Bitte warten...

Datenleck in Apps Der waghalsige Weg in die Cloud

Apps für Smartphones haben große Sicherheitslücken. Davor warnen Forscher des Fraunhofer-Instituts für Sicherheit in der Informationstechnik. Tausende Apps sollen unsicher sein.

App

"App" bedeutet "Application"

Von Kai Laufen, Redaktion Reporter & Recherche

Rund dreieinhalb Milliarden Apps haben die Deutschen im vergangenen Jahr auf ihre Smartphones geladen und die Zahl steigt weiter steil an. Die Nutzer vertrauen den Apps private Informationen, Fotos, Gesundheitsdaten und Passwörter an oder nutzen sie zum Bezahlen. Aber die Mehrzahl dieser Apps ist für Hacker leicht zu knacken.

Informatiker des Darmstädter Fraunhofer-Instituts haben nachgewiesen, dass die meisten Apps sich auf unsichere Weise mit Datenbanken verbinden. Die Anbieter der sogenannten Cloud-Service würden zwar prinzipiell sichere Verbindungen ermöglichen - aber die App-Entwickler nutzen diese Möglichkeit zu wenig und sind dazu auch nicht verpflichtet.

Die Sicherheitslücke ist so groß und für Hacker so einfach zu nutzen, dass die Fraunhofer-Forscher jetzt Alarm schlagen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie verschiedene Cloud-Anbieter informiert haben.

Wichtige Infos besser nicht per App speichern

"Wir hatten eine App, die erlaubte Ärzten gewisse Informationen über ihr Krankenhaus zu speichern, zum Beispiel Türcodes, mit denen man dann in bestimmte Operationsräume reinkommt", berichtet der Informatiker Eric Bodden vom Fraunhofer-Institut für Sichere Informationstechnik in Darmstadt. Es war eine der Apps, die nur allzu leicht zu knacken war. "Wir wissen auf jeden Fall jetzt schon, dass Millionen von Nutzern betroffen sind, weil wir entsprechend viele Datensätze gefunden haben. Wir wissen, dass viele Tausend Apps von dieser Sicherheitslücke betroffen sind."

Wer seine Bankgeschäfte über das Smartphone abwickelt, kann davon ausgehen, dass sich das Gerät direkt mit dem Server der Bank verbindet und die Kommunikation verschlüsselt wird - so sichern sich Banken normalerweise ab. Aber die meisten anderen App-Anbieter betreiben keine eigenen Server. Sie programmieren die Apps so, dass die Daten der Anwender bei Cloud-Anbietern gespeichert werden. Das ist billig und bequem, aber auch unsicher.

Keine Zugriffskontrolle für App programmiert

"Eigentlich müssten die Entwickler der Apps bestimmt Zugriffskontroll-Mechanismen in der App installieren, so dass insbesondere nur durch Eingabe eines bestimmten Kennworts in die App auf diese Daten zugegriffen werden kann. Das ist aber vielen App-Entwicklern anscheinend zu kompliziert oder sie verstehen nicht wirklich den Nutzen dieses Sicherheitsfeatures", vermutet Bodden.

Ob Hacker die gefundene Sicherheitslücke auch tatsächlich ausnutzen, ist nicht bekannt. Aber es ist wahrscheinlich, denn die Lücke ist so offensichtlich, dass sie einem Studenten in Darmstadt zufällig aufgefallen war.

Abhilfe ist nicht so schnell in Sicht, denn es fehlen Gesetze, die Softwarehersteller verpflichten, ihre Produkte sicher zu machen. Allerdings lässt das Bundesforschungsministerium zurzeit ein Zertifikat für sichere Apps entwickeln, das schon im kommenden Jahr eingesetzt werden könnte. Ob es auch Verbreitung finden wird, hängt dann von den Smartphone-Nutzern ab, denen die Datensicherheit ein paar Cent wert sein müsste.


Onlineredaktion: Biggi Hoffmann, Christine Scherer