Der OWASP Mobile Security Testing Guide

Was ist OWASP?

Die Abkürzung OWASP steht für Open Web Application Security Project. Bekannt ist das Projekt vor allem für seinen OWASP Testing Guide, der Ihnen einen praxisorientierten Leitfaden für Prozesse, Techniken und Tools zur Sicherheitsprüfung mobiler Apps bietet. Der Guide stellt bewährte Maßnahmen vor, mit denen Sie die Sicherheit Ihrer sensiblen Unternehmensdaten gezielt erhöhen.

Was ist Mobile Security?

Da sich der OWASP Testing Guide mit mobiler Sicherheit befasst, stellt sich die Frage: Was genau versteht man unter Mobile Security? Der Begriff umfasst verschiedene Verfahren, die dafür sorgen, dass Ihre Anwendungen sicher sind. Diese Sicherheit ist nicht nur innerhalb Ihres Unternehmens relevant, sondern auch auf mobilen Geräten, mit denen Sie von unterwegs auf sensible Informationen zugreifen. Methoden wie das Penetrationstesting orientieren sich an den Richtlinien des OWASP Testing Guides. Dabei werden stets die folgenden Punkte geprüft:

• Unsachgemäße Datenspeicherung, Kommunikation und Plattformnutzung
• Unsichere Authentifizierung, Autorisierung und Kommunikation
• Manipulationsmöglichkeiten innerhalb des Quellcodes
• Reverse Engineering
• Unzureichende Kryptografie und Datenspeicherung

Diese Tests lassen sich auf sämtlichen Geräten und für unterschiedlichste Applikationen durchführen: von nativen Apps über mobile Web Apps bis hin zu hybriden Lösungen.

So funktioniert Mobile Security

Mobile Security wird zum zentralen Thema, sobald Ihr Unternehmen den Einsatz von Apps unterstützt. Mobile App Pentests und Praxiserfahrungen zeigen: Besonders Smartphones und Tablets sind häufig unzureichend gesichert, wodurch erhebliche Sicherheitsrisiken entstehen. Ein erfolgreicher Angriff kann finanzielle Verluste und Reputationsschäden nach sich ziehen. Um das zu vermeiden, bietet Ihnen der OWASP Testing Guide eine zentrale Richtlinie, mit der Sie potenziellen Angreifern möglichst wenig Angriffsfläche bieten.

Mobile Security muss dabei nicht kompliziert sein. Die Grundlage bilden technische Lösungen, die Ihre mobilen Systeme von vornherein schützen. Der OWASP Testing Guide liefert Ihnen entsprechende Ansätze und das nötige Verständnis dafür, welche Tests zu welchem Zeitpunkt sinnvoll sind. Eine Möglichkeit, Ihre mobile Sicherheit zu erhöhen, sind beispielsweise Container Apps. Sie sichern die Unternehmensdaten auf Ihrem Mobilgerät, anstatt das Gerät selbst abzusichern. Dieser Ansatz erleichtert nicht nur Ihrer IT-Abteilung die Arbeit, sondern bietet als eigenständige Lösung zahlreiche Vorteile.

Die Vision des OWASP Mobile Security Testing Guides

Der OWASP Testing Guide verfolgt das Ziel, einen Industriestandard für die Sicherheit mobiler Anwendungen zu definieren. Deshalb ist er als umfangreicher Testleitfaden konzipiert, der Prozesse, Techniken und die notwendigen Tools gleichermaßen berücksichtigt. Mithilfe einer großen Anzahl an Testfällen lassen sich konsistente und vollständige Ergebnisse im Rahmen bewährter Sicherheitsstandards erzielen.

Das umfasst der OWASP Mobile Security Testing Guide

Der OWASP Testing Guide behandelt verschiedene Themen rund um Security Testing und Mobile Security. Das Handbuch befasst sich unter anderem mit Mobile App Security Testing sowie fortgeschrittenen Aspekten wie Reverse Engineering. Damit ist er eine wertvolle Informationsquelle für Entwickler mobiler Anwendungen auf iOS und Android. Folgende Inhalte bietet Ihnen der OWASP Testing Guide:

• Internes Fachwissen zu den mobilen Plattformen
• Wichtige Sicherheitstests für mobile Apps unter Berücksichtigung ihres Entwicklungslebenszyklus
• Grundlegende dynamische und statische Sicherheitstests
• Manipulation und Reverse Engineering von mobilen Apps
• Bewertungen des Softwareschutzes
• Detaillierte Testfälle gemäß den Anforderungen des MASVS

Der OWASP Testing Guide ist eine wichtige Richtlinie, mit der Sie die Sicherheit Ihrer mobilen Apps erhöhen. Er unterstützt zahlreiche Entwickler bei ihrer täglichen Arbeit: darunter Softwarearchitekten, die eine sichere Anwendung entwickeln möchten, ebenso wie Sicherheitstester, die vollständige und konsistente Testergebnisse sicherstellen wollen.

Aufgrund seiner breiten Zielgruppe ist der OWASP Testing Guide in verschiedenen Sprachen verfügbar, darunter Deutsch, Englisch, Französisch, Russisch, Spanisch und Chinesisch.

Darüber hinaus bietet Ihnen der Guide eine umfangreiche Checkliste auf Basis von MASVS und MSTG. Ergänzend sind MSTG-Testfälle enthalten, die Ihnen zu einem besseren Security Testing verhelfen.

Den Mobile Security Testing Guide auf GitHub kommentieren

Der OWASP Testing Guide steht Ihnen als GitBook online zur Verfügung. Sie finden den Leitfaden auf GitHub, wo Sie die vorhandenen Empfehlungen kommentieren und eigene Vorschläge einbringen können. Obwohl sich der Guide vorrangig an iOS- und Android-Entwickler richtet, können auch Nicht-Programmierer daran mitwirken und so zu einer besseren OWASP Security beitragen.

So setzt sich der OWASP Mobile Security Verification Standard zusammen

Um die richtigen Schritte einzuleiten, gilt es zunächst, den Schutzbedarf Ihrer App zu definieren. Dafür stehen drei Ebenen zur Verfügung, die Ihren Sicherheitsansatz erweitern und verbessern:

• R: Widerstandsfähigkeit gegenüber Reverse Engineering und Tampering (Schutz vor Modifikation der App)
• L2: Defense-in-Depth (beispielsweise Zwei-Faktor-Authentifizierung)
• L1: Standard-Security (zum Beispiel Netzwerkverkehr)

Auf Basis dieser Ebenen definiert der OWASP Testing Guide die Sicherheitsanforderungen und stellt Ihnen grundlegende Richtlinien zur Verfügung.

Voraussetzungen zum Nutzen der Mobile App Security

Möchten Sie den OWASP Testing Guide für Ihre Web Security nutzen, benötigen Sie die zugehörige Checkliste. Mit ihr lassen sich die MASVS-Anforderungen systematisch prüfen. Zudem können Sie die OWASP Security mit den MSTG-Testfällen verknüpfen und so Ihre mobilen Penetrationstests vereinfachen.

Darüber hinaus empfiehlt es sich, gezielte Schulungen im Bereich Mobile Security wahrzunehmen. Der Mobile Security Testing Guide stellt Ihnen dafür eigenständige Lernressourcen bereit. So machen Sie sich sowohl mit den Grundlagen vertraut als auch mit fortgeschrittenen Reverse-Engineering-Techniken.

Diese Versionen des OWASP Testing Guides sind verfügbar

Der OWASP Testing Guide ist in verschiedenen Versionen erhältlich. Aktuell finden Sie auf GitHub die folgenden Releases:

• Release 1.2 mit einem Update zu MASVS und MSTG
• Release 1.3 für Android Q und iOS 13
• Release 1.4 als Major Release

Für wen ist der OWASP Mobile Security Testing Guide geeignet?

Wenn Ihnen Web Security am Herzen liegt, ist der OWASP Testing Guide ein wertvolles Hilfsmittel: Er liefert Ihnen die wichtigsten Werkzeuge, um sensible Daten in Ihren Apps sicher zu verarbeiten. Ob Sie diese Apps selbst entwickeln oder bestehende Software einsetzen, spielt dabei keine Rolle. Entscheidend ist, dass Mobile Security ein Thema ist, das Sie keinesfalls vernachlässigen sollten.