Cyber-Angriffe auf Versicherer

Fluch und Segen von Hybrid-Applikationen

| Autor / Redakteur: Mirko Brandner * / Stephan Augsten

Durch Reverse Engineering ist es möglich, Schwachstellen in hybriden Apps zu identifizieren.
Durch Reverse Engineering ist es möglich, Schwachstellen in hybriden Apps zu identifizieren. (Bild: simplu27 - Pixabay.com / CC0)

Mobile Apps werden auch in der Versicherungsbranche immer häufiger. Meist kommen dabei hybride Applikationen zum Einsatz, die zwar praktisch und kostengünstig, aber auch äußerst anfällig für Hackerangriffe und Cyber-Manipulationen sind.

Mobile Applikationen sind zu einem festen Bestandteil unseres Alltags geworden und haben unser Leben nicht nur in Sachen Unterhaltung grundlegend verändert. Nach dem Banken- und Zahlungssektor ist die mobile Revolution nun auch in der Versicherungsbranche angekommen.

Von der Unterstützung der Vertriebs- und Außendienstmitarbeiter bis zur flexiblen Kommunikation mit den Kunden – mobile Anwendungen erweisen sich für Versicherer in vielerlei Hinsicht als nützlich. So können Versicherer ihre Kunden über mobile Apps nicht nur mit wertvollen Informationen versorgen, sondern diesen auch diverse Service-Leistungen anbieten.

Der Abschluss von Zusatzversicherungen bei sich ändernden Lebensbedingungen ist für Versicherungsnehmer dann genau so unkompliziert und praktikabel über das Smartphone oder Tablet zu erledigen wie die schnelle Meldung eines Schadens, etwa nach einem Autounfall, oder die Einreichung einer erstattungsfähigen Arztrechnung.

Doch die digitale Revolution und das Internet der Dinge eröffnen im Versicherungsmarkt noch weitere digitale Geschäftsmodelle; etwa wenn die Daten von Fitnessarmbändern oder aber die Auswertungen von Auto-Fahrtenschreibern direkt an die Versicherer übermittelt werden und dort bei der Berechnung der Versicherungsprämien miteinbezogen werden. Der Einblick der Assekuranzen in den versicherten Lebensstil ihrer Kunden ist dank der digitalen Revolution weitreichend wie nie.

Alleskönner Hybrid-Anwendung

Bei der Auswahl ihrer Mobile-App-Lösung greifen Versicherungsunternehmen dabei gerne auf den Ansatz hybrider Anwendungen zurück, um möglichst unkompliziert einen breiten Kundenstamm zu erreichen, den Mitarbeitern und Versicherungsnehmern stets Aktualität gewährleisten zu können und nicht zuletzt wertvolle Entwicklungszeit und -kosten zu sparen.

Hybrid-Apps stellen eine Kombination zwischen Nativen Apps und Web-Apps dar und müssen, da sie Cross-Plattform verschiedene Betriebssysteme wie iOS, Android und Windows gleichzeitig bedienen, nur einmal entwickelt werden. Die hybride Technik ermöglicht es den Entwicklern also, die Anwendung bequem in HTML oder JavaScript zu erstellen, Sprachen, die in der Regel für die Entwicklung von Websites reserviert sind, und sie dann in eine Anwendungsebene zu verpacken, die auf einem mobilen Endgerät funktioniert.

Konkret bedeutet dies, dass die App als ein Basiscode entwickelt werden kann, der sich dann einfach zwischen verschiedenen Plattformen portieren lässt. So kann der Anbieter sowohl auf Android- als auch auf Apple-Geräten präsent sein, ohne dass Zeit und Aufwand für einen Neustart anfallen. Kein Wunder also, dass sich mobile Apps neben der Versicherungswirtschaft auch in vielen anderen Branchen wie etwa der Spieleindustrie oder bei digitalen Mediendiensten wie dem Markt für Smart TVs größter Beliebtheit erfreuen.

Die dunkle Seite der hybriden Apps

Die Vorteile des hybriden Ansatzes für Versicherungsunternehmen, nämlich die eignen Applikationen schneller und breiter einzusetzen, ist nicht von der Hand zu weisen. Nichtsdestotrotz birgt der Ansatz jedoch auch neue Risiken.

Nun ist es so, dass jede Art von mobilen Anwendungen bei Hackern und Cyberkriminellen hoch im Kurs steht. Das liegt nicht zuletzt daran, dass Mobile Apps – anders als Server- oder Embedded-Software – in verteilten, nicht regulierten und potentiell gefährdeten Umgebungen laufen.

Sobald eine App auf einem Mobilgerät ein geschütztes und kontrollierbares Netzwerk verlässt, besteht die Gefahr, dass Hacker diese auf Schwachstellen hin untersuchen und anzugreifen versuchen. Enthalten mobile Applikationen nun sensible Informationen oder personenbezogene Daten – wie z.B. Banking-Apps oder Versicherungsanwendungen mit allen Funktionen rund um die Verwaltung oder Schadenregulierung, sind sie für Hacker nochmal interessanter und das Risiko, Opfer eines Cyberangriffs zu werden, steigt.

Bei Hybrid-Anwendungen ist die Situation nun noch einmal verschärfter als bei Standard-Apps, da der JavaScript-HTML-Quellcode deutlich leichter rückentwickelt (Reverse Engineering) und manipuliert werden kann als nativer Binärcode. Sobald sich ein Angreifer also Zugriff auf den Code einer Anwendung verschaffen konnte, ist er in der Lage, diesen für eine ganze Reihe von böswilligen Aktivitäten modifizieren.

Denkbar wären hier etwa das Deaktivieren von Sicherheitskontrollen oder das Umgehen anderer Beschränkungen, was es ihm ermöglicht, auf normalerweise sichere Daten zuzugreifen und diese auszulesen. Auch ferngesteuerte Man-in-the-Middle-Angriffe, bei denen Daten abgefangen werden, während sie übertragen werden, sind bei hybriden Anwendungen leichter durchzuführen. Hacker können Laufzeitdaten wie sensible Finanz- und Personeninformationen während der Nutzung der App stehlen und die betroffene App sogar als Vektor missbrauchen, um andere Anwendungen auf dem Gerät anzugreifen.

Doch damit noch nicht genug: Wenn ein Angreifer in der Lage ist, die im Code der Anwendung verborgenen Sicherheitsschlüssel zu finden, ist er in einem zweiten Schritt auch in der Lage, die Versicherungsgesellschaft selbst anzugreifen und mit den gestohlenen Schlüsseln möglicherweise auf alles zuzugreifen, wofür die Anwendung autorisiert wurde.

Eine weitere beliebte Taktik ist es zudem, eine schädliche Kopie der mit Malware geladenen App zu erstellen und zum Download zu veröffentlichen. Während diese Kopien bisher nur auf inoffiziellen Download-Seiten zu finden waren, wurden in letzter Zeit immer öfter Fälle bekannt, bei denen es Hackern gelungen ist, diese gefährlichen Fake-Apps in die autorisierten App-Stores oder auf die Webseiten der Firmen zu schmuggeln.

Verschleierung und Laufzeitschutz

Möchten Versicherer nicht auf die durchaus lohnenswerten Vorteile hybrider Anwendungen bei der Umsetzung ihrer Mobile-Strategie verzichten und ihr Unternehmen und die Daten ihrer Kunden dennoch so gut es geht vor Cyberangriffen geschützt wissen, müssen Sie schon im Entwicklungsprozess ihrer Anwendungen für die Implementierung zusätzlicher Sicherheitsmaßnahmen sorgen. Nur so können Sicherheitslücken und Schwachstellen, die Angreifern Tür und Tor für Manipulationen und Datendiebstahl öffnen, noch vor der Veröffentlichung der App beseitigt werden.

Einer der effektivsten App-Protection-Ansätze ist es dabei, Obfuscation, d.h. Verschleierungstechniken, mit Laufzeit-Schutztechniken zu kombinieren und diese Schutzschicht in den JavaScript-Code im Herzen der App abzulegen. Obfuscation verwandelt Programmcodes und ihre Kontrollstrukturen in für Angreifer unlesbare Formen und kann mit anderen Ansätzen wie dem Verstecken von Textkodierungen und Datenwerten sowie dem Ändern von leicht verständlichen Programmsymbolnamen kombiniert werden. Selbst wenn es einem Angreifer dann gelänge, auf den Code zuzugreifen, ist es für ihn fast unmöglich, nützliche Informationen zu entziffern.

Der Laufzeit-Schutz sorgt zusätzlich dafür, dass sich das Skript der App selbst gegen Angriffe verteidigen kann. So kann die Applikation mit einer speziellen Logik ausgestattet werden, die es ihr ermöglicht, manipulative Veränderungen an Code und Daten aufzuspüren. Denkbar wäre etwa, dass die App bei jedem Hochfahren ihren eigenen Code überprüft, um zu bestätigen, dass er sich im Originalzustand befindet und nicht manipuliert wurde. Dabei kann die App so programmiert werden, dass sie im Fall von identifizierten Ungereimtheiten z.B. automatisch beendet wird und den Anbieter alarmiert.

Laufzeit-Profiling

Daneben kann die Anwendung auch Runtime Profiling nutzen, um zu überprüfen, in welcher Umgebung sie sich befindet. Eine beliebte Technik für Angreifer ist es, den Code aus der App zu heben und ihn in einer Sandbox-Umgebung auszuführen, wo er besser untersucht und angegriffen werden kann – was mit dem JavaScript-basierten Code, der in Hybrid-Applikationen verwendet wird, noch leichter ist.

Mit Runtime Profiling erkennt die App nun selbstständig, ob sie sich auf einem legitimen Mobilgerät oder in einer ungewöhnlichen und potenziell schädlichen Umgebung befindet. Da all dies im JavaScript-Code selbst verborgen ist, ist es auch dann noch effektiv, wenn die App zerlegt wurde.

Indem sie sich auf den Schutz von JavaScript als Kernstück ihrer mobilen App konzentrieren, können Versicherer auch weiterhin von den Vorteilen hybrider Anwendungen profitieren ohne unnötiges Risiko für das eigene Unternehmen und die eigenen Kunden eingehen zu müssen. Ihre Position am digitalen Marktplatz können Versicherungsunternehmen so erfolgreich weiter ausbauen und ihre Wettbewerbsfähig auf diese Weise stärken.

* Mirko Brandner ist Technical Manager bei Arxan Technologies.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44921085 / Cross Plattform)