Gastbeitrag von Markus Schicker
5 Tipps, wie man eine sichere App erkennt
Wer möchte schon riskieren, dass Dritte unbefugt die Daten einsehen oder vielleicht sogar stehlen? Keiner. Aus diesem Grund sollte sich jeder User vor der Nutzung einer App zunächst ein bis zwei Minuten Zeit nehmen, um sich über die Sicherheitsmaßnahmen der App-Betreiber zu informieren. Dazu muss man kein Sicherheitsexperte sein. Wer weiß, wie, wo und wonach er suchen muss, kann in nur wenigen Minuten überprüfen, wie ernst es das Unternehmen mit der Sicherheit und dem Datenschutz meint.
1. Lokale verschlüsselte Datenspeicherung
Achte auf lokale Datenspeicherung! Sofern sensible Daten verarbeitet werden, sollten diese lokal verschlüsselt gespeichert werden, sich also ausschließlich auf dem Endgerät befinden. Warum lokal? Die externe Speicherung ist drei Gefahren ausgesetzt: Kompromittierung des Datenverkehrs, Hackerangriff auf die Datenbank auf dem zentralen Server und Kommerzialisierung der Daten durch den App-Betreiber. Werden Daten extern gespeichert, haben Unternehmen oft Zugriff darauf und haben die Möglichkeit, sie zu wirtschaftlichen Zwecken zu analysieren, auszuwerten und sogar zu verkaufen. Mit einer rein lokalen Datenspeicherung wird das verhindert.
2. Direkte, verschlüsselte Kommunikation
Suche nach dem Stichwort HTTPS! Grundsätzlich sollte eine Datenübertragung vom Endgerät zum Anbieter immer verschlüsselt stattfinden. Damit kann ein Dritter nicht ohne Weiteres mitlesen, welche Daten übertragen werden. Besonders sicher sind Apps, die das sogenannte Certificate Pinning (weiteres Stichwort!) einsetzen. Damit wird sichergestellt, dass vor jeder Verbindung geprüft wird, ob die Kommunikation auch wirklich mit der richtigen Gegenstelle stattfindet. Ein Mitlesen durch Dritte wird dadurch vollständig unterbunden.
3. Hoher Verschlüsselungsstandard
Ausschau halten nach AES! AES ist einer der weltweit sichersten Verschlüsselungsstandards und wird von App-Anbietern unter anderem dazu genutzt, Daten so komplex zu verschlüsseln, dass sie nicht manipuliert und gelesen werden können. Auf dem Gerät sind die Daten nur als eine Menge von hieroglyphen-ähnlichen Zahlen- und Buchstabenkombinationen vorhanden, die weder entzifferbar noch auswertbar sind. Die Daten werden nur nutzbar, wenn der Nutzer sein Passwort eingibt. Die Daten sind somit optimal geschützt!
4. Zero Knowledge
Achte auf das Schlüsselwort Zero Knowledge! Wenn sich eine App dem Zero-Knowledge-Prinzip verschreibt, verspricht es, die Nutzerdaten so komplex zu verschlüsseln, dass weder das Unternehmen selbst, noch ein möglicher Datentransfer- oder Server-Anbieter die Inhalte einsehen kann. Die drei Punkte zuvor sind dafür eine Grundvoraussetzung. Zero Knowledge gewährleistet maximalen Datenschutz und Daten-Privatsphäre!
5. App Store
Die goldene Regel: Lade eine App nur dann, wenn sie im offiziellen App oder Play Store verfügbar ist! Jede App, die im Store zum Download bereitsteht, wurde zuvor vom Store-Betreiber auf Authentizität und Sicherheit überprüft. Vermeintliche Vorversionen beliebter Apps, die auf Blogs oder anderen Webseiten angepriesen werden, sollten vermieden werden. Erfüllt eine App alle fünf Kriterien (inklusive Certificate Pinning), ist die Nutzung der App was die Sicherheit angeht grundsätzlich unbedenklich. Selbstverständlich gibt es noch branchenspezifische Maßnahmen, wie etwa im Banking, die den Transfer von Daten und die Kommunikation zwischen Bank und Endgerät zusätzlich sichern.
Über den Autor
Markus Schicker ist Chief Information Security Officer bei Outbank und als Mitgründer der Banking-App seit 2008 an der Entwicklung beteiligt. Seit mehr als 20 Jahren verfolgt Markus die rasante Entwicklung der Informationstechnologien. Für Outbank entwickelt und implementiert er Sicherheitsarchitekturen, die den digitalen Herausforderungen standhalten und stellt täglich sicher, dass sowohl Datenschutz als auch Datensicherheit zu jedem Zeitpunkt gewährleistet sind.
Kennen Sie schon unseren #StartupTicker? Der #StartupTicker berichtet tagtäglich blitzschnell über die deutsche Start-up-Szene. Schneller geht nicht!