OWASP: Mobile Application Security Verification Standard
Mobilgeräte nehmen eine immer größere Rolle bei der Interaktion zwischen Unternehmen und Kund:innen ein – dieser Anteil soll künftig auf mehr als 70 Prozent steigen. Doch mit der verstärkten Nutzung mobiler Endgeräte gehen auch Sicherheitsrisiken wie Datenraub und -missbrauch einher. Die Non-Profit-Organisation OWASP nimmt sich dieser Herausforderung mit dem Industriestandard MASVS an und unterstreicht damit die Relevanz von App Security. Durch die Einhaltung des MASVS können Organisationen das Vertrauen ihrer Nutzer:innen stärken und das Risiko von mobilen Sicherheitsvorfällen minimieren. Erfahren Sie hier, wie sich der MASVS zusammensetzt und wie Sie ihn richtig anwenden können!
OWASP: Definition
Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Organisation, die sich der Verbesserung der Sicherheit von Anwendungen widmet. Hierfür bietet OWASP Tools, Ressourcen, Schulungen und Richtlinien für Entwickler:innen, Sicherheitsexpert:innen und Unternehmen. Die Organisation ist vor allem für die Veröffentlichung des OWASP Top 10 bekannt. Dabei handelt es sich um eine Liste der zehn häufigsten Sicherheitsrisiken für Webanwendungen. Zudem zeichnet sich OWASP durch eine aktive Community aus zehntausenden Mitgliedern weltweit aus. Diese widmet sich dem transparenten Austausch von Best Practices und dem Aufzeigen von Schwachstellen in Webanwendungen.
OWASP Top 10 in 2023
Die OWASP Top 10 Risiken sollten stets bei der Entwicklung und dem Betrieb von Apps berücksichtigt werden. Auf diese Weise sind sich Entwickler:innen aktueller Angriffsvektoren bewusst und können diese in das Sicherheitskonzept ihrer App integrieren. Zu den OWASP Top 10 2023 gehören Sicherheitsrisiken wie eine fehlerhafte oder fehlende Implementierung von Authentifizierungsmechanismen, die unsichere Nutzung von Drittanbieter-APIs durch Entwickler:innen oder Schwachstellen bei der Zugriffskontrolle.
OWASP Update: Mobile Application Security Verification Standard
Für die Beurteilung der Mobile Security von Apps entwickelte OWASP den Sicherheitsstandard MASVS. Damit unterstreicht die NGO, dass das Thema App Security eine zunehmend wichtigere Rolle in der Cybersecurity-Welt einnimmt. Der Mobile Application Security Verification Standard (MASVS) ist ein Industriestandard für Mobile Security, der mobile Anwendungen angemessen gegen Sicherheitsbedrohungen schützen soll. Der MASVS umfasst eine checklistenartige Sammlung von Mindestanforderungen, Best Practices und Testszenarien zur Umsetzung von Schutzmaßnahmen. Diese unterscheiden sich je nach Kontext der App. So hat eine mobile Banking-App einen höheren Schutzbedarf als eine Wetter-App, die keine sensitiven Informationen der Nutzer:innen speichert.
Zur Ermittlung des Schutzbedarfs einer App ist der MASVS in drei Ebenen unterteilt, die unterschiedliche Sicherheitsaspekte abdecken:
- MASVS-L1 – Standardsicherheit: Diese Ebene umfasst grundlegende Sicherheitsanforderungen, die in jeder mobilen App berücksichtigt werden sollten, unabhängig von ihrem Verwendungszweck oder ihrer Funktionalität. Hierzu zählen Sicherheitsaspekte wie Codequalität und der DSGVO-konforme Umgang mit Daten.
- MASVS-L2 – Tiefenverteidigung: Diese Ebene enthält zusätzliche Sicherheitsanforderungen basierend auf dem Bedrohungsmodell für Branchen, die besonders sensible Daten verarbeiten (z.B. Banken). Hierzu gehören Sicherheitspraktiken wie die Zwei-Faktor-Authentisierung.
- MASVS-R – Resilienz: Die Resilienz-Ebene konzentriert sich auf die Fähigkeit einer mobilen Anwendung, gegen Reverse Engineering und Manipulation robust zu sein. Reverse Engineering bezieht sich auf den Prozess, bei dem ein Angreifer einen App-Code analysiert, um mögliche Schwachstellen zu identifizieren und diese auszunutzen. Manipulation meint die Möglichkeit eines Angreifers, den Code einer Anwendung unautorisiert zu ändern.
MASVS-Privacy: Schutz der Privatsphäre
MASVS-Privacy ist eine Erweiterung des MASVS, die sich speziell auf den Schutz der Privatsphäre von User:innen in mobilen Apps konzentriert. Es bietet eine Reihe von Kontrollen, mit denen Entwickler:innen und Unternehmen sicherstellen sollen, dass ihre Apps die Datenschutzanforderungen erfüllen und die Privatsphäre der Nutzer:innen angemessen schützen.
MASVS-Privacy definiert folgende Anforderungen an eine sichere App:
- MASVS-PRIVACY-1: Die App minimiert den Zugriff auf sensible Daten.
- MASVS-PRIVACY-2: Die App verhindert die Identifizierung der User:innen.
- MASVS-PRIVACY-3: Die App informiert transparent über die Datennutzung.
- MASVS-PRIVACY-4: Die App bietet Nutzer:innen Kontrolle über ihre Daten.
MASVS: So erfüllen Sie die Sicherheitsanforderungen
In einer zunehmend vernetzten Welt ist es zwingend erforderlich, dass Apps vor mobilen Risiken abgesichert sind. Unsere App Security Analysen zeigen deutlich: Viele der auf dem Smartphone hinterlegten Apps bieten Cyber-Kriminellen eine ideale Angriffsfläche, um sensible Daten abzugreifen und diese zu missbrauchen. Insbesondere im Business-Umfeld ist es deshalb unumgänglich, den Überblick über die eingesetzten Apps zu behalten und die Einhaltung von Compliance-Richtlinien, Datenschutzvorgaben und Sicherheitsstandards (z.B. CVSS, MASVS) sicherzustellen. APPVISORY bietet eine solche Vorgehensweise an: Die App Risk Management Suite prüft Anwendungen in statischen und dynamischen Analyseverfahren auf etwaige Sicherheitslücken. Zusätzlich besteht die Möglichkeit, manuelle Schwachstellenbewertungen entlang relevanter Sicherheitsstandards durch Pentester durchführen zu lassen. Stellen Sie hierfür einfach eine Anfrage über unser Kontaktformular.
