Es ist das schmutzige kleine Geheimnis der Mobilfunk-Branche: Je mehr aus dem Handy von einst ein vollwertiger Computer wird, desto größer die Gefahr, dass Hacker und Malware-Schreiber sie als lohnendes Angriffsziel erkennen. Das Thema wurde auf der diesjährigen GSMA Mobile World in Barcelona auch diskutiert – aber meistens nur hinter vorgehaltener Hand.
Die Mobilfunkbranche setzt sich in der Hauptstadt Kataloniens fast so überschwänglich und prunkvoll in Szene wie einst die IT es in der mittlerweile arg gebeutelten CeBIT in Hannover getan hat. Und so, wie in den großen Tagen der immer noch weltgrößten Computermesse, als an der Leine die Hölle los war, werden Fragen über die Sicherheit als eher lästig empfunden. Dabei sind die simplen Handys von gestern längst zu vollwertigen Mini-Computern gemendelt, zur eierlegenden Wollmilchsau, die nur noch am Rande der Sprachkommunikation dienen. In der prallvollen Halle 7 des Ausstellungsgeländes von Montjuïc drängten sich Hunderte von meist jungen Entwicklern, um auf dem von Vodafone gesponsorten „Apps Planet" ihre winzigen Software-Schnipsel vorzuführen, sich gegenseitig über die Schulter zu schauen und gemeinsam die goldene Zukunft des mobilen Anwendungsmarktes zu feiern.Wer wie der Autor dieser Zeilen schon vor 20 Jahren die gleiche ebenso ungebremste wie unkritische Euphorie unter den Entwicklern von PC-Anwendungen erleben durfte, dem kommt es so vor, als ob sich die Geschichte wiederholt - ohne dass man aber daraus besonders viel gelernt hätte.
Wer es wagte, in Barcelona die Frage nach der Sicherheit von Apps zu stellen, wurde abgeblockt. „Wieso, die sind doch sicher. Dafür gibt's doch die SIM-Karte", meinte ein noch bartloser Programmier-Profi aus Witten, dessen in knapp 14 Tagen zusammengeschraubter Spiele-App für Apples iPhone ihm angeblich schon mehr als 10.000 Euro eingebracht hat.
Tatsächlich explodiert gerade der Markt für Apps. Mehr als 100.000 Stück alleine für das Apple-OS, so wird gemunkelt, stehen bereits zum Download bereit. Bestätigen ließ sich diese Zahl nicht, weil Apple demonstrativ der Mobile World ebenso fern blieb wie jahrelang der CeBIT. Dafür gaben die Sprecher der anderen Anbieterplattformen umso ausgiebiger Auskunft. „18.000 Android apps - and counting", meinte jemand von Google. Auf Blackberrys "App World" geht angeblich die Post ab, Pieter Knook, Chef der Internet Services von Vodafone, sprach von „mehr als 7.000" seit Einführung der Entwickler-Plattform „Vodafone 360". Und Nokias „Ovi Store" hielt nach eigenen Angaben mehr als 6.000 Apps vor. Das Microsoft-Lager, die in Barcelona stolz das umgetaufte Mobil-OS „Windows Mobile 7" präsentierten, reden von einer ähnlich hohen Zahl.
Aus der Aufzählung wird schon klar, warum App-Sicherheit im Augenblick noch kein großes Thema ist: Die Zersplitterung des Marktes in mindestens sechs große Betriebssystem (sieben, wenn man die in Barcelona kaum präsente Firma Palm mit seinem neuen „Pre"-Handheld dazu rechnet) ist im Moment noch ein wirksamer Schutz vor Hackern und Virusschreibern. Aber wie lange noch? Im Herbst 2009 war bereits von den ersten Malware-Attacken auf das iPhone die Rede. Und auch wenn das Bundesamt für Sicherheit in der IT (BSI) noch abwinkt: Dort ist bislang nichts über erfolgreiche Angriffe auf Smartphones bekannt. Es sei allerdings „nicht auszuschließen, dass in nächster Zeit Schadprogramme auch über Applikationen ihre Verbreitung im Bereich der Mobiltelefone finden werden", heißt es beim BSI.
Irgendwann werden die jungen Leute, die in Barcelona noch davon träumten, mit ihren Apps über Nacht reich zu werden, aufwachen und der bitteren Realität ins Auge schauen: Apps sind Computerprogramme, und Computerprogramme sind angreifbar. Zunehmend werden per mobiler Software sensitive persönliche Daten transportiert. Der ganze Rattenschwanz von Probleme, die wir schon aus der „normalen" Software-Programmierung kennen, werden in den kommenden Monaten voll auf den Apps-Markt durchschlagen: Lücken aufgrund von schlampiger Programmierung, Compliance-Fragen (personenbezogene Daten dürfen laut Datenschutzgesetz das Gebiet der EU nicht verlassen - aber das Mobilfunknetz ist weltweit!), mobiler Identitäts-Diebstahl.
App-Entwickler können aber von der Erfahrung ihrer Kollegen aus der „alten" Computerwelt profitieren. Dort beginnt sich langsam die Erkenntnis durchzusetzen, dass der Weg zu echter IT-Sicherheit sowie zu GRC (Governance, Risk Management und Compliance) nur über wirksames Identity & Access Management (IAM) führt. Nur wer weiß, wer wann was im System getan hat und ob er das auch tun durfte, der kann einigermaßen sicher sein, dass dort auch wirklich alles mit rechten Dingen zugeht.
Lernt sie diese Lektion nicht, wird die vielgerühmte „App-Economy" ein Opfer ihrer eigenen Hybris werden. Schon melden sich ja auch schon erste kritische Stimmen wie die von Mark Suster, Partner beim Venture Capital Unternehmen GRP, der in seinem Weblog zum Gegenschlag ausholt. "App is Crap" ("Apps sind Mist"), meint er sarkastisch, und sagt den baldigen Niedergang der noch jungen Branche voraus. Das wäre nicht nur schade, es wäre eine Katastrophe. Und eine selbstverschuldete noch dazu. App-Security muss schleunigst vom Betriebsgeheimnis zum Gebot der Stunde werden. Sonst ist tatsächlich am Ende womöglich alles Mist...