MENU

Mobile App Security: Ihre App(s) auf Sicherheit geprüft

Verbesserte Sicherheit Ihrer App(s) durch Penetrationstests

Persönliche Informationen, Fotos oder Kontoangaben – Apps speichern eine Vielzahl an sensiblen Daten. Sind Applikationen allerdings nicht ausreichend vor potenziellen Hackerangriffen geschützt, sind diese privaten Daten in Gefahr.

Wir bereiten Sie auf den Hacker-Ernstfall vor: Mittels bedarfsgerechter Penetrationstests (Pentests) stellen wir Ihre App(s) auf den Sicherheits-Prüfstand und unterstützen Sie dabei, diese bestmöglich gegen Cyberattacken und Datendiebstähle abzusichern. Dazu überprüfen unsere Expertinnen und Experten die etablierten Sicherheitsmaßnahmen, identifizieren konkrete Risiken und decken Schwachstellen auf.

Abschließend erhalten Sie einen ausführlichen Bericht, der die Ergebnisse der Prüfung sowie mögliche Handlungsempfehlungen zur Behebung von Schwachstellen enthält.

Unsere Leistungen: Drei Level der Untersuchung

Web Application Security – Leistungen: Spot Check Level 1 Web Application Security – Leistungen: Spot Check Level 1 Web Application Security – Leistungen: Spot Check Level 1 Web Application Security – Leistungen: Spot Check Level 1

Spot Check

Level 1

Stichprobenartige Einschätzung des Sicherheitsniveaus Ihrer App im Hinblick auf Schwachstellen.


Stichprobe / Erste Einschätzung

Web Application Security – Leistungen: Regular Pentest Level 2 Web Application Security – Leistungen: Regular Pentest Level 2 Web Application Security – Leistungen: Regular Pentest Level 2 Web Application Security – Leistungen: Regular Pentest Level 2

Regular Pentest

Level 2

Untersuchung zur Einschätzung der Sicherheit, mit dem Ziel die am häufigsten auftretenden Risiken und Schwachstellen für Apps zu ermitteln.


Für die meisten Apps

Web Application Security – Leistungen: Advanced Pentest Level 3 Web Application Security – Leistungen: Advanced Pentest Level 3 Web Application Security – Leistungen: Advanced Pentest Level 3 Web Application Security – Leistungen: Advanced Pentest Level 3

Advanced Pentest

Level 3

Tiefergehende Untersuchung, die zusätzlich zu Level 2 auch Risiken und Schwachstellen ermittelt, die schwer ausnutzbar sind, insbesondere durch mehr Testfälle.

Hohes Sicherheitsniveau

Ihre Vorteile auf einen Blick

  • Professionelle Prüfung Ihrer App(s) nach OWASP Mobile Application Security Verification Standard (MASVS)
  • Aufdeckung potentieller Schwachstellen & Verringerung von IT-Risiken
  • Aussagekräftiger Prüfbericht mit den wesentlichen Prüfergebnissen
  • Handlungsempfehlungen zur erfolgreichen Behebung von Schwachstellen
  • Kontinuierliche Optimierung der IT-Sicherheit Ihrer App(s)
  • Objektiver Nachweis über die IT-Sicherheit Ihres Produktes
Mobile App Security: Prüfgebiete

Das wird untersucht

Im Rahmen des Penetrationstests wird eine mobile Android / iOS App automatisiert und manuell auf Sicherheitsschwachstellen untersucht. 

Ziel ist es, die kritischsten bzw. am häufigsten ausgenutzten Sicherheitsrisiken für mobile Apps zu ermitteln.

Im Fokus der Prüfung stehen die nachfolgenden Bereiche:

  • Datenspeicherung: Neben Datenverlust bei Diebstahl, Verlust oder unbefugtem Zugriff auf ein Gerät kann dieser ebenso durch bösartige Apps entstehen. Es wird u.a. geprüft, wie die App Daten verarbeitet, überträgt und auf dem Gerät speichert.
     
  • Kryptografie: Insbesondere bei mobile Geräten spielt der Schutz von Daten eine große Rolle. Es wird u.a. geprüft, ob aktuelle kryptografische Verfahren und Algorithmen verwendet werden, bspw. zur Speicherung von Daten.
     
  • Authentifizierung und Session Management: Der Schutzmechanismus der App bzw. der Daten der App vor unberechtigtem Zugriff wird überprüft. Hier stehen (falls vorhanden) ebenfalls die Endpunkte (Backend-Systeme) im Fokus.
     
  • Netzwerkkommunikation: Eine sichere Datenübertragung ist insbesondere bei mobilen Geräten ein wichtiger Aspekt. Es wird u. a. überprüft, ob die Daten beim Transport sicher verschlüsselt sind und (TLS-)Zertifikate korrekt überprüft werden.
     
  • Plattform-Interaktion: Mobile Betriebssysteme unterscheiden sich in vielen Punkten zu Desktop-Betriebssystemen. Es werden bspw. Berechtigungen pro App vergeben. Ferner gibt es zum Datenaustausch eine Interprozess-Kommunikationsmöglichkeiten (IPC). Diese und weitere Funktionen werden hinsichtlich sicherer Nutzung überprüft.
     
  • Manipulationssicherheit/Resilienz: Wird die App vor unberechtigten Manipulationen geschützt, erhöht dies noch einmal die Sicherheit, bspw. gegen Reverse Engineering.
     
  • API-Endpunkte / Backend: Fast jede App kommuniziert mit Backend-Diensten (API-Endpunkten). Diese müssen bei einem App-Pentest ebenfalls berücksichtigt werden und sind oft anfällig für die gleichen Arten von Angriffen, die auch bei Webapplikationen auftreten können. Aus diesem Grund werden auch die OWASP Top 10 Schwachstellen für Webanwendungen/APIs (wo möglich) stichprobenartig mit einbezogen.

Die Penetrationstests werden als Kombination aus automatisierten und manuellen Tests durchgeführt, um aussagekräftige und qualitativ hochwertige Ergebnisse zu erzielen. Abhängig von den spezifischen Eigenschaften des jeweiligen Untersuchungsgegenstands werden ggf. Besonderheiten oder Schwerpunktthemen aus dem Kick-Off-Meeting berücksichtigt.

Mobile App Security: Abschlussbericht

Das enthält der Abschlussbericht

Alle Ergebnisse einer Prüfung werden dem Auftraggeber in Form eines ausführlichen Abschlussberichtes zur Verfügung gestellt.

Der Abschlussbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:

  • Einleitung: Kurzbeschreibung des Prüfgegenstandes, Ziel des Pentests sowie Dokumentation von Besonderheiten während der Untersuchung.
     
  • Management/Executive SummaryZusammenfassung der Ergebnisse und Einschätzung des allgemeinen Sicherheitsniveaus.
     
  • RisikobewertungZuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
     
  • Übersichtliche DarstellungÜbersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle sowie in einem Risikostrahl, der die Anzahl der Schwachstellen pro Risikograd darstellt.
     
  • Detaillierte Beschreibung der Schwachstellen & Proof-of-ConceptZu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
     
  • Auswertung automatisierter TestsDie Ergebnisse der automatisierten Tests werden von den TÜViT-Expert:innen ausgewertet, auf false/positive geprüft und anschließend im Bericht zusammengefasst.
     
  • Maßnahmenempfehlung zur Behebung der SchwachstelleZu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
     
  • ReferenzenSofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an.
     
  • Technische AnhängeSofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.

Ablauf eines Mobile Security Pentests

  

Ablauf Web Application Security Pentest: Vorbereitung & Kickoff Ablauf Web Application Security Pentest: Vorbereitung & Kickoff Ablauf Web Application Security Pentest: Vorbereitung & Kickoff Ablauf Web Application Security Pentest: Vorbereitung & Kickoff

Besprechung technischer & organisatorischer Besonderheiten sowie der Voraussetzungen. 

Ablauf Web Application Security Pentest: Informationsbeschaffung & Analyse Ablauf Web Application Security Pentest: Informationsbeschaffung & Analyse Ablauf Web Application Security Pentest: Informationsbeschaffung & Analyse Ablauf Web Application Security Pentest: Informationsbeschaffung & Analyse

Erfassung der wesentlichen Informationen über den Untersuchungsgegenstand.

Ablauf Web Application Security Pentest: Durchführung Penetrationstests Ablauf Web Application Security Pentest: Durchführung Penetrationstests Ablauf Web Application Security Pentest: Durchführung Penetrationstests Ablauf Web Application Security Pentest: Durchführung Penetrationstests

Untersuchung der ausgewählten App(s) auf Grundlage der gesammelten Informationen.

Ablauf Web Application Security Pentest: Abschlussbericht Ablauf Web Application Security Pentest: Abschlussbericht Ablauf Web Application Security Pentest: Abschlussbericht Ablauf Web Application Security Pentest: Abschlussbericht

Zusammenfassung aller Prüfungsergebnisse in Form eines aussagekräftigen Abschlussberichtes. 


Ablauf Web Application Security Pentest: Re-Test (Optional) Ablauf Web Application Security Pentest: Re-Test (Optional) Ablauf Web Application Security Pentest: Re-Test (Optional) Ablauf Web Application Security Pentest: Re-Test (Optional)

Optional: Re-Test

Prüfung, ob die durchgeführten Verbesserungs- & Abwehrmaßnahmen (wirksam) greifen. 

  


Häufig gestellte Fragen (FAQ):

Welche Test-Methoden bieten wir an?
  • Black-Box
    Pentest ohne Zusatzinformationen
     
  • Grey-Box (Standard)
    Pentest mit Zusatzinformationen, bspw. Testzugangsdaten und (API-) Dokumentationen
     
  • White-Box
    Pentest mit weiteren Zusatzinformationen, neben Testzugangsdaten bspw. Architektur-/Designdokumente, Kommunikationsmatrix oder Quellcode
An welchen Standards orientiert TÜViT sich bei der Durchführung von Penetrationstests?

Die Vorgehensweise der TÜViT-Expert:innen orientiert sich an dem OWASP Mobile Application Security Verification Standard (MASVS), der grundlegende Sicherheitsanforderungen für mobile Apps festlegt sowie dem Mobile Security Testing Guide (MSTG , der beschreibt, wie die Anforderungen aus dem MASVS überprüft werden können.

Wie lange dauert ein Test?

Die Testdauer hängt von der gewählten Untersuchungsart (Level 1 bis 3) ab, siehe oben. Abweichend vom Testzeitraum wird ein Zeitraum von mindestens 1 Woche beim Spot Check (Level 1) bzw. mindestens 2 Wochen beim Regular (Level 2) und Advanced (Level 3) Pentest angenommen.

Was kostet ein Pentest?

Die Kosten hängen von der gewählten Untersuchungsart (Level 1 bis 3) sowie der Komplexität des Untersuchungsgegenstandes ab. Ein Spot Check bewegt sich im unteren bis mittleren vierstelligen Bereich. Der Regular Pentest liegt im oberen vierstelligen bzw. unteren fünfstelligen Bereich und der Advanced Pentest beginnt im unteren fünfstelligen Bereich. Für eine genaue Preisindikation benötigen wir weitere Informationen zu Ihrer App. 
 

Jetzt individuelles Angebot anfordern

Warum wir ein starker Partner für Sie sind

Expertise

Mit uns haben Sie einen der führenden Experten im Bereich Cyber-Security an Ihrer Seite, der vom BSI als IT-Sicherheitsdienstleister für IS-Revision, IS-Beratung und Penetrationstests zertifiziert ist.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

Internationales Expertennetzwerk

Rund um den Globus: Wir beraten und unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen mit Rat & Tat zur Seite.

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.
Sie haben Fragen? Wir helfen gerne!

  

Alexander Padberg

Sales Manager

+49 201 8999-614
Fax : +49 201 8999-666

a.padberg@tuvit.de

Weitere Leistungen

Penetrationstests

Als zertifizierter IT-Sicherheitsdienstleister für Penetrationstests identifizieren wir organisatorische und technische Sicherheitslücken.
Weiterlesen

System- und Netzwerksicherheit

Häufigstes Angriffsziel von Hackern sind die IT-Systeme und Netzwerke von Unternehmen. Um Angriffe möglichst früh zu erkennen, bietet TÜViT Penetrationstests auf System- und Netzwerkebene an.
Weiterlesen

Web Application Security

Mit automatisierten und manuellen Tests identifizieren unsere IT-Sicherheitsexperten spezifische Schwachstellen von Webanwendungen wie beispielsweise SQL-Injection oder Cross-Site-Scripting.
Weiterlesen

Advanced Persistent Threats

Advanced Persistent Threats (APT) sind hochentwickelte und gezielte Angriffe, die im Verborgenen agieren, um keine sichtbaren Spuren zu hinterlassen. TÜViT bietet verschiedene Module, um Advanced Persistent Threats vorzubeugen.
Weiterlesen

Enhanced Security Services

TÜViT bietet Enhanced Security Services an, um Ihr IT-Sicherheitsniveau kontinuierlich hoch zu halten: von Monitoring und Re-Testing bis hin zu Red-Teaming und Advanced Persistent Threats.
Weiterlesen

Industrial Security

Im Rahmen von Industrie 4.0 nimmt die Vernetzung von Systemen zur Prozessteuerung, Fertigung und Automatisierung drastisch zu. Dadurch steigen auch Herausforderungen in puncto Sicherheit. TÜViT bietet Security-Checks und Penetrationstests, um Sicherheitsschwachstellen in Ihrer Produktionsinfrastruktur zu reduzieren.
Weiterlesen

SQ-Best-Practice-Zertifizierungsverfahren

TÜViT bietet mit der Sicherheitstechnischen Qualifizierung (SQ) ein standardisiertes und flexibles Zertifizierungsverfahren, das eine ganzheitliche Betrachtung von Produkten und vernetzten Systemlösungen ermöglicht.
Weiterlesen

Router-Sicherheit: BSI TR-03148

Mit der BSI TR-03148 für "Secure Broadband Router" können Sie als Hersteller nachweisen, dass Ihre Breitband-Router die durch das BSI definierten Sicherheitsanforderungen erfüllen. Wir prüfen die Umsetzung der TR und begleiten Sie auf dem Weg zur erfolgreichen Zertifizierung nach BSI TR-03148.
Weiterlesen

CyberSecurity Certified (CSC)

Sie sind Hersteller eines CIoT-Produktes und möchten die Sicherheit Ihres (Smart-Home-)Gerätes durch einen unabhängigen Dritten bestätigen lassen? Dann begleiten wir Sie auf Ihrem Weg zum erfolgreichen CSC-Zertifikat.
Weiterlesen

Beschleunigte Sicherheitszertifizierung (BSZ)

Mit der BSZ belegen Sie die Sicherheitsaussage Ihres IT-Produktes durch ein unabhängiges Zertifikat – schnell, planbar und mit geringem Dokumentationsaufwand.
Weiterlesen