gründe des Schattendaseins, die Notwendigkeit sowie die Vorzüge von Application-Security.
#Netzpalaver: Welchen Stellenwert hat Application-Security derzeit auf dem deutschen Markt?
Mirko Brandner: In Deutschland steckt das Thema Application-Security im Großen und Ganzen noch in den Kinderschuhen. Leider erhält der Schutz von Applikationen erst allmählich mehr Aufmerksamkeit – vor allem durch negative Schlagzeilen wie etwa Sicherheitslücken in mobilen Banking-Apps. Bereiche wie medizinischer Gerätebau, IoT oder Automotive hinken jedoch deutlich hinterher und nehmen eher langsam Fahrt auf.
#Netzpalaver: Wenn Sie den deutschen Markt mit anderen Märkten vergleichen, wo ist dieser anzusiedeln?
Mrko Brandner: Deutschland liegt deutlich hinter Ländern wie den USA und UK. Im internationalen Vergleich ist Application-Security in Deutschland lediglich eines von vielen Sicherheitsthemen. Studien von IBM und dem Ponemon Institut besagen, dass der Schwerpunkt beim Security-Investment in vielen Ländern und damit auch in Deutschland auf herkömmliche Technologien für Netzwerke und Daten gelegt wird. Hier ist man quasi über-investiert während die neuen Bedrohungen bei Applikationen finanziell vernachlässigt werden.
#Netzpalaver: Welche Barrieren gibt es derzeit auf dem deutschen Markt?
Mrko Brandner: Time, Budget and Skill würde man auf Englisch sagen. Das allgemeine Wissen rund um die verfügbaren und notwendigen Schutzmaßnahmen für Applikationen ist leider noch nicht in der Breite vorhanden und deswegen wird Application-Security selten bis wenig bei Projektplänen, Budgetierung und Ausbildung berücksichtigt. Das Investment spielt hier wahrscheinlich die größte Rolle, da bestehende Budgets oft schon anderweitig vergeben sind. Oft muss erst etwas passieren, damit Unternehmen und Entwickler aktiv werden.
#Netzpalaver: Was sind die Schwachstellen von Applikationen? und wie kann man sie schließen?
Mrko Brandner: Obwohl viel Wert gelegt wird auf eine sichere Entwicklung, sind die binären Endprodukte, sprich die Applikationen, mit Hilfe von Reverse-Engineering oftmals leicht zu durchschauen. Mit dem Wissen über die inneren Strukturen einer Applikation können diese dann entsprechend manipuliert werden. Dies öffnet etwa Tür und Tor für Manipulationen von Transaktionen, das Umgehen von Sicherheitsabfragen oder den Diebstahl sensibler personenbezogener Daten. Letztlich steht und fällt die Sicherheit der App mit der Möglichkeit Applikationen gegen Reverse-Engineering und Manipulationen zu schützen. Einfach noch einen Zaun um die Applikation zu setzen statt diese selbst zu schützen, ist hier nicht erfolgsversprechend. Das Stichwort lautet vielmehr In-App-Protection.
#Netzpalaver: Wie könnte man die Schwachstellen von Applikationen schließen?
Mrko Brandner: Die wichtigsten Schwachstellen von Apps kann man jedoch erfolgreich beseitigen. Etwa wenn man die Applikation am Ende ihres Entwicklungsprozesses mit innovativen Obfuscation-Technologien in Kombination mit Laufzeitschutz-Maßnahmen (Runtime-Application-Self-Protection) ausstattet. Erstere Technologie sorgt dafür, dass Programmcodes und ihre Kontrollstrukturen in unlesbare Formen verwandelt werden und erschwert auf diese Weise Reverse-Engineering und eine Dekompilierung des zugrundeliegenden Bytecodes. Beim Laufzeitschutz wird die Applikation mit einer speziellen Logik ausgestattet, die es ihr ermöglicht, manipulative Veränderungen an Code und Daten aufzuspüren.
