PenetrationstestJan Kahmen8 min Lesezeit

Der OWASP Mobile Security Testing Guide

Da sich der OWASP Testing Guide mit mobiler Sicherheit befasst, stellt sich die Frage - Was ist Mobile Security überhaupt?

Inhaltsverzeichnis

Was ist OWASP?

Die Abkürzung OWASP steht für Open Web Application Security Project und ist vor allem für ihren OWASP Testing Guide bekannt. Dieser OWASP Testing Guide bietet Ihnen einen Leitfaden, wie Sie Prozesse, Techniken und Tools für die Sicherheitstests mobiler Apps nutzen. Als Test- und Sicherheitsleitfaden stellt der OWASP Testing Guide Ihnen bewährte Maßnahmen vor. Durch diese erhöhen Sie die Sicherheit Ihrer sensiblen Unternehmensdaten.

Was ist Mobile Security?

Da sich der OWASP Testing Guide mit mobiler Sicherheit befasst, stellt sich die Frage "Was ist Mobile Security überhaupt?". Dabei handelt es sich um unterschiedliche Verfahren, die dazu beitragen, dass Ihre Anwendungen sicher sind. Diese Sicherheit ist nicht nur innerhalb Ihres Unternehmens wichtig: Sie ist auch auf Ihren mobilen Geräten wichtig, mit denen Sie von unterwegs auf sensible Informationen zugreifen. Methoden wie das Penetrationstesting richten sich nach den Richtlinien, die der OWASP Testing Guide vorschlägt. Dabei werden stets die folgenden Punkte geprüft:

  • Unsachgemäße Datenspeicherung, Kommunikation und Plattformnutzung.
  • Unsichere Authentifizierung, Autorisierung und Kommunikation.
  • Manipulationsmöglichkeiten innerhalb des Quellcodes.
  • Reverse Engineering.
  • Unzureichende Kryptografie sowie Datenspeicherung.

Solche Tests können Sie grundsätzlich auf sämtlichen Geräten und für unterschiedlichste Applikationen durchführen: Von nativen Apps über mobile Web Apps bis hin zu hybriden Lösungen ist alles möglich.

So funktioniert Mobilie Security

Mobile Security ist ein zentrales Thema, sobald Ihr Unternehmen den Einsatz von Apps unterstützt. Mobile App Pentests - und Erfahrunge - zeigen: besonders Smartphones und Tablets sind oft unzureichend gesichert, wodurch ein großes Sicherheitsrisiko entsteht. Erfolgt ein Angriff, kann dieser finanzielle Verluste sowie eine beschädigte Reputation nach sich ziehen. Um das zu vermeiden, bietet Ihnen der OWASP Testing Guide eine zentrale Richtlinie. Mit dieser bieten Sie potenziellen Angreifern möglichst wenig Angriffsfläche. Grundsätzlich muss Mobile Security nicht kompliziert sein. Die Grundlage dafür sind technische Lösungen, die Ihre mobilen Systeme von vorneherein schützen. Solche Ansätze bietet Ihnen der OWASP Testing Guide, sowie das notwendige Verständnis dafür, welche Tests zu welchem Zeitpunkt wichtig sind. Eine Möglichkeit, Ihre mobile Sicherheit zu erhöhen, sind beispielsweise Container Apps. Sie stellen sicher, dass die Unternehmensdaten auf Ihrem Mobilgerät gesichert sind, anstatt das Gerät selbst abzusichern. Dieser Ansatz erleichtert nicht nur Ihrer IT-Abteilung die Arbeit, sondern ist eine Stand-alone-Lösung, die zahlreiche Vorteile mit sich bringt.

Die Vision des OWASP Mobile Security Testing Guides

Der OWASP Testing Guide verfolgt das Ziel, einen Industriestandard für die Security mobiler Anwendungen zu definieren. Deshalb handelt es sich bei dem OWASP Testing Guide um einen umfangreichen Testleitfaden. Er berücksichtigt sowohl Prozesse und Techniken als auch die notwendigen Tools. Anhand einer hohen Anzahl an Testfällen ist es möglich, konsistente und vollständige Ergebnisse im Rahmen der bewährten Sicherheitsstandards zu liefern.

Das umfasst der OWASP Mobile Security Testing Guide

Der OWASP Testing Guide enthält unterschiedliche Thematiken rund um die Themen Security Testing und Mobile Security. Dabei befasst sich das Handbuch beispielsweise mit Mobile App Security Testing, sowie fortgeschrittenen Aspekte wie Reverse Engineering. Das macht ihn zu einer wertvollen Informationsquelle für die Entwickler von mobilen Anwendungen für die Betriebssysteme iOS und Android. Folgende Inhalte bietet Ihnen der OWASP Testing Guide hinsichtlich dieser Themen:

  • Internes Fachwissen zu den mobilen Plattformen.
  • Wichtige Sicherheitstests für mobile Apps unter Berücksichtigung ihres Entwicklungslebenszyklus.
  • Grundlegende dynamische und statische Sicherheitstests.
  • Manipulation und Reverse Engineering von mobilen Apps.
  • Bewertungen des Softwareschutzes.
  • Außerdem bietet der OWASP Testing Guide detaillierte Testfälle gemäß den Anforderungen des MASVS.

Der OWASP Testing Guide ist eine wichtige Richtlinie, mit der Sie die Sicherheit Ihrer mobilen Apps erhöhen können. Er unterstützt zahlreiche Entwickler bei ihrer täglichen Arbeit: Darunter Softwarearchitekten, die eine sichere Anwendung entwickeln möchten. Ebenso Sicherheitstester, die sicherstellen möchten, dass ihre Testergebnisse vollständig und konsistent sind.

Aufgrund des großen Publikums, an das sich der OWASP Testing Guide richtet, ist er in unterschiedlichen Sprachen verfügbar: Sie erhalten den OWASP Testing Guide also nicht nur auf Deutsch, sondern beispielsweise auf Englisch, Französisch, Russisch, Spanisch und Chinesisch.

Außerdem bietet Ihnen der OWASP Testing Guide eine umfangreiche Checkliste, basierend auf der MASVS und der MSTG. Zusätzlich sind MSTG-Testfälle enthalten, die Ihnen zu einem besseren Security Testing verhelfen.

Den Mobile Security Testing Guide auf GitHub kommentieren

Der OWASP Testing Guide steht Ihnen als GitBook online zur Verfügung. Das bedeutet, Sie finden den Leitfaden auf GitHub, wo Sie die vorhandenen Ratschläge kommentieren können. Auf diese Weise ist es Ihnen möglich, eigene Vorschläge einzubringen. Obwohl sich der Guide vorrangig an die Entwickler von iOS- und Android-Apps richtet: Sie können auch als Nicht-Programmierer darauf Einfluss nehmen und so zu einer besseren OWASP Security beitragen.

So setzt sich der OWASP Mobile Security Verification Standard zusammen

Damit Sie wissen, welche Schritte Sie ergreifen müssen, gilt es zunächst den Schutzbedarf Ihrer App zu definieren. Dafür kommen hinsichtlich Ihre Web Security drei Ebenen in Betracht. Diese dienen als Erweiterung und verbessern Ihren allgemeinen Ansatz:

  • R: Widerstandsfähigkeit gegenüber Reverse Engineering und Tampering (für den Schutz durch eine Modifikation durch die App).
  • L2: Defense-in-Depth (beispielsweise eine Zwei-Faktor-Autorisierung).
  • L1: Standard-Security (zum Beispiel der Netzwerkverkehr).

Anhand dieser Ebenen definiert der Leitfaden OWASP Testing Guide die Sicherheitsanforderungen und stellt Ihnen grundlegende Richtlinien zur Verfügung.

Voraussetzungen zum Nutzen der Mobile App Security

Möchten Sie den OWASP Testing Guide für Ihre Web Security nutzen, benötigen Sie die zugehörige Checkliste. Diese können Sie dafür verwenden, die MASVS-Anforderungen zu prüfen. Ein weiterer Vorteil ist, dass Sie die OWASP Security mit dem MSTG-Testfall verbinden können. Dadurch vereinfachen Sie die mobilen Penetrationstests.

Grundsätzlich ist es jedoch wichtig, dass Sie eine Schulung hinsichtlich Mobile Security anvisieren. Solche Sicherheitsschulungen bietet der Mobile Security Testing Guide, der Ihnen eigenständige Lernressourcen zur Verfügung stellt. Auf diese Weise machen Sie sich mit dem grundlegenden Basiswissen vertraut, erfahren aber auch von fortgeschrittenen Reverse-Engineering-Techniken.

Diese Versionen des OWASP Testing Guides sind verfügbar

Sie erhalten den OWASP Testing Guide in unterschiedlichen Versionen. Aktuell finden Sie auf GitHub die folgenden Releases:

  • Release 1.2 mit einem Update hinsichtlich MASVS und MSTG.
  • Release 1.3 für Android Q und iOS 13.
  • Release 1.4 als Major Release.

Für wen ist der OWASP Mobile Security Testing Guide geeignet?

Wenn Ihnen das Thema Web Security am Herzen liegt, ist der OWASP Testing Guide ein Hilfsmittel bei Ihrem Vorhaben: Denn durch den OWASP Testing Guide erhalten Sie die wichtigsten Werkzeuge, um sensible Daten in Ihren Apps sicher zu verarbeiten. Ob Sie diese Apps wiederum selbst entwickeln oder vorhandene Software nutzen, spielt keine Rolle. Wichtig ist einzig zu verstehen das Mobile Security ein Thema ist, das Sie auf keinen Fall vernachlässigen sollten.

Erweitern Sie Ihren Horizont mit einer Reifegradanalyse!

Reifegradanalyse für 1990 € !

Buchen Sie unserer Kennenlernprojekt, um einen groben aber ganzheitlichen Überblick über Ihre Maßnahmen in der Informationssicherheit zu bekommen!

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: