Angriffe auf mobile Anwendungen im Unternehmen verhindern
Die Beliebtheit von mobilen Geräten in Unternehmen steigt. Dadurch werden mobile Apps zunehmend das Ziel von Hackern. Firmen sollten diese Risiken kennen und Maßnahmen ergreifen.
Die Nutzung mobiler Geräte in Unternehmen ist mittlerweile gang und gäbe. Daher müssen sich Unternehmen auf alle Arten von mobilen Bedrohungen vorbereiten, um eine Verletzung der Cybersicherheit zu vermeiden. Dazu gehören auch Angriffe über mobile Anwendungen.
Da Remote- und Hybrid-Arbeitsmodelle in vielen Unternehmen zum Standard geworden sind, haben sich mobile Geräte für Mitarbeiter zu einem wichtigen Kanal entwickelt, um mit Unternehmensnetzwerken und -anwendungen verbunden zu bleiben. Diese Entwicklung hat zwar die Flexibilität und Produktivität erhöht, doch die größere Abhängigkeit von mobilen Geräten vergrößert auch die Angriffsfläche für Unternehmen. Ransomware, Malware und andere Bedrohungen können mobile Endgeräte mit erheblichen Auswirkungen angreifen. Unternehmen müssen daher mobile Risiken als Teil ihrer umfassenden Sicherheitsstrategie berücksichtigen.
Die Sicherheit mobiler Anwendungen ist für Führungskräfte in Unternehmen nicht mehr nur ein technisches Anliegen für Sicherheits- und Entwicklungsteams. Mobile Apps dienen zunehmend als Eingangstor zu zentralen Unternehmenssystemen und sind damit ein strategischer Risikofaktor in Bezug auf Identität, Zugriff und Cloud-Dienste. Entsprechend werden Entscheidungen über die Sicherheit mobiler Apps früher in die Architektur, Governance und Lieferantenauswahl einbezogen.
Sicherheitslücken in mobilen Apps bedrohen Unternehmen
Schon ein einziges kompromittiertes Mobilgerät reicht aus, damit ein Angreifer Zugriff auf das Netzwerk eines Unternehmens erhält. Unternehmenseigene und BYOD-Mobilgeräte sind das ultimative Ziel für Land-and-Expand-Angriffe, bei denen ein Angriff auf ein Mobilgerät die Grundlage für einen weiteren Angriff auf ein Backend-System oder eine Cloud-Anwendung bildet. Ein typischer Unternehmensanwender nutzt auf seinem mobilen Gerät möglicherweise geschäftliche E-Mails, eine UC-Anwendung (Unified Communications) wie Slack oder Teams sowie einen Salesforce- oder einen anderen CRM-Client. Wenn Angreifer ein solches Gerät kompromittieren, haben sie vollen Zugriff auf die Netzwerkressourcen des Unternehmens – als ob sie autorisierte Benutzer des Geräts wären.
Schon ein einziges kompromittiertes Mobilgerät reicht aus, damit ein Angreifer Zugriff auf das Netzwerk eines Unternehmens erhält.
Branchenbezogene Bedrohungsinformationen zeigen, dass mobile Anwendungen für Unternehmen nach wie vor eine bedeutende und wachsende Angriffsfläche darstellen. Da mobile Geräte und Apps zu zentralen Zugangspunkten für Unternehmens-E-Mails, Collaboration-Tools und Cloud-Dienste geworden sind, nehmen Angreifer zunehmend mobile Endgeräte ins Visier, um herkömmliche Netzwerk- und Perimeterkontrollen zu umgehen. Die Sicherheit mobiler Apps ist daher nicht mehr nur ein Nischenproblem, sondern ein grundlegender Bestandteil der Sicherheitsstrategie von Unternehmen.
Die Berichte von Anbietern mobiler Sicherheitslösungen unterstreichen das Ausmaß des Problems. Ein Bericht von Zimperium aus dem Jahr 2024 ergab, dass mehr als vier von fünf Phishing-Websites – etwa 82 Prozent – mittlerweile auf mobile Nutzer ausgerichtet sind. Dies zeigt, wie häufig Angreifer mobile Apps und Browser für den Diebstahl von Anmeldedaten ausnutzen. Lookout identifizierte innerhalb eines einzigen Jahres Hunderttausende bösartiger Anwendungen und mehr als eine Million anfällige App-Instanzen auf Unternehmensgeräten. Gleichzeitig registriert die globale Sicherheitstelemetrie jeden Monat Millionen von versuchten Angriffen mit mobiler Malware und Adware. Zusammengefasst zeigen diese Ergebnisse, dass mobile Apps nicht mehr nur ein Randrisiko darstellen, sondern zu einem permanenten Einstiegspunkt für umfassendere Angriffe auf Unternehmen geworden sind.
Abbildung 1: Unternehmen müssen wichtige Sicherheitsrisiken für Mobilgeräte berücksichtigen, da Mobilgeräte und Apps zunehmend zu den primären Zugangspunkten für Unternehmenssysteme werden.
Darüber hinaus vergrößert sich mit jeder neuen Anwendung, die ein Benutzer auf einem Mobilgerät installiert, die Angriffsfläche. Bedrohungen für Anwendungen, zum Beispiel exponierte APIs und falsch konfigurierter Code, machen Kundendaten angreifbar. Veraltete mobile Apps verstärken diese Sicherheitslücken zusätzlich. Unternehmen können auf Enterprise Mobility Management (EMM) und andere Endpunktmanagement-Tools zurückgreifen, um Anwendungen besser zu kontrollieren. Mit diesen Tools kann die IT-Abteilung Richtlinien erstellen und verwalten, zum Beispiel zur Automatisierung von Updates für mobile Betriebssysteme und Apps, um die mobile Sicherheit zu verbessern.
Angreifer nehmen mobile Geräte oft auch ins Visier, um weitere Informationen abzugreifen. Kriminelle können das Mikrofon und die Kamera eines mobilen Geräts nutzen, um Unternehmen auszuspionieren und Unternehmensgeheimnisse zum Beispiel wie Forschungs- und Entwicklungspläne oder Finanzdaten zu erlangen. Kompromittierte mobile Geräte können Verkaufsgespräche oder Besprechungen über das nächste große Produkt eines Unternehmens abhören.
Bedrohungsvektoren für mobile Geräte, die die IT kennen sollte
Es gibt viele Möglichkeiten, wie Hacker mobile Geräte über mobile Anwendungen kompromittieren. Firmen können die schädlichen Folgen von Angriffen auf mobile Anwendungen verhindern oder mindern, wenn sie die folgenden Bedrohungsvektoren im Auge behalten.
Mobile Malware
Malware ist bösartige Software, die Anmeldedaten stehlen und die Zwei-Faktor-Authentifizierung (2FA) umgehen kann. Viren, Würmer und Spyware sind Beispiele für Malware, die auf mobile Geräte abzielt. Der Kampf gegen mobile Malware beginnt mit Antiviren-Software auf den mobilen Geräten. Die IT-Abteilung muss zudem den Fernzugriff auf das Unternehmensnetzwerk über mobile Geräte streng kontrollieren.
Malware-Angriffe entwickeln sich mit Unterstützung von staatlich geförderten und kriminellen Hackerorganisationen. Einige dieser Hackergruppen verfügen über die technischen und personellen Ressourcen einer großen Softwareentwicklungs-Firma. Ein neuer und besorgniserregender Trend bei Malware-Angriffen auf mobile Banking-Apps sind beispielsweise die Dropper-Apps, die Cyberkriminelle zu legitimen Apps im Google Play Store hinzugefügt haben. Da hybride Arbeitsformen und BYOD-Richtlinien die Grenzen zwischen persönlichen und Unternehmensgeräten verwischen, stellt dies für viele Unternehmen eine erhebliche Bedrohung dar.
Da DevOps- und DevSecOps-Praktiken immer beliebter werden, müssen Entwickler mobiler Apps zunehmend zu mobilem DevSecOps übergehen, um sichere mobile Apps zu entwickeln. Viele Abwehrtechniken werden weiter an Bedeutung gewinnen, zum Beispiel Codeverschleierung, um den Code oder die Logik von Apps schwer verständlich zu machen, oder die Abschirmung von Anwendungen zum Schutz vor dynamischen Angriffen, bösartigem Debugging und Manipulationen.
Mobile Ransomware
Während IT-Teams Daten durch Verschleierung schützen können, sind Hacker in der Lage diese Taktik auch für Ransomware-Angriffe nutzen. Ein Ransomware-Angriff verschlüsselt ein kompromittiertes Mobilgerät und sperrt dessen Benutzer aus. Ransomware-Angreifer gehen bei mobilen Geräten in der Regel nach demselben Schema vor wie bei PCs: Sie fordern Lösegeld, wenn Nutzer den Zugriff auf ihr Gerät und ihre Daten wiedererlangen wollen.
Laut dem Data Breach Investigations Report 2022 von Verizon (PDF) war Ransomware im Jahr 2021 Teil von fast 25 Prozent aller Datenschutzverletzungen, ein Anstieg von fast 13 Prozent im Vergleich zum Vorjahr – und mobile Geräte sind gegen solche Angriffe alles andere als immun.
Die Abwehr von Ransomware beginnt damit, dass Unternehmensgeräte daran gehindert werden, Apps aus anderen Quellen als dem unternehmenseigenen App Store, dem Apple App Store oder Google Play herunterzuladen. Einige weitere wichtige Schritte, um mobile Ransomware zu verhindern, sind:
Erstellen und Durchsetzen einer BYOD-Richtlinie mit einem begleitenden Schulungsprogramm, das die Sicherheit von eigenen Geräten der Mitarbeiter regelt, die am BYOD-Programm des Unternehmens teilnehmen.
Erstellen von Richtlinien in der EMM-Plattform des Unternehmens, die alle registrierten BYOD- und Unternehmensgeräte dazu auffordern, automatisch Sicherheits-Patches und Updates herunterzuladen.
Der Schutz vor mobiler Ransomware sollte Teil der unternehmensweiten Awareness-Schulungen rund um Themen der Cybersicherheit werden.
Fehlerhafter Code und löchrige mobile Apps
Löchrige mobile Apps bilden die Grundlage für einen Angriff auf mobile Geräte. Wie der Name schon sagt, handelt es sich bei einer löchrigen App um eine Anwendung, aus der Unternehmensdaten heraussickern, wie Wasser aus einer kaputten Leitung. Schlechte Programmierpraktiken führen zu fehlerhaftem Code, der es der Öffentlichkeit und Angreifern ermöglichen kann, Anwendungsdaten wie Unternehmensinformationen und Passwörter einzusehen.
Um sich vor fehlerhaftem Code und undichten mobilen Anwendungen zu schützen, müssen Unternehmen ihre mobilen Entwickler in sicheren Codierungspraktiken schulen und Sicherheitstests für mobile Anwendungen als Teil einer DevOps-Methodik implementieren.
Angriffe auf die Softwarelieferkette
Eine Softwarelieferkette funktioniert ähnlich wie ein Fließband in einer Fabrik. Es ist ein Produktionszyklus, der Partner, Auftragnehmer und Drittanbieter zusammenbringt, um Software zu produzieren. Auch Komponenten von Open-Source-Software durchlaufen diese Lieferkette.
Über die Softwarelieferkette kann jedoch eine Cybersicherheitslücke in einem Unternehmen zu Schäden bei anderen Unternehmen führen. Die Verletzung der Software-Lieferkette von SolarWinds, die im Jahr 2020 entdeckt wurde, hat diese Gefahr auf berüchtigte Weise gezeigt. Hacker verschafften sich Zugang zu den Netzwerken, Systemen und Daten einiger der Regierungs- und Unternehmenskunden des Anbieters, darunter das Pentagon und Cisco. Während die Zahl der betroffenen Kunden auf weniger als 100 im Jahr 2021 geschätzt wird, wurden nach Angaben von SolarWinds 18.000 bösartige Software-Updates heruntergeladen.
Ein Angreifer, der die Softwarelieferkette eines Anbieters mobiler Apps kompromittiert, kann Code in die App einfügen, der den Endbenutzer dazu auffordert, ein Update von einer bösartigen Website herunterzuladen. Eine Kompromittierung der Softwarelieferkette findet statt, bevor eine App in einen öffentlichen oder unternehmenseigenen App-Store gelangt.
Die Anbieter von Unternehmensanwendungen und -diensten werden zweifellos die Sicherheit ihrer Lieferkette erhöhen, um diese Angriffe zu verhindern.
Jailbreaking und Rooting von mobilen Geräten
Geräte mit iOS, die einen Jailbreak durchliefen, und gerootete Android-Geräte gefährden die Sicherheit des gesamten Geräts, da sie Hackern die Möglichkeit geben, Angriffe zur Ausweitung von Berechtigungen durchzuführen. Wenn sich Angreifer Zugang zu einem mobilen Betriebssystem verschaffen, können sie wahllos mobile Anwendungen angreifen.
Mit EMM-Tools kann die IT-Abteilung Sicherheitsrichtlinien festlegen, die verhindern, dass Jailbroken- oder Root-Geräte auf Unternehmensressourcen zugreifen.
Man-in-the-Middle-Angriffe
Mit der Verlagerung von Unternehmensanwendungen in die Cloud werden MitM-Angriffe (Man-in-the-Middle) immer wahrscheinlicher, bei denen ein Angreifer die zwischen zwei Geräten gesendeten Daten abfangen, löschen oder verändern kann. Auch wenn es andere Ursachen für MitM-Angriffe gibt, können mobile Anwendungen, die unverschlüsseltes HTTP verwenden, sensible Informationen übertragen, die Angreifer für ihre kriminellen Zwecke nutzen können.
Um MitM-Angriffe zu verhindern, sollten Unternehmen damit beginnen, ihre Entwicklungsteams in sicheren Codierungsstandards und Architekturen zu schulen. Die gleichen Standards müssen auch für die Anbieter in der Softwarelieferkette gelten.
So schützen Sie mobile Apps vor Sicherheitsbedrohungen
Um die Sicherheit mobiler Nutzer und sensibler Unternehmensressourcen zu gewährleisten, muss die IT-Abteilung wissen, wie Angriffe auf mobile Anwendungen erfolgen können, und sich proaktiv dagegen schützen. Mit der zunehmenden Nutzung von BYOD- und Unternehmensgeräten in einem Unternehmen müssen sich auch dessen Strategien für die mobile Sicherheit weiterentwickeln. Der Schlüssel zur Erstellung wirksamer Sicherheitsrichtlinien besteht darin, die Arbeitsbeziehungen optimal zu nutzen, um bewährte Verfahren zwischen Desktop- und Mobilteams sowie den vom Unternehmen unterstützten Endanwendern auszutauschen.
Dieser Artikel wurde im Januar 2026 aktualisiert und um neue Studienergebnisse ergänzt.
Erfahren Sie mehr über Mobile Apps und Entwicklung
