Mobil, ja aber ...

01. Dezember 2017

Das BRZ verfolgt bei der APP-Entwicklung den Ansatz, die Informationssicherheit im gesamten Software-Lifecycle bestmöglich zu berücksichtigen.

Mobile Apps bieten gerade auch im E-Government große Potenziale, um den Bürgerinnen und Bürgern bestmöglich Informationen zu präsentieren sowie die Teilnahme am E-Government weiter zu vereinfachen. Der Schutz der Endgeräte, der (personenbezogenen) Daten der Anwenderinnen und Anwender sowie der zentralen Infrastruktur ist hierbei unerlässlich und stellt eine Herausforderung dar.

Das BRZ verfolgt bei der APP-Entwicklung den Ansatz, die Informationssicherheit im gesamten Software-Lifecycle bestmöglich zu berücksichtigen.

Neben den BRZ-internen Secure Coding Guidelines, die für unterschiedliche Programmiersprachen wie Java und .NET für alle Entwickler/innen zur Ver­fügung stehen, ist für die Entwicklung mobiler Anwendungen insbesondere das OWASP Mobile Security Project hervorzuheben. Diese frei zugängliche Plattform bietet sowohl für Entwickler/innen als auch für Security-Teams und Tester/innen eine Vielzahl an Ressourcen und Best Practices zur sicheren Entwicklung, zum Betrieb und zur Überprüfung von mobilen Apps an.

Die Top 5 Sicherheitsmaßnahmen für Apps aus unserer Sicht:

1. Security by Design: Mobile Apps werden oftmals in äußerst dynamischen Umgebungen entwickelt und müssen permanent an neue Betriebssystemversionen angepasst sowie um Features erweitert wer­den. Aus diesem Grund sollte die Sicherheit von Anfang an beim Design und der Entwicklung als zentrales Ziel berücksichtigt werden.

2. Identifikation und Schutz von sensiblen Daten auf mobilen Devices: Vermeidung der Speicherung entsprechender Daten direkt auf Endge­räten. Smartphones enthalten eine Vielzahl an „interessanten“ Daten – eine Verwendung sollte auf das unbedingt notwendige Minimum beschränkt werden (z. B. Geolocation-Informationen, gespeicherte Authentifizierungsdaten etc.)

3. Absicherung der Datenübertragung: Der korrekte Einsatz von Ver­schlüsselungstechnologien (z. B. TLS/https) und qualifizierten Zertifika­ten wird bei der Entwicklung von Apps oft vernachlässigt.

4. Absicherung des Backends /der zentralen Server: Die Absicherung der zentralen Infrastruktur (z. B. Server, Web-APIs) ist ein wesentlicher Bestandteil im Sicherheitskonzept mobiler Anwendungen. Der Zugriff auf diese zentralen Ressourcen ist auf ein unbedingt erforderliches Minimum zu beschränken.

5. Sichere Distribution von Apps – Update und Patchmanagement: Bereits bei der Entwicklung von mobilen Apps muss die Möglichkeit für zeitnahe Updates und Patches berücksichtigt werden. Verschiedene mobile Betriebs­systeme mit unterschiedlichen Versionen müssen unterstützt werden.

Gewährleistet man all diese Maßnahmen, steht einer Verwendung des Smartphones – auch für sensible Anwendungen wie im E-Government-Bereich – nichts im Wege.