„Eine sichere App kann nicht kostenlos sein“
Eric Bodden vom Fraunhofer-Institut für Sichere Informationstechnologie hat mit Kollegen der TU Darmstadt Apps untersucht, die ihre Nutzerinformationen auf Cloud-Datenbanken wie Facebooks Parse und Amazons AWS abspeichern. Dabei hat er 56 Millionen ungeschützte Datensätze gefunden.
Eric Bodden vom Fraunhofer-Institut für Sichere Informationstechnologie hat mit Kollegen der TU Darmstadt Apps untersucht, die ihre Nutzerinformationen auf Cloud-Datenbanken wie Facebooks Parse und Amazons AWS abspeichern. Dabei hat er 56 Millionen ungeschützte Datensätze gefunden.
Technology Review: Worin genau besteht die Sicherheitslücke, die Sie entdeckt haben?
Eric Bodden: Um private Daten auf Cloud-Plattformen richtig zu schützen, müssen App-Entwickler Zugangskontrollen in ihre Anwendungen einbauen. Unsere Untersuchung zeigte aber, dass die große Mehrheit der Apps keine solche Kontrolle verwendet. So konnten wir schon bei einer kleinen Anzahl der Apps sensible Daten wie E-Mail-Adressen, Passwörter und Gesundheitsdaten lesen und auch verändern.
TR: Was für Apps waren betroffen?
Bodden: Beispielsweise eine Anwendung, mit der Mitarbeiter von Krankenhäuser interne Informationen verwalten können, etwa die Türcodes zu Operationssälen. Außerdem betraf die Sicherheitslücke Apps zu bestimmten Medikamenten, darin enthalten sind zum Beispiel Anweisungen zur Einnahme.
TR: Worin besteht die Gefahr?
Bodden: Die gespeicherten Daten könnten manipuliert werden. Das kann etwa bei den Medikamenten-Apps schlimmstenfalls lebensgefährlich sein. Außerdem können Angreifer E-Mail-Adressen verkaufen, Nutzer erpressen, Webseiten verändern oder Schadcode einschleusen.
TR: Wie helfen Ihre Erkenntnisse nun?
Bodden: Die App-Entwickler sind nun gefragt. Sie müssen ihre Apps anpassen und ein richtiges Benutzermanagement mit Login- und Passwortsicherung einrichten. Das kostet natürlich Zeit und Geld. Um die Entwickler zu erreichen, haben wir mit den Cloud-Datenbank-Betreibern Facebook und Amazon gesprochen und appelliert, dass sie die App-Entwickler in Kenntnis setzen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben wir informiert.
TR: Wie kann man sich als App-Nutzer schützen?
Bodden: Als Nutzer kann man zunächst gar nicht sehen, ob und auf welcher Cloud-Datenbank die Nutzerdaten ablegt sind. Welche Authentifizierungsmethode zum Schutz der Daten genutzt wird, ist außerdem nicht ersichtlich. Für App-Nutzer wäre daher ein Sicherheitszertifikat von Vorteil, an dem wir bereits gearbeitet haben. Allerdings müssten Nutzer dann auch dafür sensibilisiert werden, dass eine sichere App nicht kostenlos sein kann.
TR: Wie legal war Ihre Analyse eigentlich?
Bodden: Wir bewegten uns schon in einer rechtlichen Grauzone. Deswegen konnten wir auch nur eine kleine Anzahl der insgesamt 750.000 geprüften Anwendungen aus dem Google Play Store und dem Apple App Store genauer untersuchen. Für unsere Untersuchungen müssen wir den Maschinencode der Anwendungen in einfacher lesbaren Programmcode zurückübersetzen. Dies verstößt nach aktueller Gesetzgebung gegen das Urheberrecht. Das Gesetz ist einfach nicht mehr zeitgemäß und gehört eigentlich längst abgelöst, denn momentan ist es in etwa so, als würde man dem TÜV verbieten, Fahrzeugen unter die Motorhaube zu gucken. Sicherheitsaussagen lassen sich dann natürlich nicht mehr ableiten.
(jle)
