Die EU-Agentur für Cybersicherheit ENISA hat ihre jüngste Analyse von Smartphone-Schädlingen in einen Bericht über Sicherheit im App-Store münden lassen. Die bereits relativ weit ausformulierten Maßnahmen gegen App-Schadsoftware staffelt das Papier zu fünf Verteidigungslinien.
Die Agentur warnt, dass im Laufe des Jahres 2011 bereits eine Anzahl schädlicher Apps entdeckt wurde, die auf eine Vielzahl von Smartphone-Modellen zugeschnitten seien. Ausgehend von einem Bedrohungsmodell für App-Stores, skizziert der Bericht fünf Verteidigungslinien, die offizielle Download-Quellen vor Schadsoftware schützen sollen:
- App-Prüfungen (manuell und/oder automatisiert, z.B. auf auffälliges App-Verhalten – hier kann durch Kooperation der einzelnen Stores viel erreicht werden),
- Reputation (durch Anwenderbewertungen, Download-Statistiken etc.),
- Kill-Switches (das Löschen missliebiger Apps per zentraler Fernsteuerung),
- Gerätesicherheit (die Verzahnung mit den elementaren Schutzfunktonen des Mobilgeräts selbst) und
- so genannte Jails. Das klingt nach Gefängnis, gemeint ist aber eher eine Art elektronischer Fußfessel fürs Smartphone: Es soll nur bei zertifizierten App-Stores einkaufen dürfen.
Speziell zum Punkt „Reputation“ gestehen die Autoren Dr. Marnix Dekker und Dr. Giles Hogben allerdings ein, dass Anwender keine verlässlichen Auskunftgeber zum Thema Sicherheit sind: Im Prinzip schreiben sie (oft viel zu früh) „Läuft prima!“, weil sie auf neue, hübsche Funktionen fixiert sind. Wenn es dann kracht, ist es längst zu spät. Ob der gut gemeinte Rat, für Sicherheitsfragen einen eigenen Feedback-Kanal einzurichten, viel bringen wird, darf bezweifelt werden. Interessanter dürfte der Einfluss von Zweit- und Wiederholungskäufen auf die Reputation sein.
Ohne die Unterschiede zwischen den verschiedenen Smartphone-Modellen und App-Stores aus den Augen zu verlieren, empfiehlt die European Network and Information Security Agency einen gemeinsamen Ansatz der Branche beim Umgang mit unsicheren oder schädlichen Apps.
„Im Vergleich zu PCs ist die Zahl der Schadsoftwareangriffe gegen Smartphones immer noch eher gering. Dieser Bericht liefert eine Vorlage dafür, wie man diesen Vorsprung halten kann und mit der Sicherheit bei verschiedenen App-Stores umgehen sollte“,
sagt Professor Udo Helmbrecht, Geschäftsführender Direktor der ENISA und ehemaliger BSI-Präsident. Bei der ENISA-Webpräsenz können Sie den kompletten Bericht (auf Englisch) herunterladen (Quelle: ENISA/sp).
