Apple Apps müssen sicherer werden

Ab 2017 müssen alle Anwendungen, die auf Apples Betriebssystemen iOS und OS X laufen, App Transport Security (ATS) nutzen. Was bedeutet das genau?

Auf Apples Worldwide Developers Conference im Juli diesen Jahres gab das Unternehmen bekannt, dass ab 1. Januar 2017 alle Anwendungen für iOS und OS X in seinem App Store das App Transport Security (ATS)-Feature nutzen müssen. Damit will Apple die Sicherheit der Netzwerkkommunikation von Apple-Anwendungen verbessern.

Während mehr Sicherheitsvorkehrungen prinzipiell nichts Schlechtes sind, können sie sich dennoch auf die Performance auswirken. Und das kann im schlimmsten Fall geschäftsschädigend sein.

Was ist ATS?

ATS wurde von Apple in den Versionen iOS 9.0 und OS X 10.11 eingeführt. Ist es aktiviert, müssen Anwendungen, die auf diesen Betriebssystemen laufen, eine sichere HTTPS-Verbindung nutzen anstatt Standard-HTTP. So werden Nutzerdaten beim Transfer verschlüsselt um sicherzustellen, dass sie durch Verwendung von Perfect Forward Secrecy (PFS) auch sicher bleiben.

HTTPS setzt sich aus HyperText Transfer Protocol (HTTP) und Security Socket Layer (SSL) zusammen. Es ist ein weitverbreitetes Internet Protokoll für sichere Kommunikation über ein Computernetzwerk. Wenn ein Client auf eine Website oder Web-Applikation zugreift, bietet HTTPS Authentifikation sowohl für die Website als auch den assoziierten Web-Server und verschlüsselt Daten zwischen dem Client und dem Server. Kurz gesagt, erschafft HTTPS einen sicheren Kanal in einem unsicheren Netzwerk und garantiert, dass die Website oder Web-Applikation, auf die zugegriffen werden soll, tatsächlich legitim ist.

Während HTTPS im Desktop-Browser meist neben der URL angezeigt wird, wenn man sich in seinen E-Mail- oder Onlinebanking-Account etc. einloggt, sind mobile Apps weniger transparent bezüglich der Sicherheit ihrer Verbindungen. Daher ist es oft schwer zu sagen, ob sie HTTP oder HTTPS benutzen. Hier kommt ATS ins Spiel. Seit iOS 9 ist es standardmäßig aktiviert uns zwingt Apps, sich über HTTPS mit Web-Diensten zu verbinden. Entwickler konnten dieses Feature bisher jedoch ausschalten und so ihre Apps Daten über normale HTTP-Verbindungen schicken lassen. Das ändert sich am 1. Januar 2017.

Knackpunkt: Performance

Warum sollten Entwickler aber ein weniger sicheres Protokoll verwenden wollen? Weil HTTPS seinen Preis hat. In der Regel belastet SSL-Traffic die CPU der Anwendungs-Server in höherem Maß. ATS verlangt die Verwendung von Forward Secrecy Verschlüsselung, die sehr komplex ist und für SSL-Transaktionen zusätzliche CPU-Ressourcen benötigt. Das wiederum wirkt sich nachteilig auf die Anwendungs-Performance und damit auf die Effizienz und die Produktivität aus.

Was User beachten müssen und wie sie sowohl die Sicherheit als auch Leistungsfähigkeit ihrer Anwendungen sicherstellen können, finden Sie auf dieser Seite von A10.

Versteckte Gefahren

Eine weitere Herausforderung stellt Malware dar, die sich in SSL-Traffic versteckt und so Sicherheitsmaßnahmen wie Firewalls und Antiviren-Programme nutzlos macht. Traditionelle Lösungen für Netzwerksicherheit besitzen nicht die Möglichkeiten, SSL-Traffic zu inspizieren – also zu entschlüsseln und zu prüfen – sodass die Angriffe meist lang unbemerkt bleiben und großen Schaden in Unternehmen anrichten.

Das Ponemon Institut hat gemeinsam mit A10 Networks dazu eine Studie durchgeführt. Alle Details dazu finden Sie in diesem Artikel.

Show Comments ()