So knacken Hacker moderne Apps – und wie man sich schützt

Only in German available.

Für jede Tätigkeit gibt es heute eine entsprechende App. Die Steuerdaten werden am heimischen Computer erfasst und direkt an den Kanton übermittelt und die anschliessende Steuerrechnung wird dann mittels e-Banking bezahlt. Doch wie wird sichergestellt, dass all diese Daten sicher sind und auch sicher bleiben?

Die Vergangenheit zeigt: Es gelingt Hackern immer wieder, bei als sicher geglaubte Applikationen, Schwachstellen zu finden.

Ein Hauptgrund dafür ist, dass sich Entwickler überwiegend auf die Umsetzung neuer Funktionen und die Verbesserung der Benutzerfreundlichkeit konzentrieren. Begrenzte Budgets und ein hoher Zeitdruck durch kurze Time-to-Market-Zyklen verstärken diesen Fokus zusätzlich. Die Sicherheit der Daten sowie der Datenschutz geraten dabei häufig in den Hintergrund und geniessen selten höchste Priorität.

Hat ein Angreifer erst einmal eine Schwachstelle entdeckt, kann dies für den App-Betreiber weitreichende Konsequenzen haben. Datenlecks können vertrauliche Informationen und sogar ganze Geschäftsmodelle offenlegen. Werden Nutzerkonten kompromittiert, müssen in der Regel sämtliche Passwörter zurückgesetzt werden. Im schlimmsten Fall nutzen Cyberkriminelle die Schwachstelle, um Daten zu stehlen oder Ransomware einzuschleusen - mit der Folge, dass der gesamte Betrieb lahmgelegt wird und es zu Erpressungsversuchen kommt.

Auch Verstösse gegen gesetzliche Vorgaben wie das Datenschutzgesetz (DSG, DSGVO) oder regulatorische Anforderungen der FINMA können schwerwiegende rechtliche und finanzielle Konsequenzen nach sich ziehen. All diese Vorfälle führen nicht nur zu negativer Berichterstattung und potenziellen Geldbussen, sondern auch zu einem erheblichen Reputationsverlust.

Wie kann sich nun ein Unternehmen schützen?

Secure Coding Practices (z. B. OWASP Top 10)

Für die Softwareentwicklung lässt sich der Grundsatz "Don’t roll your own crypto" gut adaptieren: Nicht alles muss neu erfunden werden. Im Gegenteil – bewährte Frameworks sollten bevorzugt eingesetzt und genauso verwendet werden, wie sie konzipiert wurden. Solche Frameworks bieten nicht nur funktionale Vorteile, sondern liefern auch wichtige Leitplanken und definieren etablierte Prozesse. Dadurch lassen sich viele Sicherheitslücken bereits im Vorfeld vermeiden.

Darüber hinaus ist es essenziell, sich an allgemein anerkannte Best Practices im Bereich der Informationssicherheit zu orientieren. Entwickler sollten gezielt geschult werden, damit sie fundierte Kenntnisse in der verwendeten Programmiersprache sowie in den eingesetzten Frameworks und Bibliotheken erwerben. Nur wer die eingesetzten Technologien wirklich versteht, kann sie sicher und korrekt anwenden.

Shift-Left - Was bedeutet das und weshalb ist es wichtig?

Je früher, dass man Sicherheit in die Entwicklung integriert, desto einfacher ist es auch die Sicherheits-Anforderungen zu erfüllen.

Gleiches gilt auch für den Datenschutz: Wird diesem von Anfang an eine hohe Priorität eingeräumt, lassen sich Lösungen entwickeln, die bereits in der Konzeption datenschutzfreundlich gestaltet sind – etwa durch den Einsatz anonymisierter Daten. So wird der Schutz sensibler Informationen integraler Bestandteil der Architektur und nicht erst nachträglich berücksichtigt.

Wird Informationssicherheit oder Datenschutz erst im Nachgang berücksichtigt, ist der Aufwand ungleich höher – und das Risiko für Schwachstellen deutlich grösser.

Tools & Automation: SAST, DAST, Dependency Scanning

In den Deploymentprozess investieren! Der Deploymentprozess bietet an mehreren Stellen die Möglichkeit, automatisierte Sicherheitsscans mit unterschiedlichen Schwerpunkten zu integrieren. Beim Static Application Security Testing (SAST) wird der Quellcode analysiert, um potenzielle Schwachstellen frühzeitig zu erkennen. Dynamic Application Security Testing (DAST) hingegen simuliert Angriffe auf die laufende Anwendung, um Sicherheitslücken im laufenden Betrieb aufzudecken. Ebenso essenziell ist das automatisierte Prüfen und Aktualisieren sämtlicher verwendeter Abhängigkeiten (Dependencies). Veraltete oder unsichere Libraries stellen ein erhebliches Risiko dar und müssen kontinuierlich überwacht werden. Die Integration dieser Sicherheitstests sollte fester Bestandteil jeder modernen Entwicklungspipeline sein – nicht optional, sondern Standard.

API Security – oft übersehen, aber entscheidend

Die API ist das Eingangstor zu den Daten. Ohne eine konsequent umgesetzte Autorisierung an allen API-Endpunkten können sensible Funktionen und Daten ungeschützt öffentlich zugänglich sein. Jeder einzelne Endpoint muss daher gezielt abgesichert werden. Darüber hinaus sollten Rate-Limits definiert und aktiv überwacht werden. Nur so lassen sich untypische Zugriffsmuster oder automatisierte Angriffe frühzeitig erkennen und abwehren.

Penetration Testing & Security Reviews

Und zu guter Letzt unser Spezialgebiet. Pentests sind für die Applikationssicherheit zentral. Den automatisierten Tests fehlt der Kontext in welcher sich eine Applikation befindet, somit können diese nicht alle Sicherheitslücken erkennen. Dabei hilft ein frischer Blick von aussen, den die eigene Entwicklung steckt zu tief drin und “kennt” die Applikation bereits. Externe schauen ganz anders auf eine Applikation und deren Funktionen und können so Sicherheitslücken aufzeigen, bevor diese von einem Angreifer ausgenutzt werden.

Applikationssicherheit ist kein "Nice to have"

Applikationssicherheit bildet die Grundlage für Vertrauen und langfristigen Erfolg.
In einer zunehmend digitalisierten Welt sind sichere Anwendungen nicht nur ein Wettbewerbsvorteil, sondern eine Notwendigkeit. Nur wenn Kundendaten zuverlässig geschützt sind und die Integrität der Systeme gewährleistet wird, kann ein Unternehmen das Vertrauen seiner Nutzer gewinnen und langfristig bewahren. Ohne starke Sicherheitsmassnahmen sind Datenlecks, Angriffe und der Verlust von Kundenzufriedenheit vorprogrammiert – was sowohl rechtliche als auch finanzielle Konsequenzen nach sich ziehen kann.

Bei Fragen zur Applikationssicherheit stehen wir gerne zur Verfügung. Mehr als zwanzig Jahre Erfahrung in der Softwareentwicklung und der Cybersicherheit machen uns zu wertvollen Experten, die ihr Wissen gerne teilen.