Durch Mobile App Pentests die Sicherheit Ihrer App(s) erhöhen
Persönliche Informationen, Fotos oder Kontoangaben – Apps speichern eine Vielzahl an sensiblen Daten. Sind Applikationen allerdings nicht ausreichend vor potenziellen Hackerangriffen geschützt, sind diese privaten Daten in Gefahr.
Mittels bedarfsgerechter Penetrationstests (Pentests) stellen wir Ihre App(s) auf den Sicherheits-Prüfstand und unterstützen Sie dabei, diese bestmöglich gegen Cyberattacken und Datendiebstähle abzusichern. Dazu überprüfen unsere Expert:innen die etablierten Sicherheitsmaßnahmen, identifizieren konkrete Risiken und decken Schwachstellen auf.
Professionelle Prüfung Ihrer Android- oder iOS-App nach MASVS
Unsere Expert:innen prüfen Ihre App unter anderem nach den Anforderungen des OWASP Mobile Application Security Verification Standards (MASVS).
Ihre App bestmöglich vor Angriffen geschützt
Mithilfe von Pentests decken unsere Expert:innen potenzielle Schwachstellen innerhalb Ihrer mobilen App auf, bevor Cyberkriminelle diese nutzen können.
Prüfbericht mit Handlungsempfehlungen zur Behebung
Sie erhalten einen ausführlichen Bericht, der die Ergebnisse der Prüfung sowie mögliche Handlungsempfehlungen zur Behebung von Schwachstellen enthält.
Was ist ein App-Pentest?
Ein App-Pentest (Mobile App Penetration Testing) ist eine IT-Sicherheitsmaßnahme, mit der die Sicherheit von mobilen Applikationen (kurz: Apps) überprüft und bewertet wird.
Ziel ist es, mögliche Schwachstellen sowie Angriffspunkte frühzeitig zu identifizieren und damit die Sicherheit der getesteten App zu erhöhen. Ausgebildete IT-Sicherheitsexpert:innen setzen dabei auf Methoden und Mittel, die auch echte Angreifer:innen nutzen würden.
Sie möchten mehr erfahren? Nehmen Sie gerne Kontakt zu uns auf!
Pentests gegen Apps: Ihre Vorteile auf einen Blick
Aufdeckung potenzieller Schwachstellen
Durch Pentests erkennen Sie mögliche Schwachstellen in Ihrer mobilen App und können diese proaktiv schließen.
Höhere IT-Sicherheit, geringere IT-Risiken
Mithilfe von Pentests erhöhen Sie die Sicherheit Ihrer mobilen App und reduzieren mögliche Sicherheitsrisiken.
Pentests gemäß anerkannter Standards
Wir prüfen Ihre App nach Mobile Application Security Verification Standard & Mobile Security Testing Guide.
Vertrauen bei Kunden & Geschäftspartnern
Eine unabhängige Sicherheitsanalyse Ihrer App stärkt das Vertrauen bei Ihren Kunden & Geschäftspartnern.
Vermeidung von wirtschaftlichen & Reputationsschäden
Mithilfe von Pentests kommen Sie möglichen Angriffen zuvor & schützen sich vor damit einhergehenden Schäden.
Kontinuierliche Optimierung der IT-Sicherheit
Durch das Aufdecken von Optimierungspotenzialen verbessern Sie kontinuierlich die IT-Sicherheit Ihrer App.
Abschließender Prüfbericht inkl. Handlungsempfehlungen
Neben den Prüfergebnissen geben wir Ihnen auch Empfehlungen zur Behebung von Schwachstellen an die Hand.
Automatisierte sowie manuelle Pentests
Sinnvolle Ergänzung durch manuelle Tests, die mithilfe von automatisierten Tools in der Regel nicht gefunden werden.
Unsere Leistungen: 3 Arten von Pentests gegen Apps
Spot Check
– Level 1
Stichprobenartige Einschätzung des Sicherheitsniveaus Ihrer App im Hinblick auf Schwachstellen.
Stichprobe / Erste Einschätzung
Regular Pentest
– Level 2
Untersuchung zur Einschätzung der Sicherheit, mit dem Ziel die am häufigsten auftretenden Risiken und Schwachstellen für Apps zu ermitteln.
Für die meisten Apps
Advanced Pentest
– Level 3
Tiefergehende Untersuchung, die zusätzlich zu Level 2 auch Risiken/Schwachstellen ermittelt, die schwer ausnutzbar sind, insbesondere durch mehr Testfälle.
Hohes Sicherheitsniveau
Ablauf eines Mobile App Pentests
1.
Vorbereitung & Kickoff
Besprechung technischer & organisatorischer Besonderheiten sowie der Voraussetzungen.
2.
Informationsbeschaffung & Analyse
Erfassung der wesentlichen Informationen über den Untersuchungsgegenstand.
3.
Durchführung Penetrationstests
Untersuchung der ausgewählten App(s) auf Grundlage der gesammelten Informationen.
4.
Abschlussbericht
Zusammenfassung aller Prüfungsergebnisse in Form eines aussagekräftigen Abschlussberichtes.
Optional: Re-Test
Prüfung, ob die durchgeführten Verbesserungs- & Abwehrmaßnahmen (wirksam) greifen.
Das wird untersucht
Im Rahmen des Penetrationstests wird eine mobile Android / iOS App automatisiert und manuell auf Sicherheitsschwachstellen untersucht. Ziel ist es, die kritischsten bzw. am häufigsten ausgenutzten Sicherheitsrisiken für mobile Apps zu ermitteln.
Datenspeicherung: Neben Datenverlust bei Diebstahl, Verlust oder unbefugtem Zugriff auf ein Gerät kann dieser ebenso durch bösartige Apps entstehen. Es wird u.a. geprüft, wie die App Daten verarbeitet, überträgt und auf dem Gerät speichert.
Kryptografie: Insbesondere bei mobilen Geräten spielt der Schutz von Daten eine große Rolle. Es wird u.a. geprüft, ob aktuelle kryptografische Verfahren und Algorithmen verwendet werden, bspw. zur Speicherung von Daten.
Netzwerkkommunikation: Eine sichere Datenübertragung ist insbesondere bei mobilen Geräten ein wichtiger Aspekt. Es wird u. a. überprüft, ob die Daten beim Transport sicher verschlüsselt sind und (TLS-)Zertifikate korrekt überprüft werden.
Manipulationssicherheit/Resilienz: Wird die App vor unberechtigten Manipulationen geschützt, erhöht dies noch einmal die Sicherheit, bspw. gegen Reverse Engineering.
Plattform-Interaktion: Mobile Betriebssysteme unterscheiden sich zu Desktop-Betriebssystemen, bspw. durch die Vergabe von Berechtigungen pro App oder eine Interprozess-Kommunikationsmöglichkeit (IPC) zum Datenaustausch. Diese und weitere Funktionen werden hinsichtlich sicherer Nutzung überprüft.
API-Endpunkte / Backend: Fast jede App kommuniziert mit Backend-Diensten (API-Endpunkten), die oft für die gleichen Arten von Angriffen anfällig sind wie Webapplikationen. Daher werden auch die OWASP Top 10 Schwachstellen für Webanwendungen/APIs (wo möglich) stichprobenartig mit einbezogen.
Authentifizierung und Session Management: Der Schutzmechanismus der App bzw. der Daten der App vor unberechtigtem Zugriff wird überprüft. Hier stehen (falls vorhanden) ebenfalls die Endpunkte (Backend-Systeme) im Fokus.
Häufig gestellte Fragen (FAQ):
Der Abschlussbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:
- Einleitung: Kurzbeschreibung des Prüfgegenstandes, Ziel des Pentests sowie Dokumentation von Besonderheiten während der Untersuchung.
- Management/Executive Summary: Zusammenfassung der Ergebnisse und Einschätzung des allgemeinen Sicherheitsniveaus.
- Risikobewertung: Zuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
- Übersichtliche Darstellung: Übersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle sowie in einem Risikostrahl, der die Anzahl der Schwachstellen pro Risikograd darstellt.
- Detaillierte Beschreibung der Schwachstellen & Proof-of-Concept: Zu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
- Auswertung automatisierter Tests: Die Ergebnisse der automatisierten Tests werden von den TÜVIT-Expert:innen ausgewertet, auf false/positive geprüft und anschließend im Bericht zusammengefasst.
- Maßnahmenempfehlung zur Behebung der Schwachstelle: Zu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
- Referenzen: Sofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an.
- Technische Anhänge: Sofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.
- Black-Box
Pentest ohne Zusatzinformationen
- Grey-Box (Standard)
Pentest mit Zusatzinformationen, bspw. Testzugangsdaten und (API-) Dokumentationen
- White-Box
Pentest mit weiteren Zusatzinformationen, neben Testzugangsdaten bspw. Architektur-/Designdokumente, Kommunikationsmatrix oder Quellcode
Die Vorgehensweise der TÜVIT-Expert:innen orientiert sich an dem OWASP Mobile Application Security Verification Standard (MASVS), der grundlegende Sicherheitsanforderungen für mobile Apps festlegt sowie dem Mobile Security Testing Guide (MSTG , der beschreibt, wie die Anforderungen aus dem MASVS überprüft werden können.
Die Testdauer hängt von der gewählten Untersuchungsart (Level 1 bis 3) ab, siehe oben. Abweichend vom Testzeitraum wird ein Zeitraum von mindestens 1 Woche beim Spot Check (Level 1) bzw. mindestens 2 Wochen beim Regular (Level 2) und Advanced (Level 3) Pentest angenommen.
Die Kosten hängen von der gewählten Untersuchungsart (Level 1 bis 3) sowie der Komplexität des Untersuchungsgegenstandes ab. Ein Spot Check bewegt sich im unteren bis mittleren vierstelligen Bereich. Der Regular Pentest liegt im oberen vierstelligen bzw. unteren fünfstelligen Bereich und der Advanced Pentest beginnt im unteren fünfstelligen Bereich. Für eine genaue Preisindikation benötigen wir weitere Informationen zu Ihrer App.
Warum wir ein starker Partner für Sie sind
Unabhängigkeit
Expertise
Internationales Expertennetzwerk
Branchenerfahrung
Auf Sie zugeschnitten
