Was ist bei der Entwicklung sicherer Apps zu beachten?

Transkript

1 Was ist bei der Entwicklung sicherer Apps zu beachten? Ein Leitfaden zur sicheren App 1

2 Über mich Consultant für Information Security Studium der Wirtschaftsinformatik an der Hochschule München Entwicklung eines Penetration Guides für mobile Geräte Seit 07/2013 Information Security Consultant bei msg Diverse Projekte Mobile Security Sicherheitsaudits Sicherheitsmanager im Projekt 2

3 Agenda 1. Einführung 2. Sicherer Entwicklungsprozess 3. Tipps für die Auswahl von Entwicklungs-Partnern 3

4 Einführung 4

5 Einführung Möchte ich meine Unternehmensdaten auf einer weiteren Plattform zur Verfügung stellen, bei der regelmäßig neue Schwachstellen bekannt werden? 5

6 Sicherer Entwicklungsprozess 6

7 Sicherer Entwicklungsprozess 1. Die Ideenfindung Wichtige Fragen sollten vor der Entwicklung geklärt werden Funktionsumfang Benutzerkreis Daten / Systeme Mobile Plattform Diese Informationen sind eine essentielle Eingangsgröße für die Bedrohungsanalyse Verantwortliche Rolle: Fachbereich 7

8 Sicherer Entwicklungsprozess 2. Die Bedrohungsanalyse Ergebnisse der Bedrohungsanalyse Kritikalität der Daten Weak Server Side Controls Insecure Data Storage Insufficient Transport Layer Protection Unintentend Data Leakage Potenzielle Angreifer Risiken / Angriffsszenarien (OWASP Top 10 Mobile Risks) Poor Authorization and Authentication Broken Cryptography Client Side Injection Security Decisions via Untrusted Inputs Sicherheitsniveau der geplanten App Improper Session Handling Lack of Binary Protections Verantwortliche Rolle: Fachbereich und IT Security Experte OWASP Top 10 Mobile Risks 8

9 Sicherer Entwicklungsprozess 3. Die Sicherheitsanforderungen Abgleich des Sicherheitsniveaus mit eigenen Security Policies Festlegen von Sicherheitsanforderungen Analyse bestehender Sicherheitsfeatures der mobilen Plattformen Definieren von zusätzlichen Maßnahmen Verantwortliche Rolle: IT Security Experte 9

10 Sicherer Entwicklungsprozess 4. Die Umsetzung Mögliche Maßnahmen (individuell) Einsatz des Secure Development Lifecycle Protect Sensitive Data Protect Authentication Credentials Protect Data in Transit Strong Authentication, Session Management, Authorization Sicherheitsschulungen für die Entwickler durchführen (OWASP Top 10 Mobile Controls) Nutzung der vorhandenen Sicherheitsmaßnahmen Secure Services and Server Secure 3rd Party Integration Collect Consent for Use of User Data Protect for Pay Services Einsatz von Sicherheitslösungen Dritter Secure App Distribution / Update Avoid / Safely Use Interpreters Achtung: Sicherheit Usability Verantwortliche Rolle: Entwickler OWASP Top 10 Mobile Controls 10

11 Sicherer Entwicklungsprozess 5. Die Validierung Fortlaufende Überprüfung während der Implementierung Finale Überprüfung durch unabhängige Tester Tests über Go-Live hinaus Prüfung kritischer Apps bei Veränderungen wiederholen Verantwortliche Rolle: IT Security Experte 11

12 Tipps zur Auswahl von Entwicklungs-Partnern 12

13 Tipps zur Auswahl von Entwicklungs-Partnern Lassen Sie sich Referenzen zeigen Einfordern von Nachweisen / Zertifizierungen Auf einen transparenten Entwicklungsprozess achten Bei Verarbeitung von personenbezogenen Daten auf Einhaltung des BDSG achten Sicherheitsauflagen vertraglich regeln Sie müssen Ihrem Anbieter vertrauen! 13

14 Ihr Kontakt bei Fragen oder Anregungen Information Security Telefon: