Smartphones Auf Nummer sicher

Apps für Smartphone und Tablet sind aus dem Alltag nicht mehr wegzudenken. Doch für Privatleute und Unternehmen sind die kleinen Programme ein potentielles Risiko. Sicherheit versprechen jetzt Prüfunternehmen, die Apps testen und Qualitätssiegel vergeben.
Von Christopher Krämer
Smartphone-Apps: Unterschätzes Einfallstor

Smartphone-Apps: Unterschätzes Einfallstor

Foto: Deutsche Messe

Hamburg - Angela Merkel schätzt es, diskret per SMS zu kommunizieren. Das Telefon der Kanzlerin muss dabei höchsten Ansprüchen genügen, was die Sicherheit betrifft. Im Sommer soll Merkel nun ein neues abhörsicheres Smartphone erhalten.

Ob die Christdemokratin auch Apps schätzt, ist unbekannt. Dies würde allerdings neue Probleme aufwerfen, von denen auch Privatleute und die Wirtschaft betroffen sind: Manche Applikationen für Smartphones sind ein potentielles Sicherheitsrisiko. Sie versenden ungefragt sensible Nutzerdaten, weisen keine Verschlüsselung auf und verletzen Datenschutzrichtlinien - oder bahnen Unbefugten gar den Weg in das Firmennetzwerk.

"Smartphones und Apps sind potentielle Einfallstore und damit Risikofaktoren für Unternehmen", sagt Jörg Völker von der IT-Beratung Secorvo Security Consulting aus Karlsruhe. Dies gelte umso mehr, wenn private oder dienstliche Geräte ohne Sicherheitsmaßnahmen in das Firmennetzwerk eingebunden würden: "Dann sind die Risiken kaum mehr zu kontrollieren", sagt Völker. "Gerade Unternehmen sollten in Bezug auf Apps kritisch und im Zweifel restriktiv sein, wenn es um Dienstsmartphones geht", ergänzt Siegfried Muckenschnabl vom Tüv Süd.

Woher sollen Nutzer wissen, welche Software potenzielle Gefahren birgt? Wie unsicher manche Programme sind, zeigte zuletzt etwa der Fall des populären Nachrichtendiensts WhatsApp, den viele Nutzer anstelle von SMS nutzen: Erst Ende des vergangenen Jahres tauchte eine neue Sicherheitslücke auf, durch die Unbefugte Accounts übernehmen konnten. Ärgerlich dabei: Sowohl die US-IT-Riesen Apple  als auch Google  filtern ihre App-Stores nach Schadsoftware. Eigentlich. Doch offenbar reichen diese Kontrollen nicht aus. Was tun also?

Steigende Nachfrage nach Sicherheitsprüfungen

Eine Möglichkeit für Nutzer ist, schon vor dem Download auf Prüfsiegel zu vertrauen und nur zertifizierte Programme zu installieren. Verschiedene Unternehmen bieten solche Zertifikate an, darunter mehrere Tüv-Gesellschaften oder die Stiftung Warentest. Seit Herbst 2012 vergibt das Unternehmen Media Test Digital aus Hannover das Prüfsiegel "Trusted App", bislang vor allem an Applikationen von Großunternehmen wie der Deutschen Bahn. Nach eigenen Angaben ist das Unternehmen im Bereich der Sicherheitstests und Zertifizierungen in Deutschland Marktführer.

Noch ist der Markt in Deutschland relativ klein. "Viele Leute sind sich gar nicht über das Risiko bewusst, dass von Apps ausgeht", sagt Muckenschnabl vom Tüv Süd. Doch die Mehrheit der Prüfunternehmen registriert eine steigende Nachfrage. "Wir rechnen in diesem Jahr mit einem Plus von 20 Prozent", sagt Guido Hermanowski von Tekit, das zur Tüv-Saarland-Gruppe gehört. Besonders für Unternehmen aus dem Ausland sei das Tüv-Siegel eine gute Möglichkeit, um Markteintrittsbarrieren zu überwinden.

Auch Sebastian Wolters von Media Test Digital spürt eine stark steigende Nachfrage. Beim Tüv-Süd dagegen stagniert im Unterschied zu den Mitbewerbern derzeit das Geschäft mit den App-Tests. Großes Interesse registriert der Tüv Süd jedoch bei der fachlichen Beratung: Unternehmen lassen sich schon vor der Veröffentlichung ihrer App erklären, welche Standards eingehalten werden sollten, damit es nicht zu Sicherheitsproblemen kommt.

Das Risiko durch Apps steigt mit der Verbreitung

Das Potenzial ist riesig: Apps für Smartphones sind äußerst beliebt. Im Jahr 2011 lag die Downloadzahl allein in Deutschland bei fast einer Milliarde. Das war nach Zahlen des Branchenverbands Bitkom ein Wachstum von 249 Prozent gegenüber dem Vorjahr. Smartphones haben sich in den letzten Jahren rasant verbreitet. 38 Prozent aller Bundesbürger ab 14 Jahren besitzen ein Smartphone. Von den unter 30-Jährigen sind es sind schon 65 Prozent.

Auch in Unternehmen werden Smartphones immer wichtiger. Laut einer Umfrage des Bitkom nutzen 89 Prozent aller Deutschen ab 14 Jahre ein Handy privat oder beruflich. Ältere Geräte in den Unternehmen werden nach und nach durch Smartphones ersetzt. Mit der Verbreitung der kleinen Programme steigt auch der Anreiz, Schadsoftware zu entwickeln.

Noch ist die Zahl der Prüfsiegel in Deutschland recht überschaubar. Es dürfte aber nur eine Frage der Zeit sein, bis weitere auftauchen. Gesetzlich geschützt sind Prüfsiegel nämlich nicht in diesem Bereich. Bei Media Test Digital rechnet man bereits fest mit neuer Konkurrenz. "Bei der nächsten Cebit wird es sicher mehrere Anbieter geben, die sich dieses Thema mit auf die Fahne schreiben", sagt Wolters. Die Zeit bis dahin will das Unternehmen nutzen: "Wir wollen Ende 2013 in den internationalen Markt", sagt Wolters.

Für die Hersteller von Apps sind solche Siegel auch ein Marketinginstrument: So signalisieren sie dem Verbraucher Vertrauenswürdigkeit. Davon Gebrauch machen bislang vor allem Unternehmen, deren Apps sensible Nutzerdaten erfordern. "Unsere Kunden kommen besonders aus der Industrie, aus dem Business- und Finanzbereich. Der Games-Bereich spielt so gut wie keine Rolle", sagt Siegfried Muckenschnabl vom Tüv Süd.

Die Kosten variieren zum Teil stark

Die Tests der einzelnen Prüfunternehmen ähneln sich: Bei Media Test Digital besteht die Prüfung aus einer Selbstauskunft des Herstellers und einer technischen Untersuchung des eingereichten Programms. Dort prüft das Unternehmen beispielsweise, ob die Datenverarbeitung den Vorschriften des Bundesdatenschutzgesetzes genügt, ob sensible Daten nur verschlüsselt verschickt oder mehr Informationen als nötig versandt werden. Je nach Komplexität des Programms und möglicherweise auftretenden Sicherheitsproblemen kann die Prüfung bis zu vier Wochen dauern.

Beim Tüv Süd dauert so ein Test zwischen sechs und zehn Wochen, die Experten dort testen Funktionalität, Datenschutz und Benutzerfreundlichkeit. Tekit gibt als maximale Testdauer sechs Wochen an.

Die Kosten für die Tests dagegen variieren zum Teil stark. Media Test Digital testet nicht versionsgebunden. Das heißt, dass Unternehmen einen Festpreis zahlen, zum Beispiel für einen Zeitraum von ein oder zwei Jahren. Etwaige Updates testet Media Test Digital ohne weitere Kosten, sobald die neue Version verfügbar ist. Die Lizenzkosten richten sich nicht nach der Komplexität des Programms. Erscheint nach dem Zeitraum ein neues Update, darf der Hersteller nicht mehr mit dem Prüfsiegel "Trusted App" werben. Die Gebühren für eine Jahreslizenz liegen bei rund 8000 Euro.

Anders sieht es beim Tüv Süd und Tekit aus. Beide testen einzelne Versionen der Software. Beim Tüv-Süd richtet sich der Preis für eine einjährige Lizenz nach dem Aufwand, die Kosten liegen dabei zwischen 15.000 und 20.000 Euro. Auch bei Tekit richtet sich der Preis nach der Komplexität der App und kann zwischen 5000 und 25.000 Euro liegen. Nach Ablauf der Lizenz ist eine Re-Zertifizierung möglich, die weniger kostet. Erscheint ein Update des Programms, muss der Hersteller den Tüv davon in Kenntnis setzen. Eine Nachprüfung wird fällig, die rund 5000 Euro kostet.

Ein App-Store für die Kanzlerin

Versäumt der Hersteller dies, darf er das Siegel nicht mehr rechtmäßig führen. Dann nimmt das Prüfunternehmen Kontakt zum Entwickler auf, um eine Lösung des Problems zu erreichen. Im Ernstfall leitet der Prüfer rechtliche Schritte ein, um sein Prüfsiegel zu schützen. Schließlich ist das Vertrauen der Nutzer in das Prüfzertifikat das wichtigste Kapital der Test-Unternehmen.

Gerade dies ist für unbekannte Prüfunternehmen ein Problem: Nutzer können kaum abschätzen, wie verlässlich die Zertifikate wirklich sind. Grundsätzlich seien solche Siegel für Verbraucher und Unternehmen eine gute Sache, da sie Orientierung böten, sagt Jörg Völker von der IT-Beratung Secorvo Security. Aber: "Nutzer können kaum nachvollziehen, was eigentlich geprüft wird und in welcher Detailtiefe." Die Tüv-Gesellschaften haben zwar in dieser Hinsicht aufgrund ihres Renommees einen Vorteil gegenüber Wettbewerbern. In Erfolg ummünzen konnten sie dies bislang jedoch kaum: "Insgesamt hat sich noch kein Siegel im Markt durchgesetzt", sagt Völker.

Eine Alternative zu den Prüfzertifikaten sind Reputationsdienste, die auf Cloud-Technologie basieren: Hier lassen Nutzer Apps noch vor dem Download durchleuchten. Erst vor kurzem hat etwa das Unternehmen Trend Micro einen solchen Cloud-Sicherheitsdienst vorgestellt. Auch in diesem Fall müssen Nutzer auf die Expertise des Anbieters vertrauen. Unternehmen sind zudem davon abhängig, dass ihre Mitarbeiter keine unsicheren Apps herunterladen.

Technischer Aufwand und hohe Kosten

Media Test Digital bietet speziell für Unternehmenskunden seit Januar mehrere Lösungen an, um das Problem unsicherer Apps auf Firmensmartphones in den Griff zu kriegen. Kunden können zum Beispiel auf eine Liste des Unternehmens zugreifen, das unbedenkliche und risikobehaftete Apps identifiziert. Per Dienstanweisung können Unternehmen dann ihren Mitarbeitern vorschreiben, ausschließlich unbedenklich Apps auf Dienstgeräten zu installieren.

Noch sicherer ist es, unternehmensinterne App-Stores zu betreiben. Bei dieser Möglichkeit bestückt Media Test Digital einen eigenen App-Store mit geprüften Programmen. Kunden können ihre Mitarbeiter anweisen, ausschließlich diesen Store zu nutzen, oder sogar die normalen Bezugsquellen für Applikationen blockieren.

"Für Unternehmen wäre es die beste Lösung, in den Geräten eine klare Grenze zwischen geschäftlichem und privatem Bereich zu ziehen", sagt IT-Berater Völker. Dies erfordere aber technischen Aufwand und verursache Kosten.

Das zeigt sich zum Beispiel beim neuen Regierungstelefon. Die Kosten für die abhörsicheren Geräte, die sowohl Telefonate als auch Datenverkehr wie etwa E-Mails verschlüsseln, sollen bei rund 2.500 Euro pro Gerät liegen. Media Test Digital gehört zum Konsortium um T-Systems und den Sicherheitsspezialisten Secusmart, das bis zum Sommer rund 10.000 abhörsichere Geräte an die Bundesregierung liefern soll.

In diesen Geräten wird ein interner App-Store enthalten sein, der ausschließlich auf Sicherheit geprüfte Apps enthält. Die Nutzer dieser Geräte können sich dann frei aus dem Store bedienen und müssen keine bösen Überraschungen befürchten. Welche Apps die Kanzlerin auf ihrem Smartphone installieren kann, entscheidet sich künftig also auch im Testlabor von Media Test Digital.

Mehr lesen über
Die Wiedergabe wurde unterbrochen.