print logo

Shopping-Apps: Lukratives Angriffsziel für Hacker

Steigender Wettbewerbsdruck und nicht zuletzt die zunehmende Digitalisierung stellen den Einzelhandel vor große Herausforderungen.
Arxan Technologies | 28.04.2017
©
 
Veränderungen wie diese aber auch Regularien wie etwa Ladenöffnungszeiten erfordern zukunftsweisende Maßnahmen und eine Neu-Ausrichtung von Geschäftsmodellen. Vor allem die rasante Verlagerung vom stationären zum Online-Geschäft bietet den Händlern dabei die Chance, ihren Kunden neue und barrierefreie Einkaufserlebnisse bereitzustellen und sich auf diese Weise von den Wettbewerbern zu differenzieren.

Neben klassischen Shopping-Webseiten setzten viele Anbieter dabei vermehrt auf mobile Retail-Applikationen, die den Kunden einen bequemen und schnellen Kaufprozess über ihr Smartphone ermöglichen, und reagieren damit auf die zunehmende Beliebtheit von Mobile Computing. Immerhin nutzen bereits heute 75 Prozent der Konsumenten in Deutschland ihre mobilen Endgeräte für den Einkauf, wie eine Studie von Opera Mediaworks ermittelt hat.

Vorreiter in Sachen Retail-Applikationen sind jedoch die USA: Hier ziehen Online-Kunden mobile Shopping-Apps den klassischen Webseiten mittlerweile vor, was Apple dazu veranlasst hat, in ihrem App Store eine Kategorie speziell für Retail-Apps bereitzustellen. Aber auch in Deutschland, Österreich und der Schweiz bieten heute bereits 70 Prozent der größten Online-Händler eine mobile Shopping-Applikation an. Hier muss der Einzelhandel mitziehen.

Betrugsmodell Shopping-Apps

Und doch birgt die mobile Optimierung des Einzelhandels auch Risiken: Für Cyberkriminelle und Hacker sind mobile Retail-Apps schließlich ein weiteres lukratives Angriffsziel, das ihnen Tür und Tor öffnet, um sensible Personendaten oder Kontoinformationen abzugreifen, Kaufprozesse zu manipulieren oder geistiges Eigentum der Hersteller zu stehlen. Wie real diese Gefahr ist, mussten einige Apple-Kunden bereits letzten Herbst feststellen. Passend zum Start der vorweihnachtlichen Shopping-Saison war es einigen Cyberkriminellen gelungen, hunderte von gefälschten Shopping-Apps an den Sicherheitskontrollen vorbei in den App-Store zu schmuggeln. Die gefälschten Applikationen gaben sich dabei als offizielle Einkaufshelfer renommierter MArken wie z.B. Nike, Adidas, Foot Locker oder Christian Dior aus, hatten es aber in sich. Während die harmloseren Varianten die unwissenden Kunden mit eingebundener Werbung zuschütteten, hatten es einige bösartige Fake-Apps auf die Kreditkarteninformationen der User abgesehen.

So greifen Hacker an

Anders als Web-Anwendungen, dessen Sicherheit Unternehmen weitestgehend im Griff haben, ist der Schutz von mobilen Apps vor Manipulation und Reverse Engineering eine weitaus größere Herausforderung. Das liegt nicht zuletzt daran, dass mobile Anwendungen in verteilten, nicht regulierten und potentiell gefährdeten Umgebungen laufen und deshalb für Hacker besonders attraktiv sind. Die Achillesferse der mobilen App ist dabei ihr Binärcode. Wird er nicht aktiv geschützt, ist er anfällig für Modifizierung und andere Arten von Manipulationen, die die Integrität der App kompromittieren. So können Angreifer den Binärcode rückentwickeln und analysieren und auf diese Weise sensible in der App gespeicherte Daten, wie z.B. Kreditkarten- oder Kontoinformationen, ausspähen oder Transaktionen, die über die App abgewickelt werden, manipulieren. Zum anderen besteht die Gefahr, dass Hacker sensibles geistiges Eigentum der Unternehmen stehlen und dieses nutzen, um illegale Kopien oder bösartige Fake-Applikationen auf den Markt zu bringen.

Retail-Applikationen sicher entwickeln und fortwährend schützen

In Zeiten, in denen mobile Applikationen für Einzelhändler eine wichtige Strategie im Kampf um Kundenbindung und Umsatzgenerierung darstellen, können derartige Cyberangriffe fatale Folgen haben – von finanziellen Verlusten über Entschädigungszahlungen bis zu Reputationsschäden. Umso wichtiger ist es, dass die Unternehmen bei der Ausrichtung ihres mobilen Shopping-Angebots von Anfang die Sicherheit ihrer Apps im Blick haben. Konkret bedeutet dies, dass mobile Applikationen auf Binärebene gehärtet und mit Runtime Application Self Protection-Technologien ausgestattet werden. Nur so kann sich die App selbständig vor allen Arten der Manipulation und Revers Engineering schützen – und zwar unabhängig von Geräte, Umgebung, Laufzeit oder Ruhezustand. Bei Android- Retail-Apps sollten die auf Host Card Emulation (HCE)-basierten Bezahllösungen zudem mit speziellen Technologien zum Schutz von kryptographischen Schlüsseln ausgerüstet werden, um nicht autorisierte Zugriffe auf diese zu verhindern.

Mobile Retail-Applikationen halten bei der digitalen Optimierung des Einzelhandels viel Potenzial bereit – für die Unternehmen wie für die Kunden. Die Schwierigkeit besteht jedoch darin, dieses Potenzial voll auszuschöpfen und echte Wettbewerbsvorteile zu erreichen. Neben der Formulierung des konkreten Nutzens und der Bequemlichkeit von Shopping-Apps, müssen die Anbieter vor allem das Vertrauen der Kunden in die Sicherheit der Apps stärken. Hierzu dürfen Anbieter und Entwickler keine Kosten und Mühen scheuen, um ihre Apps wirksam vor Hackerangriffen und Missbrauch zu schützen und diese Sicherheit auch offen zu kommunizieren.