Mobile App Security: Pentests gegen mobile Apps

Durch Mobile App Pentests die Sicherheit Ihrer App(s) erhöhen

Persönliche Informationen, Fotos oder Kontoangaben – Apps speichern eine Vielzahl an sensiblen Daten. Sind Applikationen allerdings nicht ausreichend vor potenziellen Hackerangriffen geschützt, sind diese privaten Daten in Gefahr.

Mittels bedarfsgerechter Penetrationstests (Pentests) stellen wir Ihre App(s) auf den Sicherheits-Prüfstand und unterstützen Sie dabei, diese bestmöglich gegen Cyberattacken und Datendiebstähle abzusichern. Dazu überprüfen unsere Expert:innen die etablierten Sicherheitsmaßnahmen, identifizieren konkrete Risiken und decken Schwachstellen auf.
 

  Professionelle Prüfung Ihrer Android- oder iOS-App nach MASVS

Unsere Expert:innen prüfen Ihre App unter anderem nach den Anforderungen des OWASP Mobile Application Security Verification Standards (MASVS).
 

  Ihre App bestmöglich vor Angriffen geschützt

Mithilfe von Pentests decken unsere Expert:innen potenzielle Schwachstellen innerhalb Ihrer mobilen App auf, bevor Cyberkriminelle diese nutzen können.
 

  Prüfbericht mit Handlungsempfehlungen zur Behebung

Sie erhalten einen ausführlichen Bericht, der die Ergebnisse der Prüfung sowie mögliche Handlungsempfehlungen zur Behebung von Schwachstellen enthält.

Mobile App Security: Pentests gegen mobile Apps Mobile App Security: Pentests gegen mobile Apps Mobile App Security: Pentests gegen mobile Apps Mobile App Security: Pentests gegen mobile Apps

Was ist ein Penetrationstest (kurz: Pentest)?

Ein Pentest ist eine IT-Sicherheitsmaßnahme, mit der die Sicherheit von IT-Systemen, Netzwerken und Anwendungen überprüft wird. Ziel ist es, frühzeitig potenzielle Schwachstellen und Angriffspunkte ausfindig zu machen, bevor diese durch Cyberkriminelle genutzt werden können. Zum Einsatz kommen dabei Methoden und Mittel, die auch echte Angreifer verwenden würden. 
  

Mehr über Pentests erfahren

Pentests gegen Apps: Ihre Vorteile auf einen Blick

Vorteile Mobile App Pentests: Aufdeckung potenzieller Schwachstellen Vorteile Mobile App Pentests: Aufdeckung potenzieller Schwachstellen Vorteile Mobile App Pentests: Aufdeckung potenzieller Schwachstellen Vorteile Mobile App Pentests: Aufdeckung potenzieller Schwachstellen

Aufdeckung potenzieller Schwachstellen
Durch Pentests erkennen Sie mögliche Schwachstellen in Ihrer mobilen App und können diese proaktiv schließen. 
 

Vorteile Mobile App Pentests: Höhere IT-Sicherheit, geringere IT-Risiken Vorteile Mobile App Pentests: Höhere IT-Sicherheit, geringere IT-Risiken Vorteile Mobile App Pentests: Höhere IT-Sicherheit, geringere IT-Risiken Vorteile Mobile App Pentests: Höhere IT-Sicherheit, geringere IT-Risiken

Höhere IT-Sicherheit, geringere IT-Risiken
Mithilfe von Pentests erhöhen Sie die Sicherheit Ihrer mobilen App und reduzieren mögliche Sicherheitsrisiken.
 

Vorteile Mobile App Pentests: Pentests gemäß anerkannter Standards Vorteile Mobile App Pentests: Pentests gemäß anerkannter Standards Vorteile Mobile App Pentests: Pentests gemäß anerkannter Standards Vorteile Mobile App Pentests: Pentests gemäß anerkannter Standards

Pentests gemäß anerkannter Standards
Wir prüfen Ihre App nach Mobile Application Security Verification Standard & Mobile Security Testing Guide.
 

Vorteile Mobile App Pentests: Vertrauen bei Kunden & Geschäftspartnern Vorteile Mobile App Pentests: Vertrauen bei Kunden & Geschäftspartnern Vorteile Mobile App Pentests: Vertrauen bei Kunden & Geschäftspartnern Vorteile Mobile App Pentests: Vertrauen bei Kunden & Geschäftspartnern

Vertrauen bei Kunden & Geschäftspartnern
Eine unabhängige Sicherheitsanalyse Ihrer App stärkt das Vertrauen bei Ihren Kunden & Geschäftspartnern.
 

Vorteile Mobile App Pentests: Vermeidung von wirtschaftlichen & Reputationsschäden Vorteile Mobile App Pentests: Vermeidung von wirtschaftlichen & Reputationsschäden Vorteile Mobile App Pentests: Vermeidung von wirtschaftlichen & Reputationsschäden Vorteile Mobile App Pentests: Vermeidung von wirtschaftlichen & Reputationsschäden

Vermeidung von wirtschaftlichen & Reputationsschäden
Mithilfe von Pentests kommen Sie möglichen Angriffen zuvor & schützen sich vor damit einhergehenden Schäden. 
 

Vorteile Mobile App Pentests: Kontinuierliche Optimierung der IT-Sicherheit Vorteile Mobile App Pentests: Kontinuierliche Optimierung der IT-Sicherheit Vorteile Mobile App Pentests: Kontinuierliche Optimierung der IT-Sicherheit Vorteile Mobile App Pentests: Kontinuierliche Optimierung der IT-Sicherheit

Kontinuierliche Optimierung der IT-Sicherheit
Durch das Aufdecken von Optimierungspotenzialen verbessern Sie kontinuierlich die IT-Sicherheit Ihrer App.
 

Vorteile Mobile App Pentests: Abschließender Prüfbericht inkl. Handlungsempfehlungen Vorteile Mobile App Pentests: Abschließender Prüfbericht inkl. Handlungsempfehlungen Vorteile Mobile App Pentests: Abschließender Prüfbericht inkl. Handlungsempfehlungen Vorteile Mobile App Pentests: Abschließender Prüfbericht inkl. Handlungsempfehlungen

Abschließender Prüfbericht inkl. Handlungsempfehlungen
Neben den Prüfergebnissen geben wir Ihnen auch Em­pfeh­lungen zur Behebung von Schwachstellen an die Hand.

Vorteile Mobile App Pentests: Automatisierte sowie manuelle Pentests Vorteile Mobile App Pentests: Automatisierte sowie manuelle Pentests Vorteile Mobile App Pentests: Automatisierte sowie manuelle Pentests Vorteile Mobile App Pentests: Automatisierte sowie manuelle Pentests

Automatisierte sowie manuelle Pentests
Sinnvolle Ergänzung durch manuelle Tests, die mithilfe von automatisierten Tools in der Regel nicht gefunden werden.

Unsere Leistungen: 3 Arten von Pentests gegen Apps

Mobile App Security – Leistungen: Spot Check Level 1 Mobile App Security – Leistungen: Spot Check Level 1 Mobile App Security – Leistungen: Spot Check Level 1 Mobile App Security – Leistungen: Spot Check Level 1


Spot Check
– Level 1

Stichprobenartige Einschätzung des Sicherheits­niveaus Ihrer App im Hinblick auf Schwachstellen.

Stichprobe / Erste Einschätzung

Mobile App Security – Leistungen: Regular Pentest Level 2 Mobile App Security – Leistungen: Regular Pentest Level 2 Mobile App Security – Leistungen: Regular Pentest Level 2 Mobile App Security – Leistungen: Regular Pentest Level 2


Regular Pentest
– Level 2

Untersuchung zur Einschätzung der Sicherheit, mit dem Ziel die am häufigsten auftretenden Risiken und Schwachstellen für Apps zu ermitteln.

Für die meisten Apps

Mobile App Security – Leistungen: Advanced Pentest Level 3 Mobile App Security – Leistungen: Advanced Pentest Level 3 Mobile App Security – Leistungen: Advanced Pentest Level 3 Mobile App Security – Leistungen: Advanced Pentest Level 3


Advanced Pentest
– Level 3

Tiefergehende Untersuchung, die zusätzlich zu Level 2 auch Risiken/Schwachstellen ermittelt, die schwer ausnutzbar sind, insbesondere durch mehr Testfälle.

Hohes Sicherheitsniveau

Ablauf eines Mobile App Pentests

  

Ablauf Pentest gegen Webanwendung: Vorbereitung & Kickoff Ablauf Pentest gegen Webanwendung: Vorbereitung & Kickoff Ablauf Pentest gegen Webanwendung: Vorbereitung & Kickoff Ablauf Pentest gegen Webanwendung: Vorbereitung & Kickoff

1.

Vorbereitung & Kickoff

Besprechung technischer & organisatorischer Besonderheiten sowie der Voraussetzungen. 

Ablauf Pentest gegen Webanwendung: Informationsbeschaffung & Analyse Ablauf Pentest gegen Webanwendung: Informationsbeschaffung & Analyse Ablauf Pentest gegen Webanwendung: Informationsbeschaffung & Analyse Ablauf Pentest gegen Webanwendung: Informationsbeschaffung & Analyse

2.

Informationsbeschaffung & Analyse

Erfassung der wesentlichen Informationen über den Untersuchungsgegenstand.

Ablauf Pentest gegen Webanwendungen: Durchführung Penetrationstests Ablauf Pentest gegen Webanwendungen: Durchführung Penetrationstests Ablauf Pentest gegen Webanwendungen: Durchführung Penetrationstests Ablauf Pentest gegen Webanwendungen: Durchführung Penetrationstests

3.

Durchführung Penetrationstests

Untersuchung der ausgewählten App(s) auf Grundlage der gesammelten Informationen.

Ablauf Pentest gegen Webanwendungen: Abschlussbericht Ablauf Pentest gegen Webanwendungen: Abschlussbericht Ablauf Pentest gegen Webanwendungen: Abschlussbericht Ablauf Pentest gegen Webanwendungen: Abschlussbericht

4.

Abschlussbericht

Zusammenfassung aller Prüfungsergebnisse in Form eines aussagekräftigen Abschlussberichtes. 

Ablauf Pentest gegen Webanwendung: Re-Test (Optional) Ablauf Pentest gegen Webanwendung: Re-Test (Optional) Ablauf Pentest gegen Webanwendung: Re-Test (Optional) Ablauf Pentest gegen Webanwendung: Re-Test (Optional)

Optional: Re-Test

Prüfung, ob die durchgeführten Verbesserungs- & Abwehrmaßnahmen (wirksam) greifen. 

  

Das wird untersucht

Im Rahmen des Penetrationstests wird eine mobile Android / iOS App automatisiert und manuell auf Sicherheitsschwachstellen untersucht. Ziel ist es, die kritischsten bzw. am häufigsten ausgenutzten Sicherheitsrisiken für mobile Apps zu ermitteln.

    

Datenspeicherung: Neben Datenverlust bei Diebstahl, Verlust oder unbefugtem Zugriff auf ein Gerät kann dieser ebenso durch bösartige Apps entstehen. Es wird u.a. geprüft, wie die App Daten verarbeitet, überträgt und auf dem Gerät speichert.

Kryptografie: Insbesondere bei mobilen Geräten spielt der Schutz von Daten eine große Rolle. Es wird u.a. geprüft, ob aktuelle kryptografische Verfahren und Algorithmen verwendet werden, bspw. zur Speicherung von Daten.

Netzwerkkommunikation: Eine sichere Datenübertragung ist insbesondere bei mobilen Geräten ein wichtiger Aspekt. Es wird u. a. überprüft, ob die Daten beim Transport sicher verschlüsselt sind und (TLS-)Zertifikate korrekt überprüft werden.

Manipulationssicherheit/Resilienz: Wird die App vor unberechtigten Manipulationen geschützt, erhöht dies noch einmal die Sicherheit, bspw. gegen Reverse Engineering.

Plattform-Interaktion: Mobile Betriebssysteme unterscheiden sich zu Desktop-Betriebssystemen, bspw. durch die Vergabe von Berechtigungen pro App oder eine Interprozess-Kommunikationsmöglichkeit (IPC) zum Datenaustausch. Diese und weitere Funktionen werden hinsichtlich sicherer Nutzung überprüft.

API-Endpunkte / Backend: Fast jede App kommuniziert mit Backend-Diensten (API-Endpunkten), die oft für die gleichen Arten von Angriffen anfällig sind wie Webapplikationen. Daher werden auch die OWASP Top 10 Schwachstellen für Webanwendungen/APIs (wo möglich) stichprobenartig mit einbezogen.

Authentifizierung und Session Management: Der Schutzmechanismus der App bzw. der Daten der App vor unberechtigtem Zugriff wird überprüft. Hier stehen (falls vorhanden) ebenfalls die Endpunkte (Backend-Systeme) im Fokus.

Häufig gestellte Fragen (FAQ):

Was beinhaltet der Abschlussbericht?

Der Abschlussbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:

  • Einleitung: Kurzbeschreibung des Prüfgegenstandes, Ziel des Pentests sowie Dokumentation von Besonderheiten während der Untersuchung.
  • Management/Executive Summary: Zusammenfassung der Ergebnisse und Einschätzung des allgemeinen Sicherheitsniveaus.
  • Risikobewertung: Zuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
  • Übersichtliche Darstellung: Übersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle sowie in einem Risikostrahl, der die Anzahl der Schwachstellen pro Risikograd darstellt.
  • Detaillierte Beschreibung der Schwachstellen & Proof-of-Concept: Zu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
  • Auswertung automatisierter Tests: Die Ergebnisse der automatisierten Tests werden von den TÜV IT-Expert:innen ausgewertet, auf false/positive geprüft und anschließend im Bericht zusammengefasst.
  • Maßnahmenempfehlung zur Behebung der Schwachstelle: Zu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
  • Referenzen: Sofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an.
  • Technische Anhänge: Sofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.
Welche Test-Methoden bieten wir an?
  • Black-Box
    Pentest ohne Zusatzinformationen
     
  • Grey-Box (Standard)
    Pentest mit Zusatzinformationen, bspw. Testzugangsdaten und (API-) Dokumentationen
     
  • White-Box
    Pentest mit weiteren Zusatzinformationen, neben Testzugangsdaten bspw. Architektur-/Designdokumente, Kommunikationsmatrix oder Quellcode
An welchen Standards orientiert TÜVIT sich bei der Durchführung von Penetrationstests?

Die Vorgehensweise der TÜVIT-Expert:innen orientiert sich an dem OWASP Mobile Application Security Verification Standard (MASVS), der grundlegende Sicherheitsanforderungen für mobile Apps festlegt sowie dem Mobile Security Testing Guide (MSTG , der beschreibt, wie die Anforderungen aus dem MASVS überprüft werden können.

Wie lange dauert ein Pentest?

Die Testdauer hängt von der gewählten Untersuchungsart (Level 1 bis 3) ab, siehe oben. Abweichend vom Testzeitraum wird ein Zeitraum von mindestens 1 Woche beim Spot Check (Level 1) bzw. mindestens 2 Wochen beim Regular (Level 2) und Advanced (Level 3) Pentest angenommen.

Was kostet ein Pentest?

Die Kosten hängen von der gewählten Untersuchungsart (Level 1 bis 3) sowie der Komplexität des Untersuchungsgegenstandes ab. Ein Spot Check bewegt sich im unteren bis mittleren vierstelligen Bereich. Der Regular Pentest liegt im oberen vierstelligen bzw. unteren fünfstelligen Bereich und der Advanced Pentest beginnt im unteren fünfstelligen Bereich. Für eine genaue Preisindikation benötigen wir weitere Informationen zu Ihrer App. 
 

Jetzt individuelles Angebot anfordern

Warum wir ein starker Partner für Sie sind

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.

Expertise

Mit uns haben Sie einen der führenden Experten im Bereich Cyber-Security an Ihrer Seite, der vom BSI als IT-Sicherheitsdienstleister für IS-Revision, IS-Beratung und Penetrationstests zertifiziert ist.

Internationales Expertennetzwerk

Rund um den Globus: Wir beraten und unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen mit Rat & Tat zur Seite.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

 

Sie haben Fragen? Wir helfen gerne!

  

Alexander Padberg

Sales Manager

+49 201 8999-614
a.padberg@tuvit.de

Gerald Krebs

Global Account Manager

+49 201 8999-411
g.krebs@tuvit.de

Weitere Leistungen

Penetrationstests

Als zertifizierter IT-Sicherheitsdienstleister für Penetrationstests identifizieren wir organisatorische und technische Sicherheitslücken.
Weiterlesen

System- und Netzwerksicherheit

Häufigstes Angriffsziel von Hackern sind die IT-Systeme und Netzwerke von Unternehmen. Um Angriffe möglichst früh zu erkennen, bietet TÜVIT Penetrationstests auf System- und Netzwerkebene an.
Weiterlesen

Web Application Security

Mit automatisierten und manuellen Tests identifizieren unsere IT-Sicherheitsexperten spezifische Schwachstellen von Webanwendungen wie beispielsweise SQL-Injection oder Cross-Site-Scripting.
Weiterlesen

Advanced Persistent Threats

Advanced Persistent Threats (APT) sind hochentwickelte und gezielte Angriffe, die im Verborgenen agieren, um keine sichtbaren Spuren zu hinterlassen. TÜVIT bietet verschiedene Module, um Advanced Persistent Threats vorzubeugen.
Weiterlesen

Enhanced Security Services

TÜVIT bietet Enhanced Security Services an, um Ihr IT-Sicherheitsniveau kontinuierlich hoch zu halten: von Monitoring und Re-Testing bis hin zu Red-Teaming und Advanced Persistent Threats.
Weiterlesen

Industrial Security

Im Rahmen von Industrie 4.0 nimmt die Vernetzung von Systemen zur Prozessteuerung, Fertigung und Automatisierung drastisch zu. Dadurch steigen auch Herausforderungen in puncto Sicherheit. TÜVIT bietet Security-Checks und Penetrationstests, um Sicherheitsschwachstellen in Ihrer Produktionsinfrastruktur zu reduzieren.
Weiterlesen

SQ-Best-Practice-Zertifizierungsverfahren

TÜVIT bietet mit der Sicherheitstechnischen Qualifizierung (SQ) ein standardisiertes und flexibles Zertifizierungsverfahren, das eine ganzheitliche Betrachtung von Produkten und vernetzten Systemlösungen ermöglicht.
Weiterlesen

Router-Sicherheit: BSI TR-03148

Mit der BSI TR-03148 für "Secure Broadband Router" können Sie als Hersteller nachweisen, dass Ihre Breitband-Router die durch das BSI definierten Sicherheitsanforderungen erfüllen. Wir prüfen die Umsetzung der TR und begleiten Sie auf dem Weg zur erfolgreichen Zertifizierung nach BSI TR-03148.
Weiterlesen

CyberSecurity Certified (CSC)

Sie sind Hersteller eines CIoT-Produktes und möchten die Sicherheit Ihres (Smart-Home-)Gerätes durch einen unabhängigen Dritten bestätigen lassen? Dann begleiten wir Sie auf Ihrem Weg zum erfolgreichen CSC-Zertifikat.
Weiterlesen

Beschleunigte Sicherheitszertifizierung (BSZ)

Mit der BSZ belegen Sie die Sicherheitsaussage Ihres IT-Produktes durch ein unabhängiges Zertifikat – schnell, planbar und mit geringem Dokumentationsaufwand.
Weiterlesen