Detailansicht

Vertrauen schaffen durch zertifizierte Apps

Forschungsverbund entwickelt teilautomatisierte Lösungen für die Überprüfung von Software für Android-Smartphones

Nr. 301 / 10. November 2015 SC

Für Smartphones, die mit dem Betriebssystem Android ausgestattet sind, werden mittlerweile weit mehr als eine Million Apps angeboten. Bei der Entstehung dieser Software stand die Sicherheit meist nicht an erster Stelle, sodass die Nutzung oft mit erheblichen Risiken für die Datensicherheit und die reibungslose Funktion des Geräts einhergeht. Ein Konsortium aus wissenschaftlichen Einrichtungen und Unternehmen hat daher jetzt im Rahmen des Projekts „ZertApps“ ein System entwickelt, das die Sicherheitsprüfung von Android-Apps teilweise automatisiert und den Anbietern eine Zertifizierung ermöglicht, um Vertrauen für ihr Produkt zu generieren – insbesondere bei Unternehmenskunden.

„Apps werden oft sehr schnell geschrieben“, erklärt Dr. Karsten Sohr vom Technologie-Zentrum Informatik und Informationstechnik (TZI) der Universität Bremen das grundlegende Problem. Da es unter der Vielzahl der Angebote nur wenige zu einer nennenswerten Verbreitung schaffen, lohne es sich weder für die Programmierer noch für die kriminellen Hacker, frühzeitig viel Energie in eine bestimmte App zu investieren. Erst mit dem Durchbruch auf dem Markt wird es für beide Seiten interessant.

Für die Anwender ist es jedoch wichtig, dass die App von Anfang an den gängigen Sicherheitsanforderungen entspricht – und sie nicht erst später geflickt wird, wenn es vielleicht schon zu spät ist. Mit dem Projekt „ZertApps“, das zum Ende dieses Jahres ausläuft, fördert das Bundesministerium für Bildung und Forschung im Rahmen des Programms „KMU-innovativ“ nun die Entwicklung von Lösungen, die den Herstellern die Einhaltung der wichtigsten Sicherheitsstandards mit überschaubarem Aufwand ermöglichen. Damit beugen die Anbieter nicht nur späteren rechtlichen Problemen vor, sondern sie können sich auch ein Gütesiegel verleihen lassen, um Kunden mit gehobenen Qualitätsansprüchen zu gewinnen.

Transfer in die Praxis ist bereits gesichert

Die wissenschaftliche Einrichtungen im ZertApps-Verbund – Universität Bremen, Technische Universität Darmstadt und Fraunhofer SIT – haben ein Verfahren entwickelt, um die Prüfung so weit wie möglich zu automatisieren. Das TZI legt den Fokus dabei auf die Architektur der Software. So wird beispielsweise untersucht, ob die Verschlüsselung ausreichend ist und wie die Schnittstellen zu anderer Software aufgebaut sind.

Die Überführung der Ergebnisse in die Praxis ist bereits gesichert. Die Projektkoordination für „ZertApps“ liegt bei der OTARIS Interactive Services GmbH, die einen Schwerpunkt auf Lösungen für das Customer Experience Management legt, also die Optimierung des Kundennutzens und der Handhabung von Software. „ZertApps bietet uns zusätzliche Methoden, die Einhaltung der Anforderungen an den Datenschutz und an die Sicherheit zu überprüfen“, erklärt Geschäftsführer Mehmet Kus. „Wir integrieren die Ergebnisse der verschiedenen Projektpartner und erweitern damit unser Dienstleistungsangebot. Wir wollen die neuen Verfahren in die Breite bringen.“ Eine wichtige Zielgruppe von OTARIS sind Unternehmen, die im Rahmen ihres „Mobile Device Management“ überlegen, ob sie eine App auf den Geräten der Firma zulassen. OTARIS kann in Zukunft sowohl den Herstellern als auch den Anwendern solcher Apps schneller Antworten liefern.

Zertifizierungen mit überschaubarem Aufwand

OTARIS kooperiert dabei auch mit einem weiteren Unternehmen aus der Hansestadt: Die datenschutz cert GmbH wird unter dem Namen „certified app“ künftig Zertifizierungen anbieten. „Es gibt bereits Kriterienwerke für die Prüfung von Apps, aber die sind sehr langwierig“, erläutert Geschäftsführer Dr. Sönke Maseberg. „Über dieses Verbundprojekt haben wir nun die Möglichkeit, die Prüfungen sehr viel schneller durchzuführen.“ Die Anbieter können dabei zwischen vier Stufen wählen: Mit „Bronze“ wird eine Basis-Sicherheit gewährleistet, die in erster Linie auf einer Selbstauskunft beruht. Ab „Gold“ erfolgt eine tiefere Prüfung mit Penetrationstests, während der höchste Grad an Sicherheit mit einer „Platin“-Zertifizierung dokumentiert wird. So können die Software-Entwickler sich für ein Gütesiegel entscheiden, das im Aufwand zu der jeweiligen App passt. „Auch die Bronze-Zertifizierung bringt schon eine deutliche Verbesserung der Sicherheit“, betont Maseberg.

Die räumliche Nähe der drei Partner TZI, OTARIS und datenschutz cert in Bremen sowie TU Darmstadt, Fraunhofer SIT und SAP rund um Darmstadt wirkt sich nach Angaben der Beteiligten sehr positiv auf den Transfer der Projektergebnisse in die Praxis aus, da sie die direkte Zusammenarbeit erleichtert. „Wir haben ein sehr starkes Konsortium“, so OTARIS-Geschäftsführer Mehmet Kus.

Abschlussveranstaltung am 17. November

Als Regionalstelle des TeleTrusT Bundesverband IT-Sicherheit e.V. veranstaltet OTARIS am 17. November 2015 ab 17 Uhr in Bremen eine Konferenz zum Thema „Sichere und datenschutzgerechte Entwicklung von mobilen Apps“, die den Abschluss des Projekts „ZertApps“ bildet. Das Veranstaltungsprogramm beginnt mit einem Vortrag von Achim Brucker (SAP) über die „Entwicklung sicherer Softaware: Von Mobilen Apps zu ERP Systemen“. Anschließend spricht Jens Heider (Fraunhofer SIT) über „Apps im Unternehmenseinsatz: Automatisierte Prüfung der Sicherheitsqualität“. Die Teilnahme an der Veranstaltung im BITZ (Fahrenheitstr. 1, 28359 Bremen) ist kostenlos. Um Anmeldung wird gebeten unter E-Mail teletrustprotect me ?!otarisprotect me ?!.de .

Weitere Informationen:

Universität Bremen
Technologie-Zentrum Informatik und Informationstechnik
Ansprechpartner:
Axel Kölling
Tel. 0171 5305119
E-Mail koellingprotect me ?!k-msprotect me ?!.de
www.zertapps.de