Mobile App Security: Pentests gegen mobile Apps

Durch Mobile App Pentests die Sicherheit Ihrer App(s) erhöhen

Persönliche Informationen, Fotos oder Kontoangaben – Apps speichern eine Vielzahl an sensiblen Daten. Sind Applikationen allerdings nicht ausreichend vor potenziellen Hackerangriffen geschützt, sind diese privaten Daten in Gefahr.

Mittels bedarfsgerechter Penetrationstests (Pentests) stellen wir Ihre App(s) auf den Sicherheits-Prüfstand und unterstützen Sie dabei, diese bestmöglich gegen Cyberattacken und Datendiebstähle abzusichern. Dazu überprüfen unsere Expert:innen die etablierten Sicherheitsmaßnahmen, identifizieren konkrete Risiken und decken Schwachstellen auf.

Professionelle Prüfung Ihrer Android- oder iOS-App nach MASVS

Unsere Expert:innen prüfen Ihre App unter anderem nach den Anforderungen des OWASP Mobile Application Security Verification Standards (MASVS).

Ihre App bestmöglich vor Angriffen geschützt

Mithilfe von Pentests decken unsere Expert:innen potenzielle Schwachstellen innerhalb Ihrer mobilen App auf, bevor Cyberkriminelle diese nutzen können.

Prüfbericht mit Handlungsempfehlungen zur Behebung

Sie erhalten einen ausführlichen Bericht, der die Ergebnisse der Prüfung sowie mögliche Handlungsempfehlungen zur Behebung von Schwachstellen enthält.

Mobile App Security: Pentests gegen mobile Apps

Individuelles Angebot anfordern

Pentests gegen Apps: Ihre Vorteile auf einen Blick

Aufdeckung potenzieller Schwachstellen
Durch Pentests erkennen Sie mögliche Schwachstellen in Ihrer mobilen App und können diese proaktiv schließen.

Höhere IT-Sicherheit, geringere IT-Risiken
Mithilfe von Pentests erhöhen Sie die Sicherheit Ihrer mobilen App und reduzieren mögliche Sicherheitsrisiken.

Vorteile Mobile App Pentests: Pentests gemäß anerkannter Standards

Pentests gemäß anerkannter Standards
Wir prüfen Ihre App nach Mobile Application Security Verification Standard & Mobile Security Testing Guide.

Vorteile Mobile App Pentests: Vertrauen bei Kunden & Geschäftspartnern

Vertrauen bei Kunden & Geschäftspartnern
Eine unabhängige Sicherheitsanalyse Ihrer App stärkt das Vertrauen bei Ihren Kunden & Geschäftspartnern.

Vermeidung von wirtschaftlichen & Reputationsschäden
Mithilfe von Pentests kommen Sie möglichen Angriffen zuvor & schützen sich vor damit einhergehenden Schäden.

Kontinuierliche Optimierung der IT-Sicherheit
Durch das Aufdecken von Optimierungspotenzialen verbessern Sie kontinuierlich die IT-Sicherheit Ihrer App.

Abschließender Prüfbericht inkl. Handlungsempfehlungen
Neben den Prüfergebnissen geben wir Ihnen auch Empfehlungen zur Behebung von Schwachstellen an die Hand.

Vorteile Mobile App Pentests: Automatisierte sowie manuelle Pentests

Automatisierte sowie manuelle Pentests
Sinnvolle Ergänzung durch manuelle Tests, die mithilfe von automatisierten Tools in der Regel nicht gefunden werden.

Unsere Leistungen: 3 Arten von Pentests gegen Apps

Spot Check

– Level 1

Stichprobenartige Einschätzung des Sicherheitsniveaus Ihrer App im Hinblick auf Schwachstellen.

Stichprobe / Erste Einschätzung

Regular Pentest

– Level 2

Untersuchung zur Einschätzung der Sicherheit, mit dem Ziel die am häufigsten auftretenden Risiken und Schwachstellen für Apps zu ermitteln.

Für die meisten Apps

Advanced Pentest

– Level 3

Tiefergehende Untersuchung, die zusätzlich zu Level 2 auch Risiken/Schwachstellen ermittelt, die schwer ausnutzbar sind, insbesondere durch mehr Testfälle.

Hohes Sicherheitsniveau

Zur detaillierten Übersicht

Ablauf eines Mobile App Pentests

Ablauf Mobile App Pentest: Vorbereitung & Kickoff

Besprechung technischer & organisatorischer Besonderheiten sowie der Voraussetzungen.

Ablauf Mobile App Pentest: Informationsbeschaffung & Analyse

Erfassung der wesentlichen Informationen über den Untersuchungsgegenstand.

Ablauf Mobile App Pentest: Durchführung Penetrationstests

Untersuchung der ausgewählten App(s) auf Grundlage der gesammelten Informationen.

Ablauf Mobile App Pentest: Abschlussbericht

Zusammenfassung aller Prüfungsergebnisse in Form eines aussagekräftigen Abschlussberichtes.

Ablauf Mobile App Pentest: Re-Test (Optional)

Optional: Re-Test

Prüfung, ob die durchgeführten Verbesserungs- & Abwehrmaßnahmen (wirksam) greifen.

Das wird untersucht

Im Rahmen des Penetrationstests wird eine mobile Android / iOS App automatisiert und manuell auf Sicherheitsschwachstellen untersucht. Ziel ist es, die kritischsten bzw. am häufigsten ausgenutzten Sicherheitsrisiken für mobile Apps zu ermitteln.

Datenspeicherung: Neben Datenverlust bei Diebstahl, Verlust oder unbefugtem Zugriff auf ein Gerät kann dieser ebenso durch bösartige Apps entstehen. Es wird u.a. geprüft, wie die App Daten verarbeitet, überträgt und auf dem Gerät speichert.

Plattform-Interaktion: Mobile Betriebssysteme unterscheiden sich zu Desktop-Betriebssystemen, bspw. durch die Vergabe von Berechtigungen pro App oder eine Interprozess-Kommunikationsmöglichkeit (IPC) zum Datenaustausch. Diese und weitere Funktionen werden hinsichtlich sicherer Nutzung überprüft.

Kryptografie: Insbesondere bei mobilen Geräten spielt der Schutz von Daten eine große Rolle. Es wird u.a. geprüft, ob aktuelle kryptografische Verfahren und Algorithmen verwendet werden, bspw. zur Speicherung von Daten.

Manipulationssicherheit/Resilienz: Wird die App vor unberechtigten Manipulationen geschützt, erhöht dies noch einmal die Sicherheit, bspw. gegen Reverse Engineering.

Netzwerkkommunikation: Eine sichere Datenübertragung ist insbesondere bei mobilen Geräten ein wichtiger Aspekt. Es wird u. a. überprüft, ob die Daten beim Transport sicher verschlüsselt sind und (TLS-)Zertifikate korrekt überprüft werden.

API-Endpunkte / Backend: Fast jede App kommuniziert mit Backend-Diensten (API-Endpunkten), die oft für die gleichen Arten von Angriffen anfällig sind wie Webapplikationen. Daher werden auch die OWASP Top 10 Schwachstellen für Webanwendungen/APIs (wo möglich) stichprobenartig mit einbezogen.

Authentifizierung und Session Management: Der Schutzmechanismus der App bzw. der Daten der App vor unberechtigtem Zugriff wird überprüft. Hier stehen (falls vorhanden) ebenfalls die Endpunkte (Backend-Systeme) im Fokus.

Häufig gestellte Fragen (FAQ):

Was beinhaltet der Abschlussbericht?

Der Abschlussbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:

Einleitung: Kurzbeschreibung des Prüfgegenstandes, Ziel des Pentests sowie Dokumentation von Besonderheiten während der Untersuchung.
Management/Executive Summary: Zusammenfassung der Ergebnisse und Einschätzung des allgemeinen Sicherheitsniveaus.
Risikobewertung: Zuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
Übersichtliche Darstellung: Übersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle sowie in einem Risikostrahl, der die Anzahl der Schwachstellen pro Risikograd darstellt.
Detaillierte Beschreibung der Schwachstellen & Proof-of-Concept: Zu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
Auswertung automatisierter Tests: Die Ergebnisse der automatisierten Tests werden von den TÜVIT-Expert:innen ausgewertet, auf false/positive geprüft und anschließend im Bericht zusammengefasst.
Maßnahmenempfehlung zur Behebung der Schwachstelle: Zu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
Referenzen: Sofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an.
Technische Anhänge: Sofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.

Welche Test-Methoden bieten wir an?

Black-Box
Pentest ohne Zusatzinformationen
Grey-Box (Standard)
Pentest mit Zusatzinformationen, bspw. Testzugangsdaten und (API-) Dokumentationen
White-Box
Pentest mit weiteren Zusatzinformationen, neben Testzugangsdaten bspw. Architektur-/Designdokumente, Kommunikationsmatrix oder Quellcode

An welchen Standards orientiert TÜVIT sich bei der Durchführung von Penetrationstests?

Die Vorgehensweise der TÜVIT-Expert:innen orientiert sich an dem OWASP Mobile Application Security Verification Standard (MASVS), der grundlegende Sicherheitsanforderungen für mobile Apps festlegt sowie dem Mobile Security Testing Guide (MSTG , der beschreibt, wie die Anforderungen aus dem MASVS überprüft werden können.

Wie lange dauert ein Pentest?

Die Testdauer hängt von der gewählten Untersuchungsart (Level 1 bis 3) ab, siehe oben. Abweichend vom Testzeitraum wird ein Zeitraum von mindestens 1 Woche beim Spot Check (Level 1) bzw. mindestens 2 Wochen beim Regular (Level 2) und Advanced (Level 3) Pentest angenommen.

Was kostet ein Pentest?

Die Kosten hängen von der gewählten Untersuchungsart (Level 1 bis 3) sowie der Komplexität des Untersuchungsgegenstandes ab. Ein Spot Check bewegt sich im unteren bis mittleren vierstelligen Bereich. Der Regular Pentest liegt im oberen vierstelligen bzw. unteren fünfstelligen Bereich und der Advanced Pentest beginnt im unteren fünfstelligen Bereich. Für eine genaue Preisindikation benötigen wir weitere Informationen zu Ihrer App.

Jetzt individuelles Angebot anfordern

Expertise

Mit uns haben Sie einen der führenden Experten im Bereich Cyber-Security an Ihrer Seite, der vom BSI als IT-Sicherheitsdienstleister für IS-Revision, IS-Beratung und Penetrationstests zertifiziert ist.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

Internationales Expertennetzwerk

Rund um den Globus: Wir beraten und unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen mit Rat & Tat zur Seite.

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.

Sie haben Fragen? Wir helfen gerne!

E-Mail senden +49 201 8999-411 Kontaktformular

Gerald Krebs Global Account Manager

E-Mail senden +49 201 8999-614 Kontaktformular

Alexander Padberg Global Account Manager Cyber Security

Penetrationstests

Als zertifizierter IT-Sicherheitsdienstleister für Penetrationstests identifizieren wir organisatorische und technische Sicherheitslücken.

System- und Netzwerksicherheit

Häufigstes Angriffsziel von Hackern sind die IT-Systeme und Netzwerke von Unternehmen. Um Angriffe möglichst früh zu erkennen, bietet TÜVIT Penetrationstests auf System- und Netzwerkebene an.

Web Application Security

Mit automatisierten und manuellen Tests identifizieren unsere IT-Sicherheitsexperten spezifische Schwachstellen von Webanwendungen wie beispielsweise SQL-Injection oder Cross-Site-Scripting.

Advanced Persistent Threats

Advanced Persistent Threats (APT) sind hochentwickelte und gezielte Angriffe, die im Verborgenen agieren, um keine sichtbaren Spuren zu hinterlassen. TÜVIT bietet verschiedene Module, um Advanced Persistent Threats vorzubeugen.

Enhanced Security Services

TÜVIT bietet Enhanced Security Services an, um Ihr IT-Sicherheitsniveau kontinuierlich hoch zu halten: von Monitoring und Re-Testing bis hin zu Red-Teaming und Advanced Persistent Threats.