Der TÜV-AppChecker ist eine Trusted Service Plattform, die alle relevanten Prüfungen und Auswertungen für im Unternehmen genutzte Apps bereitstellen soll. [...]
Regelmäßig werden Apps mit Spamming-, Spyware- und Malware-Charakter in verschiedenen App-Stores entdeckt. Das zeigt deutlich, dass Schwachstellen im Sicherheitskonzept von App-Stores aktiv, und immer öfter, ausgenutzt werden. Laut einer Vanson-Bourne-Studie im Auftrag von Absolute Software verzichten zudem viele Unternehmen (in Deutschland 56 Prozent) auf die Prüfung firmenintern genutzter Applikationen. Das kann Schad-Apps Tür und Tor ins Unternehmensnetzwerk öffnen. Eine ständig wachsende Zahl von Apps in immer kürzeren Updatezyklen und sich immer schneller verbreitende Missbrauchsszenarien zwingen geradezu zu neuen Konzepten im Bereich der Sicherung mobiler Infrastrukturen.
Zusätzliche App-Prüfungen sind daher sinnvoll. Bevor eine neue App für den betrieblichen Einsatz freigegeben wird, ist deshalb eine interne sicherheitstechnische Kontrolle keine schlechte Idee. Die TÜV Trust IT, die zur Unternehmensgruppe TÜV Austria gehört, bietet für diese Zwecke den TÜV-AppChecker an. Es handelt sich dabei um eine eine Trusted Service Plattform, die den Angaben zufolge alle relevanten Prüfungen und Auswertungen zu den für den Einsatz im Unternehmen gewünschten Apps bereitstellt. Dabei können alle gewünschten Servicefeatures an bestehende Prozesse und Tools (MDM, Servicemanagement etc.) angedockt werden.
Einzelne Apps werden auf Basis von neutralen Prüfkriterien sowie einer Wissensdatenbank der TÜV Trust IT geprüft und bewertet. Dabei werden aus den entsprechenden App Stores Apps im Kundenauftrag ausgewählt oder auf direkte Anforderung des Kunden Apps geprüft. Als Ergebnis der Prüfungen werden eine Whitelist und eine Blacklist zur Verfügung gestellt, die permanent überwacht und erneuert werden.
So sollen Unternehmen in die Lage versetzt werden, ihre mobile Infrastruktur vor schädlichen Apps zu schützen. Laut TÜV Trust IT ist die Analyse von Apps aus den offiziellen App Stores für alle gängigen Plattformen und Betriebssysteme möglich.
DER PRÜFPROZESS
Zentrales Element des AppChecker-Dienstes ist das Prüf-Framework, das mit Hilfe von eigens entwickelter TML-Bedrohungsmodellierungstechnologie und eines Threat-Models relevante Bedrohungen für und durch Apps auf einem mobilen Endgerät modelliert. Für jedes vom AppChecker unterstützte Betriebssystem sind zu jeder durch das Threat-Modeling identifizierten Bedrohung generische wie plattformspezifische Gegenmaßnahmen definiert.
Die Integration des AppChecker-Dienstes in eine Unternehmensinfrastruktur erfolgt über zwei Schnittstellen. Die zentrale Schnittstelle zum Kunden ist das AppChecker-Portal. Dieses Mandanten- und Multibenutzerfähige Portal stellt dem Kunden verschiedene Möglichkeiten für die Arbeit mit dem AppChecker zur Verfügung.
Verwaltungsmechanismen erlauben es dem Kunden, Benutzer einzurichten und diesen Benutzern Rechte für die Verwendung des AppChecker-Dienstes einzuräumen. Diese Benutzer können dann über das Portal Prüfaufträge für durch den AppChecker zu überprüfende Apps einstellen. Zentrale, vom Benutzer anzugebende Information für einen Prüfauftrag ist die App-ID, die jeder Betreiber eines App Stores für die darin befindlichen Apps vergibt. Damit lässt sich eine App eindeutig im jeweiligen App Store identifizieren.
Die Prüfergebnisse werden dem Unternehmen über eine weitere Schnittstelle zu seinem Mobile Device Management System als aktualisierte Black-/Whitelist zur Verfügung gestellt. Jede vom Kunden als Prüfauftrag eingestellte App wird über einen automatischen Mechanismus („TÜV-Spidertechnologie“) im jeweiligen App Store auf Aktualisierung hin überwacht. Alle Updates, Releaseänderungen und Neuversionen einer App im jeweiligen App Store werden erfasst und so immer auch die neusten App-Versionen nachgeprüft. Somit kann der Kunde innerhalb der garantierten Reaktionszeit sicherstellen, dass alle über sein MDM-System überwachten Endgeräte gemäß der aktuellen Black-/Whitelist überwacht werden.
TOOL FÜR EIGENE ENTWICKLUNGEN
Um Unternehmen die Sicherheit zu geben, dass auch ihre eigenen, selbst oder im Auftrag entwickelten Apps sicher und möglichst unangreifbar sind, bietet die TÜV Trust IT zudem den TÜV Enterprise App Richtlinien Generator an. In Verbindung mit einem speziellen App-Anforderungstool werden kontextspezifischen TÜV App-Entwicklungsrichtlinien erzeugt, welche alle relevanten App-Funktionalitäten und die damit verbundenen Bedrohungen abdecken sollen. So soll sichergestellt werden, dass Unternehmensapps alle geforderten TÜV-Sicherheitskriterien erfüllen und während der Laufzeit nicht missbraucht werden können.
Apps, die auf Basis des TÜV Enterprise App Richtlinien Generator entwickelt wurden und anschließend die spezielle Variante des TÜV AppChecker durchlaufen haben können das TÜV Siegel „Trusted App“ erhalten. (rnf/pi)
Be the first to comment