Unter der im allgemeinen Sprachgebrauch üblichen Abkürzung „App“, welche von dem englischen Begriff application software entstammt, versteht man eine Anwendungssoftware für unterschiedlichste Verwendungszwecke. Üblicherweise wird der Begriff App für Programme verwendet, welche zur Verwendung auf Mobilgeräten vorgesehen sind. Diese Programme bieten eine Vielzahl an Anwendungsmöglichkeiten für den Nutzer.
Für die mobilen Endgeräte sind verschiedene Betriebssysteme wie beispielsweise Android oder iOS verfügbar. Die vom Nutzer gewünschten Apps können in sogenannten „Stores“ erworben und heruntergeladen werden. Zu nennen sind hier Googles „Play Store“ oder Apples „App-Store“. Beim Herunterladen dieser Apps muss der Endanwender einer Vielzahl an Nutzungsbedingungen zustimmen, um die App nutzen zu können.
Die Nutzung von Smartphones und deren Apps sind mit vielen Vorteilen verbunden, jedoch werden in den App-Stores auch unsichere und sogar bösartige Apps angeboten. Die beliebte App „WhatsApp“, mit ca. 450 Mio. Nutzern weltweit darf beispielsweise ungefragt Standort- daten senden oder aber auch auf das Adressbuch des Nutzers zugreifen und dieses an Dritte senden (Bodden et al., 2013). Viele Apps sind kostenlos herunterzuladen, jedoch ist Werbung in diese integriert und so können Werbeanbieter auf der einen Seite Geld verdienen und auf der anderen Seite aber durch die Nutzung der Daten Profile erstellen und auf den Nutzer zugeschnittene Werbung generieren. Bösartige Apps versuchen, Kontrolle über das Gerät zu erhalten und dann Anrufe zu tätigen oder SMS zu versenden (Bodden et al., 2013).
Gerade in der Business Welt spielt der Zugriff auf Daten eine wichtige Rolle. Für Daten mit mittlerem und hohem Schutzbedarf ist es unerlässlich, dass die verwendete Software kontrolliert wird. Dies bedeutet, dass die Nutzung vertraulicher Daten auf dem Smartphone limitiert wird, die Kommunikation verschlüsselt und die Schutzsoftware gestärkt wird (Heider, 2014). Allein durch die Nutzung der E‑Mail Funktion über das Smartphone kann die Information, wenn in die falschen Hände geraten, zu einem Verlust der Wettbewerbsfähigkeit oder Innovationsfähigkeit eines Unternehmens führen. Diese Maßnahmen sind zum heutigen Zeitpunkt jedoch für den Verbraucher nicht immer umsetzbar (Heider, 2014). Das Risiko muss jedoch gerade bei der Nutzung von Apps im Unternehmenskontext minimiert werden und eine Prüfung der Apps ist daher unerlässlich. Durch die mittlerweile unüberschaubare Anzahl an Apps auf dem Markt ist eine manuelle Testmethode oft nicht ökonomisch, was die Notwendigkeit eines automatisierten Tests für den Freigabeprozess hervorruft (Heider, 2014).
Für Smartphones im professionellen Bereich ist es daher wichtig, dass Apps getestet wurden und wenn diese den Sicherheitsanforderungen eines Unternehmens entsprechen auch installiert und genutzt werden können. „Die Sicherheitsqualität beschreibt nicht-funktionale Qualitätseigenschaften einer Software gegen potentielle Angriffe“ (Heider, 2014). Somit spielt diese in der Sicherung von Unternehmensdaten eine essentielle Rolle im Zusammenhang mit mobilen Endgeräten. In der täglichen Nutzung ist diese Sicherheitsqualität jedoch nicht zu spüren und muss daher gesondert evaluiert werden.
All diese sicherheitsrelevanten aber auch nutzerbedingten Aspekte einer App führen zu der Notwendigkeit, Apps zu testen. So stellt sich die Frage, wie Apps am besten getestet werden können. Hierbei muss darauf geachtet werden, dass zum einen ein Test skalierbar ist und auf der anderen Seite ein umfassender Test möglich ist (Liang et al., 2014). Dies ist eine Herausforderung, da jeden Tag ca. 300 neue Apps allein auf Apples Appstore veröffentlicht werden und dadurch eine große Vielfalt an App „contexts“ bestehen. App „contexts“ sind z.B. die Endgerätvielfalt, WLAN Geschwindigkeit, Einsatzort etc. Das App Testing muss daher bereits in der Entwicklungsphase beginnen, um eine hohe Qualität an Nutzerfreundlichkeit (z.B. keine Abstürze oder Performance Probleme) zu gewährleisten (Liang et al., 2014).
Dies ist beispielsweise durch den „Appicaptor“ des Frauenhofer Instituts mit 400 Business Apps realisiert worden. Ergebnisse zeigen, dass nur ca. 100 dieser Apps die Sicherheitsanforderung erfüllen können (Heider, 2014). Die nicht endende Flut an Apps, welche im privaten oder auch geschäftlichen Bereich zur Anwendung kommen, können oft nicht einzeln getestet werden. Durch eine automatisierte Prüfung können typische Fehler enttarnt und somit das Risiko zwar nicht allumfassend, wohl aber auf ein bestimmtes Maß gesenkt werden (Heider, 2014). So kann ein Unternehmen, wenn ein Konzept für App-Sicherheit besteht, die Risiken einschätzen und beurteilen. Eine MDM-Lösung kann zusätzlich zu Sicherheitsanforderungen genutzt werden um einen weiteren Schutz zu bieten (Heider, 2014).
Auch bei manuellen Tests werden Schwächen von Apps deutlich. Oft sind mangelhaftes IT- Sicherheits-Knowhow der Entwickler und fehlende Prüfung beim Hersteller die Ursache verschiedener App-Schwächen (Heider, 2014). Daher ist es wichtig, dass ein App-Testing-Modell kontinuierliche Analysen der App bereits im Entwicklungsstadium bietet (Ping et al.,2012)
Zusammenfassend lässt sich sagen, dass sich der Sinn von App-Testing in zwei Kategorien einteilen lässt. Zum einen ist es sowohl für Privatpersonen als auch im Business Kontext wichtig, dass Apps bestimmte sicherheitsrelevante Aspekte erfüllen und beispielsweise Datenschutz und Datensicherheit bestmöglich eingehalten wird. Bei Tests handelt es sich um externe Kontrolle auf die Apps. Eine Freigabe kann dann bei positivem Resultat ggf. erfolgen, wenn diese für die IT-Sicherheit unbedenklich erscheint.
Auf der anderen Seite aber steht der Nutzen für den Nutzer, welcher ebenso in Tests aufgenommen wird. Hierbei kann es sich um Tests der Entwickler auf verschiedenen Betriebssystemen oder in verschiedenen Netzwerken handeln aber auch um Tests, die von externen Testern gemacht werden und die App beurteilen um anderen Nutzern Information über die App zukommen zu lassen.
Quellenverzeichnis:
Bodden, E., Rasthofer, S., Richter, P., Roßnagel A. (2013). Schutzmaßnahmen gegen datenschutzunfreundliche Smartphone-Apps. DuD Datenschutz und Datensicherheit. Vol.
11/2013 S. 720 – 725.
Heider, J. (2014). Die Gretchenfrage: Wie halten Sie’s mit der App-Sicherheit? DuD Datenschutz und Datensicherheit. Vol. 01/2014. S. 15–19.
Ping, T. P., Sharbini, H., & Lin, W. B. (2012). Designing a mobile application testing model. The International Conference on Computing, Networking and Digital Technologies (ICCNDT2012) (pp. 255–260). The Society of Digital Information and Wireless Communication.
Liang, C. J. M., Lane, N. D., Brouwers, N., Zhang, L., Karlsson, B. F., Liu, H., … & Lane, N. Caiipa: Automated Large-scale Mobile App Testing through Contextual Fuzzing. In Proceeding of the 20th Annual International Conference on Mobile Computing and Networking, Mobi-Com (Vol. 14).
Diese Arbeit wurde im Rahmen des BOK-Kurses Smart Business Mobility & IT Sicherheit an der Universität Freiburg erstellt.