Mobile Security Basics: Threat Modeling, OWASP, Secure Storage.
App-Security: Was Entwickler oft vergessen – und Angreifer nicht
Mobile Security ist kein Sprint-Ticket. Es ist eine Haltung.
Warum App-Security so oft auf der Strecke bleibt
Security-Features haben kein sichtbares Ergebnis, wenn alles gut läuft. Deshalb landen sie am Ende des Backlogs – hinter Features, die sichtbar Wert liefern. Das ist menschlich. Aber gefährlich.
Eine kompromittierte App ist kein Imageproblem. Es ist ein rechtliches und unternehmerisches Risiko, das schnell existenziell werden kann.
Die häufigsten Schwachstellen in mobilen Apps
Unsichere Datenspeicherung: Tokens, Passwörter oder sensible User-Daten im Klartext im lokalen Speicher – das ist kein Einzelfall, sondern leider Standard in vielen Apps.
Schwache Transportschicht: HTTP statt HTTPS, fehlende Certificate Pinning, keine Überprüfung abgelaufener Zertifikate.
Überprivilegierte APIs: Der Server liefert mehr Daten zurück als der Client braucht. Was der Client nie sehen sollte, kann trotzdem abgegriffen werden.
Hardcoded Secrets: API-Keys, Passwörter oder interne URLs direkt im Code. Das ist ein Klassiker – und ein OWASP-Top-10-Dauerbrenner.
OWASP Mobile Top 10 – kurz erklärt
Die OWASP Mobile Top 10 sind der de-facto Standard für Mobile Security. Wer die kennt und gegen sie testet, hat schon mehr getan als die meisten. Die wichtigsten: M1 (Improper Credential Usage), M4 (Insufficient Input/Output Validation), M8 (Security Misconfiguration).
Threat Modeling: Bevor gebaut wird
Threat Modeling klingt nach großem Enterprise-Prozess, ist aber eigentlich simpel: Wer könnte unsere App angreifen? Wie? Was wäre das Ziel? Und wie wahrscheinlich und wie schlimm wäre das jeweils?
Diese Fragen zu Beginn des Projekts zu beantworten, spart hinten raus deutlich mehr als jedes Security-Audit.
Checkliste App-Security
Keine sensiblen Daten im Plaintext lokal gespeichert
Alle Netzwerkverbindungen über HTTPS (inkl. Certificate Pinning)
Keine Secrets hardcoded im Code
API-Responses nur notwendige Daten zurückliefern
Auth-Tokens mit kurzer Lebensdauer und Refresh-Mechanismus
OWASP Mobile Top 10 als Checkliste vor Release durchgegangen
Penetration Test geplant (intern oder extern)
Security Review für eure App?
markom.digital bietet Security-Assessments für mobile Apps an – von der strukturierten OWASP-Prüfung bis zum vollständigen Pen-Test in Zusammenarbeit mit Spezialisten.
