Zum Inhalt springen

Mobile App Security

Mobile App-Pentest

Pentests für mobile Apps

Persönliche Informationen, Fotos oder Kontoangaben – Apps speichern eine Vielzahl an sensiblen Daten. Sind Applikationen allerdings nicht ausreichend vor potenziellen Hackerangriffen geschützt, sind diese privaten Daten in Gefahr.
Mittels bedarfsgerechter Penetrationstests (Pentests) stellen wir Ihre App(s) auf den Sicherheits-Prüfstand.

Individuelles Angebot anfordern

Prüfung von Android/iOS-App nach MASVS

Unsere Expert:innen prüfen Ihre App unter anderem nach den Anforderungen des OWASP Mobile Application Security Verification Standards (MASVS).

Bestmöglicher Schutz vor Angriffen

Mithilfe von Pentests decken unsere Expert:innen potenzielle Schwachstellen innerhalb Ihrer mobilen App auf, bevor Cyberkriminelle diese nutzen können.

Prüfbericht mit Handlungsempfehlungen

Sie erhalten einen ausführlichen Bericht, der die Ergebnisse der Prüfung sowie mögliche Handlungsempfehlungen zur Behebung von Schwachstellen enthält.

Eine Person tippt Code an einem Laptop

Was ist ein App-Pentest?

Ein App-Pentest (Mobile App Penetration Testing) ist eine IT-Sicherheitsmaßnahme, mit der die Sicherheit von mobilen Applikationen (kurz: Apps) überprüft und bewertet wird.

Ziel ist es, mögliche Schwachstellen sowie Angriffspunkte frühzeitig zu identifizieren und damit die Sicherheit der getesteten App zu erhöhen. Ausgebildete IT-Sicherheitsexpert:innen setzen dabei auf Methoden und Mittel, die auch echte Angreifer:innen nutzen würden.

Ihre Vorteile auf einen Blick

Penetrationstests für sichere Apps

Mobile Apps sind häufige Ziele von Cyberangriffen – umso wichtiger ist es, ihre Sicherheit gezielt zu überprüfen. Penetrationstests helfen dabei, Schwachstellen frühzeitig zu erkennen, Risiken zu minimieren und das Vertrauen von Nutzern sowie Geschäftspartnern zu stärken.

  • Aufdeckung potenzieller Schwachstellen
    Durch Pentests erkennen Sie mögliche Schwachstellen in Ihrer mobilen App und können diese proaktiv schließen.
  • Pentests gemäß anerkannter Standards
    Wir prüfen Ihre App nach Mobile Application Security Verification Standard & Mobile Security Testing Guide.
  • Vermeidung von wirtschaftlichen & Reputationsschäden
    Mithilfe von Pentests kommen Sie möglichen Angriffen zuvor & schützen sich vor damit einhergehenden Schäden.
  • Abschließender Prüfbericht inkl. Handlungsempfehlungen
    Neben den Prüfergebnissen geben wir Ihnen auch Empfehlungen zur Behebung von Schwachstellen an die Hand.
  • Höhere IT-Sicherheit, geringere IT-Risiken
    Mithilfe von Pentests erhöhen Sie die Sicherheit Ihrer mobilen App und reduzieren mögliche Sicherheitsrisiken.
  • Vertrauen bei Kunden & Geschäftspartnern
    Eine unabhängige Sicherheitsanalyse Ihrer App stärkt das Vertrauen bei Ihren Kunden & Geschäftspartnern.
  • Kontinuierliche Optimierung der IT-Sicherheit
    Durch das Aufdecken von Optimierungspotenzialen verbessern Sie kontinuierlich die IT-Sicherheit Ihrer App.
  • Automatisierte sowie manuelle Pentests
    Sinnvolle Ergänzung durch manuelle Tests, die mithilfe von automatisierten Tools in der Regel nicht gefunden werden.

Ablauf eines Pentests gegen eine Mobile App

1

Vorbereitung & Kickoff

Klärung technischer & orga­ni­sa­to­rischer Besonderheiten sowie der Voraussetzungen.

2

Informationsbeschaffung & Analyse

Ermittlung grundlegender Informationen über den Untersuchungsgegenstand.

3

Durchführung Penetrationstests

Untersuchung der ausgewählten Webanwendung auf Basis der gesammelten Informationen.

4

Abschlussbericht

Zusammenfassung aller Ergebnisse der Prüfung in Form eines Abschluss­berichts.

5

Optional: Re-Test

Prüfung, ob die durchgeführten Verbesserungs- & Abwehrmaßnahmen (wirksam) greifen.

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie

TÜV NORD IT Secure Communication I Berlin
Zu den Beratungsleistungen Kontakt aufnehmen
Ziel erreicht?

Wir prüfen das

TÜV Informationstechnik I Essen
Zu den Prüfangeboten Kontakt aufnehmen

Das wird untersucht

Im Rahmen des Penetrationstests wird eine mobile Android / iOS App automatisiert und manuell auf Sicherheitsschwachstellen untersucht. Ziel ist es, die kritischsten bzw. am häufigsten ausgenutzten Sicherheitsrisiken für mobile Apps zu ermitteln.

Datenspeicherung: Neben Datenverlust bei Diebstahl, Verlust oder unbefugtem Zugriff auf ein Gerät kann dieser ebenso durch bösartige Apps entstehen. Es wird u.a. geprüft, wie die App Daten verarbeitet, überträgt und auf dem Gerät speichert.

Netzwerkkommunikation: Eine sichere Datenübertragung ist insbesondere bei mobilen Geräten ein wichtiger Aspekt. Es wird u. a. überprüft, ob die Daten beim Transport sicher verschlüsselt sind und (TLS-)Zertifikate korrekt überprüft werden.

Plattform-Interaktion: Mobile Betriebssysteme unterscheiden sich zu Desktop-Betriebssystemen, bspw. durch die Vergabe von Berechtigungen pro App oder eine Interprozess-Kommunikationsmöglichkeit (IPC) zum Datenaustausch. Diese und weitere Funktionen werden hinsichtlich sicherer Nutzung überprüft.

Authentifizierung und Session Management: Der Schutzmechanismus der App bzw. der Daten der App vor unberechtigtem Zugriff wird überprüft. Hier stehen (falls vorhanden) ebenfalls die Endpunkte (Backend-Systeme) im Fokus.

Kryptografie: Insbesondere bei mobilen Geräten spielt der Schutz von Daten eine große Rolle. Es wird u.a. geprüft, ob aktuelle kryptografische Verfahren und Algorithmen verwendet werden, bspw. zur Speicherung von Daten..

Manipulationssicherheit/Resilienz: Wird die App vor unberechtigten Manipulationen geschützt, erhöht dies noch einmal die Sicherheit, bspw. gegen Reverse Engineering.

API-Endpunkte / Backend: Fast jede App kommuniziert mit Backend-Diensten (API-Endpunkten), die oft für die gleichen Arten von Angriffen anfällig sind wie Webapplikationen. Daher werden auch die OWASP Top 10 Schwachstellen für Webanwendungen/APIs (wo möglich) stichprobenartig mit einbezogen.

Häufig gestellte Fragen (FAQ)

Was Sie über Web-Pentests wissen müssen

Der Abschlussbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:

  • Einleitung: Kurzbeschreibung des Prüfgegenstandes, Ziel des Pentests sowie Dokumentation von Besonderheiten während der Untersuchung.
  • Management/Executive Summary: Zusammenfassung der Ergebnisse und Einschätzung des allgemeinen Sicherheitsniveaus.
  • Risikobewertung: Zuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
  • Übersichtliche Darstellung: Übersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle sowie in einem Risikostrahl, der die Anzahl der Schwachstellen pro Risikograd darstellt.
  • Detaillierte Beschreibung der Schwachstellen & Proof-of-Concept: Zu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
  • Auswertung automatisierter Tests: Die Ergebnisse der automatisierten Tests werden von den TÜVIT-Expert:innen ausgewertet, auf false/positive geprüft und anschließend im Bericht zusammengefasst.
  • Maßnahmenempfehlung zur Behebung der Schwachstelle: Zu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
  • Referenzen: Sofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an.
  • Technische Anhänge: Sofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.

  • Black-Box
    Pentest ohne Zusatzinformationen
  • Grey-Box (Standard)
    Pentest mit Zusatzinformationen, bspw. Testzugangsdaten und (API-) Dokumentationen
  • White-Box
    Pentest mit weiteren Zusatzinformationen, neben Testzugangsdaten bspw. Architektur-/Designdokumente, Kommunikationsmatrix oder Quellcode

Die Vorgehensweise der TÜVIT-Expert:innen orientiert sich an dem OWASP Application Security Verification Standard (ASVS), der grundlegende Sicherheitsanforderungen für Webanwendungen beschreibt sowie dem OWASP Web Security Testing Guide (WSTG), der darstellt, wie die Anforderungen aus dem ASVS überprüft werden können. Des Weiteren werden die OWASP Top 10 Schwachstellen für Webanwendungen sowie das Durchführungskonzept für Penetrationstests vom BSI berücksichtigt.

Die Kosten hängen von der gewählten Untersuchungsart (Level 1 bis 3) sowie der Komplexität des Untersuchungsgegenstandes ab. Ein Spot Check bewegt sich im unteren bis mittleren vierstelligen Bereich. Der Regular Pentest liegt im oberen vierstelligen bzw. unteren fünfstelligen Bereich und der Advanced Pentest beginnt im unteren fünfstelligen Bereich. Für eine genaue Preisindikation benötigen wir weitere Informationen zu Ihrer Webanwendung. 

Die Testdauer hängt von der gewählten Untersuchungsart (Level 1 bis 3) ab, siehe oben. Abweichend vom Testzeitraum wird ein Zeitraum von mindestens 1 Woche beim Spot Check (Level 1) bzw. mindestens 2 Wochen beim Regular (Level 2) und Advanced (Level 3) Pentest angenommen.

Warum wir ein starker Partner für Sie sind

Gute Gründe, die für uns sprechen

Unabhängigkeit
Internationales Expertennetzwerk
Expertise
Branchenerfahrung
Auf Sie zugeschnitten
Optimal abgesichert

Drei Anwendungsgebiete - drei Pentests

Ob Sicherheitsrisiken in Webanwendungen, mobilen Apps oder in IT-Infrastruktur: Mit dem passenden Pentestverfahren sind Sie auf der sicheren Seite.
Ein Mann sitz an einem Schreibtisch mit zwei Bildschirmen und analysiert Daten.
Web-Pentest
Nahaufnahme von Code auf dem Bildschirm
Penetrationstests
Flur in einem Rechenzentrum
Infrastruktur-Pentest